Представляешь,

Хакер купил 30 WordPress-плагинов и 8 месяцев ждал Представьте: покупаете легальный бизнес, выпускаете скучный апдейт «проверка совместимости» — и терпеливо ждёте почти год. Именно так поступил новый владелец Essential Plugin: в конце 2024 взял на Flippa компанию с 30+ плагинами и десятилетней историей, а в августе 2025 вшил в обновление 191 строку бэкдора. 6 апреля 2026 закладка проснулась: через PHP-десериализацию прописалась в wp-config.php и начала лить SEO-спам — но только для Googlebot, живые пользователи ничего не видели. Главный трюк — C2-сервер резолвится через смарт-контракт Ethereum. Domain takedown бесполезен: адрес меняется одной транзакцией. WordPress.org закрыл все плагины 7 апреля, но уже обновившиеся сайты придётся чистить руками.

Выкатили исправление уязвимости — через 9 часов 41 минуту уже началась атака Есть такой инструмент Marimo — это Python-блокнот для аналитики, как Jupyter, только современнее. На днях авторы опубликовали предупреждение: в старых версиях один из веб-адресов не проверял авторизацию. Любой, кто до него достучится, получает полноценный shell на сервере. А если Marimo крутится в Docker-контейнере — обычно с правами root. Публичного эксплойта ещё не было — только описание проблемы. Sysdig поставил ловушку и засёк первую реальную атаку ровно через 9 часов 41 минуту после публикации. От захода до кражи ключей к облаку и API LLM-провайдеров прошло меньше трёх минут. И это уже не разовая история — в прошлом году так же угнали Langflow и Flowise. Видимо, хакеры читают рассылки с уязвимостями внимательнее, чем их жертвы. Если у вас Marimo — обновляйтесь до 0.23.0 (всё ниже 0.20.4 уязвимо), запускайте только на --host 127.0.0.1 и ротируйте ключи облаков. Подробности.

Вредонос в маркетплейсе расширений умеет заражать все IDE на ноуте разом — кроме российских История называется GlassWorm. Работает так: ставите безобидное расширение для учёта времени в коде — почти идеальный клон популярного WakaTime. Оно молча запускает нативный бинарник, и тот обходит всё, что похоже на VS Code — Cursor, Windsurf, VSCodium — и подсаживает вредоноса в каждый найденный редактор. Дальше вредонос проверяет язык системы. Если русский — выключается и уходит. На остальных машинах крадёт пароли из Chrome и открывает удалённый доступ к компьютеру. Самое хитрое — как вредонос узнаёт, куда отправлять украденное. Не через обычный домен (такие давно бы заблокировали), а через блокчейн Solana: адреса сервера зашиты в транзакциях, которые меняются на лету. Кампания активна с марта 2025. Если в последние полгода ставили расширения для учёта времени или автоимпорта — проверьте список установленных и поменяйте токены GitHub/npm на всякий случай.

Двигаете слайдер padding в браузере — Claude Code правит ваш код Если вы регулярно объясняете Cursor словами, на сколько пикселей уменьшить отступ у кнопки, — Мэтт Перри (автор Motion, бывшего Framer Motion) сделал инструмент, который делает это руками. За вас. CSS Studio — npm-пакет, который встраивается в вашу dev-сборку и вешает в углу страницы WYSIWYG-панель. Вы тянете за точки, двигаете ползунки, правите анимации. В этот момент локальный MCP-сервер шлёт JSON-патч в Claude Code или Cursor — и агент дописывает реальные файлы проекта. Tailwind? Поправит классы. CSS-in-JS? Отредактирует объект стилей. Обычный стайлшит? Дотянется до селектора. Вы рисуете — агент кодирует. Цена кусается: $99 за место, и на HN уже обсуждают, нормально ли это для инструмента, который нельзя купить из России без зарубежной карты. Зато живое демо на cssstudio.ai доступно без регистрации — попробовать можно прямо поверх лендинга.

RISC-V наконец-то договорился сам с собой — и попал в mainline Linux Представляете, открытую архитектуру, которой уже лет десять предрекают заменить ARM, всё это время подрывала одна мелочь: каждый вендор лепил свой набор расширений, и универсальный RISC-V-бинарь мог бодро упасть на соседнем чипе. Удобная особенность открытого стандарта, ничего не скажешь. В Linux 7.0 (апрель 2026) добирается поддержка SpacemiT K3 — первого коммерческого чипа на профиле RVA23. RVA23 — это «обязательный минимум» расширений для прикладных процессоров: векторы, битовые операции, криптография. То, что раньше было «как повезёт», теперь гарантировано. Стандарт, на секундочку, ратифицировали ещё в октябре 2024-го. Полтора года на то, чтобы один чип доехал до mainline — для революции, которая должна свергнуть ARM, темп бодрый.

Мэн запрещает новые дата-центры — первым в США Если ваши счета за облако и ИИ растут быстрее, чем хотелось бы, — вот ещё одна причина, почему это не остановится. Штат Мэн ввёл мораторий на любые новые ЦОДы мощнее 20 МВт до ноября 2027-го. Первый в стране. Поводом стали два показательных провала. Проект на $5 млрд в Wiscasset жители зарубили из-за закрытого NDA с городом (всегда хорошая идея — секретное соглашение про стройку на общественной земле). А в Lewiston единогласно отклонили ЦОД на $300 млн: раньше в том же здании сидел колл-центр на тысячу рабочих мест, а дата-центр обещал тридцать. Размен так себе. По стране уже заблокировано проектов на $64 млрд, похожие паузы вводят округа в Мичигане и Индиане. Если подтянутся Вирджиния и Техас, ждите, что тарифы на H100 и B200 подрастут и у Yandex Cloud с VK Cloud. GPU-рынок глобальный.

Thunderbird живёт на донатах 3% пользователей и просит остальных 97% хотя бы задуматься Если вы до сих пор открываете Thunderbird каждое утро — вы, скорее всего, в тех самых 97%, которые ничего не донатят. Команда опубликовала обращение: рекламы нет, данные не продаются, корпоративных спонсоров нет. Весь клиент держится на менее чем 3% аудитории. Устойчивая бизнес-модель, конечно... Отдельно уточняют: ваши деньги не уходят в Mozilla Corporation на рекламу Firefox и зарплаты топ-менеджеров. За Thunderbird стоит MZLA Technologies — отдельное юрлицо со своими отчётами. Приятный бонус. Параллельно готовится Thundermail — почтовый сервис на Rust-сервере Stalwart. Правда, задонатить из РФ всё равно не выйдет: Fundraise Up карты российских банков не принимает с 2022 года. Остаются зарубежная карта или PR в репозиторий.

Chrome привязал сессионные куки к железу — украденный токен больше не работает на чужой машине Представляете, инфостилеры годами зарабатывали на простой схеме: утащил cookie с чужого браузера, подставил в свой — и ты в чужом аккаунте без паролей и 2FA. Удобно. В Chrome 146 на Windows это наконец сломали. Технология DBSC при входе генерирует ключевую пару прямо в TPM-чипе, и приватный ключ оттуда физически не достаётся — ни малварь его не прочитает, ни сам браузер. Каждые несколько минут сессия подписывается этим ключом. Утащили cookie на другую машину — а подписать нечем. В 2024 Google уже пробовала похожее через App-Bound Encryption. Обошли за два месяца. На этот раз ставка на аппаратную изоляцию, а не на софтовые трюки — посмотрим, насколько хватит. macOS через Secure Enclave обещают в следующих релизах, Linux не упомянут.

Создатели Ruff и uv теперь займутся безопасностью Python-зависимостей Astral — команда, которая уже переписала линтер и пакетный менеджер Python до состояния «теперь это стандарт» — запускает новое направление: аудит зависимостей и обнаружение вредоносных пакетов. Supply chain для Python — давно не абстрактная угроза: тайпсквоттинг, внедрение в популярные пакеты, малварь в PyPI встречаются регулярно. Логика здесь понятна: если вы контролируете инструмент установки пакетов, вы видите весь граф зависимостей раньше, чем он попадёт в прод. uv уже стал точкой входа для миллионов Python-проектов — добавить туда проверку безопасности технически проще, чем строить отдельный сканер. Python-экосистема медленно, но верно обретает тот минимум инфраструктуры, который в других языках появился лет десять назад.

10 минут сборки против 2 — Railway выбрал 2 и ушёл с Next.js Railway — платформа, на которой крутятся тысячи продакшн-проектов — переехала с Next.js на Vite и TanStack Start. Билды ускорились в пять раз: с десяти минут до двух. Не потому что разработчики сделали что-то не так — просто Next.js на таком масштабе перестал справляться. Это не первый подобный кейс. Крупные проекты один за другим обнаруживают, что React-фреймворк, который отлично работал на старте, становится узким местом при росте. Vite здесь выигрывает не функциональностью, а предсказуемостью и скоростью холодного старта. Пять минут — это кофе. Восемь — это уже потерянный фокус. Разница в цифрах небольшая, а в ощущениях от работы — огромная. @your_tech (теперь ещё в VK и Max)

Little Snitch появился на Linux — и он бесплатный Если на Mac вы привыкли видеть, куда именно стучится каждое приложение, на Linux долгое время приходилось обходиться грубыми инструментами уровня iptables или tcpdump. Теперь у Objective Development есть ответ: Little Snitch для Linux вышел в публичный доступ, работает на eBPF и показывает сетевую активность каждого процесса в реальном времени. Управление — через веб-интерфейс на localhost:3031, есть поддержка блоклистов и правила на уровне приложений. Сам инструмент бесплатен, GUI-часть открыта под GPLv2, сетевой демон остаётся проприетарным. Это честная модель для продукта, который двадцать лет существовал только на macOS. macOS-пользователи годами платили за то, что на Linux теперь можно поставить даром.

Microsoft заблокировала разработчиков VeraCrypt и WireGuard — без предупреждения Если вы пользуетесь VeraCrypt, WireGuard, MemTest86 или Windscribe на Windows — знайте: их авторы не могут выпустить тебе обновления. Microsoft заблокировала аккаунты этих разработчиков в Windows Hardware Program из-за непройденной верификации. О том, что верификацию нужно было пройти, никто не уведомлял. Без подписи Microsoft — ни патчей, ни обновлений. Мейнтейнер WireGuard спросил прямо: «А что если бы нашли критическую RCE и мне нужно было срочно обновить пользователей?» Хороший вопрос. Ответа пока нет. Разблокировка началась только после медийного шума — VP Microsoft Скотт Хансельман лично написал разработчикам. То есть механизм решения проблемы — это Twitter, а не поддержка. Безопасность open-source инструментов на Windows теперь зависит от того, заметит ли нужный вице-президент нужный твит вовремя.

Xilem собрал 5 000 звёзд — самый серьёзный GUI-фреймворк на Rust Если вы пробовали сделать десктоп на Rust, знаете боль: либо тащишь C++ зависимости, либо мучаешься с обёртками, которые ломаются при каждом обновлении. Xilem идёт по третьему пути — чистый Rust, GPU-рендеринг через Vello и wgpu, никаких биндингов. Архитектура в духе SwiftUI и React: передаёшь состояние в функцию, она возвращает UI, фреймворк сам определяет, что изменилось, и обновляет только нужные элементы. Для Rust-экосистемы, где GUI традиционно был слабым местом, — заметный шаг вперёд. За проектом стоит Раф Левьен — бывший инженер Google Fonts и автор Vello. API ещё не стабилизирован, но архитектура и команда внушают достаточно доверия, чтобы присмотреться уже сейчас.

Исследователи взломали хост через видеопамять GPU — IOMMU не помог Университет Торонто показал атаку GPUBreach: через многократное обращение к одним и тем же ячейкам GDDR6-памяти видеокарты можно вызвать электрические помехи, которые переворачивают биты в соседних ячейках. Звучит как физика, но на практике это даёт root-доступ к хосту. Причём даже с включённым IOMMU — аппаратной изоляцией, которая и должна была это предотвращать. Должна была. Попутно атака позволяет вытащить криптографические ключи и снизить точность ML-модели до 80%. Приятный бонус. Удар приходится по облачным GPU-кластерам, где несколько клиентов делят одну видеокарту, наивно полагая, что изоляция работает. Единственная защита — включить ECC на GPU, но на десктопных и ноутбучных картах эта опция просто недоступна. Подробнее на Tproger.

Docker игнорирует плагины авторизации, если запрос достаточно большой CVE-2026-34040 — новая уязвимость в Docker Engine с оценкой 8.8, и она достаточно элегантна, чтобы расстроиться. Если HTTP-запрос к API весит больше 1 МБ, Docker просто не передаёт тело запроса плагину авторизации. Плагин видит пустой запрос и разрешает его. Любой плагин, любой запрос. В результате атакующий запускает привилегированный контейнер с root-доступом к файловой системе хоста. При этом, как отмечают исследователи, этим можно воспользоваться автоматически — ИИ-агенты вроде OpenClaw способны эксплуатировать баг без единой строчки вредоносного кода. Особенно обидно, что это не первый круг. CVE-2024-41110 с оценкой 10.0 закрывали ещё в июле 2024-го, и закрыли не до конца. Фикс — Docker Engine 29.3.1. Если обновиться сейчас нельзя: переходите в rootless-режим и ограничивайте доступ к Docker API.

Обновите Docker: новая CVE обходит любой плагин авторизации Вышла CVE-2026-34040 с оценкой CVSS 8.8, и она красивая в своей простоте. Docker Engine при получении HTTP-запроса больше 1 МБ тихо отрезает тело перед отправкой в AuthZ-плагин. Плагин видит пустой запрос, не находит ничего подозрительного и пропускает его. Любой плагин. Без исключений. Самое обидное — это недоделанный фикс CVE-2024-41110 от июля 2024 года. То есть проблему уже чинили, но, видимо, не до конца проверили граничные случаи. Классика. Отдельный бонус: ИИ-агенты для кодинга могут эксплуатировать эту уязвимость автоматически — им даже не нужно подсовывать вредоносный код, достаточно обычного взаимодействия с Docker API. Фикс уже есть в Docker Engine 29.3.1, а пока не обновились — переходите на rootless-режим и ограничьте доступ к API. В общем, если ваш плагин авторизации «всё проверяет» — попробуйте отправить ему запрос потяжелее. Вдруг он просто вежливо отойдёт в сторону.

Исследователь Anthropic нашёл 23-летнюю уязвимость в ядре Linux с помощью Claude Code На конференции по безопасности ИИ [un]prompted 2026 Nicholas Carlini поделился тем, как нашел Heap buffer overflow в NFS-драйвере ядра Linux. Уязвимость находилась там с 2003 года, но исследователь нашел ее за пару часов с помощью Claude Code и bash-скрипта на 7 строк. Годами поиск уязвимостей в ядре Linux требовал написания специализированных фаззеров или ручного аудита. Карлини сделал иначе — написал bash-скрипт, который перебирает файлы исходного кода ядра и передаёт каждый в Claude Code с промптом: «Ты участвуешь в CTF (соревнование по безопасности). Найди уязвимость. Подсказка: смотри файл X». Помимо этой уязвимости, исследователь подтвердил еще пять в подсистемах nfsd, io_uring, futex и ksmbd. Подробности: https://tproger.ru/news/issledovatel-anthropic-nawyol-23-letnyuyu-uyazvimost-v-yadre-linux

Россия заняла предпоследнее место по уровню свободы интернета в 2026 году Cloudwards провел исследование свободы интернета и выяснил, где на пользователей наложено больше всего ограничений. Специалисты оценивали онлайн-активности по таким критериям: доступность торрентов, контента для взрослых, выражение политического и гражданского мнения, блокировки ресурсов и другим примерам. В первой десятке Финляндия, Исландия, Норвегия, Бельгия, Дания, Словакия, Лихтенштейн, Коста-Рика, Суринам, Новая Зеландия. Там пользователи могут свободно посещать большинство глобальных соцсетей и сайтов. А вот закрывает список Россия, Пакистан, Иран, Китай. Абсолютный «лидер» по недоступности мировых интернет-ресурсов — это Северная Корея. Там доступ к интернету есть только у доверенных лиц. Остальные пользуются внутренней национальной сетью. Еще чуть-чуть осталось, надо поднажать 💀

Абсолютно проклято: разраб сделал будильник, который будет орать до тех пор, пока не зайдешь в туалет. Пользователь Reddit показал, как он пытается поднять себя по утрам с постели. Для него уже не работают другие креативные будильники, где, например, нужно решить математическую задачку. Он решал и снова ложился спать. Он понял: нужно что-то, что в любом случае заставит его встать с кровати. Так ему пришла идея этого будильника. Чтобы выключить его, нужно встать, дойти до туалета и сфотографировать его. Заснуть после этого намного сложнее. Ваши варианты, как можно хакнуть систему?

В России глобальный сбой интернета Легло очень многое. По сообщениям на DownDetector не работает СБП, Сбербанк, Т-Банк, ВТБ и множество других сервисов. У админа, например, лёг Ростелеком. Даже телефон поддержки провайдера не работает. Предварительно, причиной сбоя в работе банковских приложений стали блокировки IP-адресов, используемых в работе банковской инфраструктуры. Будем следить за ситуацией и обновлять информацию.