12 мая 2026

Очередная supply-chain атака с компрометацией 84 пакетных артефактов в пространстве имён TanStack на npm, с расширением атаки до 416 артефактов на npm и PyPI — среди пострадавших OpenSearch, Mistral AI, Guardrails AI и UiPath. Вредоносные версии содержат обфусцированный файл router_init.js, который похищает учётные данные из GitHub Actions, AWS, Vault и Kubernetes, а также самостоятельно публикует заражённые версии других пакетов в реестр.

TanStack сообщил, что токены npm не были похищены, и это не опровержение, а описание нового вектора. Платформа npm поддерживает публикацию через OIDC-федерацию, которая специально разработана для того, чтобы избавиться от долгоживущих секретов: вместо хранимого токена CI-ранер запрашивает краткосрочный JWT в момент публикации. Если атакующий получает выполнение кода в рамках рабочего процесса — даже в фазе тестирования или очистки — он может запросить этот токен легитимно. После публикации вредоносный пакет дополнительно получает валидную Sigstore-аттестацию, то есть отображает badge «verified provenance», который большинство инструментов расценивает как сигнал доверия.

Кстати, сегодня же попалась любопытная утилита от Эндрю Несбитта — прокси, который запускается локально, кэширует пакеты и переписывает метаданные пакетов на себя, после чего ваша разработка обращается только к ней. Одним из применений автор видит как раз защиту от supply-chain атак, посколько переписать можно все метаданные и применить cooldown — задержку в обновлении на несколько дней, например. Раз большинство атак ловится за первые несколько дней, тут мы имеем практическое применение принципа “Ставим только первый сервиспак”.

Дэниел Стенберг, ведущий разработчик curl, делится результатом проверки своей разработки моделью Anthropic Mythos. curl получил доступ через Linux Foundation и Alpha Omega. Отчёт по 178 тысячам строк кода нашёл пять «подтверждённых уязвимостей»; после разбора командой безопасности осталась одна — low severity, CVE будет опубликован вместе с релизом 8.21.0 в конце июня. Ещё около двадцати багов признаны багами, но не уязвимостями. По оценке Стенберга, предыдущие AI-сканеры (AISLE, Zeropath, OpenAI Codex Security) за 8–10 месяцев дали 200–300 исправлений и больше CVE.

Стернберг считает все разговоры вокруг Mythos хайпом и маркетингом. Мол, новая модель не прямо так уж “опасна” для безопасности ПО, хотя отрицать полезность AI в разработке он не собирается.

Почему у него не возникает ощущения легкой нерепрезентативности одной суперотлаженной (в силу своей популярности, истории и просто хорошей разработки) программы — я не знаю, лучше у него спросить.

Google представил Googlebook — новую категорию ноутбуков, которая заменяет Chromebook спустя 15 лет после запуска первой линейки. Устройства строятся на стеке Android с сохранением браузера из ChromeOS и позиционируются как первые лэптопы, спроектированные под Gemini. Среди заявленных функций — Magic Pointer (контекстные подсказки Gemini по движению курсора), генерация виджетов по промпту с подключением к Gmail и Calendar, а также сквозная работа с Android-телефоном через Quick Access к файлам и запуск мобильных приложений на ноутбуке. Партнёры по железу — Acer, ASUS, Dell, HP и Lenovo, первые устройства выйдут осенью 2026 года.

RIP, ChromeOS, короче — от неё остаётся, по сути, браузерный слой поверх Android. Для Google это решает давнюю проблему фрагментации — раздельные команды, дублирующиеся API, отставание ChromeOS по приложениям из Play. Как это отразится на партнерах, посмотрим.

Google уже пытался зайти в сектор более дорогих ноутбуков — если кто помнит такие модели, как Chromebook Pixel. Тогда это сложно было назвать даже хорошим тестом.

Совет директоров eBay отклонил предложение GameStop о поглощении за 56 млрд долларов, назвав его «ни достоверным, ни привлекательным». В письме главе GameStop Райану Коэну председатель совета Пол Пресслер сослался на неопределённость в схеме финансирования, операционные риски и качество корпоративного управления GameStop. Если помните, Коэн на прошлой неделе предложил акционерам eBay 125 долларов за акцию (50% деньгами, 50% акциями GameStop) с премией около 20% к рыночной цене и пообещал найти 2 млрд долларов экономии в течение года. После отказа у него остаётся вариант прокси-битвы за замену членов совета, которая может занять более года.

Январский компенсационный пакет Коэна предусматривает опционы более чем на 171 млн акций GameStop, если он доведёт капитализацию компании до 100 млрд долларов — это десятикратный рост от текущих 10 млрд. Поглощение eBay с её 80 млрд долларов годового оборота на платформе и 11,6 млрд выручки — самый быстрый способ выйти на такую капитализацию объединённой компании, при том что финансировать сделку GameStop собирался через 20 млрд долларов заёмных средств.

В общем, не прокатило.