Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000 репозиториев через npm с кражей учетных данных на этапе preinstall. Вредоносные (троянизированные) пакеты npm загрузили в реестр между 21 и 23 ноября 2025 года.«Кампания внедряет новый вариант вируса, который…
Лето уже давно позади, зима на носу, а значит — самое время начинать подготовку к следующему лету. Для многих это означает одно: попытку выбраться из состояния «тюленя» хотя бы в состояние «тюленя, который слегка похудел». Чтобы совместить полезное с полезным, заодно соберём небольшое приложение — простой трекер веса и тренировок — и посмотрим, как на практике работает мультиплатформенная разработка на React с Expo. Спойлер: почти то же самое, что и обычная разработка на React — и, похоже, имен…
Привет, с вами снова Костя из Cloud.ru. Мы поговорили про паттерн as для типа безопасного полиморфизма и asChild для чистой композиции. Но сегодня поговорим о подходе, который дает такую гибкость в вариативном дизайне, что дизайнеры будут плакать от счастья — FACC (Function as Child Component).Проблема: 15 вариантов карточки продуктаПредставьте: у вас есть карточка товара, но дизайнеры нарисовали ее в 15 вариантах:вертикальная с рейтингом,горизонтальная со скидкой,компактная для списков,с видео…
Обзор на браузерные API, которые стали Widely available в октябре 2025. Раз в месяц я буду вам напоминать, что вы уже можете использовать в проде. Каждый месяц выходят новые CSS-свойства, HTML-атрибуты, JavaScript-методы и WebAPI, но применять в проде мы их конечно же не будем. 2.5 года назад также каждый месяц выходили новые фичи в браузере, а вот их уже пора начинать применять.Как мы понимаем, что уже можно использовать в проде?У каждой компании, да что уж там компании, у каждой команды в ком…
Компания CrowdStrike подтвердила, что в прошлом месяце ее специалисты выявили и уволили сотрудника, который передал хакерам скриншоты внутренних систем компании.
Исследователи Google Threat Intelligence Group (GTIG) раскрыли детали шпионской кампании китайской группы APT24. Эта активность длится около трех лет, и хакеры используют в атаках ранее недокументированную малварь BadAudio.
Разработчики Grafana Labs предупредили о критической уязвимости CVE-2025-41115 (10 баллов из 10 возможных по шкале CVSS) в Grafana Enterprise. Проблема позволяет выдать нового пользователя за администратора или другую внутреннюю учетную запись.
Для подписчиковСегодня я покажу на примере, как применять технику ESC10 для повышения привилегий в домене Active Directory. Начнем с того, что соберем информацию с сервера NFS и создадим свой сервер NATS для перехвата учеток. В логах NATS найдем учетную запись домена. После эксплуатации разрешений ACL скомпрометируем учетную запись gMSA.
Компания Nvidia подтвердила, что октябрьские обновления безопасности Windows 11 вызывают проблемы с производительностью в играх в системах под управлением Windows 11 24H2 и 25H2. Для устранения проблемы разработчики выпустили бета-версию GeForce Hotfix Display Driver версии 581.94.