Выкатили исправление уязвимости — через 9 часов 41 минуту уже началась атака
Есть такой инструмент Marimo — это Python-блокнот для аналитики, как Jupyter, только современнее. На днях авторы опубликовали предупреждение: в старых версиях один из веб-адресов не проверял авторизацию. Любой, кто до него достучится, получает полноценный shell на сервере. А если Marimo крутится в Docker-контейнере — обычно с правами root.
Публичного эксплойта ещё не было — только описание проблемы. Sysdig поставил ловушку и засёк первую реальную атаку ровно через 9 часов 41 минуту после публикации. От захода до кражи ключей к облаку и API LLM-провайдеров прошло меньше трёх минут.
И это уже не разовая история — в прошлом году так же угнали Langflow и Flowise. Видимо, хакеры читают рассылки с уязвимостями внимательнее, чем их жертвы.
Если у вас Marimo — обновляйтесь до 0.23.0 (всё ниже 0.20.4 уязвимо), запускайте только на
@your_tech (теперь ещё в VK и Max)
Есть такой инструмент Marimo — это Python-блокнот для аналитики, как Jupyter, только современнее. На днях авторы опубликовали предупреждение: в старых версиях один из веб-адресов не проверял авторизацию. Любой, кто до него достучится, получает полноценный shell на сервере. А если Marimo крутится в Docker-контейнере — обычно с правами root.
Публичного эксплойта ещё не было — только описание проблемы. Sysdig поставил ловушку и засёк первую реальную атаку ровно через 9 часов 41 минуту после публикации. От захода до кражи ключей к облаку и API LLM-провайдеров прошло меньше трёх минут.
И это уже не разовая история — в прошлом году так же угнали Langflow и Flowise. Видимо, хакеры читают рассылки с уязвимостями внимательнее, чем их жертвы.
Если у вас Marimo — обновляйтесь до 0.23.0 (всё ниже 0.20.4 уязвимо), запускайте только на
--host 127.0.0.1 и ротируйте ключи облаков. Подробности.@your_tech (теперь ещё в VK и Max)
❤2
Хакер купил 30 WordPress-плагинов и 8 месяцев ждал
Представьте: покупаете легальный бизнес, выпускаете скучный апдейт «проверка совместимости» — и терпеливо ждёте почти год. Именно так поступил новый владелец Essential Plugin: в конце 2024 взял на Flippa компанию с 30+ плагинами и десятилетней историей, а в августе 2025 вшил в обновление 191 строку бэкдора.
6 апреля 2026 закладка проснулась: через PHP-десериализацию прописалась в
Главный трюк — C2-сервер резолвится через смарт-контракт Ethereum. Domain takedown бесполезен: адрес меняется одной транзакцией. WordPress.org закрыл все плагины 7 апреля, но уже обновившиеся сайты придётся чистить руками.
@your_tech (теперь ещё в VK и Max)
Представьте: покупаете легальный бизнес, выпускаете скучный апдейт «проверка совместимости» — и терпеливо ждёте почти год. Именно так поступил новый владелец Essential Plugin: в конце 2024 взял на Flippa компанию с 30+ плагинами и десятилетней историей, а в августе 2025 вшил в обновление 191 строку бэкдора.
6 апреля 2026 закладка проснулась: через PHP-десериализацию прописалась в
wp-config.php и начала лить SEO-спам — но только для Googlebot, живые пользователи ничего не видели.Главный трюк — C2-сервер резолвится через смарт-контракт Ethereum. Domain takedown бесполезен: адрес меняется одной транзакцией. WordPress.org закрыл все плагины 7 апреля, но уже обновившиеся сайты придётся чистить руками.
@your_tech (теперь ещё в VK и Max)
❤3⚡1
Google объявил войну back button hijacking
Если у вас на сайте кнопка «Назад» возвращает не туда, куда пользователь пришёл, — у вас 60 дней. С 15 июня 2026 Google понижает такие страницы в выдаче и раздаёт ручные санкции в Search Console.
Под удар попадает всё, что мусорит в
Самое неприятное: отвечает сайт, даже если хайджек прилетел из рекламной сети или стороннего виджета. «Это не мы, это AdSense второго эшелона» — не аргумент, пенальти получит ваш домен.
Разобрали в посте, как за 5 минут проверить свой сайт через DevTools и где у себя искать.
@your_tech (теперь ещё в VK и Max)
Если у вас на сайте кнопка «Назад» возвращает не туда, куда пользователь пришёл, — у вас 60 дней. С 15 июня 2026 Google понижает такие страницы в выдаче и раздаёт ручные санкции в Search Console.
Под удар попадает всё, что мусорит в
history: цепочки редиректов, лишние pushState, перехват popstate ради «вы уверены, что хотите уйти?». SPA-роутеры с тремя записями на клик — туда же.Самое неприятное: отвечает сайт, даже если хайджек прилетел из рекламной сети или стороннего виджета. «Это не мы, это AdSense второго эшелона» — не аргумент, пенальти получит ваш домен.
Разобрали в посте, как за 5 минут проверить свой сайт через DevTools и где у себя искать.
@your_tech (теперь ещё в VK и Max)
🔥10🍾7👎1🎉1
Три ИТ-события, которые вы могли пропустить (а зря)
Пока все гонятся за хайповыми новостями, мы вместе с коллегой Андреем Дмитриевым из JUG.ru собрали события, которые уже повлияли на мир разработки.
В пилотном выпуске нового подкаста:
— Хакеры стерли десятки тысяч ПК через Microsoft Intune
— Дефицит оперативной памяти до 2030 года
— Оптимизация glibc под x86_64
О других событиях вы можете узнать, послушав подкаст.
Особое внимание предлагаем уделить рефлексии. В выпуске мы подсветили, почему те или иные истории важны для ИТ-сообщества. А теперь призываем вас в комменты под видео: что уже вошло в вашу жизнь из этих кейсов? И как думаете, что из этого не производит резонанса?
Смотрите подкаст и присоединяйтесь к дискуссии: https://tprg.ru/S7jD
@your_tech (теперь ещё в VK и Max)
Пока все гонятся за хайповыми новостями, мы вместе с коллегой Андреем Дмитриевым из JUG.ru собрали события, которые уже повлияли на мир разработки.
В пилотном выпуске нового подкаста:
— Хакеры стерли десятки тысяч ПК через Microsoft Intune
— Дефицит оперативной памяти до 2030 года
— Оптимизация glibc под x86_64
О других событиях вы можете узнать, послушав подкаст.
Особое внимание предлагаем уделить рефлексии. В выпуске мы подсветили, почему те или иные истории важны для ИТ-сообщества. А теперь призываем вас в комменты под видео: что уже вошло в вашу жизнь из этих кейсов? И как думаете, что из этого не производит резонанса?
Смотрите подкаст и присоединяйтесь к дискуссии: https://tprg.ru/S7jD
@your_tech (теперь ещё в VK и Max)
👍2
Тренды разработки ПО в 2026 году
Разработчику сегодня приходится разбираться в ИИ, знать несколько ЯП, ориентироваться в 3-4 стеках.
На первый взгляд кажется, что все эти тренды появились буквально недавно. Но на самом деле, индустрия подталкивает к этому развитию уже не первый год.
Сейчас активно меняются архитектурные подходы, место безопасности в процессе разработки усиливается. Какие еще направления уже сейчас влияют на нашу работу и будут актуальны в ближайшем будущем — читайте в этом материале.
@your_tech (теперь ещё в VK и Max)
Разработчику сегодня приходится разбираться в ИИ, знать несколько ЯП, ориентироваться в 3-4 стеках.
На первый взгляд кажется, что все эти тренды появились буквально недавно. Но на самом деле, индустрия подталкивает к этому развитию уже не первый год.
Сейчас активно меняются архитектурные подходы, место безопасности в процессе разработки усиливается. Какие еще направления уже сейчас влияют на нашу работу и будут актуальны в ближайшем будущем — читайте в этом материале.
@your_tech (теперь ещё в VK и Max)
👍2
ХоТите ИИ-чат на iPhone, но без облака? Google выпустил официальное приложение
AI Edge Gallery вышел в App Store и запускает Gemma 4 прямо на устройстве. Ответы на вопросы, распознавание фото, расшифровка голоса — всё локально, данные никуда не уходят. Модель работает без интернета.
Gemma — открытые модели Google под Apache 2.0, построенные на тех же исследованиях, что и Gemini. Четвёртая версия вышла в четырёх размерах, но на iPhone реально работают только E2B и E4B. Остальные требуют серверных GPU за $30k — прогресс налицо.
Вместе с iOS-версией Google добавил Thinking Mode — модель показывает промежуточные шаги рассуждений, как будто объясняет решение задачи. И Agent Skills — модель сама решает, какой инструмент вызвать: Wikipedia, карты, summary. Локальный ИИ с tool use на телефоне — звучит как фантастика пятилетней давности.
@your_tech (теперь ещё в VK и Max)
AI Edge Gallery вышел в App Store и запускает Gemma 4 прямо на устройстве. Ответы на вопросы, распознавание фото, расшифровка голоса — всё локально, данные никуда не уходят. Модель работает без интернета.
Gemma — открытые модели Google под Apache 2.0, построенные на тех же исследованиях, что и Gemini. Четвёртая версия вышла в четырёх размерах, но на iPhone реально работают только E2B и E4B. Остальные требуют серверных GPU за $30k — прогресс налицо.
Вместе с iOS-версией Google добавил Thinking Mode — модель показывает промежуточные шаги рассуждений, как будто объясняет решение задачи. И Agent Skills — модель сама решает, какой инструмент вызвать: Wikipedia, карты, summary. Локальный ИИ с tool use на телефоне — звучит как фантастика пятилетней давности.
@your_tech (теперь ещё в VK и Max)
👍4👎1
Как решить задачу охраны промышленных объектов
Проинспектировать НПЗ с десятками корпусов или организовать охрану трубопровода на 400 км — задача не из простых.
Камеры не заглянут за угол. Дрон через 30–40 минут работы придется зарядать. Охранник — дорого, медленно, небезопасно.
Остаётся робособака. Они уже вышли за пределы мемных видео от Boston Dynamics, и сейчас активно используются в кейсах, вроде охраны.
Как они устроены технически — можете узнать в материале на нашем сайте. Внутри:
— как устроено ядро и почему к нему нет прямого доступа
— почему к лидару обязательно добавляют сонар и радар
— как работает рой в mesh-сети без GPS
— где робот ломается (метель, стройка, полиэтиленовая плёнка)
Спойлер: экосистема пока сырая, стандартов нет, собрать самому нельзя. Но альтернативы для сложного рельефа и помещений — нет.
@your_tech (теперь ещё в VK и Max)
Проинспектировать НПЗ с десятками корпусов или организовать охрану трубопровода на 400 км — задача не из простых.
Камеры не заглянут за угол. Дрон через 30–40 минут работы придется зарядать. Охранник — дорого, медленно, небезопасно.
Остаётся робособака. Они уже вышли за пределы мемных видео от Boston Dynamics, и сейчас активно используются в кейсах, вроде охраны.
Как они устроены технически — можете узнать в материале на нашем сайте. Внутри:
— как устроено ядро и почему к нему нет прямого доступа
— почему к лидару обязательно добавляют сонар и радар
— как работает рой в mesh-сети без GPS
— где робот ломается (метель, стройка, полиэтиленовая плёнка)
Спойлер: экосистема пока сырая, стандартов нет, собрать самому нельзя. Но альтернативы для сложного рельефа и помещений — нет.
@your_tech (теперь ещё в VK и Max)
❤1
Появился квиз, который помогает выбрать направление в IT
Семь вопросов без правильных и неправильных ответов — на выходе одно из четырёх инженерных направлений с описанием реальных задач и вилкой зарплат. Подойдёт тем, кто только думает о карьере в технологиях и не знает, с чего начать.
Результаты ведут на стажировки YADRO — компании, которая по итогам 2025 года заняла первое место среди самых быстрорастущих технологических работодателей по версии HH.ru.
@your_tech (теперь ещё в VK и Max)
Семь вопросов без правильных и неправильных ответов — на выходе одно из четырёх инженерных направлений с описанием реальных задач и вилкой зарплат. Подойдёт тем, кто только думает о карьере в технологиях и не знает, с чего начать.
Результаты ведут на стажировки YADRO — компании, которая по итогам 2025 года заняла первое место среди самых быстрорастущих технологических работодателей по версии HH.ru.
@your_tech (теперь ещё в VK и Max)
👍1
Microsoft Defender превратили в инструмент атаки — два из трёх без патча
Анонимный исследователь под ником Nightmare-Eclipse слил в сеть три эксплойта для Windows: BlueHammer, RedSun и UnDefend. Все три бьют по Microsoft Defender — штатному антивирусу, который по умолчанию стоит на миллионах машин. Теперь именно он используется для повышения привилегий до SYSTEM. Защитник, ничего не скажешь.
BlueHammer закрыли апрельским Patch Tuesday 14-го. А вот RedSun и UnDefend уже применяются в живых атаках — с признаками ручного управления: оператор за клавиатурой, не автоматический скрипт. Патчей для них пока нет.
Если у вас Windows 10, 11 или Server 2019+ — установите апрельские обновления и включите Attack Surface Reduction прямо сейчас.
@your_tech (теперь ещё в VK и Max)
Анонимный исследователь под ником Nightmare-Eclipse слил в сеть три эксплойта для Windows: BlueHammer, RedSun и UnDefend. Все три бьют по Microsoft Defender — штатному антивирусу, который по умолчанию стоит на миллионах машин. Теперь именно он используется для повышения привилегий до SYSTEM. Защитник, ничего не скажешь.
BlueHammer закрыли апрельским Patch Tuesday 14-го. А вот RedSun и UnDefend уже применяются в живых атаках — с признаками ручного управления: оператор за клавиатурой, не автоматический скрипт. Патчей для них пока нет.
Если у вас Windows 10, 11 или Server 2019+ — установите апрельские обновления и включите Attack Surface Reduction прямо сейчас.
@your_tech (теперь ещё в VK и Max)
😁3👍2
600 признаков подделки: новая версия «Шерлок 3о» против дипфейков документов
Атаки стали дешёвыми, быстрыми и полностью автоматическими. Дипфейк паспорта сегодня стоит ровно столько, сколько подписка на генеративную модель.
Бороба с ними становится все изощреннее: семантические методы против современных генеративных моделей часто бессильны, приходится искать другие решения. Новый «Шерлок 3о» ищет низкоуровневые паттерны и статистические аномалии в микрофрагментах изображения.
Что умеет:
— находить коллажи и вставку отдельных символов
— анализировать голограммы, NFC-чип, метаданные
— сверять лица без биометрии
— сигнализировать при перекрытии данных на документе
Благодаря им за год использования удалось предотвратить больше 10 000 попыток взять заём по чужим паспортам. Делимся инфо.
@your_tech (теперь ещё в VK и Max)
Атаки стали дешёвыми, быстрыми и полностью автоматическими. Дипфейк паспорта сегодня стоит ровно столько, сколько подписка на генеративную модель.
Бороба с ними становится все изощреннее: семантические методы против современных генеративных моделей часто бессильны, приходится искать другие решения. Новый «Шерлок 3о» ищет низкоуровневые паттерны и статистические аномалии в микрофрагментах изображения.
Что умеет:
— находить коллажи и вставку отдельных символов
— анализировать голограммы, NFC-чип, метаданные
— сверять лица без биометрии
— сигнализировать при перекрытии данных на документе
Благодаря им за год использования удалось предотвратить больше 10 000 попыток взять заём по чужим паспортам. Делимся инфо.
@your_tech (теперь ещё в VK и Max)
🔥4❤1
Вышел залипательный космический 3D-квест о платформе Яндекса для разработчиков — SourceCraft
Задача: летать по планетам и отвечать на вопросы о космосе, а в конце можно поучаствовать в розыгрыше сертификата Яндекс Маркета на подборку с телескопами, проекторами и другими тематическими штуками.
Пройти квест тут: https://tprg.ru/Lksi
@your_tech (теперь ещё в VK и Max)
Задача: летать по планетам и отвечать на вопросы о космосе, а в конце можно поучаствовать в розыгрыше сертификата Яндекс Маркета на подборку с телескопами, проекторами и другими тематическими штуками.
Пройти квест тут: https://tprg.ru/Lksi
@your_tech (теперь ещё в VK и Max)
👎2
Vercel слил env vars клиентов через ИИ-инструмент сотрудника
Если вы деплоите что-то на Vercel — проверьте переменные окружения прямо сейчас. 19 апреля платформа признала, что атакующий добрался до клиентских API-ключей, токенов и DB-credentials через скомпрометированный Context.ai — ИИ-инструмент, которым пользовался один из сотрудников.
Точка входа — OAuth-токен. Сотрудник установил Context.ai с доступом «Allow all» на Google Workspace: почта, диск, календарь — всё. Дальше — уже дело техники.
Утекли только незащищённые переменные: у Vercel есть чекбокс «Sensitive», при котором значение нельзя прочитать даже через API. Всё, что без него, лежало в открытом виде.
Vercel уведомил небольшую часть клиентов напрямую — но ротировать не-sensitive env vars стоит всем. И хорошо бы взять за правило не жать «Allow all» на OAuth-запросы от ИИ-инструментов. Удобная функция, ничего не скажешь.
@your_tech (теперь ещё в VK и Max)
Если вы деплоите что-то на Vercel — проверьте переменные окружения прямо сейчас. 19 апреля платформа признала, что атакующий добрался до клиентских API-ключей, токенов и DB-credentials через скомпрометированный Context.ai — ИИ-инструмент, которым пользовался один из сотрудников.
Точка входа — OAuth-токен. Сотрудник установил Context.ai с доступом «Allow all» на Google Workspace: почта, диск, календарь — всё. Дальше — уже дело техники.
Утекли только незащищённые переменные: у Vercel есть чекбокс «Sensitive», при котором значение нельзя прочитать даже через API. Всё, что без него, лежало в открытом виде.
Vercel уведомил небольшую часть клиентов напрямую — но ротировать не-sensitive env vars стоит всем. И хорошо бы взять за правило не жать «Allow all» на OAuth-запросы от ИИ-инструментов. Удобная функция, ничего не скажешь.
@your_tech (теперь ещё в VK и Max)
❤1
Moonshot выпустила Kimi K2.6 — открытая триллионная модель, которая кодит 13 часов без остановки
Если вы ждали агента, который не сорвётся через полчаса — Moonshot говорит, что дождались. Kimi K2.6 отработала в демо 12–13 часов: 4000+ вызовов инструментов в Zig-проекте и 1000+ при оптимизации биржевого движка. Прогоны собственные, не независимые — но с воспроизводимыми метриками пропускной способности.
Модель — MoE (на токен активируется лишь 32B из триллиона параметров), контекст 256K, мультимодальность через vision-энкодер MoonViT на 400M. На SWE-Bench Pro — 58,6%: выше GPT-5.4 (57,7%), Claude Opus 4.6 (53,4%) и Gemini 3.1 Pro (54,2%). Лицензия Modified MIT.
API Anthropic-совместим — переключается в Claude Code сменой base URL. Осталось дождаться независимого прогона — не того, что Moonshot сняла сама о себе.
Подробнее на Tproger
@your_tech (теперь ещё в VK и Max)
Если вы ждали агента, который не сорвётся через полчаса — Moonshot говорит, что дождались. Kimi K2.6 отработала в демо 12–13 часов: 4000+ вызовов инструментов в Zig-проекте и 1000+ при оптимизации биржевого движка. Прогоны собственные, не независимые — но с воспроизводимыми метриками пропускной способности.
Модель — MoE (на токен активируется лишь 32B из триллиона параметров), контекст 256K, мультимодальность через vision-энкодер MoonViT на 400M. На SWE-Bench Pro — 58,6%: выше GPT-5.4 (57,7%), Claude Opus 4.6 (53,4%) и Gemini 3.1 Pro (54,2%). Лицензия Modified MIT.
API Anthropic-совместим — переключается в Claude Code сменой base URL. Осталось дождаться независимого прогона — не того, что Moonshot сняла сама о себе.
Подробнее на Tproger
@your_tech (теперь ещё в VK и Max)
❤4👍2
Microsoft выпустила внеплановый патч .NET 10: поддельный cookie открывает путь к SYSTEM
В ASP.NET Core Data Protection нашли баг, который работал строго по плану. Managed-энкриптор честно вычислял HMAC-тег — но по неправильным байтам payload, а затем отбрасывал уже посчитанный хеш. Проверка целостности фактически ничего не проверяла.
Что это значит: атакующий без аутентификации мог подделать auth-cookie, antiforgery-токены, TempData, OIDC state и ссылки сброса пароля. На Windows-деплоях через скомпрометированную сессию часто открывается путь к правам SYSTEM. CVSS 9,1.
Кто под ударом: версии 10.0.0–10.0.6 пакета
Фикс — 10.0.7, вышел 21 апреля. Но одного обновления мало: токены, выпущенные за время работы уязвимой версии, остаются валидными. Без ротации DataProtection key ring вы закрываете будущее, но не прошлое.
Важно: флаг
В ASP.NET Core Data Protection нашли баг, который работал строго по плану. Managed-энкриптор честно вычислял HMAC-тег — но по неправильным байтам payload, а затем отбрасывал уже посчитанный хеш. Проверка целостности фактически ничего не проверяла.
Что это значит: атакующий без аутентификации мог подделать auth-cookie, antiforgery-токены, TempData, OIDC state и ссылки сброса пароля. На Windows-деплоях через скомпрометированную сессию часто открывается путь к правам SYSTEM. CVSS 9,1.
Кто под ударом: версии 10.0.0–10.0.6 пакета
Microsoft.AspNetCore.DataProtection. Особенно внимательно — Linux/macOS: там NuGet-копия подтягивается чаще, чем на Windows. На Windows уязвимости нет, только если приложение использует shared framework и не тянет NuGet-копию напрямую или транзитивно.Фикс — 10.0.7, вышел 21 апреля. Но одного обновления мало: токены, выпущенные за время работы уязвимой версии, остаются валидными. Без ротации DataProtection key ring вы закрываете будущее, но не прошлое.
Важно: флаг
--include-transitive при проверке зависимостей обязателен — пакет часто тянется транзитивно через Identity или Authentication.Cookies.🔥3❤1
84% разработчиков используют AI в работе, а до агентной разработки дошли — 4%
По данным опроса Stack Overflow (49 000 респондентов), половина рынка так и остаётся на уровне простых AI-инструментов. Исследование Naition среди русскоязычных разработчиков показывает ту же картину.
За последние полгода сдвиг стал очевидным: проблема больше не в моделях — агенты фейлятся не из-за ограничений, а из-за того, как с ними работают.
На этом фоне Naition запускает 12-недельный буткемп по AI-driven разработке:
— настройка ИИ-окружения под свой стек: RAG, MCP, SPEC, агенты, контекст;
— ускорение разработки на всех этапах: от планирования до внедрения;
— управление командой ИИ-агентов (backend, frontend, аналитика, DevOps).
Для первого потока предусмотрены 3 месяца доступа в закрытый клуб после окончания курса, чтобы не остаться один на один с внедрением и продолжить разбираться в агентной разработке уже на практике, вместе с сообществом единомышленников и авторами курса.
Спикеры — практики из Google, Yandex Cloud, Сбер и других крупных компаний.
Старт потока: 5 мая, онбординг с 28 апреля
По промокоду TPROGER вы получите скидку 20%
Записаться на буткемп: https://naition.ai/
А чтобы вы смогли самостоятельно разобраться в теме Naition собрали бесплатный roadmap с 40+ концептами и ссылками на первоисточники.
Это #партнёрский пост
По данным опроса Stack Overflow (49 000 респондентов), половина рынка так и остаётся на уровне простых AI-инструментов. Исследование Naition среди русскоязычных разработчиков показывает ту же картину.
За последние полгода сдвиг стал очевидным: проблема больше не в моделях — агенты фейлятся не из-за ограничений, а из-за того, как с ними работают.
На этом фоне Naition запускает 12-недельный буткемп по AI-driven разработке:
— настройка ИИ-окружения под свой стек: RAG, MCP, SPEC, агенты, контекст;
— ускорение разработки на всех этапах: от планирования до внедрения;
— управление командой ИИ-агентов (backend, frontend, аналитика, DevOps).
Для первого потока предусмотрены 3 месяца доступа в закрытый клуб после окончания курса, чтобы не остаться один на один с внедрением и продолжить разбираться в агентной разработке уже на практике, вместе с сообществом единомышленников и авторами курса.
Спикеры — практики из Google, Yandex Cloud, Сбер и других крупных компаний.
Старт потока: 5 мая, онбординг с 28 апреля
По промокоду TPROGER вы получите скидку 20%
Записаться на буткемп: https://naition.ai/
А чтобы вы смогли самостоятельно разобраться в теме Naition собрали бесплатный roadmap с 40+ концептами и ссылками на первоисточники.
Это #партнёрский пост
💊6🤨2
Bitwarden CLI в npm подменили на 90 минут — успели утащить SSH-ключи и токены
Кто-то получил доступ к npm-аккаунту Bitwarden и опубликовал фейковую версию @bitwarden/cli@2026.4.0. Она пролежала в реестре полтора часа — с 17:57 до 19:30 по Нью-Йорку — и всё это время делала одно: через preinstall-хук скачивала Bun, запускала обфусцированный загрузчик и тихо сливала на внешние серверы GitHub и npm-токены, SSH-ключи, .env-файлы, историю шелла, облачные креды и конфиги ИИ-ассистентов — Claude, Cursor, Codex CLI, Kiro и Aider.
Vault-пароли не тронули: взломали не сам менеджер, а npm-пакет его CLI. Supply chain в чистом виде.
Если ставили этот пакет с 00:57 до 02:30 МСК 23 апреля — ротируйте токены и ключи прямо сейчас. Bitwarden подтвердил инцидент: вредоносный релиз снят, доступ отозван, CVE заводится отдельно.
@your_tech (теперь ещё в VK и Max)
Кто-то получил доступ к npm-аккаунту Bitwarden и опубликовал фейковую версию @bitwarden/cli@2026.4.0. Она пролежала в реестре полтора часа — с 17:57 до 19:30 по Нью-Йорку — и всё это время делала одно: через preinstall-хук скачивала Bun, запускала обфусцированный загрузчик и тихо сливала на внешние серверы GitHub и npm-токены, SSH-ключи, .env-файлы, историю шелла, облачные креды и конфиги ИИ-ассистентов — Claude, Cursor, Codex CLI, Kiro и Aider.
Vault-пароли не тронули: взломали не сам менеджер, а npm-пакет его CLI. Supply chain в чистом виде.
Если ставили этот пакет с 00:57 до 02:30 МСК 23 апреля — ротируйте токены и ключи прямо сейчас. Bitwarden подтвердил инцидент: вредоносный релиз снят, доступ отозван, CVE заводится отдельно.
@your_tech (теперь ещё в VK и Max)
Google вложит $40 млрд в Anthropic. Amazon уже вложил $25 млрд
24 апреля Google и Anthropic подтвердили сделку: $10 млрд сразу, ещё до $30 млрд по мере выполнения «перформанс-таргетов» (подробностей, разумеется, не раскрывают). Оценка компании — $350 млрд, та же, что была в феврале у Amazon.
Раньше Google владел ~14% Anthropic, вложив суммарно $3 млрд. Теперь добавляет в 10+ раз больше. В качестве бонуса — 5 ГВт TPU-мощностей на пять лет через Google Cloud. Правда, появятся они не раньше 2027-го.
Зачем деньги? Убрать лимиты в Claude Pro и недельные капы в Claude Code. Выручка выросла в 3 раза за 4 месяца — с $9 млрд до $30 млрд. Деньги нужны на вычисления.
читать далее
@your_tech (теперь ещё в VK и Max)
24 апреля Google и Anthropic подтвердили сделку: $10 млрд сразу, ещё до $30 млрд по мере выполнения «перформанс-таргетов» (подробностей, разумеется, не раскрывают). Оценка компании — $350 млрд, та же, что была в феврале у Amazon.
Раньше Google владел ~14% Anthropic, вложив суммарно $3 млрд. Теперь добавляет в 10+ раз больше. В качестве бонуса — 5 ГВт TPU-мощностей на пять лет через Google Cloud. Правда, появятся они не раньше 2027-го.
Зачем деньги? Убрать лимиты в Claude Pro и недельные капы в Claude Code. Выручка выросла в 3 раза за 4 месяца — с $9 млрд до $30 млрд. Деньги нужны на вычисления.
читать далее
@your_tech (теперь ещё в VK и Max)
👍1
Microsoft переписала TypeScript на Go
21 апреля вышла TypeScript 7.0 Beta. Весь компилятор переписан с TypeScript на Go. Работает примерно в 10 раз быстрее старого
Новый бинарник называется
Скорость берётся из нативного кода Go плюс параллелизм: парсинг, чекер и эмиттер работают в несколько потоков одновременно. Флаг
Поставить:
@your_tech (теперь ещё в VK и Max)
21 апреля вышла TypeScript 7.0 Beta. Весь компилятор переписан с TypeScript на Go. Работает примерно в 10 раз быстрее старого
tsc.Новый бинарник называется
tsgo, живёт рядом со старым компилятором и не конфликтует с ним. Логика проверки типов структурно идентична TypeScript 6.0 — то есть переход должен быть прозрачным.Скорость берётся из нативного кода Go плюс параллелизм: парсинг, чекер и эмиттер работают в несколько потоков одновременно. Флаг
--checkers задаёт число type-check воркеров (по умолчанию 4), --builders — параллельная сборка монорепозитория. Bloomberg, Figma, Google, Slack и ещё десяток компаний уже попробовали в бою.Поставить:
@typescript/native-preview@beta. Запустить: tsgo вместо tsc. Несколько старых флагов (target: es5, moduleResolution: node) пока сломаны — так сказать, приятный бонус бета-версии.@your_tech (теперь ещё в VK и Max)
💊8👏4🗿2❤1
pgBackRest закрывается спустя 13 лет разработки
Главный open-source бэкап PostgreSQL просто исчез. Дэвид Стил добавил в README «NOTICE OF OBSOLESCENCE» и заархивировал репозиторий. Всё. 13 лет работы: параллельные бэкапы, WAL-архивация, S3/Azure/GCS испарились за один коммит.
Причина прозаичная: Crunchy Data, корпоративный спонсор, была продана. Новую позицию Стил не нашёл, спонсорства не собрал. Написал: «Лучше жёсткий стоп, чем тянуть проект кое-как». Не поспоришь.
Приятный бонус: v2.58.0 продолжает работать, его не отзывают. Security-патчей, правда, больше нет. А PG19 осенью pgBackRest не поддержит — WAL-форматы сломаются.
Смотрите на wal-g или Barman. Форки приветствуются.
@your_tech (теперь ещё в VK и Max)
Главный open-source бэкап PostgreSQL просто исчез. Дэвид Стил добавил в README «NOTICE OF OBSOLESCENCE» и заархивировал репозиторий. Всё. 13 лет работы: параллельные бэкапы, WAL-архивация, S3/Azure/GCS испарились за один коммит.
Причина прозаичная: Crunchy Data, корпоративный спонсор, была продана. Новую позицию Стил не нашёл, спонсорства не собрал. Написал: «Лучше жёсткий стоп, чем тянуть проект кое-как». Не поспоришь.
Приятный бонус: v2.58.0 продолжает работать, его не отзывают. Security-патчей, правда, больше нет. А PG19 осенью pgBackRest не поддержит — WAL-форматы сломаются.
Смотрите на wal-g или Barman. Форки приветствуются.
@your_tech (теперь ещё в VK и Max)
😨1
OpenAI наконец разрешили дружить с другими
С 27 апреля Microsoft и OpenAI официально не эксклюзивные партнёры. Шесть лет особых отношений — и вот, свободная касса. Те же модели по тому же API скоро появятся через AWS Bedrock. CEO Amazon уже подтвердил.
Лицензия Microsoft никуда не делась — просто стала неэксклюзивной и теперь действует до 2032 года. Раньше было «до достижения AGI». А так как AGI всё никак не получается, конкретная дата куда практичнее.
Azure всё ещё «первый» — но если Microsoft не успеет поддержать новые возможности, продукт выйдет сразу на Bedrock или Google Cloud. Приятный стимул не тормозить.
@your_tech (теперь ещё в VK и Max)
С 27 апреля Microsoft и OpenAI официально не эксклюзивные партнёры. Шесть лет особых отношений — и вот, свободная касса. Те же модели по тому же API скоро появятся через AWS Bedrock. CEO Amazon уже подтвердил.
Лицензия Microsoft никуда не делась — просто стала неэксклюзивной и теперь действует до 2032 года. Раньше было «до достижения AGI». А так как AGI всё никак не получается, конкретная дата куда практичнее.
Azure всё ещё «первый» — но если Microsoft не успеет поддержать новые возможности, продукт выйдет сразу на Bedrock или Google Cloud. Приятный стимул не тормозить.
@your_tech (теперь ещё в VK и Max)
👍2