Бэкдор в пакете xrpl.js: как хакеры украли ключи от кошельков XRP через NPM

В популярной библиотеке xrpl.js (165 тыс. загрузок за неделю) обнаружен вредоносный код, сливающий приватные ключи криптокошельков на сервер злоумышленников. Уязвимость затронула версии 2.14.2–4.2.4, используемые в 143 зависимых пакетах.

Что произошло?
— CVE-2025-32965 — функция checkValidityOfSeed маскировала отправку ключей на хост 0x9c.xyz;
— Масштаб — XRP занимает 4-е место по капитализации ($30+ млрд), а библиотека интегрирована в ключевые приложения Ripple;
— Вектор атаки — фишинг и социнжиниринг: хакеры взломали аккаунт мейнтейнера пакета.

Технические детали
— Скрытый код — вредоносные версии не попали на GitHub, только в NPM;
— Тайминг — пакеты с бэкдором висели в репозитории 16 часов (21–22 апреля);
— Исправлено — в версиях 4.2.5 и 2.14.3 код удалён, но уязвимые релизы уже скачаны тысячами.

Linux / Линукс 🥸

Canonical объявила кодовое имя Ubuntu 25.10 — Questing Quokka (Ищущая Квокка)

Релиз Ubuntu 25.10 (с GNOME 49, Linux 6.17, GCC 15, Mesa 25.2, Rust Coreutils по умолчанию вместо GNU Coreutils, Dracut по умолчанию) планируется 9 октября 2025 года. Эта версия проекта будет поддерживаться до июля 2026 года.

Linux / Линукс 🥸

Linux / Линукс 🥸

Debian запустил голосование о критериях включения AI-моделей в основной репозиторий

Предлагается считать модели без исходных данных обучения и инструментов несоответствующими принципам свободного ПО (DFSG). Причины:
— Без данных и кода обучения невозможны модификации, проверка безопасности, анализ легальности данных (например, нарушение GPL) и воспроизводимость
— Модели с закрытыми данными могут скрывать уязвимости или нелегальный контент

Контекст:
OSI (Open Source Initiative) ранее определила «открытую AI» как систему с открытой архитектурой, методологией и описанием данных, но без обязательной публикации самих данных. Software Freedom Conservancy (SFC) критикует это: без данных нет полной свободы изменения и изучения моделей.

Если голосование пройдёт, Debian будет блокировать такие модели в основном репозитории, усиливая требования к прозрачности AI. Решение OSI — компромисс, так как публикация данных часто невозможна (конфиденциальность, авторские права), но SFC настаивает: без данных «открытость» неполноценна.

Linux / Линукс 🥸

KDE прекращает формирование LTS-релизов и реформирует отправку телеметрии

KDE прекращает выпуск LTS-релизов Plasma, передав их поддержку дистрибутивам.

Причины:
— LTS охватывал только рабочий стол, а не все компоненты KDE, и основная нагрузка всё равно ложилась на дистрибутивы.
— Ошибки в старых версиях сложно исправлять из-за рассинхронизации кода и специфичных конфигураций дистрибутивов.

Вместо LTS увеличено число обновлений для обычных релизов (6 вместо 5) и обсуждается переход на 2 крупных релиза в год с продлённой поддержкой (после решения проблем с Wayland).

Дополнительно отмечается реформирование механизма отправки телеметрии. Телеметрия остаётся опциональной, но появится система целевых проверок (например, перед удалением функций).

Пользователи смогут участвовать в конкретных исследованиях, видя список собираемых данных. Статистика будет публичной.

Цель изменений — сфокусироваться на актуальных задачах и снизить нагрузку на разработчиков.

Linux / Линукс 🥸

Linux / Линукс 🥸

Разработчики ядра Linux планируют удалить поддержку процессоров i486

Инициатором выступил мэйнтейнер x86 Инго Молнар. Предлагается оставить только CPU с поддержкой инструкций CX8 и TSC (начиная с Pentium).

Основные причины:
— Необходимость эмуляции CX8 и TSC усложняет код ядра
— Поддержка устаревших CPU требует 14 тыс. строк лишнего кода
— Проблемы с эмуляцией отнимают время разработчиков
— Библиотека math-emu для эмуляции FPU станет ненужной

Контекст:
— Линус Торвальдс ранее неоднократно поднимал этот вопрос
— Поддержка 386 была удалена ещё в 2012 году
— Современные дистрибутивы уже не работают на чистом i486
— Встраиваемые системы (например, Intel Quark) не пострадают — они поддерживают нужные инструкции

Изменение позволит упростить и ускорить разработку ядра. Фактически i486 уже давно не используются с современными версиями Linux.

Linux / Линукс 🥸

Linux / Линукс 🥸

Представлены принципы дизайна компилятора Nimony для будущего Nim 3.0

Цели и принципы Nimony:
— Цель: предсказуемость времени выполнения (WCET) для систем реального времени
— Отказ от JIT и сборщиков мусора с трассировкой — минимизация недетерминированных задержек
— Примитивные типы данных напрямую мапятся на машинные слова — композитные типы размещаются без косвенной адресации

Управление памятью:

— Единственный режим mm:atomicArc (атомарный подсчёт ссылок + деструкторы)
— Объекты по умолчанию ацикличны — циклические требуют явной аннотации .cyclic
— Новый алгоритм сборки циклов в разработке — пока не готов для production

Обработка ошибок:

— Интеграция состояния ошибки в объекты (например, NaN для float)
— Исключения сохраняются — но процедуры с ними обязательно аннотируются {.raises.}
— Введён тип ErrorCode — типобезопасный, требует полной обработки всех вариантов (аналог enum)
— Поддержка трансляции системных ошибок (POSIX, HTTP и др.) без преобразований

Нехватка памяти (OOM):

— Отказ от аварийного завершения — вызов oomHandler (можно переопределить)
— Конструкторы ref object могут возвращать nil — компилятор форсирует проверку (как с Option)

Обобщённое программирование:

— Полная проверка типов на этапе определения — раннее выявление ошибок
— Концепции (concepts) — статические требования к типам-параметрам

Асинхронность и параллелизм:

— Единая конструкция spawn — задачи выполняются в том же или отдельном потоке (решает runtime)
— Реализация через CPS (continuation-passing style) и плагины компилятора
— Параллельные циклы || — для вычислений без управления потоками (научные задачи, GPU)

Метапрограммирование:

— Макросы заменяются плагинами компилятора — выполняются после проверки типов
— Типы плагинов:
— Шаблонные — привязаны к вызовам шаблонов
— Модульные — обрабатывают AST всего модуля (пример: spawn)
— Для типов — замена макросов переписывания (оптимизация матричных операций и др.)

Документация:

— Для документации Nimony предусмотрен сайт, полностью сгенерированный ИИ и проверенный автором Nim на достоверность.

Linux / Линукс 🥸

Linux / Линукс 🥸

Выпуск BleachBit 5.0.0, приложения для освобождения места на диске

Программа предлагает список рекомендуемых для удаления компонентов, из которого пользователь может исключить определённые позиции. Программа поддерживает консольный и графический интерфейсы и может работать в Linux и Windows. Код написан на языке Python с использованием PyGTK и распространяется под лицензией GPLv3. Готовые пакеты собраны для популярных дистрибутивов Linux.

BleachBit позволяет выполнить чистку кэшей, логов и временных файлов различных приложений, удалить неиспользуемые локали и оставшиеся после установки файлы с rpm- и deb-пакетами, оптимизировать внутренние БД браузеров, почтовых клиентов и пакетных менеджеров. Программа также поддерживает режим "шредера", позволяющий перезаписать отдельные файлы или всё свободное место на накопителе для предотвращения восстановления удалённых приложениями файлов.

Linux / Линукс 🥸

Linux / Линукс 🥸

В GNOME SDK добавлена поддержка языка построения интерфейсов Blueprint

В состав предлагаемого проектом GNOME инструментария для разработки приложений (GNOME SDK) включён компилятор blueprint-compiler, позволяющий использовать для определения интерфейса приложений разметку Blueprint. Поддержка Blueprint в GNOME SDK даст возможность применять данный язык описания интерфейса в приложениях GNOME без ручной установки дополнительных зависимостей. В настоящее время Blueprint добавлен в ночные сборки GNOME SDK и войдёт в состав релизов, начиная с осеннего выпуска GNOME 49.

Blueprint упрощает создание интерфейса с использованием библиотеки GTK4 и отличается задействованием простого декларативного синтаксиса, повторяющего модель виджетов GTK, поддерживающего типовые шаблоны, типы и обработчики. В отличие от формата ui-файлов GTK в Blueprint не применяется разметка XML, которая воспринимается как перегруженная и неудобная для редактирования вручную.

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux / Линукс 🥸

Microsoft добавила Fedora Linux 42 в качестве официального дистрибутива для подсистемы Windows для Linux (WSL)

Пользователи Windows 11 с поддержкой WSL2 теперь могут просто запустить wsl –-install FedoraLinux-42 для установки, а затем wsl –d FedoraLinux-42 для запуска Fedora 42 в этой среде от Microsoft. Также в Microsoft ведётся работа по поддержке графических приложений в Fedora Linux на WSL и других функциях.

Linux / Линукс 🥸

Linux / Линукс 🥸

Ubuntu 25.10 перейдёт на sudo-rs (Rust) по умолчанию

Цель: повысить безопасность — Rust снижает риски ошибок памяти (переполнение буфера и др.).
— Другие замены: coreutils → uutils, zlib → zlib-rs, ntpd → ntpd-rs, GnuPG → Sequoia (в процессе).
— Совместимость: sudo-rs работает как классический sudo/su — есть опция отката на старые версии.

Уже можно попробовать через oxidizr.

Планы до релиза:
— В sudo-rs добавят NOEXEC (блокировка дочерних процессов), поддержку AppArmor, sudoedit и старых ядер (<5.9).
— В uutils улучшат совместимость с SELinux (mv, ls, cp) и локалями (например, в sort).

Если тесты пройдут успешно — изменения войдут в LTS-версию Ubuntu 26.04.

Linux / Линукс 🥸

Linux / Линукс 🥸

openSUSE удаляет Deepin из репозиториев из-за нарушений безопасности

Причина: сопровождающий Deepin обошёл проверки, добавив пакет deepin-feature-enable, который устанавливал небезопасные компоненты (D-Bus, Polkit) через tar-архивы в обход RPM. Пользователям предлагалось согласиться с лицензией, разрешающей установку непроверенных компонентов.

Последствия:
— Все пакеты Deepin удалены из Tumbleweed и не войдут в Leap 16.0.
— В Leap 15.6 удалён только проблемный пакет.
— SUSE Security Team не рекомендует использовать Deepin из-за низкой культуры безопасности проекта.

Альтернатива: Установка Deepin через сторонние репозитории (Deepin Factory для Tumbleweed, Deepin Leap для Leap).

Контекст:
— Правила openSUSE требуют проверки компонентов Security Team перед включением.
— Некоторые компоненты Deepin не прошли аудит из-за уязвимостей, но были добавлены обходным путём.

Linux / Линукс 🥸