Телеграм канал «Kali Linux»

✔️ Anthropic устроила массовую зачистку GitHub: удалено 8100 репозиториев с Claude Code

Компания направила GitHub жалобу в рамках DMCA, потребовав заблокировать доступ к утекшему коду Claude Code.
Платформа полностью удовлетворила запрос и зачистила репозитории с нелегальным контентом.

Под блокировку попал родительский репозиторий nirholas/claude-code и все его форки - в общей сложности 8100 проектов.

Представитель Anthropic заявил, что содержимое этих репозиториев целиком нарушает авторские права компании.

https://github.com/github/dmca/blob/master/2026/03/2026-03-31-anthropic.md

☠️ Новая атака на цепочку поставок — на этот раз затронут npm-пакет axios, самый популярный HTTP-клиент с ~300 млн загрузок в неделю.

Уязвимость проявляется через зависимости: в одном из кейсов пакет подтянулся через googleworkspace/cli, использовавшийся для работы с Gmail и Google Calendar. При этом установленная версия оказалась безопасной — 1.13.5. Однако зависимость не была зафиксирована (unpinned), и при установке в другое время могла подтянуться уже заражённая версия.

Это ключевая проблема всей экосистемы: если версии не закреплены, сборка может в любой момент «подхватить» компрометированный релиз.

Частично защититься можно локальными мерами — например:
ограничивать минимальный «возраст» релизов, использовать контейнеры, проверять зависимости.

Но системно проблему должны решать сами пакетные менеджеры (pip, npm и др.), меняя дефолтное поведение. Иначе одна заражённая версия, даже если её быстро находят и удаляют, успевает разойтись по тысячам проектов через незакреплённые зависимости.

Подробный разбор:
https://stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

🔐 Большинство курсов по кибербезопасности учат определения.

Этот курс на Stepik учит думать как хакер.

SQL-инъекции, XSS, CSRF, эксплуатация бинарников, обход аутентификации - не в теории, а через живые задачи с реальными payload'ами.

В финале - полноценный пентест-проект с CVSS-оценками и отчётом, как у профессиональных команд безопасности.

Нулевой опыт? Не страшно.

Всё - в легальной изолированной среде, с нуля до уровня пентест-собеседования.

👉 Начни здесь → https://stepik.org/a/279968/

ИИ начал находить настоящие баги в ядре Linux. И никто не понимает, почему именно сейчас

Грег Кроа-Хартман, один из ключевых мейнтейнеров ядра Linux, заявил что ситуация с AI-сгенерированными баг-репортами кардинально изменилась.

Ещё недавно это был поток мусора - теперь это реальные баги с рабочими патчами.
Его слова: «Что-то произошло месяц назад, и мир переключился.

Теперь к нам приходят настоящие отчёты». И это не только Linux - по его словам, все крупные open source проекты видят то же самое. Команды безопасности общаются между собой неформально, и картина везде одинаковая.

Никто не понимает, что именно изменилось. Кроа-Хартман говорит прямо: «Мы не знаем. Никто не знает почему. То ли инструменты стали сильно лучше, то ли люди просто начали пробовать. Похоже, что это много разных групп и компаний одновременно».
Ядро Linux справляется - команда большая и распределённая.

Баги мелкие, не критические, но поток реальный и не замедляется.

А вот для маленьких open source проектов это проблема. У них просто нет людей, чтобы обработать внезапный наплыв качественных AI-репортов.

Раньше страдали от мусорных репортов, теперь страдают от настоящих.
По сути мы наблюдаем момент, когда AI-инструменты для поиска уязвимостей перешли из категории «игрушка» в категорию «инфраструктура». И open source к этому не готов.

theregister.com/2026/03/26/greg_kroahhartman_ai_kernel/

🐍 Linux полезные ресурсы 🚀Max

@linuxkalii

Жиза

@ai_machinelearning_big_data

#news #ai #ml