Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей. Речь идёт о троянах Webrat. Поначалу злодеи распространяли их под видом взломанного ПО и читов к онлайн-играм, а с сентября 2025 начали экспериментировать с GitHub репозитариями, якобы содержащими эксплоиты для уязвимостей CVE-2025-59295 (Buffer Overflow в Internet Explorer), CVE-2025-10294 (AuthBypass в плагине WordPress "The OwnID Passwordless Login") и CVE-2025-59230 (EoP в Windows Remote Access Connection Manager).
Для меня наличие публичных эксплоитов - один из ключевых факторов при приоритизации уязвимостей. GitHub-репы с эксплоитами приходится отсматривать регулярно. Фейков различной зловредности там хватает. С развитием AI-инструментов составить убедительную страницу с описанием эксплоита и чем-то похожим на его код становится делом нескольких минут. 🤷♂️ Чем дальше, тем больше такого будет.
@avleonovrus #Kaspersky #exploits #GitHub #AI #Webrat
Для меня наличие публичных эксплоитов - один из ключевых факторов при приоритизации уязвимостей. GitHub-репы с эксплоитами приходится отсматривать регулярно. Фейков различной зловредности там хватает. С развитием AI-инструментов составить убедительную страницу с описанием эксплоита и чем-то похожим на его код становится делом нескольких минут. 🤷♂️ Чем дальше, тем больше такого будет.
@avleonovrus #Kaspersky #exploits #GitHub #AI #Webrat
Наш третий день в Твери.
🔹 День начали с детской экскурсии в Тверской картинной галерее. В этот раз смогли подольше побродить по залам и ознакомиться с коллекцией. Наибольшее впечатление произвёл "портрет Менделеевой" Григория Сороки.
🔹 Зашли в Спасо-Преображенский собор, красиво украшенный к Рождеству. Храм был разрушен в 1935 году и воссоздан в 2014-2020 годах.
🔹 Вечером сходили в ТЮЗ на "Обыкновенное чудо". Спектакль интересный, прочтение сильно отличается от известного фильма Марка Захарова. Хотя, честно говоря, я суть этой сказки не особо понимаю. Мне очень нравятся отдельные фрагменты: история Эмиля и Эмилии, забитый первый министр, охотник за дипломами. Но основная линия с принцессой и медведем мне кажется крайне странной и сумбурной. Это про какие-то мании и неврозы, а не про любовь. И то, что вся интрига строится на правиле, которое в итоге просто не выполняется, тоже странно. 🤷♂️ Но, безусловно, классика.
@avleonovrus #дыбр #travel #Тверь #offtopic #theatre #art #museum #christmas
🔹 День начали с детской экскурсии в Тверской картинной галерее. В этот раз смогли подольше побродить по залам и ознакомиться с коллекцией. Наибольшее впечатление произвёл "портрет Менделеевой" Григория Сороки.
🔹 Зашли в Спасо-Преображенский собор, красиво украшенный к Рождеству. Храм был разрушен в 1935 году и воссоздан в 2014-2020 годах.
🔹 Вечером сходили в ТЮЗ на "Обыкновенное чудо". Спектакль интересный, прочтение сильно отличается от известного фильма Марка Захарова. Хотя, честно говоря, я суть этой сказки не особо понимаю. Мне очень нравятся отдельные фрагменты: история Эмиля и Эмилии, забитый первый министр, охотник за дипломами. Но основная линия с принцессой и медведем мне кажется крайне странной и сумбурной. Это про какие-то мании и неврозы, а не про любовь. И то, что вся интрига строится на правиле, которое в итоге просто не выполняется, тоже странно. 🤷♂️ Но, безусловно, классика.
@avleonovrus #дыбр #travel #Тверь #offtopic #theatre #art #museum #christmas
Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно. В мае 2025 года в npm-репозитории появился пакет "lotusbail", реализующий работу с API мессенджера WhatsApp (разрабатываемого экстремистской компанией Meta). Этот пакет выполнял все заявленные функции.👌 НО кроме того, содержал зловредную функциональность по перехвату сообщений, контактов, токенов аутентификации и привязке аккаунта жертвы к устройству атакующего. 🤷♂️
Зловредный пакет был доступен аж до 23 декабря. За это время его скачали около 60 000 раз. 😱
❓А теперь вопрос: учитывая, что использование готовых библиотек на каждый чих является сейчас best practice, института репутации разработчиков фактически нет (сплошные анонимы и ноунеймы), а вайб-кодинг становится все проще и эффективнее, что мешает таким кейсам становиться массовыми? Вполне вероятно, что вскоре зловредные форки библиотек будут плодиться одним запросом к LLM-ке. 🤔
@avleonovrus #lotusbail #npm #Nodejs #JavaScript #WhatsApp #Meta
Зловредный пакет был доступен аж до 23 декабря. За это время его скачали около 60 000 раз. 😱
❓А теперь вопрос: учитывая, что использование готовых библиотек на каждый чих является сейчас best practice, института репутации разработчиков фактически нет (сплошные анонимы и ноунеймы), а вайб-кодинг становится все проще и эффективнее, что мешает таким кейсам становиться массовыми? Вполне вероятно, что вскоре зловредные форки библиотек будут плодиться одним запросом к LLM-ке. 🤔
@avleonovrus #lotusbail #npm #Nodejs #JavaScript #WhatsApp #Meta
Наш четвёртый день в Твери. Ходили на детский спектакль и в филармонию.
🔹 Сказка "Марья Моревна и царский сын" в Тверском театре драмы - очень круто: костюмы, музыкальные номера (тяготеющие скорее к хип-хопу, видимо, чтобы детишкам было ближе 🙂), батальные сцены, даже спецэффекты. Всё на уровне! Сказка тоже хорошему учит. 😅 Если у жены в подвале закован мужик, который просит воды, не стоит проявлять к нему жалость до выяснения всех обстоятельств. Вдруг окажется, что это Кащей Бессмертный, с большим трудом побеждённый твоей женой, а ты ему освободиться поможешь? И когда в итоге смерть Кащея будет в твоих руках, не рефлексируй, а ломай иглу безжалостно. ❌🙂
🔹 В филармонию ходили на сборный новогодний концерт. Исполняли в основном советскую песенную классику в сопровождении струнной группы симфонического оркестра. Мне такое нравится. 😇 Ещё запомнились хоровые версии "Широка река" Кадышевой и "О Любви" Чижа. 🙂👍
@avleonovrus #дыбр #travel #Тверь #offtopic #theatre #ny #ny2026 #music
🔹 Сказка "Марья Моревна и царский сын" в Тверском театре драмы - очень круто: костюмы, музыкальные номера (тяготеющие скорее к хип-хопу, видимо, чтобы детишкам было ближе 🙂), батальные сцены, даже спецэффекты. Всё на уровне! Сказка тоже хорошему учит. 😅 Если у жены в подвале закован мужик, который просит воды, не стоит проявлять к нему жалость до выяснения всех обстоятельств. Вдруг окажется, что это Кащей Бессмертный, с большим трудом побеждённый твоей женой, а ты ему освободиться поможешь? И когда в итоге смерть Кащея будет в твоих руках, не рефлексируй, а ломай иглу безжалостно. ❌🙂
🔹 В филармонию ходили на сборный новогодний концерт. Исполняли в основном советскую песенную классику в сопровождении струнной группы симфонического оркестра. Мне такое нравится. 😇 Ещё запомнились хоровые версии "Широка река" Кадышевой и "О Любви" Чижа. 🙂👍
@avleonovrus #дыбр #travel #Тверь #offtopic #theatre #ny #ny2026 #music
Ni8mare, N8scape и другие критические уязвимости n8n. n8n - это платформа автоматизации рабочих процессов (code/no-code). Поддерживает более 400 интеграций и встроенные возможности ИИ. Лицензируется как fair-code. Доступна on-prem и как облачный сервис.
🔻 18 ноября 2025 года был выпущен патч, закрывающий критическую уязвимость чтения файлов без аутентификации (CVE-2026-21858). В некоторых сценариях уязвимость позволяет добиться удалённого выполнения кода (RCE). Уязвимость назвали Ni8mare. С 7 января 2026 года доступен write-up и PoC. Также доступен эксплойт, задействующий уязвимость CVE-2025-68613 для достижения RCE.
🔻 Совместно с основной уязвимостью CVE-2026-21858 могут использоваться и другие уязвимости, требующие аутентификации: CVE-2025-68668 (N8scape), CVE-2025-68697 и CVE-2026-21877. Это позволяет добиться RCE или записи файлов.
🌐 CyberOK СКИПА фиксирует чуть менее 9 000 активных n8n в Рунете.
@avleonovrus #CyberOK #СКИПА #Ni8mare #N8scape #n8n
🔻 18 ноября 2025 года был выпущен патч, закрывающий критическую уязвимость чтения файлов без аутентификации (CVE-2026-21858). В некоторых сценариях уязвимость позволяет добиться удалённого выполнения кода (RCE). Уязвимость назвали Ni8mare. С 7 января 2026 года доступен write-up и PoC. Также доступен эксплойт, задействующий уязвимость CVE-2025-68613 для достижения RCE.
🔻 Совместно с основной уязвимостью CVE-2026-21858 могут использоваться и другие уязвимости, требующие аутентификации: CVE-2025-68668 (N8scape), CVE-2025-68697 и CVE-2026-21877. Это позволяет добиться RCE или записи файлов.
🌐 CyberOK СКИПА фиксирует чуть менее 9 000 активных n8n в Рунете.
@avleonovrus #CyberOK #СКИПА #Ni8mare #N8scape #n8n
Вернулись из поездки в Тверь. В последний день сходили на мастер-класс по изготовлению новогодних ёлочных игрушек. В этот раз я не удержался от упоминания актуальной уязвимости. Игрушка заняла место на нашей ёлочке рядом с EoP в ядре Linux. 😅
Добрались без приключений. Если не считать лёгкого дискомфорта от морозца и повсеместных сугробов (как и везде сейчас в центральном регионе ❄️).
Впечатления от 5 дней пребывания (1, 2, 3, 4) самые приятные. Было интересно, комфортно и очень вкусно. 😇
Тверь остаётся на вершине моего личного ТОПа городов (вместе с Саранском ❤️). Зимой там ничуть не хуже, чем весной.
Если искать какие-то минусы, то я бы сказал, что городу не хватает трамвайчиков (как в Коломне). Трамвай (и троллейбус) там были, но их недавно уничтожили. Это, безусловно, очень грустно. 😔
Хотелось бы и ласточки-экспрессы до Москвы с выделенными местами. А то сейчас сложно предугадать, будешь ты ехать 1,5-2 часа стоя или сидя. 🙂
А так всё круто. 👍
@avleonovrus #дыбр #travel #Тверь #offtopic #ny #ny2026
Добрались без приключений. Если не считать лёгкого дискомфорта от морозца и повсеместных сугробов (как и везде сейчас в центральном регионе ❄️).
Впечатления от 5 дней пребывания (1, 2, 3, 4) самые приятные. Было интересно, комфортно и очень вкусно. 😇
Тверь остаётся на вершине моего личного ТОПа городов (вместе с Саранском ❤️). Зимой там ничуть не хуже, чем весной.
Если искать какие-то минусы, то я бы сказал, что городу не хватает трамвайчиков (как в Коломне). Трамвай (и троллейбус) там были, но их недавно уничтожили. Это, безусловно, очень грустно. 😔
Хотелось бы и ласточки-экспрессы до Москвы с выделенными местами. А то сейчас сложно предугадать, будешь ты ехать 1,5-2 часа стоя или сидя. 🙂
А так всё круто. 👍
@avleonovrus #дыбр #travel #Тверь #offtopic #ny #ny2026