1. Кибератаки на цепочку поставок: Взлом Red Hat и уязвимости npm
Информационная безопасность в экосистеме JavaScript снова оказалась под ударом. Обнаружена вредоносная активность, затронувшая облачные сервисы Red Hat. Злоумышленники опубликовали зараженные пакеты в реестре npm, внедрив в них опасные скрипты автоматической установки.
Механизм атаки и обфускация
Вектором атаки стали скрипты pre-install и post-install. При скачивании пакета этот механизм автоматически запускает произвольный код от имени пользователя в системе.
В данном случае злоумышленники пытались похитить токены авторизации и переменные окружения (CI/CD secrets). Чтобы избежать обнаружения автоматическими сканерами, хакеры применили многослойную обфускацию:
- Исходный код был зашифрован простым шифром Цезаря сдвигом ROT-21.
- Результат представлял собой массив символов, который после расшифровки превращался в JavaScript-файл размером 1.27 МБ с двумя дополнительными зашифрованными блоками данных.
- Ироничная деталь: один из этих блоков автоматически скачивал среду выполнения Bun, чтобы запустить финальный полезный нагрузочный код именно в ней (поскольку ИИ-помощники вроде Claude часто предлагают использовать Bun по умолчанию).
Обнаружить угрозу компании Step Security удалось благодаря резкому увеличению веса пакета — с нескольких сотен килобайт до 4 мегабайт.
Тайпосквоттинг и Dependency Confusion
Параллельно Microsoft зафиксировала атаки типа тайпосквоттинг (создание пакетов с именами, похожими на популярные библиотеки вроде Open Search и Elastic, в расчете на опечатку разработчика).
Также зафиксированы случаи dependency confusion (подмена зависимостей): хакеры регистрировали в публичном npm-реестре имена приватных корпоративных пространств имен (например, @company-name/package). Если внутренний установщик компании настроен некорректно, он скачивал вредоносный публичный пакет вместо доверенного внутреннего.
Как защититься?
Главная рекомендация — переход на PNPM.
- Отключение скриптов по умолчанию: В отличие от стандартного npm, PNPM блокирует автоматический запуск
pre/post-installскриптов. Разработчик должен вручную разрешить их выполнение для конкретных пакетов. - Задержка обновлений (Minimum Release Age): Начиная с 11-й версии, в PNPM по умолчанию активирован параметр, который выдерживает паузу в 1440 минут (24 часа) перед установкой самой свежей версии пакета. Поскольку большинство вредоносных пакетов ИБ-компании находят и удаляют в первые 30–40 минут после публикации, эта пауза защищает от случайного заражения.
2. NVIDIA заходит на рынок ПК: Эра локального ИИ
Компании Microsoft и NVIDIA объявили о стратегическом партнерстве и анонсировали флагманский ноутбук Surface Laptop Ultra, который должен стать прямым конкурентом MacBook Pro на чипах Apple Silicon.
Технические характеристики платформы:
- Процессор: 20-ядерный ARM-процессор NVIDIA RTX Spark (разработан для конкуренции с чипами Apple M-серии).
- Графика: Дискретный графический чип RTX.
- Память: До 128 ГБ унифицированной памяти (Unified Memory).
Устройство ориентировано на разработчиков, создателей контента и специалистов по ИИ. Огромный объем объединенной памяти позволяет разворачивать и запускать продвинутые большие языковые модели (LLM) полностью локально, прямо на устройстве.
Будущее за локальными моделями
Из-за растущей стоимости облачных подписок и API-токенов (OpenAI, Anthropic) локальный запуск ИИ становится экономически выгодным. После покупки железа пользователь платит только за электроэнергию.
Даже запуск ИИ на старом серверном оборудовании (например, на процессорах Intel Xeon 10-летней давности с большим объемом ОЗУ) выдает скорость генерации «со скоростью чтения человека», чего более чем достаточно для асинхронных задач (агенты, парсинг данных, авто-исследования), запускаемых на всю ночь.
3. Эмулятор PSP в браузере и запуск сайта GTA 6
В веб-индустрии наметился бум портирования сложных систем в браузер с помощью технологии WebAssembly (Wasm). Разработчики сумели запустить полноценный эмулятор портативной консоли PlayStation Portable (PSP) прямо на веб-странице, позволяя загружать тяжелые образы игр (ISO/CSO) размером в сотни мегабайт без установки сторонского софта.
Веб-технологии на сайте GTA 6
Студия Rockstar Games запустила официальный сайт грядущей игры Grand Theft Auto 6.
Несмотря на использование спорного в плане юзабилити приема scrolljacking (изменение и перехват стандартного поведения прокрутки страницы пользователем), интерфейс реализован плавно. Основной акцент сделан на интерактивный скролл-хантинг: воспроизведение и перемотка фоновых видеороликов жестко привязаны к положению ползунка прокрутки, создавая кинематографичный эффект погружения без потери производительности браузера.
На основе Red Hat Hacked! ⟡ NVIDIA Enters the PC Race ⟡ GTA 6 Goes Live