Компрометация 32 пакетов Red Hat в каталоге NPM и 1577 пакетов в репозитории AUR

Who are we? Red Hat! 1600x1200 redhat_ru_exw.png
Who are we? Red Hat!

Хорошее пополнение коллекции.
Новостям надо дать настояться, после чего смаковать детали.

  • Red Hat, RED HAT, КАРЛ!
  • GitHub Actions, как обычно.
  • NPM, к этому уже привыкли.
  • Arch User Repository, уже интересней.
Компрометация 32 пакетов...

Ежедневная рутина

14/Июнь/2026 Meteor75MikroTik

MikroTik Switch CRS354
MikroTik Switch CRS354 5712x4284
mikrotik_network_stand.jpg
Датчик давления
Датчик давления 4032x3024
26-06-14_13-45-16.jpg
BetaFPV Meteor75
BetaFPV Meteor75 4032x3024
meteor75_6.jpg
Датчик давления | Показания осциллографа - состояние пустой 1920x1021 empty.png
Датчик давления | Показания осциллографа - состояние пустой


Ежедневная рутина

WiFi розетка, заявлена на 20 Ампер

9/Июнь/2026 wall-socket

WiFi Розетка
WiFi Розетка 4032x3024
ima_145e6a7.jpg
LN822HKI
LN822HKI 4032x3024
ima_9a69bb5.jpg
Плата и антенна
Плата и антенна 4032x3024
ima_4b1e157.jpg


Что-же тут может быть не так?

WiFi розетка, заявлена...

Критическая уязвимость в Nginx CVE-2026-9256

23/Май/2026 nginxdebianCVE

Пересоберём Nginx с патчем CVE-2026-9256 согласно Debian-way.

Debian Nginx CVE-2026-9256 1600x900 CVE-2026-9256.png
Debian Nginx CVE-2026-9256

Критическая уязвимость в nginx, позволяющая удалённо добиться выполнения кода с правами рабочего процесса nginx через отправку специально оформленного HTTP-запроса.
Но дело не в этом.
А дело в том, что мейнтейнеры Debian не торопятся выкатывать новый пакет с патчами.

1
2
3
4
5
apt --no-install-recommends \
    --no-install-suggests install \
    build-essential \
    fakeroot \
    devscripts

nano /etc/apt/sources.list

1
2
3
4
# trixie sources
deb-src https://deb.debian.org/debian/ trixie main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security/ trixie-security main contrib non-free non-free-firmware
deb-src https://deb.debian.org/debian/ trixie-updates main contrib non-free non-free-firmware
Критическая уязвимость в...

Если разработчик, выбирая между удобством и безопасностью, выбирает удобство, он не получит ни удобства, ни безопасности

5/Май/2026 zero-trustsecurity

Инженер по безопасности загрузил вредоносный скрипт в свой аккаунт 1280x1080 nice-security-engineering_exw.png
Инженер по безопасности загрузил вредоносный скрипт в свой аккаунт

Прошло всего-навсего пол года, но новостная лента не переставала приносить новые забавные уязвимости.
Как обычно, я не акцентирую внимание на системных уязвимостях в snapd / Rust Coreutils / Flatpak, ядре (Copy Fail, Dirty Frag, Fragnesia, pidfd, PinTheft, GRO Frag) или AppArmor.


Какими бы опасными они не были - они “условно” пассивные, то есть при их наличии необходим ряд факторов и активных действий изнутри или извне для успешной эксплуатации.

Мне гораздо интереснее следить за внедрениями вредоносного кода в системы распространения пакетов, библиотеки и прочие репозитории.

Потому что это относится к “активным” и непосредственным атакам, им почти не надо сочетания определённых факторов, после загрузки они сразу же поразят репозиторий разработчика, далее соберут его персональную/финансовую/авторизационную информацию, а после этого продолжат действовать по цепочке на всех серверах, к которым у него был доступ.

Если разработчик, выбирая...
Страница 1 из 14