Forwarded from kipchat
Вредоносный npm-пакет, скачанный более 56 000 раз, маскируется под работающую библиотеку WhatsApp Web API, а затем крадет сообщения, собирает учетные данные и контакты, а также захватывает учетные записи пользователей WhatsApp.
По данным Koi Security, npm-пакет lotusbail доступен для скачивания уже шесть месяцев, и он особенно опасен, потому что его код работает.
«Этот API фактически функционирует как API для WhatsApp», — написал исследователь Koi Security Тувал Адмони в своем блоге в воскресенье. «Он основан на легитимной библиотеке Baileys и предоставляет реальную, работающую функциональность для отправки и получения сообщений WhatsApp».
https://www.theregister.com/2025/12/22/whatsapp_npm_package_message_steal/
По данным Koi Security, npm-пакет lotusbail доступен для скачивания уже шесть месяцев, и он особенно опасен, потому что его код работает.
«Этот API фактически функционирует как API для WhatsApp», — написал исследователь Koi Security Тувал Адмони в своем блоге в воскресенье. «Он основан на легитимной библиотеке Baileys и предоставляет реальную, работающую функциональность для отправки и получения сообщений WhatsApp».
https://www.theregister.com/2025/12/22/whatsapp_npm_package_message_steal/
The Register
Poisoned WhatsApp API package steals messages and accounts
: And it's especially dangerous because the code works
Forwarded from Кубернетичек
Я прикалывался над этим проектом. Не думал, что там может быть что-то серьезное с таким замахом. Оказалось, этот проект идет под крылом китайского аналога Google Summer of Code, только называется он - RISC-V Rust for Cloud Native. Под этим же крылом выпустили https://github.com/rustfs/rustfs, например.
Можно было бы подумать, что они это делают, потому что официально разработчики куба не поддерживают RISC-V архитектуру. Но вон, scaleway - вполне собрали бинари и говорят можно пробоваить https://www.scaleway.com/en/docs/elastic-metal/how-to/kubernetes-on-riscv/ (не знаю, насколько это распрастраненное решение).
Пызы: вообще, я периодически поглядываю, что там происходит с проектом. Слишком уж он амбициозный. И пока пишут. Так вот, спонсор данного поста, вот этот парень на скрине. А точнее его коммит https://github.com/rk8s-dev/rk8s/commit/a58c9bfa6e926aec598c6642354d4f0b2ed58d71
Пызызы: в комментариях заметили, большая часть кода - вендоринг
Можно было бы подумать, что они это делают, потому что официально разработчики куба не поддерживают RISC-V архитектуру. Но вон, scaleway - вполне собрали бинари и говорят можно пробоваить https://www.scaleway.com/en/docs/elastic-metal/how-to/kubernetes-on-riscv/ (не знаю, насколько это распрастраненное решение).
Пызы: вообще, я периодически поглядываю, что там происходит с проектом. Слишком уж он амбициозный. И пока пишут. Так вот, спонсор данного поста, вот этот парень на скрине. А точнее его коммит https://github.com/rk8s-dev/rk8s/commit/a58c9bfa6e926aec598c6642354d4f0b2ed58d71
Пызызы: в комментариях заметили, большая часть кода - вендоринг
Forwarded from GNU/Linux | Notes
Debian тестирует Debusine, систему индивидуальных репозиториев в стиле PPA
Новость: https://www.opennet.ru/opennews/art.shtml?num=64446
#debian
Новость: https://www.opennet.ru/opennews/art.shtml?num=64446
#debian
Forwarded from opennet.ru
Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код https://opennet.ru/64517/
www.opennet.ru
Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP…
Forwarded from opennet.ru
Проект libmdbx представил новую стратегию развития https://opennet.ru/64522/
www.opennet.ru
Проект libmdbx представил новую стратегию развития
Проект libmdbx представил новую стратегию развития, одновременно объявив о смене модели разработки и распространения кода. Исходный код libmdbx останется открытым и с качественной бесплатной поддержкой, но теперь разработка будет вестись внутри команды с…
Forwarded from opennet.ru
В RustFS выявлен предопределённый в коде токен доступа https://opennet.ru/64551/
www.opennet.ru
В RustFS выявлен предопределённый в коде токен доступа
В проекте RustFS, развивающем совместимое с S3 распределённое объектное хранилище, написанное на языке Rust, выявлена уязвимость (CVE-2025-68926), напоминающая бэкдор. Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться…
Forwarded from Хайтек+
Nvidia представила новую архитектуру Vera Rubin для ИИ
Впервые за пять лет Nvidia не привезла на выставку CES нового графического процессора. Вместо него в центре внимания оказался искусственный интеллект. Гендиректор компании Дженсен Хуанг официально представил новую вычислительную архитектуру Rubin, которую он назвал передовой в области аппаратного обеспечения для искусственного интеллекта. Заявлено, что новая архитектура способна достигать производительности 50 петафлопс. В настоящее время она уже находится в производстве, а на рынке появится, как ожидается, во второй половине года.
https://hightech.plus/2026/01/06/nvidia-predstavila-novuyu-arhitekturu-vera-rubin-dlya-ii
Впервые за пять лет Nvidia не привезла на выставку CES нового графического процессора. Вместо него в центре внимания оказался искусственный интеллект. Гендиректор компании Дженсен Хуанг официально представил новую вычислительную архитектуру Rubin, которую он назвал передовой в области аппаратного обеспечения для искусственного интеллекта. Заявлено, что новая архитектура способна достигать производительности 50 петафлопс. В настоящее время она уже находится в производстве, а на рынке появится, как ожидается, во второй половине года.
https://hightech.plus/2026/01/06/nvidia-predstavila-novuyu-arhitekturu-vera-rubin-dlya-ii
Компания StorageReview вновь вернула себе мировую корону в гонке за числом π, вычислив его сразу до 314.000.000.000.000 знаков π за 4.3 МВт⋅ч
Рекорд был установлен не в облаке и не на распределённом кластере, а на одном коммерческом сервере
Запуск стартовал 31 июля 2025 года и завершился 18 ноября 2025 года, проработав 110 дней подряд без единой секунды простоя — что само по себе уже достижение уровня HPC
Для вычислений использовался сервер Dell PowerEdge R7725 форм-фактора 2U, оснащённый двумя процессорами AMD EPYC 9965 по 192 ядра каждый, то есть 384 ядра в сумме
В системе было установлено 1.5 ТБ DDR5 DRAM и 40 NVMe-накопителей Micron 6550 ION по 61.44 ТБ, что дало более 2.4 ПБ физического флеш-хранилища
Для работы y-cruncher было выделено 34 SSD, обеспечивших около 2.1 ПБ под временные данные, а ещё 6 SSD использовались в программном RAID10 для финальной записи результата
Само вычисление выполнялось с помощью y-cruncher v0.8.6.9545 на алгоритме Чудновского под Ubuntu 24.04 LTS Server
Чистое время расчёта числа π составило 8.793.223 секунды (примерно 101.8 дня), общее вычислительное время — 9.274.878 секунд, а полное «время по стене» от старта до финиша — 9.463.226 секунд
Самая крупная логическая контрольная точка достигала 850.538.385.064.992 цифр, а максимальное использование логического диска — 1.605 960.520.636.440 байт, то есть около 1.43 ПБ
Ключевым фактором рекорда стало хранилище
В конфигурации с 40 SSD платформа обеспечивала до 280 ГБ/с суммарной пропускной способности
По сравнению с предыдущим рекордом StorageReview на 202.000.000.000.000 цифр, последовательная запись выросла с 47 до 107 ГиБ/с, последовательное чтение — с 56.7 до 127 ГиБ/с, а чтение с «перешагиванием порога» увеличилось сразу на 383 % — с 20.9 до 101 ГиБ/с.
За время расчёта было прочитано около 148.4 ПиБ данных и записано 126.7 ПиБ, при этом износ SSD составил в среднем 7.3 ПБ на диск
Отдельного внимания заслуживает энергоэффективность
Средняя потребляемая мощность сервера составляла около 1.600 Вт, а общее энергопотребление за весь расчёт — всего 4304.7 кВт⋅ч.
Это эквивалентно 13.7 кВт⋅ч на один триллион цифр π
Для сравнения, предыдущий рекорд на 300.000.000.000.000 цифр, выполненный на большом кластере с общим хранилищем, оценивался примерно в 33.600 кВт⋅ч, что в 7–8 раз больше
//С вами была рубрика спецолимпиад 😂😂😂
Рекорд был установлен не в облаке и не на распределённом кластере, а на одном коммерческом сервере
Запуск стартовал 31 июля 2025 года и завершился 18 ноября 2025 года, проработав 110 дней подряд без единой секунды простоя — что само по себе уже достижение уровня HPC
Для вычислений использовался сервер Dell PowerEdge R7725 форм-фактора 2U, оснащённый двумя процессорами AMD EPYC 9965 по 192 ядра каждый, то есть 384 ядра в сумме
В системе было установлено 1.5 ТБ DDR5 DRAM и 40 NVMe-накопителей Micron 6550 ION по 61.44 ТБ, что дало более 2.4 ПБ физического флеш-хранилища
Для работы y-cruncher было выделено 34 SSD, обеспечивших около 2.1 ПБ под временные данные, а ещё 6 SSD использовались в программном RAID10 для финальной записи результата
Само вычисление выполнялось с помощью y-cruncher v0.8.6.9545 на алгоритме Чудновского под Ubuntu 24.04 LTS Server
Чистое время расчёта числа π составило 8.793.223 секунды (примерно 101.8 дня), общее вычислительное время — 9.274.878 секунд, а полное «время по стене» от старта до финиша — 9.463.226 секунд
Самая крупная логическая контрольная точка достигала 850.538.385.064.992 цифр, а максимальное использование логического диска — 1.605 960.520.636.440 байт, то есть около 1.43 ПБ
Ключевым фактором рекорда стало хранилище
В конфигурации с 40 SSD платформа обеспечивала до 280 ГБ/с суммарной пропускной способности
По сравнению с предыдущим рекордом StorageReview на 202.000.000.000.000 цифр, последовательная запись выросла с 47 до 107 ГиБ/с, последовательное чтение — с 56.7 до 127 ГиБ/с, а чтение с «перешагиванием порога» увеличилось сразу на 383 % — с 20.9 до 101 ГиБ/с.
За время расчёта было прочитано около 148.4 ПиБ данных и записано 126.7 ПиБ, при этом износ SSD составил в среднем 7.3 ПБ на диск
Отдельного внимания заслуживает энергоэффективность
Средняя потребляемая мощность сервера составляла около 1.600 Вт, а общее энергопотребление за весь расчёт — всего 4304.7 кВт⋅ч.
Это эквивалентно 13.7 кВт⋅ч на один триллион цифр π
Для сравнения, предыдущий рекорд на 300.000.000.000.000 цифр, выполненный на большом кластере с общим хранилищем, оценивался примерно в 33.600 кВт⋅ч, что в 7–8 раз больше
//С вами была рубрика спецолимпиад 😂😂😂
3
CVE-2026-21858 в n8n не требует никаких учётных данных и строится на путанице вокруг заголовка Content-Type.
https://dbugs.ptsecurity.com/vulnerability/CVE-2026-21858
Оценка CVSS: 10.0, даже назвали Ni8mare – так её окрестили в Cyera Research Labs.
Подробнее: https://www.securitylab.ru/news/567805.php
В Cyera подчёркивают, что n8n часто становится центральным хранилищем всего самого ценного – API-ключей, OAuth-токенов, доступов к базам, облакам и внутренним сервисам. Поэтому компрометация одного инстанса может мгновенно превратиться в доступ к инфраструктуре.
CVE исправлена в версии 1.121.0 (релиз от 18 ноября 2025 года)
https://dbugs.ptsecurity.com/vulnerability/CVE-2026-21858
Оценка CVSS: 10.0, даже назвали Ni8mare – так её окрестили в Cyera Research Labs.
Подробнее: https://www.securitylab.ru/news/567805.php
В Cyera подчёркивают, что n8n часто становится центральным хранилищем всего самого ценного – API-ключей, OAuth-токенов, доступов к базам, облакам и внутренним сервисам. Поэтому компрометация одного инстанса может мгновенно превратиться в доступ к инфраструктуре.
CVE исправлена в версии 1.121.0 (релиз от 18 ноября 2025 года)
Ptsecurity
CVE-2026-21858 — N8N | dbugs
Details on CVE-2026-21858: N8N. Exploited in the wild. Includes CVSS score, affected versions, and references.
Forwarded from alex0x08
Рубрика "что за хню я только что прочитал"😳:
Очумелые ручки скрестили RS232 и.. Wifi-адаптер😳
Получилось вот такое:
Вот тут гайд по настройке входящего подключения на современном Mac.
Девайс на грани гениальности, тут небольшой обзор с видео.
Гениально:
WiFi232 – An Internet Hayes Modem for your Retro Computer
Очумелые ручки скрестили RS232 и.. Wifi-адаптер😳
Получилось вот такое:
..and a standard terminal program to “dial in” (via telnet) to your Mac using its IP and port number, à la:
ATDT192.168.1.150:6666
Вот тут гайд по настройке входящего подключения на современном Mac.
Девайс на грани гениальности, тут небольшой обзор с видео.
Гениально:
For example,
AT$SSID=MyWifiHotspotName
points the device to your WiFi hotspot
Forwarded from Echelon Eyes
Новая уязвимость ChatGPT обходит запрет на динамическое изменение ссылок
Исследователь из компании по кибербезопасности Radware обнаружил в ChatGPT уязвимость, получившую название ZombieAgent. Она позволяла злоумышленникам незаметно получать доступ к личным данным пользователей без их участия, в том числе к информации из Gmail, Outlook, Google Drive и GitHub. О находке OpenAI сообщили осенью 2025 года, и уже в декабре компания устранила уязвимость.
Атака начиналась с письма, которое злоумышленник отправлял пользователю. В нем были заранее подготовленные ссылки. Когда пользователь позже обращался к ChatGPT с обычным запросом, система по этим ссылкам передавала данные небольшими фрагментами, шаг за шагом. При этом ChatGPT не создавал новые адреса и не изменял существующие, поэтому встроенные механизмы защиты не срабатывали.
Для запуска атаки не требовалось никаких дополнительных действий со стороны пользователя, кроме обычного общения с ChatGPT. По оценке исследователей, уязвимость позволяла не только разово получить данные, но и сохранять доступ к переписке пользователя, а также распространять атаку на других пользователей.
#кибербезопасность #ChatGPT #уязвимость #ИИ
Источник: https://eyes.etecs.ru/r/5d533e
Исследователь из компании по кибербезопасности Radware обнаружил в ChatGPT уязвимость, получившую название ZombieAgent. Она позволяла злоумышленникам незаметно получать доступ к личным данным пользователей без их участия, в том числе к информации из Gmail, Outlook, Google Drive и GitHub. О находке OpenAI сообщили осенью 2025 года, и уже в декабре компания устранила уязвимость.
Атака начиналась с письма, которое злоумышленник отправлял пользователю. В нем были заранее подготовленные ссылки. Когда пользователь позже обращался к ChatGPT с обычным запросом, система по этим ссылкам передавала данные небольшими фрагментами, шаг за шагом. При этом ChatGPT не создавал новые адреса и не изменял существующие, поэтому встроенные механизмы защиты не срабатывали.
Для запуска атаки не требовалось никаких дополнительных действий со стороны пользователя, кроме обычного общения с ChatGPT. По оценке исследователей, уязвимость позволяла не только разово получить данные, но и сохранять доступ к переписке пользователя, а также распространять атаку на других пользователей.
#кибербезопасность #ChatGPT #уязвимость #ИИ
Источник: https://eyes.etecs.ru/r/5d533e
Infosecurity Magazine
New Zero-Click Attack Lets ChatGPT User Steal Data
Researchers at Radware discovered new prompt injection attacks in ChatGPT agentic features
n8n Supply Chain Attack Abuses Community Nodes to Steal OAuth Tokens
https://thehackernews.com/2026/01/n8n-supply-chain-attack-abuses.html
https://thehackernews.com/2026/01/n8n-supply-chain-attack-abuses.html
CVE-2026-23745 / node-tar
Суть: не чистятся абсолютные пути в поле
POC
Суть: не чистятся абсолютные пути в поле
linkpath для Hardlinks и Symlinks. Значит, собранный особым образом архив tar может обойти корень извлечения и перезаписывать файлы на хосте.POC