🚨Инцидент безопасности в CI-инфраструктуре Node.js (март 2025)
15 марта 2025 года команда Node.js обнаружила, что одна из CI-систем проекта (Continuous Integration) была скомпрометирована. Вредоносный код был внедрён злоумышленником в один из раннеров CI, использовавшийся для тестирования pull request’ов.
🔍Что произошло:
* Компрометация произошла через GitHub Actions Runner в одном из fork-репозиториев. * Вредоносный код собирал данные из окружения и передавал их на внешний сервер. * Он не повлиял на релизы Node.js, так как релизные артефакты собираются в отдельной, изолированной инфраструктуре.
✅Что было сделано:
* Сразу после обнаружения CI-инфраструктура была остановлена. * Проведён аудит безопасности. * Все секреты и ключи доступа были отозваны и заменены. * Перепроверены все последние релизы на предмет возможной компрометации.
🧯Вывод:
* Сам Node.js, его исходный код и дистрибутивы не были скомпрометированы. * Инцидент затронул только инфраструктуру, обслуживающую внешние PR. * Сейчас CI-инфраструктура запускается в обновлённой, безопасной конфигурации.
🛡Рекомендации:
* Пользователям и разработчикам не нужно предпринимать никаких действий, если вы скачивали Node.js с официального сайта или используете его из проверенных источников.
🚨Инцидент безопасности в CI-инфраструктуре Node.js (март 2025)
15 марта 2025 года команда Node.js обнаружила, что одна из CI-систем проекта (Continuous Integration) была скомпрометирована. Вредоносный код был внедрён злоумышленником в один из раннеров CI, использовавшийся для тестирования pull request’ов.
🔍Что произошло:
* Компрометация произошла через GitHub Actions Runner в одном из fork-репозиториев. * Вредоносный код собирал данные из окружения и передавал их на внешний сервер. * Он не повлиял на релизы Node.js, так как релизные артефакты собираются в отдельной, изолированной инфраструктуре.
✅Что было сделано:
* Сразу после обнаружения CI-инфраструктура была остановлена. * Проведён аудит безопасности. * Все секреты и ключи доступа были отозваны и заменены. * Перепроверены все последние релизы на предмет возможной компрометации.
🧯Вывод:
* Сам Node.js, его исходный код и дистрибутивы не были скомпрометированы. * Инцидент затронул только инфраструктуру, обслуживающую внешние PR. * Сейчас CI-инфраструктура запускается в обновлённой, безопасной конфигурации.
🛡Рекомендации:
* Пользователям и разработчикам не нужно предпринимать никаких действий, если вы скачивали Node.js с официального сайта или используете его из проверенных источников.
Telegram has exploded as a hub for cybercriminals looking to buy, sell and share stolen data and hacking tools, new research shows, as the messaging app emerges as an alternative to the dark web.An investigation by cyber intelligence group Cyberint, together with the Financial Times, found a ballooning network of hackers sharing data leaks on the popular messaging platform, sometimes in channels with tens of thousands of subscribers, lured by its ease of use and light-touch moderation.
Should You Buy Bitcoin?
In general, many financial experts support their clients’ desire to buy cryptocurrency, but they don’t recommend it unless clients express interest. “The biggest concern for us is if someone wants to invest in crypto and the investment they choose doesn’t do well, and then all of a sudden they can’t send their kids to college,” says Ian Harvey, a certified financial planner (CFP) in New York City. “Then it wasn’t worth the risk.” The speculative nature of cryptocurrency leads some planners to recommend it for clients’ “side” investments. “Some call it a Vegas account,” says Scott Hammel, a CFP in Dallas. “Let’s keep this away from our real long-term perspective, make sure it doesn’t become too large a portion of your portfolio.” In a very real sense, Bitcoin is like a single stock, and advisors wouldn’t recommend putting a sizable part of your portfolio into any one company. At most, planners suggest putting no more than 1% to 10% into Bitcoin if you’re passionate about it. “If it was one stock, you would never allocate any significant portion of your portfolio to it,” Hammel says.
