Hacker News Digest

Forgejo v13.0 introduces content moderation features allowing users to report abusive content, which administrators can review and manage. Key security enhancements include stricter handling of Forgejo Actions secrets and a new option to enforce two-factor authentication across the entire instance. The release also improves Forgejo Actions usability by enabling access to previous workflow run attempts and adding static validation for workflow files to catch errors early.

Additionally, v13.0 supports migrating repositories from Pagure, useful for projects like Fedora transitioning to Forgejo. Security updates include stripping EXIF metadata from uploaded avatars to prevent accidental leakage of sensitive information, with a new CLI command provided to process existing images. These changes collectively enhance security, usability, and interoperability.

• Пользователи обсуждают обновления Forgejo: от 8 до 11 версии, затем к 13.0.1, с акцентом на LTS-версии 11.
• Подчеркивается важность обновлений безопасности и конфиденциальности, включая обработку EXIF в аватарах.
• Упоминается сравнение с GitLab и GitHub, подчеркивая легкость и простоту Forgejo.
• Упоминается ожидание функций вроде Renovate и Dependabot, а также групп/подпапок.
• Упоминается, что релизы выходят каждый квартал, а не по семантическому версионированию.

• Атакующий случайно раскрыл свою инфраструктуру: оставил открытым Git-репозиторий с исходниками вредоноса, скриптами и конфигами.
• Внутри: Python-стиллер, нацеленный на браузеры, крипто-кошельки, 2FA; обфускация через pyarmor; авто-апдейт через Telegram.
• Следы ведут в русскоязычное комьюнити: комментарии, ники, форумы.
• Уязвимость в C2 позволила аналитикам Huntress скачать 30 ГБ логов жертв: пароли, cookies, крипто-сид-фразы.
• Ошибка раскрыла 1 800+ уникальных пользователей за 3 месяца; сам стиллер активен с 2023.
• Huntress заблокировал домены и передала IOC партнёрам; инцидент подчёркивает ценность мониторинга «мелких» endpoint-угроз.

• Huntress — это EDR-решение для компаний, которое ставит агент на каждый корпоративный ПК и передаёт в SOC-отдел логи браузера, процессов, hostname и файлы.
• Пользователи возмущены: «устанавливать продукт безопасности = дать поставщику полный доступ к истории и данным».
• Сам пост — история «случайно пойманного» злоумышленника, который сам установил триальный агент Huntress на свою «хакерскую» машину; компания узнала его по старому hostname и опубликовала разбор действий.
• Критики считают это саморекламой и примером «шпионажа за клиентами»; вендор отвечает: «анализируем только подозрительное, логи доступны заказчику, нужно для расследований».
• Комментаторы напоминают: в больших компаниях подобные EDR-инструменты (CrowdStrike, SentinelOne и др.) стоят на каждом ПК де-факто, просто обычно об этом не пишут посты.

Коротко: в NPM проникли популярные пакеты (colors, debug и др.) через фишинг письмо «смени 2FA». Вредоносный код подменял адреса криптокошельков.
Почему это мелко: библиотеки используются в CLI-утилитах, а не в Web3; украденные API-ключи или майнеры были бы катастрофой.
Вывод: любая зависимость может быть трояном, но проверять всё дерево пакетов никто не успевает — надо успевать релизить.

• Атака на NX через NPM показала, что даже популярные плагины могут стать вектором для кражи creds и API-кейсов.
• Участники сходятся: «всё дерево зависимостей NPM по умолчанию доверяет всем», а ручная проверка каждой мелкой библиотеки невозможна при скорости релизов.
• Многие выжили лишь благодаря «отложенным обновлениям», изоляции в контейнерах или отказу от экосистемы Node/NPM целиком.
• Фишинг на домене npm.help подтвердил, что даже IT-специалисты не всегда замечают поддельные TLD; предлагают белые списки ссылок и DMARC-индикаторы в клиентах.
• Утверждение «мы просто не заметили более продвинутые атаки» звучит всё чаще: Jia Tan 3.0, по мнению комментаторов, уже где-то в supply-chain.

• В npm-пакетах DuckDB версий 1.3.3 и 1.29.2 обнаружена вредоносная вставка.
• При установке пакета запускается пост-скрипт, который скачивает и исполняет сторонний исполняемый файл, собирая сведения о системе и отправляя их на сторонний сервер.
• Проблемные версии удалены из реестра npm; рекомендовано немедленно удалить их из проектов и перегенерировать все ключи/токены.

• Атака на NPM-пакеты DuckDB — результат обычного фишинга: злоумышленник подменил сайт, украл 2FA и сразу опубликовал вредоносные версии.
• Пострадали 4 пакета; вредоносный код вмешивался в криптотранзакции, но денег не украл.
• Уязвимость — человеческий фактор: даже технические мейнтейнеры кликают по ссылкам в «срочных» письмах.
• Обсуждение сводится к тезису: подписывать артефакты, использовать пасскеи/HSM, вводить «заморозку» публикации после смены 2FA и требовать ≥2 подписи мейнтейнеров.
• NPM-сообщество считает, что критическая инфраструктура (NPM, PyPI, Maven) должна быть защищена строже, чем обычные сервисы.

Sci-Hub заблокирована в Индии
Три транснациональных издателя (Elsevier, Wiley, ACS) добились в суде Нью-Дели полного запрета доступа к Sci-Hub и новому проекту Sci-Net. Индийские провайдеры обязаны закрыть сайты в течение трёх дней; обойти блокировку можно лишь через анонимайзеры.

История конфликта

• 2020: издатели подали в суд против Sci-Hub и LibGen, но после общественного резонанса дело затянулось.
• 2021: Twitter-аккаунт Sci-Hub забанили, а сама платформа приостановила обновления по требованию суда.
• 2022: университеты ввели двухфакторную авторизацию, и автоматическое скачивание статей стало невозможным.

Sci-Net и новая атака

В апреле 2025 г. запущен Sci-Net — децентрализованная система вознаграждений за загрузку статей. Издатели заявили, что это нарушает старый запрет 2021 г., и потребовали блокировки обоих проектов.

Что делать

Блокировка нарушает право на знание и национальные интересы Индии. Деньги, уходящие на подписки, лучше направить на поддержку молодых учёных.

• Пользователи возмущены блокировкой Sci-Hub в Индии и других странах, считая её препятствием для доступа к научным знаниям.
• Основная жалоба — высокая стоимость научных статей (до $60 за штуку), что делает невозможным регулярное чтение для исследователей.
• Некоторые отмечают, что в Индии уже есть государственная подписка на журналы, но это не решает проблему полного доступа.
• Причины остановки Sci-Hub не только в судебных решениях, но и в внедрении двухфакторной аутентификации в библиотеках.
• Участники подчеркивают, что ограничение доступа к знаниям тормозит научный прогресс и ведёт к «переизобретению велосипеда».

В даркнете появилась модифицированная прошивка для Flipper Zero, которая обходит защиту rolling-code у гаражных ворот и автомобильных сигнализаций.

Прошивка «Shadow Code» перехватывает и «замораживает» текущий код, позволяя злоумышленнику повторно активировать систему без подбора следующего значения. Работает на частотах 433/868 МГц, совместима с Keeloq, KeeLoq HCS и аналогичными протоколами.

Разработчики утверждают, что эксплойт не требует физического доступа к брелку: достаточно одного перехваченного пакета. Прошивка распространяется через закрытые Telegram-каналы и даркнет-форумы за криптовалюту.

Специалисты по ИБ рекомендуют обновить прошивку своих систем до последней версии, включить двухфакторную аутентификацию (где поддерживается) и использовать шлюзы с временными окнами активации, чтобы минимизировать риск повторного использования кода.

• Уязвимость в системах с динамическим кодом KeeLoq позволяет по одному нажатию кнопки ключа клонировать все функции брелка, если известен «производственный ключ».
• Пользователи обсуждают, что из-за атаки оригинальный брелок рассинхронизируется и перестаёт работать, что может быть использовано как акт вандализма.
• Многие считают бесключевой запуск и удалённое открытие машины избыточным риском, предпочитая физический ключ или многофакторную защиту.
• Упоминается, что производители (особенно Hyundai/Kia) могут выигрывать от краж, так как страховые выплаты приводят к продаже новых машин.
• Некоторые производители (Chevrolet, Toyota, Honda, Nissan) в списке уязвимых не фигурируют — возможно, используют другие протоколы или просто не тестировались.