🚨Инцидент безопасности в CI-инфраструктуре Node.js (март 2025)
15 марта 2025 года команда Node.js обнаружила, что одна из CI-систем проекта (Continuous Integration) была скомпрометирована. Вредоносный код был внедрён злоумышленником в один из раннеров CI, использовавшийся для тестирования pull request’ов.
🔍Что произошло:
* Компрометация произошла через GitHub Actions Runner в одном из fork-репозиториев. * Вредоносный код собирал данные из окружения и передавал их на внешний сервер. * Он не повлиял на релизы Node.js, так как релизные артефакты собираются в отдельной, изолированной инфраструктуре.
✅Что было сделано:
* Сразу после обнаружения CI-инфраструктура была остановлена. * Проведён аудит безопасности. * Все секреты и ключи доступа были отозваны и заменены. * Перепроверены все последние релизы на предмет возможной компрометации.
🧯Вывод:
* Сам Node.js, его исходный код и дистрибутивы не были скомпрометированы. * Инцидент затронул только инфраструктуру, обслуживающую внешние PR. * Сейчас CI-инфраструктура запускается в обновлённой, безопасной конфигурации.
🛡Рекомендации:
* Пользователям и разработчикам не нужно предпринимать никаких действий, если вы скачивали Node.js с официального сайта или используете его из проверенных источников.
🚨Инцидент безопасности в CI-инфраструктуре Node.js (март 2025)
15 марта 2025 года команда Node.js обнаружила, что одна из CI-систем проекта (Continuous Integration) была скомпрометирована. Вредоносный код был внедрён злоумышленником в один из раннеров CI, использовавшийся для тестирования pull request’ов.
🔍Что произошло:
* Компрометация произошла через GitHub Actions Runner в одном из fork-репозиториев. * Вредоносный код собирал данные из окружения и передавал их на внешний сервер. * Он не повлиял на релизы Node.js, так как релизные артефакты собираются в отдельной, изолированной инфраструктуре.
✅Что было сделано:
* Сразу после обнаружения CI-инфраструктура была остановлена. * Проведён аудит безопасности. * Все секреты и ключи доступа были отозваны и заменены. * Перепроверены все последние релизы на предмет возможной компрометации.
🧯Вывод:
* Сам Node.js, его исходный код и дистрибутивы не были скомпрометированы. * Инцидент затронул только инфраструктуру, обслуживающую внешние PR. * Сейчас CI-инфраструктура запускается в обновлённой, безопасной конфигурации.
🛡Рекомендации:
* Пользователям и разработчикам не нужно предпринимать никаких действий, если вы скачивали Node.js с официального сайта или используете его из проверенных источников.
You can’t. What you can do, though, is use WhatsApp’s and Telegram’s web platforms to transfer stickers. It’s easy, but might take a while.Open WhatsApp in your browser, find a sticker you like in a chat, and right-click on it to save it as an image. The file won’t be a picture, though—it’s a webpage and will have a .webp extension. Don’t be scared, this is the way. Repeat this step to save as many stickers as you want.Then, open Telegram in your browser and go into your Saved messages chat. Just as you’d share a file with a friend, click the Share file button on the bottom left of the chat window (it looks like a dog-eared paper), and select the .webp files you downloaded. Click Open and you’ll see your stickers in your Saved messages chat. This is now your sticker depository. To use them, forward them as you would a message from one chat to the other: by clicking or long-pressing on the sticker, and then choosing Forward.
Start with a fresh view of investing strategy. The combination of risks and fads this quarter looks to be topping. That means the future is ready to move in.Likely, there will not be a wholesale shift. Company actions will aim to benefit from economic growth, inflationary pressures and a return of market-determined interest rates. In turn, all of that should drive the stock market and investment returns higher.
