SQL-инъекция за 40 секунд: Лайт против L

Разбираем SQL-инъекцию на пальцах в формате Лайт против L. Что это такое, как обычная строка ввода меняет логику запроса, к чему это приводит и какими способами реально закрыть дыру. Коротко, по делу и так, чтобы запомнилось.

Больше таких видео: https://www.youtube.com/shorts/c4gBi094jkU

#fun #deatnote #sql

Читать полностью…

Из App Store исчезла почти вся экосистема VK.

В магазине осталось только основное приложение «ВКонтакте». Остальные сервисы, включая «Дзен», «Почту Mail», «VK Видео», «VK Музыку» и «Одноклассники», больше недоступны для скачивания.

Ранее в этом месяце из App Store также удалили Max.

Получается, Apple убрала не одно приложение, а почти весь набор ключевых сервисов VK.

Читать полностью…

Ваш домен может стоить один рубль

Переносите и продлевайте домены в Selectel и платите за это всего по одному рублю. Бонусом получите бесплатный DNS-хостинг и SSL-сертификаты, а еще возможность развернуть полноценную IT-инфраструктуру проекта в одном окне браузера.

Успейте перенести и продлить домены в Selectel по рублю до 30.06 →

Реклама. АО "Селектел". erid:2W5zFJfm8YZ

Читать полностью…

🔍🚀 Умный сканер уязвимостей для вашего кода

deepsec — это мощный инструмент для обнаружения скрытых уязвимостей в больших кодовых базах. Он использует агентскую архитектуру для параллельного выполнения задач и предлагает глубокий анализ, позволяя быстро находить и устранять проблемы. Идеален для крупных проектов, где важна скорость и точность.

🚀Основные моменты:
- Обнаружение сложных уязвимостей в коде
- Параллельная обработка для больших репозиториев
- Поддержка различных AI-провайдеров
- Возможность работы в песочнице Vercel для безопасности
- Интуитивно понятный интерфейс и документация

📌 GitHub: https://github.com/vercel-labs/deepsec

#typescript

Читать полностью…

🔍 Обнаружение уязвимостей с помощью Audit

Audit — это агент для поиска уязвимостей, использующий 8-ступенчатую методологию, основанную на взаимодействии узких агентов и принципе "умышленного несогласия". Он интегрируется с Claude Pro и предлагает структурированные отчеты о безопасности.

🚀 Основные моменты:
- Многопоточность: узкие агенты работают параллельно для поиска уязвимостей.
- Умышленное несогласие: второй агент проверяет выводы первого.
- Отслеживание доступности: подтверждает, что уязвимости могут быть достигнуты злоумышленником.
- Обратная связь: находит новые задачи на основе обнаруженных уязвимостей.

📌 GitHub: https://github.com/evilsocket/audit

#python

Читать полностью…

Апдейт по Fable 5 / Anthropic: компания отправила своих ведущих специалистов по безопасности в Вашингтон. Экспортные ограничения всё ещё

Anthropic и администрация Трампа завершили переговоры в понедельник без результата: экспортные ограничения на Claude Fable 5 остаются в силе. Когда их снимут - непонятно.

Компания несколько дней убеждала Вашингтон, что опасения вокруг модели преувеличены. Ту же позицию Anthropic повторила перед исследователями из Министерства торговли США.

Министр торговли Говард Лютник подключился к встрече по телефону с саммита G7 в Эвиане, Франция. Кибердиректор Шон Кэрнкросс в переговорах не участвовал.

Со стороны Anthropic обсуждение вели сооснователь Том Браун и глава внешних связей Сара Хек. Руководитель red teaming Логан Грэм и исследователь безопасности Николас Карлини специально прилетели в Вашингтон для этих переговоров.

Главный спор - можно ли снять защитные ограничения Fable 5 и открыть более мощные возможности Mythos, которые находятся «под капотом». NSA считает, что да. Anthropic утверждает, что риск преувеличен.

Пока нет ясного понимания, какими будут следующие шаги.

@linuxkalii

Читать полностью…

Что мощнее — S3 или локальные диски?
Разбираем сценарии использования S3-хранилища в связке с Postgres Pro

На вебинаре узнаете о лучших практиках эксплуатации в продакшн-средах. Эксперты Selectel и Postgres Pro разберут все: от резервного копирования через pg_probackup и S3 Selectel до хранения паркетных данных с Postgres Pro AXE и результатов TPC-тестов. Особенно интересно будет архитекторам, техлидам и всем, кто отвечает за надежность и экономику хранения данных.

📍 Онлайн
⏰ 25 июня в 12:00


Регистрируйтесь ➡️ https://slc.tl/h6m2i

Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!

Реклама. АО "Селектел". erid:2W5zFK39Zkd

Читать полностью…

400+ AUR-пакетов скомпрометировали через infostealer и rootkit

В AUR произошёл серьёзный supply chain-инцидент: новый мейнтейнер, выдававший себя за доверенного участника, «усыновил» и заразил более 408 пакетов.

По данным IFIN, вредоносные изменения уже удалены, но сама история неприятная: атака затронула не один пакет, а сразу сотни пакетов из пользовательского репозитория Arch Linux.

Схема была такой:

- атакующий брал заброшенные AUR-пакеты;
- добавлял вредоносные preinstall-скрипты;
- через них подтягивались npm/Bun-зависимости;
- среди payload были atomic-lockfile и js-digest;
- поведение включало infostealer и признаки eBPF-rootkit.

Особенно опасно здесь не само количество пакетов, а уровень атаки. Это не просто «скрипт что-то скачал». В отчёте упоминаются подозрительные eBPF maps вроде:

- hidden_pids
- hidden_names
- hidden_inodes

То есть речь может идти о попытках скрывать процессы, имена и inode на уровне системы.

Для пользователей Arch важно, если недавно обновляли пакеты из AUR, особенно через yay -Syu или похожие AUR-helper’ы, стоит проверить список затронутых пакетов, посмотреть индикаторы компрометации и при подозрении относиться к системе как к недоверенной.

Официальные репозитории Arch через pacman не то же самое, что AUR. Этот инцидент ещё раз показывает: AUR удобен, но это пользовательский репозиторий, где PKGBUILD нужно читать так же внимательно, как shell-скрипт из интернета.

Источник:
https://discourse.ifin.network/t/400-aur-packages-compromised-with-infostealer-and-rootkit/577

Читать полностью…

⚡️ Kali Linux Roadmap: с чего начать в этичном хакинге

Нашёл нормальный roadmap по Kali Linux для тех, кто хочет не просто «поставить Kali и открыть терминал», а постепенно разобраться, как всё это работает.

Внутри маршрут по базовым темам: установка, настройка окружения, работа с терминалом, Linux-команды, сеть, безопасность, инструменты Kali и практика.

Это полезно тем, кто только заходит в кибербезопасность и не понимает, за что браться первым. Kali часто выглядит как набор страшных утилит, но без базы по Linux, сетям и правам доступа эти инструменты быстро превращаются в хаос.

Хороший подход здесь простой: сначала понять систему, потом сеть, потом инструменты, и только после этого переходить к практике в легальных лабораториях и CTF.

Такой roadmap удобно проходить как чек-лист: открыл раздел, разобрал команды, повторил руками, закрепил на тестовом окружении.

Для старта в Kali Linux это намного лучше, чем хаотично смотреть ролики и копировать команды без понимания.

https://github.com/justxor/Kalilinuxroadmap/tree/main

Читать полностью…

Линус Торвальдс мог быть богаче Илона Маска. Но он выбрал другой путь.

В 2005 году его команда внезапно потеряла доступ к инструменту, с помощью которого управляла кодом Linux. Один разработчик сделал реверс-инжиниринг этой системы, и компания, которой она принадлежала, просто отключила проект без предупреждения.

Тысячи разработчиков. Никакого нормального способа совместной работы. Никакого запасного плана.

Торвальдс не стал паниковать. Он сел и написал собственную систему контроля версий с нуля.

За 10 дней.

Он назвал её Git. Уже в первый день Git отслеживал собственный исходный код. Через несколько недель на нём управлялся весь проект Linux. К концу 2005 года официально вышел Git 1.0.

А потом Линус просто отдал его бесплатно. Open source. Без компании. Без патентов. Без монетизации.

Через несколько месяцев он передал проект другим людям и вернулся к Linux, будто ничего особенного не произошло.

Зато другие быстро поняли, что он оставил на столе.

На Git вырос GitHub: 100 млн разработчиков, покупка Microsoft в 2018 году за $7,5 млрд. GitLab вышел на биржу в 2021 году с оценкой почти $12 млрд. Сегодня Git контролирует больше 85% рынка систем контроля версий.

Каждое приложение в вашем телефоне. Каждый сайт, который вы открываете. Почти всё это создаётся с помощью Git.

Торвальдс не заработал на этом $0.

Он создал самый используемый инструмент для разработчиков в истории просто потому, что его достала существующая система.

А потом отдал его бесплатно, потому что считал: такой инструмент должен быть доступен всем.

И он ни разу публично не сказал, что жалеет об этом.

Читать полностью…

⚡️ Linux Roadmap: подробный практический курс от нуля до уверенного администратора

Это пошаговый маршрут изучения Linux с упором на практику. Каждый раздел содержит объяснение «почему это устроено именно так», разбор команд и обязательные задания, которые нужно выполнить руками в терминале. Чтение без повторения навыка не даёт — держите терминал открытым рядом с этим текстом.

Как работать с этим курсом: идите сверху вниз, не перепрыгивайте разделы; каждую команду набирайте руками, а не копируйте; в конце каждого блока выполняйте задание; специально ломайте систему в виртуалке и чините — это лучший способ учиться.

https://github.com/justxor/linuxfullroadmap/

Читать полностью…

⚡️ В Linux даже обычный syscall начинается с макроса.

Например:

SYSCALL_DEFINE3(write, unsigned int, fd, const char __user *, buf, size_t, count)

После препроцессора это превращается сразу в несколько функций:

- sys_write
- __se_sys_write
- __do_sys_write

Одна строка описывает системный вызов, а C-препроцессор через макросы и token pasting собирает остальную обвязку автоматически.

Именно поэтому код ядра Linux часто выглядит коротко, пока не начнёшь разворачивать макросы.

Читать полностью…

⚡️ Дуров жёстко прошёлся по идее блокировок и «суверенного интернета».

Создатель Telegram заявил, что запреты не приближают Россию к цифровому суверенитету, а наоборот - отбрасывают её назад. По его словам, независимую цифровую инфраструктуру невозможно построить одними блокировками, если из страны уезжают специалисты, способные делать собственные ОС, сервисы и платформы.

В качестве примера Дуров привёл удаление MAX из App Store: когда доступ к ключевым цифровым площадкам зависит от внешних игроков, говорить о настоящем суверенитете сложно.

Самая жёсткая цитата:

«Российский чиновник, который сломал интернет и отбросил страну на десятилетия назад под предлогом “цифрового суверенитета”, заслуживает медаль национальной безопасности - от США».

По сути, Дуров говорит простую вещь: цифровой суверенитет строится не запретами, а сильными инженерами, конкурентными продуктами и нормальной средой, из которой эти инженеры не хотят уезжать.

Читать полностью…

🖥 Сервисы крутятся. Прод вроде живой. Но когда тимлид спрашивает: «почему здесь лучше ValueTask, а не Task?» или «как GC поведёт себя под нагрузкой?» - ты начинаешь плыть.

И дело не в том, что ты плохо пишешь код. Просто большинство курсов заканчиваются ровно там, где начинается настоящий .NET.

Этот курс про то, что обычно остаётся под капотом:

- CLR
- JIT
- GC
- Span
- async state machine
- Source Generators
- lock-free подходы
- OpenTelemetry
- дампы в проде

На практике разбираем, как .NET реально работает внутри: что происходит с кодом после компиляции, как память живёт под нагрузкой, почему async иногда помогает, а иногда ломает производительность, как читать проблемы по дампам и метрикам, а не гадать по логам.

Если хочешь дойти до уровня, где система для тебя не чёрный ящик, а инструмент, который ты понимаешь до IL, - велкам.

Сейчас на stepik доступна скидка 55%: https://stepik.org/a/288694

Читать полностью…

🖥 Совет Linux

Диск забился, а где именно - непонятно?

Есть простая команда, чтобы быстро найти самые тяжёлые директории:

du -sh /* 2>/dev/null | sort -rh | head -10

Что она делает:

du -sh /* считает размер всех директорий в корне
sort -rh сортирует результат от самых больших к маленьким
head -10 показывает топ-10
2>/dev/null убирает ошибки доступа, чтобы вывод был чистым

Дальше всё просто: увидели, что разросся /var, /home или /opt - заходите внутрь и запускаете ту же команду уже там.

Например:

du -sh /var/* 2>/dev/null | sort -rh | head -10

Одна из тех команд, которые экономят кучу времени, когда сервер внезапно начинает кричать про 100% disk usage.

Читать полностью…

⚡️ Linux может передать в SIGCHLD гораздо больше, чем просто «дочерний процесс завершился»

Обычно с дочерними процессами делают так: ловят SIGCHLD, а потом отдельно вызывают waitpid(), чтобы узнать, кто завершился и с каким статусом.

Но есть более интересный режим - SA_SIGINFO.

Если повесить обработчик через sigaction() и включить флаг SA_SIGINFO, ядро передаст в обработчик структуру siginfo_t с деталями по дочернему процессу.

Там уже есть:

• PID дочернего процесса

• статус завершения

• сигнал, если процесс был убит сигналом

• причина генерации SIGCHLD

• код события: завершился, был остановлен, продолжен и так далее

То есть вместо «что-то случилось с ребёнком» программа получает нормальный контекст события прямо в обработчике сигнала.

Примерно так можно понять разницу:

CLD_EXITED - процесс завершился сам

CLD_KILLED - процесс убит сигналом

info->si_pid - какой именно процесс

info->si_status - код выхода или номер сигнала

Это удобная штука для рантаймов, супервизоров, init-систем, job runners и всего, что управляет дочерними процессами.

Вреальном коде не стоит делать тяжёлую работу внутри signal handler. Часто обработчик только фиксирует событие или пишет в pipe/eventfd, а основная логика уже выполняется в обычном цикле программы.

Но сама идея мощная: Linux не просто говорит «ребёнок умер».

Он может сразу сказать, какой именно, как именно и почему.

Читать полностью…

Создатели Unix сами устали от Unix - и в Bell Labs начали строить ему замену.

Кен Томпсон, Деннис Ритчи и Роб Пайк почти десятилетие работали над Plan 9. Название взяли из старого трэшового sci-fi фильма Plan 9 from Outer Space, как внутреннюю шутку. Но сама система была совсем не шуткой.

Plan 9 пыталась довести идеи Unix до логического конца. Если в Unix «всё файл» звучало как красивая философия, то в Plan 9 это стало реальной архитектурой. Файлами выглядели устройства, процессы, сеть, окна, удалённые машины. Всё собиралось в единое пространство имён, с которым можно работать одинаковыми инструментами.

Самые сильные идеи Plan 9:

- единое пространство имён для файлов, устройств, процессов, сети и графики
- личный вид системы для каждого пользователя
- распределённые вычисления как основа, а не отдельная надстройка
- UTF-8, который потом стал стандартом для всего интернета
- сетевые идеи, которые позже повлияли на Linux, Android и контейнеры
- подходы, которые Роб Пайк позже перенёс в Go

В 2000 году Plan 9 открыли бесплатно. Можно было запускать, менять, изучать и использовать без лицензий уровня Windows и без привязки к железу Apple.

Но массовым он так и не стал. Linux забрал внимание индустрии, Unix-наследие осталось везде, а Plan 9 превратился в систему, которую знают в основном системные программисты и любители красивых ОС.

Ирония в том, что Plan 9 проиграл как продукт, но выиграл как источник идей. UTF-8, распределённая модель, namespaces, сетевой подход, влияние на Go - всё это живёт в современных системах до сих пор.

Мир почти не заметил Plan 9.

Зато взял у него кучу идей.

Читать полностью…

⚡️ Mythos могли заблокировать не из-за «рисков на бумаге», а из-за настоящего кошмара для спецслужб США.

По словам главы Киберкомандования США, модель якобы взломала почти все засекреченные системы не за недели, а за считанные часы.

Вот ключевая фраза:

«Mythos проник почти во все наши classified systems не за недели, а за часы».

Если это правда, то причина паники становится очевидной. Речь уже не про обычный jailbreak, а про ИИ, который может менять правила кибервойны быстрее, чем государства успевают реагировать.

Что будет, когда такие модели станут доступны не только корпорациям и военным?

https://www.economist.com/briefing/2026/06/14/donald-trumps-blocking-of-anthropic-is-capricious-and-chaotic

Читать полностью…

Linux запустили на виртуальной машине с одной инструкцией

Инженер Adrian Cable показал необычный проект: виртуальную машину, которая умеет запускать Linux, DOOM и даже веб-сервер, хотя в её основе лежит всего одна базовая инструкция.

Проект называется Eternal Software Initiative.

Цель сохранить программы так, чтобы их можно было запустить даже через десятки или сотни лет.

Проблема в том, что современный софт быстро стареет. Меняются процессоры, операционные системы, библиотеки, форматы и инструменты сборки. Через много лет может оказаться, что исходники есть, а нормально запустить программу уже невозможно.

Решение проекта: упаковать программу, ОС, библиотеки и файловую систему в один самодостаточный артефакт. Потом его можно запустить на очень простой виртуальной машине, которую легко восстановить по короткому описанию.

В основе используется архитектура Subleq+. Она работает почти на одной операции: вычесть число из одной ячейки памяти, записать результат в другую и перейти дальше по условию.

Звучит примитивно, но этого достаточно, чтобы построить полноценные вычисления. Поэтому на такой схеме удалось запустить не только простые программы, но и Linux.

Что уже есть в проекте:

1. минимальная VM примерно на 50 строк C
2. LLVM backend для компиляции программ
3. порт Linux kernel
4. запуск C и C++ программ
5. demo с DOOM и веб-сервером
6. формат capsule для хранения всей системы в одном файле

Главная ценность проекта не в скорости, а в долговечности.

Обычный эмулятор сам зависит от современного софта. А здесь идея такая: оставить максимально простую VM и набор чисел, из которых можно снова поднять старую программу.

Редкий случай, когда хакерский эксперимент выглядит как реальный способ сохранять цифровую историю.

https://www.techtimes.com/articles/318667/20260618/software-preservation-breakthrough-ioccc-winning-vm-runs-linux-single-instruction.htm

Читать полностью…

Рэй Брэдбери бы оценил: запрещённые книги теперь прячут в умных лампочках

Энтузиаст разобрал обычную Wi-Fi лампочку и превратил её микроконтроллер ESP32-C3 в маленький автономный веб-сервер.

Получился почти сюжет из «451 градуса по Фаренгейту»: лампа создаёт открытую Wi-Fi сеть, открывает портал и даёт читать книги, которые запрещали или ограничивали в школах.

SD-карту в тесный корпус встроить не удалось, поэтому библиотека живёт прямо во встроенной памяти. Всего 4 МБ, но для текста этого хватает.

Самое забавное, что такие лампочки уже давно вышли за пределы «умного дома». На похожем железе поднимают Minecraft-серверы, запускают DOOM и теперь ещё прячут мини-библиотеки.

Будущее странное: раньше книги сжигали, теперь они раздаются из лампочки.

https://www.richardosgood.com/posts/banned-book-library/

Читать полностью…

restic - кроссплатформенный инструмент для бэкапов, который сохраняет зашифрованные снапшоты в 12 разных типах хранилищ.

* Поддерживает Linux, macOS, Windows, FreeBSD и OpenBSD
* Среди бэкендов: локальное хранилище, SFTP, S3, B2, Azure и GCS
* Использует дедупликацию и шифрование для эффективных и безопасных резервных копий
* Позволяет восстанавливать данные напрямую или через FUSE-mount

https://github.com/restic/restic

Читать полностью…

CF-Hero: инструмент для проверки, не светит ли ваш origin IP за Cloudflare

Cloudflare часто воспринимают как щит, который полностью прячет реальный сервер. Но на практике всё ломается о старые DNS-записи, забытые поддомены, TXT-записи, сторонние индексы и следы в Shodan, Censys или SecurityTrails.

CF-Hero как раз собирает такие сигналы в одном месте. Это OSINT-инструмент на Go, который ищет потенциальные origin IP у веб-приложений за Cloudflare и затем проверяет найденные адреса по ответам, чтобы снизить количество ложных совпадений.

Что использует:

- активный DNS-перебор
- Censys, Shodan и ZoomEye
- исторические записи SecurityTrails
- корреляцию связанных доменов
- анализ ответов найденных адресов

Если реальный IP где-то уже засветился, CDN перестаёт быть полноценным барьером: сервер могут пытаться атаковать напрямую, в обход правил, WAF и rate limiting.

Lang: Go
GitHub: https://github.com/musana/CF-Hero

Читать полностью…

✔️ Claude Code превращают в баг-хантинг машину

Claude-BugHunter - skill bundle для Claude Code, который добавляет готовую методологию для легального bug bounty, security audit и authorized red-team задач.

Это не один промпт в стиле «найди баги». Внутри целый набор рабочих навыков и команд:

- 51 skill и 15 slash-команд
- 574+ паттерна из раскрытых security-репортов
- 24 класса уязвимостей
- workflow для поиска, валидации, триажа и оформления findings
- шаблоны под enterprise-цепочки для M365, Okta, VMware и VPN-appliances
- scaffold папок под engagement: scope, notes, evidence, findings, reports
- интеграция с Burp через MCP

Проект: https://github.com/elementalsouls/Claude-BugHunter

Читать полностью…

🖥 На stepik обновили курс Python в 2026 - рабочий инструмент для автоматизации, ботов, парсинга, API, данных и разработки с ИИ.

Проблема новичков в том, что они учат Python кусками: синтаксис, пару задач, немного теории - и потом не понимают, как собрать из этого реальный проект.

Этот курс закрывает именно этот разрыв. Здесь вы не просто смотрите уроки, а учитесь писать код, разбирать ошибки и собирать рабочие решения на практике.

Внутри:

- Python с нуля
- много практики без сухой теории
- реальные задачи и проекты
- автоматизация рутины
- работа с файлами, данными и API
- понятная логика программирования
- современная разработка с ИИ
- отдельный блок по вайбкодингу

Вайбкодинг это нормальный навык 2026 года и вас научат- правильно ставить задачу, проверять код, понимать результат и быстрее доводить проект до рабочего состояния.

48 часов скидка 60%: https://stepik.org/course/288218/

Читать полностью…

➡️Как обнаружить атаку на AD, когда не видно ничего подозрительного?

Изучите техники и методики атак на инфраструктуру Active Directory!

Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Успейте записаться на курс до 18 июня🚗

➡️ Регистрация

Содержание курса:
⏺️AD-сети с миксом Windows/Linux
⏺️Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
⏺️Захват и укрепление позиций внутри инфраструктуры
⏺️Применение и анализ популярных эксплоитов

Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff

😀☺️😚🥲😎Дарим доступ к 20+ заданиям на взлом AD на hackerlab.pro при записи на курс!

Читать полностью…

⚡️ Anthropic готовится представить коммерческую версию Mythos

Компания находится в шаге от релиза Claude Fable 5 - публичной адаптации архитектуры Mythos, которая развивается в рамках закрытого проекта Glasswing.

Оригинальная модель Mythos умеет автономно находить уязвимости нулевого дня и выполнять многоступенчатые хакерские атаки. Чтобы безопасно вывести технологию на рынок, Anthropic разделит релиз.

Базовая версия Mythos останется эксклюзивом для государств и профильных партнеров, а Fable 5 станет общедоступным флагманом для разработчиков.

В публичной Fable 5 будут вшиты строгие системные ограничения на сетевое проникновение и эксплуатацию вредоносного кода, при этом она сохранит возможности Mythos (сложную логику, работу со сверхдлинным контекстом и многоэтапное автономное выполнение задач).

Ожидается, что официальный анонс Fable 5 состоится 10 июня на конференции Code with Claude в Токио.


@ai_machinelearning_big_data

#news #ai #ml

Читать полностью…

Linux-инсайт: shell - это просто обычная программа

Ваш терминал не разговаривает с ядром напрямую магическим языком. Shell - это обычная userspace-программа. Просто таких программ целое семейство:

bash, zsh, fish, dash, ksh, ash, встроенный shell из BusyBox.

С точки зрения ядра все они делают примерно одну и ту же работу:

- читают байты из file descriptor
- парсят их как командный язык
- вызывают fork
- вызывают exec
- запускают другие программы

Разница почти вся живёт в userspace: какой синтаксис shell принимает, насколько он удобен в интерактивной работе, насколько строго следует POSIX и какие расширения добавляет сверху.

POSIX описывает shell-язык, который часто называют просто sh. Большинство shell реализуют его как базу, а потом добавляют свои фичи.

Поэтому bash и dash - это не «разные терминалы». Это разные реализации одной идеи.

Небольшой сюрприз: в Debian и Ubuntu /bin/sh обычно не bash, а dash. Он проще, меньше и стартует быстрее. Поэтому скрипт с первой строкой:

#!/bin/sh

может вести себя не так, как вы ожидаете, если вы писали его «как bash-скрипт».

Проверьте у себя:

readlink -f /bin/sh

И вы увидите, какой shell реально стоит за /bin/sh на вашей машине.

Читать полностью…

Новая supply-chain атака на npm - теперь уже с заходом на ИИ-инструменты разработки.

За пару часов скомпрометировали 57 пакетов и выпустили 286+ вредоносных версий. Это новая версия червя Miasma: он сам расползается по зависимостям, без ручного участия атакующего, и использует техники уклонения, чтобы дольше не светиться.

Цель - не обычные пользователи, а пайплайны и секреты разработчиков. Payload вытаскивает токены GitHub Actions, облачные ключи, Vault, SSH, npm, GitHub и даже хранилища менеджеров паролей. Один заражённый npm install в CI может отдать доступ к инфраструктуре.

Отдельно неприятная часть - атака трогает конфиги ИИ-инструментов: .claude, .cursor, .gemini, .vscode. Если агент читает локальные настройки, инструкции или MCP-серверы из репозитория, такой файл превращается в канал управления прямо внутри среды разработки.

Что стоит сделать сейчас:

- запинить зависимости по хешам
- проверить затронутые пакеты
- перевыпустить токены в CI
- убрать секреты из окружения раннеров
- добавить конфиги ИИ-инструментов в обязательное ревью

Читать полностью…

⚡️ Anthropic разобрала 832 аккаунта, заблокированных за вредоносную активность с марта 2025 по март 2026 года.

ИИ всё чаще используют не для банального фишинга, а для сложных этапов атаки уже внутри взломанной сети.

Чаще всего модели применяли для подготовки:

• 560 из 832 аккаунтов писали вредоносный код с помощью ИИ
• 54 аккаунта использовали ИИ для горизонтального перемещения внутри скомпрометированной сети
• доля атакующих среднего риска и выше выросла с 33% до 56% за год

ИИ-фишинг просел, а использование моделей для поиска учёток, навигации по сети и постэксплуатации выросло. То, что раньше требовало сильной технической подготовки, теперь частично делает агент.

Из-за этого старые метрики риска ломаются. Количество техник уже почти не помогает: слабые атакующие использовали в среднем 16 техник, сильные - около 20. Интерфейс тоже не показатель: Claude Code, API или обычный чат сами по себе не говорят, насколько опасна атака.

Самые опасные группы строят систему, где ИИ не просто отвечает на запросы, а связывает шаги атаки в цепочку и действует почти автономно.

Аатака государственного уровня, которую Anthropic остановила в ноябре 2025 года. По MITRE ATT&CK она выглядела как «средний риск»: 30 техник в 13 тактиках. Но по внутренней шкале Anthropic получила максимум - 100 баллов. Claude Code использовали как автономного агента: он выполнял команды, эксплуатировал уязвимости, искал доступы и принимал тактические решения, пока человек подключался только в ключевых точках.

Полезные ссылки:

• Отчёт Anthropic: https://www.anthropic.com/news/AI-enabled-cyber-threats-mitre-attack
• Визуализация Frontier Red Team: https://red.anthropic.com/2026/attack-navigator/
• Разбор атаки ноября 2025: https://www.anthropic.com/news/disrupting-AI-espionage
• Verizon 2026 DBIR: https://www.verizon.com/business/resources/reports/dbir/

Читать полностью…

🐧Освойте Linux с нуля на бесплатном курсе

Планируете познакомиться с Linux, но не знаете, с чего начать?

Академия Selectel собрала все необходимые материалы в бесплатном курсе. Вы научитесь самостоятельно выстраивать эффективную работу с инфраструктурой на базе Linux, отработаете знания на практике, а после завершения получите сертификат.

Все уроки уже доступны, проходите в комфортном для себя темпе.

Посмотреть программу и начать обучение: https://slc.tl/1infh

Реклама. АО "Селектел". erid:2W5zFH7Svhw

Читать полностью…