Forwarded from Derp Learning
axios@1.14.1 - или русская рулетка в npm install
axios - самый популярный HTTP-клиент в npm, 100M+ скачиваний в неделю. Сегодня выяснилось, что версия 1.14.1 тянет за собой plain-crypto-js@4.2.1 - пакет, которого вчера не существовало. Классический supply chain attack.
Под раздачу также попал axios@0.30.4 (для тех кто на легаси и думал что в безопасности - нет).
Что делает малварь:
- деобфусцирует payload в рантайме
- динамически подгружает fs, os, execSync чтобы обойти статический анализ
- выполняет shell команды
- копирует файлы в temp и ProgramData
- удаляет следы после себя
Все по классике - обфусцированный dropper который сам за собой убирает.
Если у вас axios - пинните версию, проверяйте lockfile, не обновляйтесь. npm audit вам не поможет, он уже давно декоративный.
100 миллионов скачиваний в неделю. Один npm install - и твоя циска в зоне риска.
Обколются своими агентами и вайбкодятдруг друга
Тред
@derplearning
axios - самый популярный HTTP-клиент в npm, 100M+ скачиваний в неделю. Сегодня выяснилось, что версия 1.14.1 тянет за собой plain-crypto-js@4.2.1 - пакет, которого вчера не существовало. Классический supply chain attack.
Под раздачу также попал axios@0.30.4 (для тех кто на легаси и думал что в безопасности - нет).
Что делает малварь:
- деобфусцирует payload в рантайме
- динамически подгружает fs, os, execSync чтобы обойти статический анализ
- выполняет shell команды
- копирует файлы в temp и ProgramData
- удаляет следы после себя
Все по классике - обфусцированный dropper который сам за собой убирает.
Если у вас axios - пинните версию, проверяйте lockfile, не обновляйтесь. npm audit вам не поможет, он уже давно декоративный.
100 миллионов скачиваний в неделю. Один npm install - и твоя циска в зоне риска.
Обколются своими агентами и вайбкодят
Тред
@derplearning
🔥53😁42🗿10❤4🤩4👍3🎉1
От читателя кстати
«funnily, leaked claude code source shows it’s using axios
https://github.com/instructkr/claude-code»
«funnily, leaked claude code source shows it’s using axios
https://github.com/instructkr/claude-code»
GitHub
GitHub - ultraworkers/claw-code: An agent-managed museum exhibit, built in Rust with Gajae-Code / LazyCodex — developed and maintained…
An agent-managed museum exhibit, built in Rust with Gajae-Code / LazyCodex — developed and maintained with no human intervention. - ultraworkers/claw-code
😁79😱2
> One of the vulnerabilities Claude found, the company said, was a 27-year-old bug in OpenBSD, an open-source operating system that was designed to be difficult to hack. Many internet routers and secure firewalls incorporate OpenBSD’s technology. Another was a longstanding issue in a piece of popular video software that automated testing tools had scanned five million times, without finding any problems.
“This model is good at finding vulnerabilities that would be well understood and findable by security researchers,” Mr. Graham said. “At the same time, it has found vulnerabilities, and in some cases crafted exploits, sophisticated enough that they were both missed by literally decades of security researchers, as well as all the automated tools designed to find them.”
https://www.nytimes.com/2026/04/07/technology/anthropic-claims-its-new-ai-model-mythos-is-a-cybersecurity-reckoning.html?unlocked_article_code=1.ZVA.9w-4.Cz158yvsOjZG&smid=url-share
“This model is good at finding vulnerabilities that would be well understood and findable by security researchers,” Mr. Graham said. “At the same time, it has found vulnerabilities, and in some cases crafted exploits, sophisticated enough that they were both missed by literally decades of security researchers, as well as all the automated tools designed to find them.”
https://www.nytimes.com/2026/04/07/technology/anthropic-claims-its-new-ai-model-mythos-is-a-cybersecurity-reckoning.html?unlocked_article_code=1.ZVA.9w-4.Cz158yvsOjZG&smid=url-share
Nytimes
Anthropic Claims Its New A.I. Model, Mythos, Is a Cybersecurity ‘Reckoning’ (Gift Article)
The company said on Tuesday that it was holding back on releasing the new technology but was working with 40 companies to explore how it could prevent cyberattacks.
👏25🔥18😱10😁8🤡5🆒3🙏2❤1
Если уж сканируют все фото, могли бы и больше облачного пространства давать
https://www.forbes.com/sites/zakdoffman/2026/04/20/google-starts-scanning-all-your-photos-as-new-update-goes-live/
https://www.forbes.com/sites/zakdoffman/2026/04/20/google-starts-scanning-all-your-photos-as-new-update-goes-live/
Forbes
Google Starts Scanning All Your Photos As New Update Goes Live
Google wants its AI to see all the photos of "you and your loved ones." Billions of users must now decide.
😱45✍18💯7🥱6👍4
https://www.flyingpenguin.com/the-boy-that-cried-mythos-verification-is-collapsing-trust-in-anthropic/
TL:DR Вся эта суета, похоже, является маркетинговым ходом, направленным на то, чтобы поставить Mythos в выгодное положение и побудить компании платить за токены в пять раз больше.
TL:DR Вся эта суета, похоже, является маркетинговым ходом, направленным на то, чтобы поставить Mythos в выгодное положение и побудить компании платить за токены в пять раз больше.
😁49👍8🔥4👏3💯2❤1🐳1👀1
https://www.abc.net.au/news/2026-04-24/apple-ios-update-26-4-2-security-fix-signal-/106601332
TLDR; в iOS была бага, можно было вытащить сообщения Signal через базу уведомлений. Apple исправила баг, Signal happy.
TLDR; в iOS была бага, можно было вытащить сообщения Signal через базу уведомлений. Apple исправила баг, Signal happy.
www.abc.net.au
Signal praises Apple over security fix in new iPhone update
The encrypted messaging app says the update fixes an issue that allowed the FBI to message notification content.
🔥27😁14🗿5👍3🤡3👌1
https://status.instructure.com/incidents/9wm4knj2r64z
Широко используемая цифровая учебная платформа Canvas была переведена в «режим технического обслуживания» в четверг после того, как ее создатель, разработчик образовательных технологий Instructure, подвергся утечке данных и столкнулся с попыткой вымогательства со стороны злоумышленников, использующих прозвище «ShinyHunters». Хотя хакеры рекламируют взлом и пытаются получить выкуп от Instructure с 1 мая, ситуация стала дополнительной проблемой для обычных людей по всей территории США и за ее пределами в четверг, потому что время простоя Canvas вызвало хаос в школах, в том числе в тех, которые были в разгаре выпускных экзаменов в конце года.
Широко используемая цифровая учебная платформа Canvas была переведена в «режим технического обслуживания» в четверг после того, как ее создатель, разработчик образовательных технологий Instructure, подвергся утечке данных и столкнулся с попыткой вымогательства со стороны злоумышленников, использующих прозвище «ShinyHunters». Хотя хакеры рекламируют взлом и пытаются получить выкуп от Instructure с 1 мая, ситуация стала дополнительной проблемой для обычных людей по всей территории США и за ее пределами в четверг, потому что время простоя Canvas вызвало хаос в школах, в том числе в тех, которые были в разгаре выпускных экзаменов в конце года.
😁29😱15🔥6🤔4🤩4❤3👍2
Процесс очень прост: возьмите любой USB-накопитель, получите доступ к записи в «Информация о системном томе» и скопируйте в него папку «FsTx» и ее содержимое. Shift+click Restart, чтобы перевести Windows в режим восстановления, но затем удерживайте клавишу Control и не отпускайте. Машина перезагрузится и, не задавая никаких вопросов и не показывая никаких меню, предоставит доступ к командной строке с повышенными привилегиями с полным доступом к ранее защищенному диску, без запроса каких-либо ключей.
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor
Tom's Hardware
Microsoft BitLocker-protected drives can now be opened with just some files on a USB stick — YellowKey zero-day exploit demonstrates…
Also, it's a twofer with the GreenPlasma zero-day local privilege escalation.
👏90🔥63🤯45😁25🤷♂1❤1👍1👌1🥱1👀1
https://www.bleepingcomputer.com/news/security/meta-ai-support-data-breach-affects-20-000-instagram-accounts/
Мета призналась, что больше 20 тысяч пользователей Instagram лишились своих аккаунтов — злоумышленники воспользовались ИИ-системой поддержки компании, чтобы сбросить пароли.
Как писал BleepingComputer ещё неделю назад, хакеры нашли дыру в инструменте High Touch Support (HTS) — это такая ИИ-шная служба поддержки, которая помогает людям восстановить доступ к заблокированному аккаунту.
Фишка в том, что HTS не проверял, привязан ли указанный имейл к конкретному аккаунту Instagram. Этим и воспользовались — получили ссылки для сброса пароля и спокойно заходили в чужие аккаунты, у которых не была включена двухфакторка.
Мета призналась, что больше 20 тысяч пользователей Instagram лишились своих аккаунтов — злоумышленники воспользовались ИИ-системой поддержки компании, чтобы сбросить пароли.
Как писал BleepingComputer ещё неделю назад, хакеры нашли дыру в инструменте High Touch Support (HTS) — это такая ИИ-шная служба поддержки, которая помогает людям восстановить доступ к заблокированному аккаунту.
Фишка в том, что HTS не проверял, привязан ли указанный имейл к конкретному аккаунту Instagram. Этим и воспользовались — получили ссылки для сброса пароля и спокойно заходили в чужие аккаунты, у которых не была включена двухфакторка.
🤣79🔥18🥴11👍4👏3❤1👎1🥰1😎1