🚨Инцидент безопасности в CI-инфраструктуре Node.js (март 2025)
15 марта 2025 года команда Node.js обнаружила, что одна из CI-систем проекта (Continuous Integration) была скомпрометирована. Вредоносный код был внедрён злоумышленником в один из раннеров CI, использовавшийся для тестирования pull request’ов.
🔍Что произошло:
* Компрометация произошла через GitHub Actions Runner в одном из fork-репозиториев. * Вредоносный код собирал данные из окружения и передавал их на внешний сервер. * Он не повлиял на релизы Node.js, так как релизные артефакты собираются в отдельной, изолированной инфраструктуре.
✅Что было сделано:
* Сразу после обнаружения CI-инфраструктура была остановлена. * Проведён аудит безопасности. * Все секреты и ключи доступа были отозваны и заменены. * Перепроверены все последние релизы на предмет возможной компрометации.
🧯Вывод:
* Сам Node.js, его исходный код и дистрибутивы не были скомпрометированы. * Инцидент затронул только инфраструктуру, обслуживающую внешние PR. * Сейчас CI-инфраструктура запускается в обновлённой, безопасной конфигурации.
🛡Рекомендации:
* Пользователям и разработчикам не нужно предпринимать никаких действий, если вы скачивали Node.js с официального сайта или используете его из проверенных источников.
🚨Инцидент безопасности в CI-инфраструктуре Node.js (март 2025)
15 марта 2025 года команда Node.js обнаружила, что одна из CI-систем проекта (Continuous Integration) была скомпрометирована. Вредоносный код был внедрён злоумышленником в один из раннеров CI, использовавшийся для тестирования pull request’ов.
🔍Что произошло:
* Компрометация произошла через GitHub Actions Runner в одном из fork-репозиториев. * Вредоносный код собирал данные из окружения и передавал их на внешний сервер. * Он не повлиял на релизы Node.js, так как релизные артефакты собираются в отдельной, изолированной инфраструктуре.
✅Что было сделано:
* Сразу после обнаружения CI-инфраструктура была остановлена. * Проведён аудит безопасности. * Все секреты и ключи доступа были отозваны и заменены. * Перепроверены все последние релизы на предмет возможной компрометации.
🧯Вывод:
* Сам Node.js, его исходный код и дистрибутивы не были скомпрометированы. * Инцидент затронул только инфраструктуру, обслуживающую внешние PR. * Сейчас CI-инфраструктура запускается в обновлённой, безопасной конфигурации.
🛡Рекомендации:
* Пользователям и разработчикам не нужно предпринимать никаких действий, если вы скачивали Node.js с официального сайта или используете его из проверенных источников.
Telegram auto-delete message, expiring invites, and more
elegram is updating its messaging app with options for auto-deleting messages, expiring invite links, and new unlimited groups, the company shared in a blog post. Much like Signal, Telegram received a burst of new users in the confusion over WhatsApp’s privacy policy and now the company is adopting features that were already part of its competitors’ apps, features which offer more security and privacy. Auto-deleting messages were already possible in Telegram’s encrypted Secret Chats, but this new update for iOS and Android adds the option to make messages disappear in any kind of chat. Auto-delete can be enabled inside of chats, and set to delete either 24 hours or seven days after messages are sent. Auto-delete won’t remove every message though; if a message was sent before the feature was turned on, it’ll stick around. Telegram’s competitors have had similar features: WhatsApp introduced a feature in 2020 and Signal has had disappearing messages since at least 2016.
How to Buy Bitcoin?
Most people buy Bitcoin via exchanges, such as Coinbase. Exchanges allow you to buy, sell and hold cryptocurrency, and setting up an account is similar to opening a brokerage account—you’ll need to verify your identity and provide some kind of funding source, such as a bank account or debit card. Major exchanges include Coinbase, Kraken, and Gemini. You can also buy Bitcoin at a broker like Robinhood. Regardless of where you buy your Bitcoin, you’ll need a digital wallet in which to store it. This might be what’s called a hot wallet or a cold wallet. A hot wallet (also called an online wallet) is stored by an exchange or a provider in the cloud. Providers of online wallets include Exodus, Electrum and Mycelium. A cold wallet (or mobile wallet) is an offline device used to store Bitcoin and is not connected to the Internet. Some mobile wallet options include Trezor and Ledger.
