В неофициальном Telegram-клиенте Nekogram выявлен обфусцированный код, скрыто отправляющий боту «@nekonotificationbot» номера телефонов пользователей, вошедших в приложение, в привязке к индентификатору пользователя. Изменение для сбора номеров телефонов присутствует только в готовых APK-пакетах, распространяемых через Google Play, GitHub и Telegram-канал проекта. В исходном коде на GitHub и в APK-пакенте из каталога F Droid собирающее телефоны изменение отсутствует. Бэкдор присутствовал в файле Extra.java. Предположительно, отправка осуществлялась начиная с версии Nekogram 11.2.3, первое время только для пользователей с китайскими номерами, а затем для всех. В программе также использовались osint-боты «@tgdb_search_bot» и «@usinfobot» для определения пользователей по их ID, но номера телефонов им не … Читать далее Неофициальный Telegram-клиент Nekogram отправлял номера телефонов боту разработчика

Сопровождающий NPM-пакет axios, для которого на днях были выпущены вредоносные обновления, раскрыл подробности атаки, в результате которой атакующим удалось получить доступ к его компьютеру и всем учётных данным. Атака была проведена с использованием типового метода социального инжиниринга, который ранее уже использовался для компрометации разработчиков криптокошельков и AI-платформ. Атакующий выдал себя за основателя известной компании и предложил организовать совместный проект. Вначале сопровождающего пригласили в рабочее пространство Slack, которое выглядело реалистично, содержало каналы с сообщениями из LinkedIn, имело фейковые профили работников компании и представителей других открытых проектов. Через какое-то время было назначено групповое обсуждение, организованное на базе платформы MS Teams. В ходе … Читать далее Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios

Александр Гомес Гайгалас (Alexandre Gomes Gaigalas), автор библиотеки coral для создания переносимых shell-скриптов, опубликовал C89cc.sh, компилятор для языка Си, написанный целиком на Shell. Компилятор поддерживает стандарт C89 и может генерировать исполняемые файлы в формате ELF64 для систем x86-64. Код содержит около восьми тысяч строк и открыт под лицензией ISC. Источник: http://www.opennet.ru/opennews/art.shtml?num=65133 Читать далее Компилятор для языка Си, написанный на Shell

Компания Google опубликовала новое семейство больших языковых моделей Gemma 4, основанных на технологиях модели Gemini 3. Gemma 4 распространяется под лицензией Apache в вариантах с 2.3, 4.5, 25.2 и 30.7 миллиардами параметров (E2B, E4B, 31B и 26B A4B). Варианты E2B и E4B подходят для использования на мобильных устройствах, системах интернета вещей (IoT) и платах типа Raspberry Pi, а остальные варианты пригодны для применения на рабочих станциях и системах с потребительскими GPU. Размер учитываемого моделью контекста составляет 128 тысяч токенов для моделей E2B и E4B, и 256 тысяч токенов для моделей 31B и 26B A4B. Модели многоязыковые и мультимодальные: из коробки … Читать далее Google выпустил открытую AI-модель Gemma 4, построенную на технологиях Gemini 3

В PX4, открытом стеке с реализацией автопилота для дронов и автономных транспортных средств, выявлена уязвимость (CVE-2026-1579), позволяющая выполнить на устройстве произвольные shell-команды без криптографической аутентификации при наличии доступа к интерфейсу MAVLink. Проблеме присвоен критический уровень опасности (9.8 из 10). Уязвимость вызвана тем, что протокол MAVLink по умолчанию не использует криптографическую аутентификацию, поэтому любые сообщения могут отправляться посторонним. Среди прочего, атакующий может отправить сообщение «SERIAL_CONTROL», предоставляющее доступ к выполнению кода в интерактивной командной оболочке. В качестве обходного пути защиты рекомендуется включить заверение сообщений MAVLink цифровой подписью для всех каналов связи, отличных от подключения через USB. Источник: http://www.opennet.ru/opennews/art.shtml?num=65129 Читать далее Уязвимость в автопилоте PX4, позволяющая выполнить код без аутентификации

Компания НТЦ ИТ РОСА опубликовала дистрибутив ROSA Fresh 13.2, построенный на платформе rosa 13. Дистрибутив распространяется свободно и разрабатывается с участием сообщества. Релиз ориентирован на широкий круг пользователей. Для загрузки доступны сборки с рабочими столами KDE 6 (4 ГБ). KDE 5 (4 ГБ, LXQt (3 ГБ) и GNOME (4 ГБ), а также сборки для серверов (2 ГБ) и виртуальных машин (753 МБ). В репозитории пакеты собраны для архитектур aarch64, e2kv4, i686, loongarch64, riscv64 и x86_64. Среди изменений: Реализован каталог приложений apps.rosa.ru, позволяющий выбрать программу в браузере и запустить процесс установки одним кликом. Добавлен графический интерфейс для настройки менеджера входа GDM … Читать далее Опубликован дистрибутив ROSA Fresh 13.2

После полугода разработки опубликован выпуск OpenSSH 10.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения: Устранена уязвимость, позволяющая атакующему, контролирующему имя пользователя, передаваемое при запуске утилиты ssh, потенциально добиться выполнения произвольных shell-команд. Уязвимость проявляется в системах, использующих подстановку «%u» в некоторых директивах файла конфигурации, таких как «Match exec». Проблем вызвана проверкой спецсимволов в имени пользователя на стадии после выполнения %-подстановок в файле конфигурации ssh_config. Устранена проблема с безопасностью в sshd, вызванная некорректным сопоставлением опции authorized_keys principals=»» со списком имён (principal) в сертификате в ситуации, когда в именах указан символ «,». Для эксплуатации уязвимости … Читать далее Релиз OpenSSH 10.3

Опубликован инструментарий для оценки производительности web-браузеров JetStream 3, нацеленный на тестирование производительности движков JavaScript и WebAssembly при выполнении типовых web-приложений, осуществляющих интенсивные вычисления. Для достижения объективных и независимых результатов проект развивается совместно разработчиками конкурирующих браузерных движков из Google, Apple и Mozilla. Код доступен под лицензией BSD. В новой версии учтены современные тенденции и изменения, произошедшие в Web с момента релиза JetStream 2 в 2019 году, а также актуализированы тесты для соответствия шаблонам работы реальных web-приложений и отражения реальной производительности, а не синтетических результатов под которые точечно оптимизированы браузерные движки. В отличие от тестового набора Speedometer 3, в JetStream 3 упор … Читать далее Google, Apple и Mozilla опубликовали JetStream 3 для оценки производительности браузеров

Организация The Document Foundation (TDF), курирующая разработку офисного пакета LibreOffice, исключила из своих рядов всех сотрудников компании Collabora и партнёров. В последние дни марта из TDF исключено 43 участника (1, 2, 3), среди которых ключевые разработчики и сооснователи LibreOffice. Исключены 7 из 10 наиболее значимых разработчиков LibreOffice. Из оставшихся в TDF четырёх основателей трое не вовлечены в разработку основного кода. В 2025 году сотрудниками Collabora было внесено 45% от всех изменений в LibreOffice. Итало Виньоли (Italo Vignoli), один из основателей организации Document Foundation, пояснил, что участники из компании Collabora исключены в соответствии с недавно одобренным новым уставом, который не допускает … Читать далее Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora

Компания Cloudflare опубликовала систему управления контентом EmDash. Как и WordPress, новая система поддерживает расширение через плагины, позволяет использовать шаблоны для построения различных видов сайтов и предоставляет интерфейс для администрирования, но при этом может работать на платформах бессерверных вычислений и повышает безопасность за счёт применения языка TypeScript со статическими типами и изоляции плагинов в отдельных sandbox-окружениях. Код проекта написан на языке TypeScript c использованием web-фреймворка Astro и распространяется под лицензией MIT. EmDash может функционировать как в инфраструктуре Cloudflare, так и запускаться на собственных серверах при помощи Node.js. В качестве СУБД может использоваться SQLite, Turso/libSQL и PostgreSQL, а в качестве хранилища — … Читать далее Компания Cloudflare представила EmDash, альтернативу WordPress с изоляцией плагинов

Представлен выпуск пакета wayland-protocols 1.48, содержащего набор протоколов и расширений, дополняющих базовый протокол Wayland и предоставляющих возможности, необходимые для построения композитных серверов и пользовательских окружений. В новой версии: В категорию «staging» добавлен протокол xdg-session-management, предоставляющий возможности для восстановления состояния и позиции окон прерванного сеанса в окружениях на основе протокола Wayland, например, после аварийного завершения композитного сервера или приложения. Расширены возможности протокола text-input, позволяющий композитным серверам реализовывать методы ввода и отправлять текст в приложения. Например, добавлен флаг no_emoji для ввода без Emoji, реализована поддержка дополнительных действий помимо вставки текста, добавлен флаг language для передачи информации об языке, добавлены запросы для показа … Читать далее Выпуск Wayland-Protocols 1.48

Проект Gentoo подготовил экспериментальный системный образ с ядром GNU Hurd и опубликовал скрипты для самостоятельной сборки образа и облегчения дальнейшей разработки Hurd-порта. На будущее запланированы релизы stage и автоматизированная сборка образов, а также достижение паритета с Gentoo Linux на системах x86-64. Желающие могут попробовать готовый образ Gentoo GNU Hurd, запустив его с использованием QEMU: $ wget https://distfiles.gentoo.org/experimental/x86/hurd/hurd-i686-preview.qcow2.sig $ wget https://distfiles.gentoo.org/experimental/x86/hurd/hurd-i686-preview.qcow2 $ gpg —verify hurd-i686-preview.qcow2.sig hurd-i686-preview.qcow2 $ qemu-system-i386 -drive file=hurd-i686-preview.qcow2,format=qcow2 -m 2G -net user,hostfwd=tcp:127.0.0.1:2222-:2222 -net nic,model=ne2k_pci —enable-kvm -M q35 Логин: root, пароль: gnuhurdrox. После логина можно запустить ssd с помощью «./setup-net.sh» и «/etc/init.d/sshd restart». Отдавая дань первому апреля проект анонсировал переход … Читать далее Gentoo опубликовал системный образ с ядром GNU Hurd

Компания Anthropic по недосмотру опубликовала в составе выпуска NPM-пакета claude-code 2.1.88 полный необфусцированный и не очищенный от внутренних компонентов исходный код инструментария Claude Code на языке TypeScript. Код попал в релиз в составе map-файла cli.js.map, применявшегося в ходе отладки. Для предотвращения подобных утечек разработчикам рекомендуется не забывать добавлять маску «*.map» в файл «.npmignore». Архив с кодом имеет размер 59.8 МБ, включает 1884 файла и содержит более 500 тысяч строк кода. Энтузиасты начали тиражировать код на GitHub, но компания Anthropic инициировала рассылку DMCA-уведомлений для блокирования репозиториев с утешим кодом на основании действующего в США Закона об авторском праве в цифровую эпоху … Читать далее Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла

Компания Collabora представила Linux-дистрибутив Apertis 2026, изначально созданный для оснащения автомобильных систем, но затем переориентированный для более широкого спектра электронных устройств, встраиваемой техники и промышленного оборудования. Из устройств, на которых применяется Apertis, упомянуты игровая консоль Atari VCS, плата Raspberry Pi 4, автомобильные SoC R-car и сканер для обнаружения объектов в стенах Bosch D-tect 200. Эталонные системные образы распространяются для архитектур x86_64, arm64 и armhf. Дистрибутив модульный и позволяет производителям устройств самостоятельно формировать необходимую начинку системного окружения. Поддерживается как формирование сборок на базе традиционных deb-пакетов, так и монолитных атомарно обновляемых образов на основе OSTree. Время сопровождения каждого выпуска Apertis составляет 1 … Читать далее Выпуск дистрибутива Apertis 2026, позволяющего не использовать код под лицензией GPLv3

Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов — с 03:21 по 6:15 (MSK). Вредоносные версии были размещены в NPM напрямую с использованием учётных данных главного сопровождающего проекта axios («jasonsaayman«) … Читать далее Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю

Опубликован выпуск инсталлятора Archinstall 4.0, который с 2021 года в качестве опции входит в состав установочных iso-образов Arch Linux. Archinstall работает в консольном режиме и может использоваться вместо предлагаемого по умолчанию ручного режима установки дистрибутива. Код Archinstall написан на языке Python и распространяется под лицензией GPLv3. Archinstall предоставляет диалоговый (guided) и автоматизированный режимы работы. В автоматизированном режиме имеется возможность использования скриптов для развёртывания типовых конфигураций. Инсталлятор также поддерживает профили установки, например, профиль «desktop» для выбора рабочего стола (KDE, GNOME, Awesome) и установки необходимых для его работы пакетов, или профили «webserver» и «database» для выбора и установки начинки web-серверов и СУБД. … Читать далее Выпуск инсталлятора Archinstall 4.0, применяемого в дистрибутиве Arch Linux

Разработчики, использующие Microsoft Copilot для подготовки изменений, обратили внимание на подстановку рекламы в pull-запросы, отправляемые на GitHub и GitLab при помощи AI-ассистента. Помимо текста по существу изменения, Copilot теперь прикрепляет к описанию изменения рекламу лаунчера Raycast — «⚡ Quickly spin up Copilot coding agent tasks from anywhere on your macOS or Windows machine with Raycast». В настоящее время поиск на GitHub выдаёт 11 тысяч pull-запросов с рекламой Raycast. Помимо Raycast в Pull-запросы подставляется реклама самого Copilot и связанных с ним сервисов, например «Send tasks to Copilot coding agent from Slack and Teams to turn conversations into code. Copilot posts an … Читать далее Microsoft Copilot начал подставлять рекламу в pull-запросы

Доступен выпуск 4MLinux 51.0, минималистичного пользовательского дистрибутива, не являющегося ответвлением от других проектов и использующего графическое окружение на базе оконного менеджера JWM. 4MLinux может использоваться как в роли Live-окружения для воспроизведения мультимедийных файлов и решения пользовательских задач, так и в качестве системы для восстановления после сбоев и платформы для запуска мини-серверов. Для загрузки подготовлены live-образ (x86_64, 2.1 ГБ) с графическим окружением и урезанная консольная сборка (x86_64, 16.2 МБ). В новой версии: Обновлены версии пакетов: Mesa 25.3.1, BusyBox 1.37.0, PHP 8.4.14, Perl 5.42.0, Python 3.13.8, Ruby 3.4.7. Обновлены пользовательские приложения: LibreOffice 26.2, AbiWord 3.0.7, GIMP 3.0.8, Gnumeric 1.12.60, Firefox 149.0, Chrome … Читать далее Выпуск дистрибутива 4MLinux 51.0

Несколько европейских компаний и организаций, среди которых Nextcloud, IONOS, Eurostack, XWiki, OpenProject, Soverin, Abilian и BTactic, представили открытую платформу совместного редактирования документов Euro-Office, основанную на кодовой базе офисного пакета ONLYOFFICE. В форке проведён ребрендинг, а в текст лицензии AGPLv3 внесены изменения, удаляющие дополнительные условия в отношении логотипа и товарных знаков. Подобные изменения восприняты разработчиками ONLYOFFICE как нарушение лицензии, которое призвали немедленно устранить. C 2021 года в тексте лицензии AGPLv3, под которой распространяется код ONLYOFFICE, присутствуют дополнительные условия, уточняющие требования AGPL в отношении упоминания автора и отсутствия обязательств по товарным знакам. Дополнительные условия требуют сохранения в производных продуктах оригинального логотипа ONLYOFFICE … Читать далее Создан Euro-Office, форк ONLYOFFICE. Проект ONLYOFFICE обвинил форк в нарушении лицензии

Компания Базальт СПО представила мобильную платформу ALT Mobile 11.0 («Альт Мобильный»), предназначенную для смартфонов, планшетов и встраиваемых устройств с сенсорным экраном, таких как считыватели штрихкодов, контрольно-кассовые аппараты и терминалы сбора данных. Платформа построена на пакетной базе репозитория Сизиф (p11) и укомплектована графической оболочной Phosh, основанной на технологиях GNOME и использующей композитный сервер Phoc. Для загрузки подготовлены образы для архитектур x86_64 и ARM64, которые можно использовать для установки на устройства PinePhone, PinePhone Pro, PineTab 2 и планшеты «MIG» (на архитектуре x86-64), а также для запуска в QEMU. Платформа также портирована для работы на игровых приставках Anbernic, PowKiddy, Retroid на базе SoC … Читать далее Мобильная платформа ALT Mobile 11.0, построенная на технологиях GNOME

Комитет ISO по стандартизации языка C++ завершил утвердил финальным вариант спецификации, образующей международный стандарт «C++26«. Представленные в спецификации возможности частично уже поддерживаются в компиляторах GCC, Clang и Microsoft Visual C++. Поддерживающие C++26 стандартные библиотеки реализованы в рамках проекта Boost. В следующие два месяца утверждённая спецификация будет находиться на стадии подготовки документа к публикации, на которой будет проведена работа по редакторской правке орфографических ошибок и опечаток. В начале ноября результирующий вариант документа будет направлен в ISO для публикации под формальным именем ISO/IEC 14882:2026. Основные особенности C++26: Реализованы элементы контрактного программирования (Contracts), позволяющие определять формальные спецификации интерфейсов при помощи трёх новых операторов: … Читать далее Утверждён стандарт C++26