Forwarded from Веб-страница
В npm снова нашли малварь под видом PostCSS-плагинов
Исследователи из JFrog обнаружили три вредоносных пакета, которые маскируются под знакомые инструменты веб-разработки. Самый заметный — postcss-minify-selector-parser с 615 загрузками; ещё postcss-minify-selector (256) и aes-decode-runner-pro (145). Все трое опираются на легитимный postcss-selector-parser, чтобы выглядеть правдоподобно, но при установке разворачивают Windows-RAT (remote access trojan) через PowerShell и Python.
Цепочка простая: JS-дроппер пишет settings.ps1, который качает ZIP с nvidiadriver[.]net и запускает update.vbs. Внутри — Python-рантайм, загрузчик loader.py и нативные модули, которые крадут пароли Chrome, собирают данные хоста и отправляют их на командный сервер. Я бы лично проверил package-lock.json на эти имена, особенно если CI ставит зависимости без ручного аудита.
Исследователи из JFrog обнаружили три вредоносных пакета, которые маскируются под знакомые инструменты веб-разработки. Самый заметный — postcss-minify-selector-parser с 615 загрузками; ещё postcss-minify-selector (256) и aes-decode-runner-pro (145). Все трое опираются на легитимный postcss-selector-parser, чтобы выглядеть правдоподобно, но при установке разворачивают Windows-RAT (remote access trojan) через PowerShell и Python.
Цепочка простая: JS-дроппер пишет settings.ps1, который качает ZIP с nvidiadriver[.]net и запускает update.vbs. Внутри — Python-рантайм, загрузчик loader.py и нативные модули, которые крадут пароли Chrome, собирают данные хоста и отправляют их на командный сервер. Я бы лично проверил package-lock.json на эти имена, особенно если CI ставит зависимости без ручного аудита.
❤4🔥2
Forwarded from Типичный программист
29-летний баг в Squid сливает HTTP-запросы из памяти прокси
Багу почти столько же, сколько самому Squid. Исследователь из Calif.io обнаружил уязвимость CVE-2026-47729 в FTP-парсере: если Squid работает с cleartext HTTP и может достучаться до вредоносного FTP-сервера, атакующий получает куски внутренней памяти, где часто лежат пароли и токены.
Цепочка забавна по-своему: проблема появилась коммитом 1997 года для совместимости с NetWare. FTP-сервер не отдаёт имя файла, парсер выходит за границу буфера — и вот уже ваши HTTP-запросы утекают наружу. Исправлено в Squid 7.6, который вышел 8 июня.
Если у вас в инфраструктуре крутится Squid — стоит обновиться и выключить FTP, если только он не нужен по делу. Подробности в статье.
Багу почти столько же, сколько самому Squid. Исследователь из Calif.io обнаружил уязвимость CVE-2026-47729 в FTP-парсере: если Squid работает с cleartext HTTP и может достучаться до вредоносного FTP-сервера, атакующий получает куски внутренней памяти, где часто лежат пароли и токены.
Цепочка забавна по-своему: проблема появилась коммитом 1997 года для совместимости с NetWare. FTP-сервер не отдаёт имя файла, парсер выходит за границу буфера — и вот уже ваши HTTP-запросы утекают наружу. Исправлено в Squid 7.6, который вышел 8 июня.
Если у вас в инфраструктуре крутится Squid — стоит обновиться и выключить FTP, если только он не нужен по делу. Подробности в статье.
theregister
Mythos discovers 'Squidbleed,' a memory leak that's gone undetected since Clinton era
Plus more blasts from the past: NetWare, FTP, and HTTP
👍2
GitLab: ИИ пишет код быстрее, но продуктивность застряла в редакторе
78% команд в опросе GitLab коммитят с ИИ быстрее, а продуктивность за пределами генерации чувствуют только 21%. Остальные, похоже, ещё не дошли до ревью.
GitLab опросила более 1500 разработчиков и лидеров: 60% довольны ROI, 80% внедрили ИИ быстрее, чем выработали политики, и 82% боятся нового технического долга. Корпоративный перевод: доступ к репозиториям агентам уже выдали, а инструкцию по безопасности обещают позже.
Отсюда концепция agentic infrastructure — четыре слоя, чтобы инфраструктура не ломалась под миллионами сессий агентов. Не потому что их мало, а потому что уже слишком много, чтобы люди следили глазами. Подробности в материале.
78% команд в опросе GitLab коммитят с ИИ быстрее, а продуктивность за пределами генерации чувствуют только 21%. Остальные, похоже, ещё не дошли до ревью.
GitLab опросила более 1500 разработчиков и лидеров: 60% довольны ROI, 80% внедрили ИИ быстрее, чем выработали политики, и 82% боятся нового технического долга. Корпоративный перевод: доступ к репозиториям агентам уже выдали, а инструкцию по безопасности обещают позже.
Отсюда концепция agentic infrastructure — четыре слоя, чтобы инфраструктура не ломалась под миллионами сессий агентов. Не потому что их мало, а потому что уже слишком много, чтобы люди следили глазами. Подробности в материале.
⚡1🔥1
Forwarded from Веб-страница
Deno соберёт веб-приложение в десктоп
Если вам надоели тяжеловесные Electron-обёртки, Deno предлагает альтернативу. В мажорном релизе Deno добавит команды для сборки десктопа из TypeScript, Next.js, Astro, Fresh, TanStack Start или Vite SSR. Я бы сохранил: переносим веб-приложение в окно почти без лишних движений.
Главный поворот — нативный WebView вместо встроенного Chromium (CEF). Приложение на WebView в macOS весит около 68,5 МБ, а на CEF выходит 308,9 МБ и стартует медленнее. Меню, диалоги и уведомления уже есть, а вот диалог выбора файла и API буфера обмена пока нет, мобильную версию обещают позже.
В прод я бы это пока не нёс: нестабильно, и WebView на старых машинах может вести себя непредсказуемо. Но за развитием стоит следить.
Если вам надоели тяжеловесные Electron-обёртки, Deno предлагает альтернативу. В мажорном релизе Deno добавит команды для сборки десктопа из TypeScript, Next.js, Astro, Fresh, TanStack Start или Vite SSR. Я бы сохранил: переносим веб-приложение в окно почти без лишних движений.
Главный поворот — нативный WebView вместо встроенного Chromium (CEF). Приложение на WebView в macOS весит около 68,5 МБ, а на CEF выходит 308,9 МБ и стартует медленнее. Меню, диалоги и уведомления уже есть, а вот диалог выбора файла и API буфера обмена пока нет, мобильную версию обещают позже.
В прод я бы это пока не нёс: нестабильно, и WebView на старых машинах может вести себя непредсказуемо. Но за развитием стоит следить.
👍5❤1
Linux Foundation собрала IT-гигантов против ИИ-атак на open source
25 июня Linux Foundation запустила Akritis, программу для защиты open source от уязвимостей. В коалицию вошли AWS, Anthropic, Google, Microsoft, OpenAI, NVIDIA, GitHub и Red Hat. «Единый координированный процесс раскрытия уязвимостей» по-русски значит, что мейнтейнеры получат одну очередь вместо сотни конфликтующих отчётов.
Akritis не форкает проекты и не навязывает мейнтейнерам политику. Она валидирует уязвимости, готовит патчи и возвращает их в исходный проект, а если автор пропал, берёт на себя его роль.
ИИ находит эксплуатируемые баги за минуты, а время от обнаружения до взлома уже ушло в «минус семь дней». Раньше нужна была экспертиза, теперь достаточно доступа к языковой модели. Подробности в материале.
25 июня Linux Foundation запустила Akritis, программу для защиты open source от уязвимостей. В коалицию вошли AWS, Anthropic, Google, Microsoft, OpenAI, NVIDIA, GitHub и Red Hat. «Единый координированный процесс раскрытия уязвимостей» по-русски значит, что мейнтейнеры получат одну очередь вместо сотни конфликтующих отчётов.
Akritis не форкает проекты и не навязывает мейнтейнерам политику. Она валидирует уязвимости, готовит патчи и возвращает их в исходный проект, а если автор пропал, берёт на себя его роль.
ИИ находит эксплуатируемые баги за минуты, а время от обнаружения до взлома уже ушло в «минус семь дней». Раньше нужна была экспертиза, теперь достаточно доступа к языковой модели. Подробности в материале.
⚡2🔥1
LineShine возглавил TOP500 без единого западного чипа
Китайский суперкомпьютер выдал 2,198 эксафлопса в Linpack на постоянной двойной точности и только на CPU. 20 480 узлов с LX2, 304 ядра Armv9 на процессор, связь через сеть LingQi. Никаких Nvidia, Intel или AMD.
LineShine — первая машина в истории TOP500, которая преодолела два эксафлопса устойчивой двойной точности только на CPU. До этого такую планку без GPU-ускорителей никому не удавалось взять.
Полностью «вакуумной» разработкой систему не назовёшь: ядра Armv9 лицензированы у британской Arm. Но для Пекина это мелочь: кристаллы, межсоединения и софт всё равно китайские, и этого хватает, чтобы подать TOP500 как аргумент за суверенитет.
Китайский суперкомпьютер выдал 2,198 эксафлопса в Linpack на постоянной двойной точности и только на CPU. 20 480 узлов с LX2, 304 ядра Armv9 на процессор, связь через сеть LingQi. Никаких Nvidia, Intel или AMD.
LineShine — первая машина в истории TOP500, которая преодолела два эксафлопса устойчивой двойной точности только на CPU. До этого такую планку без GPU-ускорителей никому не удавалось взять.
Полностью «вакуумной» разработкой систему не назовёшь: ядра Armv9 лицензированы у британской Arm. Но для Пекина это мелочь: кристаллы, межсоединения и софт всё равно китайские, и этого хватает, чтобы подать TOP500 как аргумент за суверенитет.
Tproger
Китайский суперкомпьютер LineShine возглавил TOP500
Новый лидер TOP500 — китайский суперкомпьютер LineShine — достиг 2,198 эксафлопс на отечественных CPU без Nvidia, Intel и AMD. Узнайте, чем он примечателен.
🎉7🔥2
Forwarded from Типичный программист
Кто-то выложил эксплойт для bootrom Apple A12/A13, и он работает через USB
Представьте: вы подключаете устройство к Raspberry Pi Pico, и до загрузки ОС чип уже выполняет ваш код. Репозиторий usbliter8 делает именно это: атакует SecureROM в процессорах Apple A12, A13 и S4/S5 прямо через USB.
Автор собрал эксплойт на Raspberry Pi Pico с PIO-USB, написал shellcode под несколько чипов и выложил всё на GitHub. Меня цепляет, что это не джейлбрейк в привычном смысле, а работа на уровне bootrom (постоянной прошивки, которая запускается раньше ОС). Устройство цепляется до старта операционки, поэтому софтовые патчи Apple тут бессильны.
Проект больше про инженерный разбор, чем про практичность: A12X/Z пока не реализован. Но если вам интересно, как устроена защита мобильных чипов изнутри, репозиторий стоит открыть.
Представьте: вы подключаете устройство к Raspberry Pi Pico, и до загрузки ОС чип уже выполняет ваш код. Репозиторий usbliter8 делает именно это: атакует SecureROM в процессорах Apple A12, A13 и S4/S5 прямо через USB.
Автор собрал эксплойт на Raspberry Pi Pico с PIO-USB, написал shellcode под несколько чипов и выложил всё на GitHub. Меня цепляет, что это не джейлбрейк в привычном смысле, а работа на уровне bootrom (постоянной прошивки, которая запускается раньше ОС). Устройство цепляется до старта операционки, поэтому софтовые патчи Apple тут бессильны.
Проект больше про инженерный разбор, чем про практичность: A12X/Z пока не реализован. Но если вам интересно, как устроена защита мобильных чипов изнутри, репозиторий стоит открыть.
🙏5👍2❤🔥1
Notion закрывает почтовый клиент, потому что им почти не пользуются
Notion купила Skiff в 2024-м, выпустила Notion Mail в 2025-м, а теперь сообщает, что закроет сервис 22 сентября. Официальная причина звучит как самоирония: больше половины пользователей разбирают почту, так и не открыв inbox. Почтовый клиент закрывают, потому что в почтовый клиент никто не заходит.
Всё перекладывают на ИИ-агентов. Черновики, авторазметка и правила сортировки переедут в Custom Agent, а сами письма останутся лежать в Gmail. Как пишет Ars Technica, выгрузить черновики и отложенные письма стоит до 21 сентября — автоматом они не перенесутся.
Notion купила Skiff в 2024-м, выпустила Notion Mail в 2025-м, а теперь сообщает, что закроет сервис 22 сентября. Официальная причина звучит как самоирония: больше половины пользователей разбирают почту, так и не открыв inbox. Почтовый клиент закрывают, потому что в почтовый клиент никто не заходит.
Всё перекладывают на ИИ-агентов. Черновики, авторазметка и правила сортировки переедут в Custom Agent, а сами письма останутся лежать в Gmail. Как пишет Ars Technica, выгрузить черновики и отложенные письма стоит до 21 сентября — автоматом они не перенесутся.
🤪4💯1
ИИ-агент провёл полную ransomware-атаку и даже не спрашивал разрешения
Исследователи Sysdig описали атаку JadePuffer: агент самостоятельно пробрался через уязвимость в Langflow, собрал облачные ключи и зашифровал 1342 конфигурации в Nacos. Человек не участвовал ни на одном этапе.
Страшнее масштаба — скорость адаптации. После неудачной попытки агент нашёл решение за 31 секунду. Классический ransomware оставляет шанс расшифровки, а этот уничтожал схемы базы данных.
Если у вас в проде торчат Langflow или Nacos в интернет — уберите их, смените стандартные ключи и не храните секреты на оркестраторах ИИ. Платить выкуп бесполезно.
Исследователи Sysdig описали атаку JadePuffer: агент самостоятельно пробрался через уязвимость в Langflow, собрал облачные ключи и зашифровал 1342 конфигурации в Nacos. Человек не участвовал ни на одном этапе.
Страшнее масштаба — скорость адаптации. После неудачной попытки агент нашёл решение за 31 секунду. Классический ransomware оставляет шанс расшифровки, а этот уничтожал схемы базы данных.
Если у вас в проде торчат Langflow или Nacos в интернет — уберите их, смените стандартные ключи и не храните секреты на оркестраторах ИИ. Платить выкуп бесполезно.
🤯4❤1
Anthropic хочет свой чип и обсуждает его с Samsung, но пока не знает, зачем он нужен
Anthropic ведёт переговоры с Samsung о совместном чипе для ИИ. При этом компания ещё не решила, для какой задачи он нужен, как встроится в сервер и насколько будет мощным. Пишет TechCrunch со ссылкой на The Information.
Такой расклад напоминает ответ OpenAI, которая на прошлой неделе анонсировала собственный процессор Jalapeño для запуска готовых моделей вместе с Broadcom. Только у Anthropic пока нет ни названия, ни характеристик — только желание перестать зависеть от Nvidia.
Сама Samsung между делом уже делает чипы для Nvidia и вместе с ней строит ИИ-завод в Южной Корее. Так что если договорятся, делать конкурента Nvidia будет тот, кто с Nvidia теснее всего.
Anthropic ведёт переговоры с Samsung о совместном чипе для ИИ. При этом компания ещё не решила, для какой задачи он нужен, как встроится в сервер и насколько будет мощным. Пишет TechCrunch со ссылкой на The Information.
Такой расклад напоминает ответ OpenAI, которая на прошлой неделе анонсировала собственный процессор Jalapeño для запуска готовых моделей вместе с Broadcom. Только у Anthropic пока нет ни названия, ни характеристик — только желание перестать зависеть от Nvidia.
Сама Samsung между делом уже делает чипы для Nvidia и вместе с ней строит ИИ-завод в Южной Корее. Так что если договорятся, делать конкурента Nvidia будет тот, кто с Nvidia теснее всего.
💊6🗿1
Microsoft выпустила Azure Linux 4.0: теперь его можно поставить на свой сервер
Azure Linux всё это время жила только в облаке Microsoft, но теперь из неё сделали полноценный серверный дистрибутив. Можно скачать ISO и установить на bare-metal или виртуалку. По словам Microsoft, он будет работать где угодно, как обычный Linux.
Под капотом — Fedora и пакеты RPM, которые Microsoft курирует под свою инфраструктуру. Ядро 6.18, система безопасности SELinux, нет GUI: если не дружите с Bash, это не для вас.
Получается забавная картинка: у Microsoft теперь есть собственный Linux, который вполне может претендовать на место Windows Server. А ещё он скоро заведётся в WSL, так что Azure Linux можно будет запускать прямо из Windows.
Azure Linux всё это время жила только в облаке Microsoft, но теперь из неё сделали полноценный серверный дистрибутив. Можно скачать ISO и установить на bare-metal или виртуалку. По словам Microsoft, он будет работать где угодно, как обычный Linux.
Под капотом — Fedora и пакеты RPM, которые Microsoft курирует под свою инфраструктуру. Ядро 6.18, система безопасности SELinux, нет GUI: если не дружите с Bash, это не для вас.
Получается забавная картинка: у Microsoft теперь есть собственный Linux, который вполне может претендовать на место Windows Server. А ещё он скоро заведётся в WSL, так что Azure Linux можно будет запускать прямо из Windows.
👏6