В npm обнаружены два вредоносных пакета, которые скрытно модифицируют легитимные, локально установленные пакеты, чтобы внедрить в них устойчивый реверс-шелл бэкдор. В результате, даже если жертва удалит сами вредоносные пакеты, бэкдор останется в системе.
Для подписчиковНе так давно для одного из проектов мне понадобилась Большая Красивая Кнопка (БКК). Проект я благополучно реализовал, но с кнопкой можно сделать еще массу всего интересного. Сегодня на ее примере я покажу тебе, как мастерить свои девайсы на Arduino и Raspberry Pi, причем один из них мы подключим к умному дому и будем управлять им через «Алису».
После мощной DDoS-атаки на интернет-провайдера Lovit, произошедшей в конце прошлой недели, в Роскомнадзоре сообщили, что необходимо закрепить требования к устойчивости и живучести сетей связи, чтобы операторы связи и провайдеры были обязаны обеспечивать не только их защиту, но и возможность быстрого восстановления после атак.
Разработчики CrushFTP предупреждают клиентов о критической уязвимости неавторизованного доступа к порту HTTP(S) и призывают немедленно установить исправления на серверы.
В VSCode Marketplace были обнаружены сразу два вредоносных расширения, которые скрывали в себе вымогательское ПО. Одно из них появилось в магазине Microsoft еще в октябре прошлого года и долго оставалось незамеченным.
Специалисты пришли к выводу, что каскадная атака на цепочку поставок в GitHub Actions, связанная со взломом tj-actions/changed-files и reviewdog/action-setup@v1, затронула лишь 218 репозиториев из 23 000, использующих tj-actions/changed-files. При этом основной целью злоумышленников эксперты называют криптобиржу Coinbase.
Разработчики Google Chrome исправили уязвимость нулевого дня (CVE-2025-2783), которая позволяла осуществить побег из песочницы браузера. Проблему выявили специалисты «Лаборатории Касперского», которые пишут, что уязвимость была связана с операцией «Форумный тролль», APT-атакой, использовавшей цепочку эксплоитов нулевого дня.
Компания Cloudflare объявила, что теперь принимает только защищенные HTTPS-соединения к api.cloudflare.com, а все HTTP-порты будут закрыты.
В World of Warcraft Classic есть хардкорный режим, где смерть персонажа является окончательной. Несколько лет компания Blizzard не допускала никаких апелляций и откатов в случае смерти в хардкорном режиме, даже если гибель персонажа была результатом отключения сервера или геймплейного бага. Теперь Blizzard изменит эту политику из-за череды «беспрецедентных DDoS-атак».