Итоги 2025 года и что дальше?
Пишу вам в 2026, лучше поздно чем никогда и кстати с первым рабочим днем 😁
Что получилось:
- +100% подписчиков в Telegram 😃 (спасибо, что читаете и реагируете)
- Привёз от волонтёров собаку в Санкт-Петербург — это было одно из самых спонтанных решений года
- Свозил жену в Грузию и в Дубай
- Прошёл полисомнографию
- Написал статью про то, почему вы теряете лучших сотрудников
- Сдал на права — и теперь почти каждый день на каршеринге по Питеру 😎
Ещё записал пару подкастов:
- "Обратная сторона менторства"
- "Найм без провала"
Тут можно посмотреть итоги прошлого года
Ну, а дальше больше. В 2026 году у меня два направления:
- Стабилизация
- Масштабирование
Если коротко вас ждет больше контента, больше работы с аудиторией ждите следующих постов и пишите в комментариях, как прошли ваши праздники 😃
Пишу вам в 2026, лучше поздно чем никогда и кстати с первым рабочим днем 😁
Что получилось:
- +100% подписчиков в Telegram 😃 (спасибо, что читаете и реагируете)
- Привёз от волонтёров собаку в Санкт-Петербург — это было одно из самых спонтанных решений года
- Свозил жену в Грузию и в Дубай
- Прошёл полисомнографию
- Написал статью про то, почему вы теряете лучших сотрудников
- Сдал на права — и теперь почти каждый день на каршеринге по Питеру 😎
Ещё записал пару подкастов:
- "Обратная сторона менторства"
- "Найм без провала"
Тут можно посмотреть итоги прошлого года
Ну, а дальше больше. В 2026 году у меня два направления:
- Стабилизация
- Масштабирование
Если коротко вас ждет больше контента, больше работы с аудиторией ждите следующих постов и пишите в комментариях, как прошли ваши праздники 😃
❤8🔥7🥰3
Навигация по каналу
Карьера / рост:
• Как расти дальше, если ты middle?
• Теория ЖОП
Процессы / команды:
• Найм без провала
• Почему вы теряете лучших сотрудников?
Разное / полезное:
•Как выпустить иностранную карту БЕЗ ПОСРЕДНИКОВ? (не актуально)
Карьера / рост:
• Как расти дальше, если ты middle?
• Теория ЖОП
Процессы / команды:
• Найм без провала
• Почему вы теряете лучших сотрудников?
Разное / полезное:
•
❤🔥1🔥1🍾1
Валентин | Продукт с нуля pinned «Навигация по каналу Карьера / рост: • Как расти дальше, если ты middle? • Теория ЖОП Процессы / команды: • Найм без провала • Почему вы теряете лучших сотрудников? Разное / полезное: • Как выпустить иностранную карту БЕЗ ПОСРЕДНИКОВ? (не актуально)»
Услуги для физлиц (B2C)
1) Mock-interview · 60 минут
2) Консультация · 60 минут
3) Испытательный срок — 4 недели
4) Проект + ревью · 4 недели
Все форматы, цены и как оплатить -> тут
1) Mock-interview · 60 минут
2) Консультация · 60 минут
3) Испытательный срок — 4 недели
4) Проект + ревью · 4 недели
Все форматы, цены и как оплатить -> тут
Telegraph
[B2C] Услуги и правила
Я помогаю разработчикам (junior / middle / senior) и лидам: — подготовиться к интервью — сменить стек / роль — уверенно пройти испытательный срок — прокачать технические знания Стек: Frontend + Backend (Node.js / Go / Python). Формат — 1:1 (работа в группах…
❤1❤🔥1🔥1
Валентин | Продукт с нуля pinned «Услуги для физлиц (B2C) 1) Mock-interview · 60 минут 2) Консультация · 60 минут 3) Испытательный срок — 4 недели 4) Проект + ревью · 4 недели Все форматы, цены и как оплатить -> тут»
Начать здесь
Я Валентин Ким. 10 лет в IT: разработка, команды, запуск продуктов.
Пишу про: карьера • интервью • процессы • архитектура • лайфстайл.
1) Услуги / менторство для физлиц
2) Навигация по каналу (лучшее)
ЧАТ — где мы делимся пользой.
Запрещенная соцсеть
Youtube канал
Теги для поиска по каналу: #интервью #карьера #процессы #архитектура #полезное
Я Валентин Ким. 10 лет в IT: разработка, команды, запуск продуктов.
Пишу про: карьера • интервью • процессы • архитектура • лайфстайл.
1) Услуги / менторство для физлиц
2) Навигация по каналу (лучшее)
ЧАТ — где мы делимся пользой.
Запрещенная соцсеть
Youtube канал
Теги для поиска по каналу: #интервью #карьера #процессы #архитектура #полезное
🔥4
Валентин | Продукт с нуля pinned «Начать здесь Я Валентин Ким. 10 лет в IT: разработка, команды, запуск продуктов. Пишу про: карьера • интервью • процессы • архитектура • лайфстайл. 1) Услуги / менторство для физлиц 2) Навигация по каналу (лучшее) ЧАТ — где мы делимся пользой. Запрещенная…»
Я обновил закрепы в канале — теперь всё разделено:
1) «Начать здесь» — кто я и про что канал
2) «Услуги для физлиц (B2C)» — форматы, цены и как записаться
3) «Навигация» — лучшее по темам
И да — я снова беру менторство/консультации для физлиц.
Только работа по навыкам и стратегии: разбор интервью, план действий, практика и сопровождение на испытательном.
Кому подойдёт: junior / middle / senior / TL, “ждунам”, тем кто меняет стек/роль.
Стек: frontend + backend (Node.js / Go / Python).
Форматы:
— Mock Interview (60 мин)
— Консультация (60–90 мин)
— Испытательный срок (4 недели)
— Проект + ревью (4 недели)
B2B сделаю позже отдельной страницей.
👉 Открой закреп «Услуги для физлиц (B2C)» (или переходи по ссылке)
1) «Начать здесь» — кто я и про что канал
2) «Услуги для физлиц (B2C)» — форматы, цены и как записаться
3) «Навигация» — лучшее по темам
И да — я снова беру менторство/консультации для физлиц.
Только работа по навыкам и стратегии: разбор интервью, план действий, практика и сопровождение на испытательном.
Кому подойдёт: junior / middle / senior / TL, “ждунам”, тем кто меняет стек/роль.
Стек: frontend + backend (Node.js / Go / Python).
Форматы:
— Mock Interview (60 мин)
— Консультация (60–90 мин)
— Испытательный срок (4 недели)
— Проект + ревью (4 недели)
B2B сделаю позже отдельной страницей.
👉 Открой закреп «Услуги для физлиц (B2C)» (или переходи по ссылке)
Telegram
Продуктивный Феня 🔥
Начать здесь
Я Валентин Ким. 10 лет в IT: разработка, команды, запуск продуктов.
Пишу про: карьера • интервью • процессы • архитектура • лайфстайл.
1) Услуги / менторство для физлиц
2) Навигация по каналу (лучшее)
ЧАТ — где мы делимся пользой.
Теги для…
Я Валентин Ким. 10 лет в IT: разработка, команды, запуск продуктов.
Пишу про: карьера • интервью • процессы • архитектура • лайфстайл.
1) Услуги / менторство для физлиц
2) Навигация по каналу (лучшее)
ЧАТ — где мы делимся пользой.
Теги для…
👍3
Нужна ваша помощь: моя жена ищет работу (Manual QA).
Я знаю, что в канале есть менеджеры, руководители и просто ребята из разных компаний
Ситуация простая и, увы, знакомая многим: на последнем проекте полностью сократили отдел тестирования, и она снова выходит на рынок.
Что умеет и делает уверенно:
- функционал + регресс/smoke, интеграционные и e2e проверки
- API: Postman + Swagger, валидация статусов/ошибок/структуры данных
- DevTools + Charles: быстро понять, где ломается (клиент/сервер/интеграция)
- может “покопаться” в БД, чтобы проверить данные и логику
Плюс: если в компании есть необходимость - готова со временем доучиться до AQA
По деньгам - адекватно. По характеру - мягче и дипломатичнее, чем я 😄.
Если у вас есть вакансия / рефералка / просто контакт HR - напишите в ЛС или в комментарии.
Резюме сразу пришлю. Репост тоже очень поможет 🙏
Я знаю, что в канале есть менеджеры, руководители и просто ребята из разных компаний
Ситуация простая и, увы, знакомая многим: на последнем проекте полностью сократили отдел тестирования, и она снова выходит на рынок.
Что умеет и делает уверенно:
- функционал + регресс/smoke, интеграционные и e2e проверки
- API: Postman + Swagger, валидация статусов/ошибок/структуры данных
- DevTools + Charles: быстро понять, где ломается (клиент/сервер/интеграция)
- может “покопаться” в БД, чтобы проверить данные и логику
Плюс: если в компании есть необходимость - готова со временем доучиться до AQA
По деньгам - адекватно. По характеру - мягче и дипломатичнее, чем я 😄.
Если у вас есть вакансия / рефералка / просто контакт HR - напишите в ЛС или в комментарии.
Резюме сразу пришлю. Репост тоже очень поможет 🙏
🔥7❤2
Техдолг, ради техдолга - мертв
Остановись, хватит предлагать идеи:
- "А давайте возьмем другой брокер сообщений?"
- "А может на микросервисную архитектуру переедем?"
- " Давайте сменим state менеджер, там же вышел x3000ULTRAPROMAXNANO"
- "Давайте перепишем на Go/Rust, будет же быстрее"
- "Давайте заменим ORM/фреймворк, он лучше"
Все ваши идеи умрут, если вы не начнете думать, а зачем это надо?
В своих пет проектах или PoC, вы можете брать техдолг по причине:
- "Я смогу узнать новую доменную область/технологию"
Но на работе так это не работает.
На работе любая "техническая инициатива" (рефакторинг, миграция, замена либы, оптимизация, смена архитектуры) - это гипотеза. И она обязана отвечать на 3 вопроса:
1. Какую боль пользователя или продукта мы пытаемся решить?
2. Какая метрика это подтверждает?
3. Насколько станет лучше и сколько это будет стоить по капаситету?
Если тебе кажется, что после внедрения будет лучше, проведи эксперимент. Сформулируй:
- что станет лучше
- на сколько
- за какое время
- какие риски
- как вернуть все назад, если не гипотеза не сработала
Важно: улучшение одной метрики не должно статзначимо ухудшать другую.
Примеры:
Фронт:
Условно: при переходе между роутами мы делаем 2-4 запроса до первого рендера (профиль, права, фичи, баннеры), плюс часть из них блокирует гидратацию/рендер.
Факт: LCP целевой страницы 10-12 секунд (p75), INP 300-400 мс, отказы на этой странице растут.
Гипотеза: если убрать блокирующие запросы при переходе между роутами (перенести часть запросов после первого рендера, добавить prefetch, закешировать то, что и так редко меняется, разгрузить критический путь), то:
- LCP перед переходом и на целевой странице станет 6-8 секунд
- INP станет 200-250 мс
- отказы/отток на этой странице снизятся (в рамках статистики)
Цена: N часов разработки + N часов QA + 1-2 дня на замеры до/после.
Договоренности: не растет error rate (JS ошибки), не падает конверсия на ключевом шаге.
Бек:
Условно: генерация документов делается прямо в основном потоке запроса.
Факт: p95 latency 900-1200 мс, CPU 85-95% на пиках, очередь запросов растет, иногда ловим таймауты, пользователю "долго ждет".
Гипотеза: если добавить воркер и вынести генерацию документов туда, то основной поток разблокируется:
- p95 по основным ручкам станет 450-600 мс
- таймауты и error rate по этим ручкам снизятся
- система перестанет деградировать на пиках (очередь стабилизируется)
- пользователю перестанет "фризить" сценарий (особенно если документ не нужен прямо сейчас)
Цена: N дней разработки + нагрузочное тестирование + проверка деградаций + план отката.
Договоренности: стоимость инфраструктуры не растет неконтролируемо, нет дубликатов генерации, есть идемпотентность, SLA не ухудшается.
Шаблон, который можно копировать себе:
- Проблема: (что болит, где, у кого)
- Baseline: (какие значения метрик сейчас)
- Гипотеза: (если сделаю X, метрика Y изменится на Z)
- Target: (конкретные числа и период измерения)
- Цена: (часы/дни/ваша оценка, QA, риски, зависимости)
- Договоренности: (что не должно ухудшиться)
- План отката: (как вернуться на стабильную версию)
А потом в конце эксперимента сверяйся насколько ты был близок. Запиши вывод: что сработало, что не сработало, почему. Это формирует видение, личный опыт, и умение защищать гипотезы как минимум технические.
Остановись, хватит предлагать идеи:
- "А давайте возьмем другой брокер сообщений?"
- "А может на микросервисную архитектуру переедем?"
- " Давайте сменим state менеджер, там же вышел x3000ULTRAPROMAXNANO"
- "Давайте перепишем на Go/Rust, будет же быстрее"
- "Давайте заменим ORM/фреймворк, он лучше"
Все ваши идеи умрут, если вы не начнете думать, а зачем это надо?
В своих пет проектах или PoC, вы можете брать техдолг по причине:
- "Я смогу узнать новую доменную область/технологию"
Но на работе так это не работает.
На работе любая "техническая инициатива" (рефакторинг, миграция, замена либы, оптимизация, смена архитектуры) - это гипотеза. И она обязана отвечать на 3 вопроса:
1. Какую боль пользователя или продукта мы пытаемся решить?
2. Какая метрика это подтверждает?
3. Насколько станет лучше и сколько это будет стоить по капаситету?
Если тебе кажется, что после внедрения будет лучше, проведи эксперимент. Сформулируй:
- что станет лучше
- на сколько
- за какое время
- какие риски
- как вернуть все назад, если не гипотеза не сработала
Важно: улучшение одной метрики не должно статзначимо ухудшать другую.
Примеры:
Фронт:
Условно: при переходе между роутами мы делаем 2-4 запроса до первого рендера (профиль, права, фичи, баннеры), плюс часть из них блокирует гидратацию/рендер.
Факт: LCP целевой страницы 10-12 секунд (p75), INP 300-400 мс, отказы на этой странице растут.
Гипотеза: если убрать блокирующие запросы при переходе между роутами (перенести часть запросов после первого рендера, добавить prefetch, закешировать то, что и так редко меняется, разгрузить критический путь), то:
- LCP перед переходом и на целевой странице станет 6-8 секунд
- INP станет 200-250 мс
- отказы/отток на этой странице снизятся (в рамках статистики)
Цена: N часов разработки + N часов QA + 1-2 дня на замеры до/после.
Договоренности: не растет error rate (JS ошибки), не падает конверсия на ключевом шаге.
Бек:
Условно: генерация документов делается прямо в основном потоке запроса.
Факт: p95 latency 900-1200 мс, CPU 85-95% на пиках, очередь запросов растет, иногда ловим таймауты, пользователю "долго ждет".
Гипотеза: если добавить воркер и вынести генерацию документов туда, то основной поток разблокируется:
- p95 по основным ручкам станет 450-600 мс
- таймауты и error rate по этим ручкам снизятся
- система перестанет деградировать на пиках (очередь стабилизируется)
- пользователю перестанет "фризить" сценарий (особенно если документ не нужен прямо сейчас)
Цена: N дней разработки + нагрузочное тестирование + проверка деградаций + план отката.
Договоренности: стоимость инфраструктуры не растет неконтролируемо, нет дубликатов генерации, есть идемпотентность, SLA не ухудшается.
Шаблон, который можно копировать себе:
- Проблема: (что болит, где, у кого)
- Baseline: (какие значения метрик сейчас)
- Гипотеза: (если сделаю X, метрика Y изменится на Z)
- Target: (конкретные числа и период измерения)
- Цена: (часы/дни/ваша оценка, QA, риски, зависимости)
- Договоренности: (что не должно ухудшиться)
- План отката: (как вернуться на стабильную версию)
А потом в конце эксперимента сверяйся насколько ты был близок. Запиши вывод: что сработало, что не сработало, почему. Это формирует видение, личный опыт, и умение защищать гипотезы как минимум технические.
❤🔥3👍3🔥1👏1
Когда ты стало нормой?
Давайте разбираться. С раннего детства нас учат общаться с незнакомыми людьми. И тогда мы впервые узнаем про разделение на вы/ты.
Вы - это местоимение показывающее уважение к собеседнику. «Вы могли бы мне помочь?»
Ты ~ местоимение, которое стоит использовать по отношению к знакомым/родственникам. Оно стирает некоторые границы в вашем общении. Поэтому его стоит применять только по предварительному согласию, чтоб удобно себя в диалоге ощущали оба собеседника. Тут же скажу спасибо всем HR, знакомым, кто соблюдает эти границы.
Выше описание, того как я это вижу. Но в ИТ я замечаю другую тенденцию. Очень много молодых ребят, или наоборот уже людей в возрасте. Кто не готов или не умеет держать эти самые границы.
А весь этот пост появился в моей голове недавно и совершенно случайно. Я помогал с наймом, и не подумал в вакансии указал свой личный телеграмм аккаунт 😇, что же потом произошло?
1. Кандидаты мне стали писать 24/7, ребят если вы это читаете, уважайте границы с 10-19 норм время - остальное стрем 😄
2. Кто-то писал в 2-3 ночи, а в 5 утра требовал ответа, ну я этих ребят видел уже с утра, когда брал телефон в руки))
3. Но один кандидат, отличился. Он начал диалог с привет, как дела, увидел твою вакансию решил откликнуться, для меня это был 50-70 кандидат, которых разбираю я, а не ИИ на который вы все так жалуетесь. Я не сказав, Добрый день/Здравствуйте, ответил что взял его резюме в работу и отвечу позже, как только дойду до него. На что мне кандидат, написал, Валек ты что зазнался, почему не здороваешься, и игнорируешь.
🤯 и вот это я, я не знаю человека вообще лично, он мне так пишет, ладно перешел на ты - можно привыкнуть, но тут он перешел все границы. Это было перед сном, я потом еще засыпал дольше обычного (вместо 5 секунд, минут 5 😆). Спасибо моей любимой жене за поддержку ❤️
Вот такой вот случай, а что интересного у вас было из кейсов найма?) Лично я перехожу на ты, только если удобно обоим сторонам. Будь то человек младше меня или старше - неважно! А как делаете вы мои читатели, делитесь в комментариях 🙂
Давайте разбираться. С раннего детства нас учат общаться с незнакомыми людьми. И тогда мы впервые узнаем про разделение на вы/ты.
Вы - это местоимение показывающее уважение к собеседнику. «Вы могли бы мне помочь?»
Ты ~ местоимение, которое стоит использовать по отношению к знакомым/родственникам. Оно стирает некоторые границы в вашем общении. Поэтому его стоит применять только по предварительному согласию, чтоб удобно себя в диалоге ощущали оба собеседника. Тут же скажу спасибо всем HR, знакомым, кто соблюдает эти границы.
Выше описание, того как я это вижу. Но в ИТ я замечаю другую тенденцию. Очень много молодых ребят, или наоборот уже людей в возрасте. Кто не готов или не умеет держать эти самые границы.
А весь этот пост появился в моей голове недавно и совершенно случайно. Я помогал с наймом, и не подумал в вакансии указал свой личный телеграмм аккаунт 😇, что же потом произошло?
1. Кандидаты мне стали писать 24/7, ребят если вы это читаете, уважайте границы с 10-19 норм время - остальное стрем 😄
2. Кто-то писал в 2-3 ночи, а в 5 утра требовал ответа, ну я этих ребят видел уже с утра, когда брал телефон в руки))
3. Но один кандидат, отличился. Он начал диалог с привет, как дела, увидел твою вакансию решил откликнуться, для меня это был 50-70 кандидат, которых разбираю я, а не ИИ на который вы все так жалуетесь. Я не сказав, Добрый день/Здравствуйте, ответил что взял его резюме в работу и отвечу позже, как только дойду до него. На что мне кандидат, написал, Валек ты что зазнался, почему не здороваешься, и игнорируешь.
Вот такой вот случай, а что интересного у вас было из кейсов найма?) Лично я перехожу на ты, только если удобно обоим сторонам. Будь то человек младше меня или старше - неважно! А как делаете вы мои читатели, делитесь в комментариях 🙂
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯15🤬5💯5🔥1
Как вовлечь людей в тему, которая кажется сложной?
Мой опыт показывает, что тут есть несколько ключевых моментов.
- вовлечение, нужно, чтобы человек сам загорелся или чтобы его кто-то зацепил интересным примером.
- заложить новый материал. То, о чем раньше человек раньше не слышал или слышал слишком поверхностно. Мы не копаем глубоко сразу, мы закладываем фундамент и мысли. Я хочу, чтобы эта мысль у людей застряла в голове на подкорке. Чтобы они ее обдумывали, крутили, а потом приходили к какому-то логическому выводу.
- практика, это must-have. Только так мы можем закрепить все знания, что мы получаем.
Вчера я провел небольшой доклад в сообществе. Где рассказал, за основы DEFI, познакомил с инструментами. И немного углубился в пулы ликвидности.
https://www.youtube.com/watch?v=bjcBnKWDskQ
Всем обещал поделиться материалы, по которым я сам изучал информацию + ссылки на сервисы для аналитики.
Смотрите в комментариях под этим постом. А также пишите, что вам не хватило? Или что хотели бы разобрать в следующий раз? Доклад или воркшоп?
Мой опыт показывает, что тут есть несколько ключевых моментов.
- вовлечение, нужно, чтобы человек сам загорелся или чтобы его кто-то зацепил интересным примером.
- заложить новый материал. То, о чем раньше человек раньше не слышал или слышал слишком поверхностно. Мы не копаем глубоко сразу, мы закладываем фундамент и мысли. Я хочу, чтобы эта мысль у людей застряла в голове на подкорке. Чтобы они ее обдумывали, крутили, а потом приходили к какому-то логическому выводу.
- практика, это must-have. Только так мы можем закрепить все знания, что мы получаем.
Вчера я провел небольшой доклад в сообществе. Где рассказал, за основы DEFI, познакомил с инструментами. И немного углубился в пулы ликвидности.
https://www.youtube.com/watch?v=bjcBnKWDskQ
Всем обещал поделиться материалы, по которым я сам изучал информацию + ссылки на сервисы для аналитики.
Смотрите в комментариях под этим постом. А также пишите, что вам не хватило? Или что хотели бы разобрать в следующий раз? Доклад или воркшоп?
👍7❤🔥2
Всем привет, я хочу провести небольшое исследование, как люди с разными видами активов (фондовый рынок, вклады, крипта (DEFI/токенизация) управляют своими финансами. Ничего продавать не собираюсь, просто интересен опыт других людей.
Поэтому, есть у вас есть хотя бы 2 пункта из этого:
- Брокерский счёт (Тинькофф, БКС, Interactive Brokers...)
- Вклады в 2+ банках
- Криптокошельки / биржи
- DeFi-позиции (пулы ликвидности, стейкинг, фарминг)
и вы готовы уделить мне время чтобы ответить на вопросы голосовым или текстом, то напишите мне в личку или поставьте +, я сам напишу
По итогам поделюсь обобщёнными выводами в канале - какие инструменты используют, что работает, что нет.
Поэтому, есть у вас есть хотя бы 2 пункта из этого:
- Брокерский счёт (Тинькофф, БКС, Interactive Brokers...)
- Вклады в 2+ банках
- Криптокошельки / биржи
- DeFi-позиции (пулы ликвидности, стейкинг, фарминг)
и вы готовы уделить мне время чтобы ответить на вопросы голосовым или текстом, то напишите мне в личку или поставьте +, я сам напишу
По итогам поделюсь обобщёнными выводами в канале - какие инструменты используют, что работает, что нет.
🔥3
Axios скомпрометирован: троян удаленного доступа через npm
Я давно не про фронтенд канал веду, но эта штука касается всех, кто хоть раз писал
Что произошло
Вчера, 30 марта, злоумышленники угнали npm-аккаунт ведущего мейнтейнера axios (jasonsaayman) и залили две вредоносные версии: 1.14.1 и 0.30.4. Axios - самый популярный HTTP-клиент в JS, ~100 млн скачиваний в неделю, стоит примерно в 80% облачных окружений.
Как это работало
Ни одна строка кода axios не была изменена. В package.json тихо добавили зависимость
Публикация обошла штатный CI/CD: атакующий подменил email мейнтейнера на proton.me и залил пакет напрямую через npm CLI украденным токеном. Ни коммита, ни тега в репозитории. Если смотреть на GitHub - ничего не видно, вредоносные версии существовали только в npm-реестре.
Хронология (UTC, 30-31 марта)
05:57 - публикация "чистого" plain-crypto-js@4.2.0 (создание видимости легитимности)
23:59 - выход 4.2.1 с payload
00:21 - axios@1.14.1
01:00 - axios@0.30.4
~03:29 - вредоносные версии удалены
Окно экспозиции - около 3 часов.
Что делает RAT
На каждом зараженном хосте - моментальная разведка: перечисление директорий, корней файловой системы, запущенных процессов. Все улетает на C2. Маяк каждые 60 секунд, готовность принимать команды: выполнение скриптов, инъекция бинарников в память, листинг файлов. На Windows дополнительно прописывается в автозагрузку через реестр и переживает ребут.
После запуска дроппер удаляет себя и подменяет свой package.json на чистую заглушку с версией 4.2.0. Следов почти не остается.
Что делать прямо сейчас
1. Проверить:
2. Откатиться на axios@1.14.0 или 0.30.3
3. Если затронуты - ротировать ВСЕ секреты: SSH-ключи, API-токены, облачные креды, npm-токены. Не in place, а revoke и перевыпуск
4. Не пытаться "чистить" машину - пересобирать с чистого снэпшота
5. Проверить логи CI/CD на соединения к
Главный вывод
npm-реестр принимает валидный токен как единственную границу аутентификации для публикации. Токен украден - все, никакие подписанные коммиты, branch protection и код-ревью не помогут. Пакет выходит от имени настоящего мейнтейнера и выглядит легитимно.
Pin-версии,
Источники: StepSecurity (первооткрыватели), Huntress, Snyk, Wiz, GitHub Issue #10604
Я давно не про фронтенд канал веду, но эта штука касается всех, кто хоть раз писал
npm install - а значит, практически каждого разработчика.Что произошло
Вчера, 30 марта, злоумышленники угнали npm-аккаунт ведущего мейнтейнера axios (jasonsaayman) и залили две вредоносные версии: 1.14.1 и 0.30.4. Axios - самый популярный HTTP-клиент в JS, ~100 млн скачиваний в неделю, стоит примерно в 80% облачных окружений.
Как это работало
Ни одна строка кода axios не была изменена. В package.json тихо добавили зависимость
plain-crypto-js@4.2.1, которая нигде в коде не импортируется. Вся ее задача - выполнить postinstall-скрипт, который за 2 секунды разворачивает кроссплатформенный RAT-дроппер под macOS, Windows и Linux. Еще до того, как npm закончит резолвить остальные зависимости, малварь уже стучится на C2-сервер.Публикация обошла штатный CI/CD: атакующий подменил email мейнтейнера на proton.me и залил пакет напрямую через npm CLI украденным токеном. Ни коммита, ни тега в репозитории. Если смотреть на GitHub - ничего не видно, вредоносные версии существовали только в npm-реестре.
Хронология (UTC, 30-31 марта)
05:57 - публикация "чистого" plain-crypto-js@4.2.0 (создание видимости легитимности)
23:59 - выход 4.2.1 с payload
00:21 - axios@1.14.1
01:00 - axios@0.30.4
~03:29 - вредоносные версии удалены
Окно экспозиции - около 3 часов.
Что делает RAT
На каждом зараженном хосте - моментальная разведка: перечисление директорий, корней файловой системы, запущенных процессов. Все улетает на C2. Маяк каждые 60 секунд, готовность принимать команды: выполнение скриптов, инъекция бинарников в память, листинг файлов. На Windows дополнительно прописывается в автозагрузку через реестр и переживает ребут.
После запуска дроппер удаляет себя и подменяет свой package.json на чистую заглушку с версией 4.2.0. Следов почти не остается.
Что делать прямо сейчас
1. Проверить:
ls node_modules/plain-crypto-js - если директория есть, дроппер был запущен2. Откатиться на axios@1.14.0 или 0.30.3
3. Если затронуты - ротировать ВСЕ секреты: SSH-ключи, API-токены, облачные креды, npm-токены. Не in place, а revoke и перевыпуск
4. Не пытаться "чистить" машину - пересобирать с чистого снэпшота
5. Проверить логи CI/CD на соединения к
sfrclak[.]com / 142.11.206.73Главный вывод
npm-реестр принимает валидный токен как единственную границу аутентификации для публикации. Токен украден - все, никакие подписанные коммиты, branch protection и код-ревью не помогут. Пакет выходит от имени настоящего мейнтейнера и выглядит легитимно.
Pin-версии,
npm ci --ignore-scripts в CI, проверка OIDC provenance у критичных зависимостей - это уже не опциональная гигиена, а необходимость.Источники: StepSecurity (первооткрыватели), Huntress, Snyk, Wiz, GitHub Issue #10604
www.stepsecurity.io
axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity
Hijacked maintainer account used to publish poisoned axios releases including 1.14.1 and 0.30.4. The attacker injected a hidden dependency that drops a cross platform RAT. We are actively investigating and will update this post with a full technical analysis.
😱9🤝2❤1
Я не знаю сколько у меня денег прямо сейчас.
Ну то есть примерно знаю. Если посижу и посчитаю точно. Акции, вклады, накопительные, DeFi, еще пару финансовых инструментов.
Полтора месяца опрашивал людей. Из 28 откликов получилось 17 интервью - остальные не подошли по профилю. Параллельно пока общался меня добавили в закрытый чат инвесторов. Плюс пообщался с двумя управляющими капиталами.
15 из 17 говорят, что у них тоже нет общей картины активов.
Один тратит 12 часов в месяц на табличку. Другой ставит таймер в телефоне чтобы не забыть перевложить вклад. Третий реально потерял деньги - не зафиксировал прибыль вовремя.
94% сказали что ручной учёт бесит. Но большинство при этом «ну вроде как живу с табличкой». Работает же.
В чате с инвесторами все вопросы были про одно. Спрашивают «а что с безопасностью». Готовы мириться с табличкой лишь бы не отдавать данные непонятно кому.
У управляющих своя история. Ведут десятки портфелей клиентов - собрать отчёт на одного клиента это день работы. В Excel.
Крипто-трейдеры - тоже отдельная категория. Парень каждый день 5 минут забивает пулы в гугл-таблицу. Спрашиваю «платил бы за автоматизацию?». Говорит «нет, мне нужна аналитика для торговли». Совсем другая ЦА.
Сейчас сажусь делать. Скоро покажу что получается.
А вы знаете сколько у вас денег прямо сейчас?
Ну то есть примерно знаю. Если посижу и посчитаю точно. Акции, вклады, накопительные, DeFi, еще пару финансовых инструментов.
Полтора месяца опрашивал людей. Из 28 откликов получилось 17 интервью - остальные не подошли по профилю. Параллельно пока общался меня добавили в закрытый чат инвесторов. Плюс пообщался с двумя управляющими капиталами.
15 из 17 говорят, что у них тоже нет общей картины активов.
Один тратит 12 часов в месяц на табличку. Другой ставит таймер в телефоне чтобы не забыть перевложить вклад. Третий реально потерял деньги - не зафиксировал прибыль вовремя.
94% сказали что ручной учёт бесит. Но большинство при этом «ну вроде как живу с табличкой». Работает же.
В чате с инвесторами все вопросы были про одно. Спрашивают «а что с безопасностью». Готовы мириться с табличкой лишь бы не отдавать данные непонятно кому.
У управляющих своя история. Ведут десятки портфелей клиентов - собрать отчёт на одного клиента это день работы. В Excel.
Крипто-трейдеры - тоже отдельная категория. Парень каждый день 5 минут забивает пулы в гугл-таблицу. Спрашиваю «платил бы за автоматизацию?». Говорит «нет, мне нужна аналитика для торговли». Совсем другая ЦА.
Сейчас сажусь делать. Скоро покажу что получается.
А вы знаете сколько у вас денег прямо сейчас?
🤔7❤🔥3