В этом месяце: исследователи изучили сторонние клиенты Telegram; группировка TeamPCP скомпрометировала сканер Trivy, ИБ‑компанию Checkmarx и библиотеку LiteLLM; в Android ограничат доступ к Accessibility API, а для установки сторонних приложений придется ждать 24 часа; правоохранители закрыли хакфорум LeakBase и сервис SocksEscort; LLM научили деанонимизировать пользователей, а также другие важные и интересные события марта.
Разработчики Apple добавили в macOS Tahoe 26.4 защитный механизм, который блокирует вставку и выполнение потенциально опасных команд в терминале. Нововведение направлено против атак типа ClickFix — популярной техники социальной инженерии, при которой жертву обманом заставляют скопировать и вставить вредоносную команду в командную строку.
Привет, Хабр. Я написал SOCKS5-прокси, который прячет весь трафик внутри WebRTC TURN-сессий видеоплатформы WB Stream (stream.wb.ru — да, у Wildberries есть свой аналог Телемоста, я тоже прифигел). Для любого наблюдателя трафик выглядит как обычная видеоконференция.В этом посте — полный разбор: как я отреверсил HTTP API платформы, зачем написал свой protobuf-парсер на 40 строк, и как KCP-соединение с VPS пролезает через чужой TURN-сервер.Репозиторий: github.com/jaykaiperson/lionheartДисклеймер. …
В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю). Злоумышленник получил доступ к аккаунту одного из ведущих мейнтейнеров проекта и опубликовал две вредоносные версии пакета: axios@1.14.1 и axios@0.30.4.На первый взгляд это выглядит как обычное обновление завис…
Замыкание это важный механизм JavaScript, понимание которого обязательно фронтендера. Он позволяет изящно реализовать принцип наименьшего раскрытия, благодаря инкапсулированию функций, сохраняя их состояние во внутренней области видимости, для последующего использования.Замыкания в лямбда-вычисленияхЗамыкания лежать в основе функционального программирования и даже в основе ООП. Изначально они были математической концепцией из области лямбда-вычислений, получившей воплощение во многих языка прог…
Привет! Я Никита, Staff-инженер в крупном финтехе. В этой статье я хочу поделиться нашим опытом построения системы observability. Мы прошли путь от простых логов до сквозной трассировки, и я покажу, как это работает на фронтенде.TL;DR: В статье разбираем опыт внедрения OpenTelemetry в крупном финтех-проекте. Проблема: Логи без контекста не позволяют быстро найти причину 500-й ошибки в распределенной системе. Решение: Сквозная трассировка (Distributed Tracing) от фронтенда до бэкенда. Что внутри…
My Codex Skills Skills Public A collection of reusable development skills for Apple platforms, GitHub workflows, refactoring, diff review swarms, bug investigation swarms, code review, React performance work, and skill curation. Overview This repository contains focused, self-contained skills that help with recurring engineering tasks such as generating App Store release notes, debugging iOS apps, improving SwiftUI and React code, packaging macOS apps, running multi-agent diff reviews and bug h…
28 апреля 2026 года в московском Центре международной торговли пройдет CISO FORUM 2026 — конференция для CISO, CIO, руководителей SOC и архитекторов ИБ. В этом году мероприятие отмечает свое 20-летие.
Компания Apple удалила из российского сегмента App Store сразу несколько популярных VPN-клиентов, включая Streisand, V2Box, v2RayTun и одну из версий приложения Happ. СМИ сообщили, что удаление произошло по требованию Роскомнадзора, и суммарно из российского магазина исчезло свыше 20 VPN-приложений.