TL;DR – Turborepo 2.9
Turborepo 2.9, released today, brings a massive performance improvement: Time to First Task is now up to 96% faster. In a large monorepo like Vercel's — with over 1,000 packages — startup time dropped from 8.1 seconds to just 716 milliseconds.
The biggest highlight is turbo query, which has graduated from experimental to stable. It lets you query your monorepo in a simple yet powerful way, either through direct commands (
Another important change: Turborepo now accepts circular dependencies between packages in
There are also some interesting experimental features, like OpenTelemetry support (to send build metrics to tools like Grafana, Datadog, and Honeycomb) and Structured Logging in JSON format.
The release also lays the groundwork for Turborepo 3.0, introducing new "Future Flags" that let you opt into upcoming changes incrementally, alongside several deprecations (such as the removal of the daemon and some legacy commands).
This is a release focused on faster startup, better usability in real-world monorepos, and improved observability tooling. If you maintain large repositories with Turborepo, it's definitely worth upgrading.
via @mundoJS
Turborepo 2.9, released today, brings a massive performance improvement: Time to First Task is now up to 96% faster. In a large monorepo like Vercel's — with over 1,000 packages — startup time dropped from 8.1 seconds to just 716 milliseconds.
The biggest highlight is turbo query, which has graduated from experimental to stable. It lets you query your monorepo in a simple yet powerful way, either through direct commands (
turbo query ls, turbo query affected) or even with GraphQL. It essentially replaces the old turbo-ignore with far more flexibility.Another important change: Turborepo now accepts circular dependencies between packages in
package.json. Instead of throwing an error, it only validates the Task Graph — which makes life a lot easier for teams working with large, imperfectly structured repositories.There are also some interesting experimental features, like OpenTelemetry support (to send build metrics to tools like Grafana, Datadog, and Honeycomb) and Structured Logging in JSON format.
The release also lays the groundwork for Turborepo 3.0, introducing new "Future Flags" that let you opt into upcoming changes incrementally, alongside several deprecations (such as the removal of the daemon and some legacy commands).
This is a release focused on faster startup, better usability in real-world monorepos, and improved observability tooling. If you maintain large repositories with Turborepo, it's definitely worth upgrading.
via @mundoJS
Forwarded from Mundo JS
https://securityonline.info/axios-npm-supply-chain-attack-poisoned-versions-rat/
Uma supply chain attack comprometeu o pacote axios no npm. O atacante assumiu o controle da conta do lead maintainer e publicou versões envenenadas que continham um RAT (Remote Access Trojan) multi-plataforma.
Essas versões maliciosas permitiam roubo de dados, execução de comandos e persistência nos sistemas das vítimas que instalaram ou atualizaram para as versões comprometidas.
O ataque foi detectado e as versões maliciosas foram removidas, mas recomenda-se que usuários verifiquem as versões instaladas de axios e atualizem para versões limpas o quanto antes.
Uma supply chain attack comprometeu o pacote axios no npm. O atacante assumiu o controle da conta do lead maintainer e publicou versões envenenadas que continham um RAT (Remote Access Trojan) multi-plataforma.
Essas versões maliciosas permitiam roubo de dados, execução de comandos e persistência nos sistemas das vítimas que instalaram ou atualizaram para as versões comprometidas.
O ataque foi detectado e as versões maliciosas foram removidas, mas recomenda-se que usuários verifiquem as versões instaladas de axios e atualizem para versões limpas o quanto antes.
Daily CyberSecurity
Axios Under Siege: Critical npm Supply Chain Attack Hijacks Lead Maintainer to Drop Multi-Platform RAT
Axios versions 1.14.1 & 0.30.4 have been poisoned. A hijacked maintainer account is dropping a RAT via postinstall scripts. Revert to safe versions now!
👍1
https://blog.cloudflare.com/emdash-wordpress
A Cloudflare lançou o EmDash, um CMS open-source moderno criado do zero como sucessor espiritual do WordPress.
Ele resolve o principal problema do WP — segurança de plugins (96% das vulnerabilidades vêm deles) — rodando cada plugin em um sandbox isolado (Dynamic Workers) com permissões explícitas declaradas, tipo OAuth.
Principais destaques:
- Construído em TypeScript + Astro
- Serverless e escala a zero (paga só pelo uso de CPU)
- Importa sites do WordPress facilmente
- Autenticação com passkeys por padrão
- Ferramentas de IA nativas
- Monetização via x402 (pay-per-use)
Versão 0.1 já está em beta aberta no GitHub. Basicamente: WordPress, mas seguro por design.
A Cloudflare lançou o EmDash, um CMS open-source moderno criado do zero como sucessor espiritual do WordPress.
Ele resolve o principal problema do WP — segurança de plugins (96% das vulnerabilidades vêm deles) — rodando cada plugin em um sandbox isolado (Dynamic Workers) com permissões explícitas declaradas, tipo OAuth.
Principais destaques:
- Construído em TypeScript + Astro
- Serverless e escala a zero (paga só pelo uso de CPU)
- Importa sites do WordPress facilmente
- Autenticação com passkeys por padrão
- Ferramentas de IA nativas
- Monetização via x402 (pay-per-use)
Versão 0.1 já está em beta aberta no GitHub. Basicamente: WordPress, mas seguro por design.
The Cloudflare Blog
Introducing EmDash — the spiritual successor to WordPress that solves plugin security
Today we are launching the beta of EmDash, a full-stack serverless JavaScript CMS built on Astro 6.0. It combines the features of a traditional CMS with modern security, running plugins in sandboxed Worker isolates.
❤4
Forwarded from Mundo JS
https://socket.dev/blog/attackers-hunting-high-impact-nodejs-maintainers
Atacantes (ligados ao grupo UNC1069, com conexão a atores da Coreia do Norte) estão realizando campanhas sofisticadas de social engineering contra maintainers de alto impacto do ecossistema Node.js/npm.
Eles usam personas falsas (como “Openfort”), constroem rapport por semanas via LinkedIn e Slack, e marcam videochamadas falsas (imitando Zoom/Teams) que levam à instalação de malware (RATs como WAVESHAPER, HYPERCALL etc.). O objetivo é comprometer a máquina do maintainer para roubar tokens npm e ganhar acesso de escrita em pacotes críticos.
Várias vítimas confirmadas ou alvo: Axios (já comprometido), Lodash, dotenv, Fastify, Pino, Undici, maintainers do Express, Mocha e até membros do Node.js TSC. Muitos desses pacotes têm centenas de milhões de downloads por semana (bilhões por mês).
2FA e até OIDC não protegem, pois o malware captura o estado após autenticação. A ameaça é profissional, persistente e em evolução.
Atacantes (ligados ao grupo UNC1069, com conexão a atores da Coreia do Norte) estão realizando campanhas sofisticadas de social engineering contra maintainers de alto impacto do ecossistema Node.js/npm.
Eles usam personas falsas (como “Openfort”), constroem rapport por semanas via LinkedIn e Slack, e marcam videochamadas falsas (imitando Zoom/Teams) que levam à instalação de malware (RATs como WAVESHAPER, HYPERCALL etc.). O objetivo é comprometer a máquina do maintainer para roubar tokens npm e ganhar acesso de escrita em pacotes críticos.
Várias vítimas confirmadas ou alvo: Axios (já comprometido), Lodash, dotenv, Fastify, Pino, Undici, maintainers do Express, Mocha e até membros do Node.js TSC. Muitos desses pacotes têm centenas de milhões de downloads por semana (bilhões por mês).
2FA e até OIDC não protegem, pois o malware captura o estado após autenticação. A ameaça é profissional, persistente e em evolução.
Socket
Attackers Are Hunting High-Impact Node.js Maintainers in a C...
Multiple high-impact npm maintainers confirm they have been targeted in the same social engineering campaign that compromised Axios.
Forwarded from Mundo JS
https://rexa-developer.github.io/tiks/
O tiks é uma biblioteca web que gera sons de interface em tempo real via Web Audio API, sem depender de arquivos de áudio, permitindo adicionar feedback sonoro leve e consistente a aplicações.
Oferece API simples, temas prontos e customizáveis, controle de volume, integração com frameworks e suporte a recursos modernos do navegador, focando em enriquecer a experiência sem aumentar o bundle.
O tiks é uma biblioteca web que gera sons de interface em tempo real via Web Audio API, sem depender de arquivos de áudio, permitindo adicionar feedback sonoro leve e consistente a aplicações.
Oferece API simples, temas prontos e customizáveis, controle de volume, integração com frameworks e suporte a recursos modernos do navegador, focando em enriquecer a experiência sem aumentar o bundle.