Атакующие вступили в переписку с членами управляющего совета организации OpenJS Foundation, которая выступает нейтральной площадкой для совместной разработки открытых JavaScript-проектов, таких как Node.js, jQuery, Appium, Dojo, PEP, Mocha и webpack. В переписке, в которой принимало участие несколько сторонних разработчиков с сомнительной историей разработки открытого ПО, предпринимались попытки убедить руководство в необходимости обновить один из популярных JavaScript-проектов, курируемых организацией OpenJS.

В качестве причины обновления указывалось на необходимость добавления "защиты от любых критических уязвимостей". При этом никаких подробностей о сути уязвимостей не приводилось. Для реализации изменений подозрительный разработчик предложил включить его в число сопровождающих проект, в разработке которого он ранее принимал лишь небольшое участие. Кроме того, похожие подозрительные сценарии навязывания своего кода выявлены ещё в двух популярных JavaScript-проектах, не связанных с организацией OpenJS. Предполагается, что случаи не единичны, и сопровождающим открытые проекты следует не терять бдительность при приёме кода и утверждении новых разработчиков.

Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
https://www.opennet.me/opennews/art.shtml?num=61010

Оригинал
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects
https://openssf.org/blog/2024/04/15/open-source-security-openssf-and-openjs-foundations-issue-alert-for-social-engineering-takeovers-of-open-source-projects/

За ссылку спасибо подписчику

Проектом также предоставляется набор примеров, позволяющих оценить возможности Lunatik. Например, доступны скрипты с реализацией . . . кейлоггера для ведения лога нажатых клавиш, блокировщика клавиатуры (после нажатия "↑ ↑ ↓ ↓ ← → ← → LCTRL LALT" ядро перестаёт обрабатывать нажатия клавиш вплоть до повторного ввода данной последовательности)

Lunatik - инструментарий для создания в ядре Linux обработчиков на языке Lua
https://www.opennet.ru/opennews/art.shtml?num=61040

> ↑ ↑ ↓ ↓ ← → ← → LCTRL LALT

Fatality для ядра

Самое близкое что нашёл 🌝

CYRAX
Animality - (вплотную) В (ВВЕРХ, ВВЕРХ, ВНИЗ, ВНИЗ).

https://shedevr.org.ru/games/Sol/Mortal%20Kombat%203.txt

25 апреля в Санкт-Петербурге состоится Big Monitoring Meetup 11 по адресу пр. Медиков 3, лит А. (это конгресс-центр ЛПМ, станция метро Петроградская)

Поднимаемые темы

- концепции и подходы реализации мониторинга
- мониторинг инфраструктуры/сети/приложений
- метрики и алертинг
- взаимодействие бизнеса и мониторинга

Часть докладов

- Вчера было много метрик, но по пять, а сегодня мало — но по три / Владимир Гурьянов, Флант

- Мониторинг в стартапах и небольших проектах — миф или всё таки реальность? / Александр Калошин, Last.Backend/3L Group

- Раскрываем сетевые секреты c Netscan / Константин Климчев, SAYMON

Регистрация и программа
https://eventuer.timepad.ru/event/2812998/

Чат - @monhouse_tech

Записи с предыдущих конференций доступны на канале - https://www.youtube.com/@Monhouse

🫡

The details
A deal for HashiCorp could come together in the coming days, according to people familiar with the matter. It’s still possible the talks may not result in a transaction. 

A deal for HashiCorp would likely command a premium above where the stock is currently trading. HashiCorp had a market capitalization of $4.9 billion after its stock rose about 4% so far this year as of Tuesday afternoon. 

IBM Nears Deal for Cloud-Software Provider
Takeover could value HashiCorp at a premium to its market value of $4.9 billion
https://www.wsj.com/business/deals/ibm-nears-deal-for-cloud-software-provider-cf146448

Docker в заголовке точно лишний, проблема совсем не в нём

Видим что сам запрос отрабатывает за 309 мс, а вот JIT еще 1.7 сек
. . .
В нашем запросе в теле функции get_rawdata_str несколько LEFT JOIN на таблицах с большим количеством строк, в результате стоимость запроса составила очень большие значения и планировщик подключил JIT для оптимизации.

Просим клиента отключить JIT:

ALTER SYSTEM SET jit=off;
SELECT pg_reload_conf();

И время выполнения запроса снизилось до 30 мс:

Неожиданные последствия запуска PostgreSQL в Docker: замедление запросов в 100 раз
https://habr.com/ru/companies/tensor/articles/808931/

Вот теперь уже не слухи

🫡

HashiCorp joins IBM to accelerate multi-cloud automation
https://www.hashicorp.com/blog/hashicorp-joins-ibm

https://newsroom.ibm.com/2024-04-24-IBM-to-Acquire-HashiCorp-Inc-Creating-a-Comprehensive-End-to-End-Hybrid-Cloud-Platform

Спасибо подписчику за ссылку и оперативность

Мой хороший знакомый Никита Соболев (@sobolev_nikita) решил сделать (и начал делать) курс по Python

Никита контрибьютор в CPython, mypy, typeshed, TypedDjango, wemake-python-styleguide, dry-python, hypothesis и многих других.

Курс абсолютно бесплатный и открытый, доступен на канале https://www.youtube.com/@sobolevn, а материалы на GitHub - https://github.com/sobolevn/the-best-python-course

Для описания я процитирую автора

уникальность формата в том, что я рассматриваю одну узкую тему с трех уровней сложности: junior, middle, senior. так что, контент должен быть интересным для всех уровней python разработчиков!

например: во втором уроке мы разбираем оператор сложения +.
- junior специалисты повторяют свои знания про add, radd, iadd и NotImplemented
- middle разработчики узнают про ast и BinOp, атомарность операций и модуль operators
- seniorы же смогут посмотреть на CAPI для сложения, узнать про type slots для разных видов сложения и про tier1 оптимизацию байткода

круто, правда?

обратите внимание, что курс не для тех, кто идет учить питон с нуля. он для тех, кто уже хоть немного знает, как программировать на питоне.

Плейлист с первыми лекциями
https://www.youtube.com/playlist?list=PLbr8rVGhPD0WQgO97Ao67Q-QVuSbm_Zpz

От себя ещё добавлю

Никиту я знаю много лет, он всегда создавал какие-то сообщества или движение вокруг них, где бы ни находился, постоянно где-то что-то рассказывает и т.д.

В Москве это был митап по Elixir
https://www.youtube.com/playlist?list=PLbr8rVGhPD0WBbYO4ECZvkoiEldJy3LaC

В Питере был докладчиком в том числе и на нашем митапе
"Путь к становлению SRE в компании"
https://www.youtube.com/watch?v=5uUc3yPLn8M

Сейчас Никита в Нижнем Новгороде и там он организовал митап питонистов @pytho_nn
https://www.youtube.com/playlist?list=PLbr8rVGhPD0WJxhx-Sc2In7OMGJndsQ4f

Надеюсь, что и всем интересующимся будут полезен курс

> Почтовый клиент Thunderbird теперь поставляется только в формате snap. DEB-пакет с Thunderbird содержит заглушку для установки snap-пакета

> при наличии одной программы в пакетах deb и snap по умолчанию выбирается snap)

Ставить себе это я конечно же не буду

Релиз дистрибутива Ubuntu 24.04 LTS
https://www.opennet.ru/opennews/art.shtml?num=61069

MS-DOS 4.0 опенсорснули под MIT 🌝

https://github.com/microsoft/MS-DOS/tree/main/v4.0

Пятница!

Увлекательная игра для весёлой компании

Написал статью про семантический поиск с помощью посгреса и OpenAI API.

Казалось бы, в посгресе и так есть неплохой полнотекстовый поиск (tsvector/tsquery), и вы из коробки можете проиндексировать ваши тексты, а потом поискать по ним. Но на самом деле это не совсем то, что нужно — такой поиск работает лишь по чётким совпадениям слов. Т.е. postgres не догадается, что "кошка гонится за мышью" — это довольно близко к "котёнок охотится на грызуна". Как же победить такую проблему?


TLDR:


1. Преобразовываем наши тексты в наборы чисел (векторы) при помощи API openAI.
2. Сохраняем векторы в базе с помощью pgvector.
3. Легко ищем близкие друг к другу векторы или ищем их по вектору-запросу.
4. Ускоряем индексами.

Как всегда, буду рад плюсикам на Хабре:

https://habr.com/ru/companies/karuna/articles/809305/

Канал Cross Join. Подпишись

Аналитики Securonix обнаружили новую кампанию Dev Popper, которая направлена на разработчиков ПО. Хакеры проводят фальшивые собеседования, чтобы склонить жертв к установке Python-трояна удаленного доступа (RAT).

Атаки Dev Popper используют многоступенчатую цепочку заражений, основанную на социальной инженерии и направленную на обман жертв посредством постепенной компрометации. По мнению исследователей, эти атаки, вероятно, организованы северокорейскими злоумышленниками, однако данных для точной атрибуции пока недостаточно.

Исследователи отмечают, что хакеры «используют профессиональную вовлеченность разработчиков и их доверие к процессу приема на работу, где отказ от выполнения действий интервьюера может поставить под угрозу саму возможность трудоустройства», что делает атаки весьма эффективным.

Как правило, хакеры выдают себя за работодателей, у которых якобы есть вакансии для разработчиков. Во время собеседования они просят кандидатов загрузить и выполнить некое задание из репозитория на GitHub. Но реальная цель злоумышленников — вынудить жертву загрузить малварь, которая собирает системную информацию и обеспечивает атакующим удаленный доступ к хосту.

Так, файл с «заданием» обычно представляет собой ZIP-архив, содержащий пакет NPM, в котором содержится README.md, а также каталоги frontend и backend. Когда разработчик запускает этот пакет NPM, активируется скрытый в директории backend обфусцированный JavaScript-файл (imageDetails.js), выполняющий через процесс Node.js команды curl для загрузки дополнительного архива (p.zi) с внешнего сервера.

На фальшивых собеседованиях разработчиков вынуждают установить Python-бэкдор
https://xakep.ru/2024/04/27/dev-popper/

Надо было ring0 назвать 🌝

Отмечается, что смена идентификатора при помощи флага SUID в sudo сопряжена с дополнительными рисками, связанными с тем, что SUID-процесс наследует контекст исполнения, включающий множество свойств, контролируемых непривилегированным пользователей, таких как переменные окружения, файловые дескрипторы, параметры планировщика и привязки cgroup. Часть из подобных свойств автоматически очищается для SUID-процессов ядром, а часть - самим приложением. Тем не менее, в сложных SUID-программах, таких как sudo, продолжают регулярно находить уязвимости, вызванные неаккуратным обращением с внешними данными, на которое может влиять непривилегированный пользователь.

В run0 вместо использования SUID осуществляется обращение к системному менеджеру с запросом запуска командной оболочки или процесса с указанным идентификатором пользователя, создания нового псевдотерминала (PTY) и пересылки данных между ним и текущим терминалом (TTY). Подобное поведение больше напоминает запуск при помощи ssh, чем выполнение при помощи классического sudo. Привилегированный процесс запускается в изолированном контексте, который порождается процессом PID 1, а не процессом пользователя, т.е. не наследует свойства окружения пользователя, за исключением проброса переменной окружения $TERM. Проброс регулируется через список явно разрешённых свойств, вместо попыток запретить опасные свойства (концепция белого списка, вместо чёрного).

Леннарт Поттеринг представил run0, замену sudo, интегрированную в systemd
https://www.opennet.me/opennews/art.shtml?num=61088

Оригинал
https://mastodon.social/@pid_eins/112353324518585654

Benchmark results of Kubernetes network plugins (CNI) over 40Gbit/s network [2024]

https://itnext.io/benchmark-results-of-kubernetes-network-plugins-cni-over-40gbit-s-network-2024-156f085a5e4e

Прямо сейчас идёт стрим из Томского хакспейса "Akiba" (время UTC+7:00)

17:15 — Проблемы инжектов в Linux и при чём тут ptrace
17:40 — Почему на кастомных прошивках работают не все Android-приложения и кто в этом виноват
18:05 — Разработка бэкенда LLVM: компилим Си куда не надо

18:30 — Перерыв

18:50 — Давай представим, что ты моя бабушка или как ломать LLM
19:15 — Когда поиска в HeadHunter не хватает, но у тебя есть Python
19:40 — На каком ты это сказал? Выдуманные языки в играх

Ссылка на трансляцию (сейчас перерыв)
https://www.youtube.com/watch?v=IhfwbaBG4EI

Чат хакспейса @hackspace_tomsk

The Russia-based LockBit ransomware group is one of the most active ransomware groups in the world and is best known for its ransomware variant of the same name. According to the Department of Justice, LockBit has targeted over 2,500 victims worldwide and is alleged to have received more than $500 million in ransom payments. Since January 2020, affiliates using LockBit have attacked organizations across an array of critical infrastructure sectors, including financial services, education, emergency services, and healthcare. 

United States Sanctions Senior Leader of the LockBit Ransomware Group
https://home.treasury.gov/news/press-releases/jy2326

> Email Address [email protected];
> alt. Email Address [email protected]

🙈

SPECIALLY DESIGNATED NATIONALS LIST UPDATE
https://ofac.treasury.gov/recent-actions/20240507

У мошенников появился новый вид обмана в Telegram.

Скамеры под видом техподдержки мессенджера связываются с потенциальными жертвами, утверждая, что получена «заявка на удаление аккаунта», затем пытаются убедить отменить несуществующую «процедуру» и зайти на фишинговый сайт.

Это слишком тупой развод. Каждый активный пользователь Телеги знает, что поддержка тут никак не работает вообще 🌝