На платформе crates.io вскрыт новый случай компрометации цепочки поставок ПО: вредоносный пакет на Rust незаметно заражал рабочие станции разработчиков Web3, маскируясь под вспомогательный инструмент для Ethereum Virtual Machine и подстраиваясь под три популярные десктопные операционные системы.

Пакет под названием «evm-units» появился в репозитории в середине апреля 2025 года от пользователя «ablerust» и за восемь месяцев набрал более 7 тысяч загрузок. Тот же автор опубликовал пакет «uniswap-utils», где «evm-units» был указан как зависимость, что обеспечило ему ещё свыше 7,4 тысячи загрузок. Оба проекта уже удалены с площадки, однако вредоносный код успел широко разойтись по экосистеме.

По данным компании Socket, вредоносный функционал скрыт внутри на первый взгляд безобидной функции «get_evm_version()». Вместо того чтобы только возвращать версию Ethereum, она определяет операционную систему, проверяет, запущен ли процесс «qhsafetray.exe», и обращается к внешнему ресурсу «download.videotalks[.]xyz» за следующим этапом атаки.

В зависимости от платформы загружается и в фоновом режиме запускается отдельный компонент: на Linux это сценарий, сохраняемый в каталоге /tmp/init и запускаемый через nohup, на macOS загружается и исполняется файл init через osascript и nohup, а на Windows в каталог временных файлов записывается PowerShell-скрипт «init.ps1» с дальнейшим скрытым запуском.

Сотрудница Socket Оливия Браун связывает такую логику с целенаправленной ориентацией на пользователей в Китае и более широком азиатском регионе, где рынок розничных криптовалютных сервисов остаётся одним из крупнейших.

Ссылки на EVM и протокол Uniswap позволили злоумышленнику органично вписать вредоносный код в инфраструктуру Web3 и выдать его за полезные утилиты для работы с Ethereum. Дополнительный риск создала цепочка зависимостей: включение «evm-units» в популярный пакет «uniswap-utils» привело к тому, что вредоносный загрузчик автоматически выполнялся при инициализации проектов, использующих эту библиотеку.

Инцидент демонстрирует, насколько опасными становятся атаки через открытые репозитории кода и насколько критично для разработчиков блокчейн-проектов внимательно отслеживать состав и происхождение подключаемых модулей.

>>> Linux, macOS, Windows — вредонос адаптировался под все три системы.

По результатам прошедшего опроса возникла идея, подсказанная greenman. При этом объединять всё в «использую тестовую ветку» и «не использую» как-то не хочется, ведь тестинг тестингу рознь — одно дело в дебиане и совсем другое в арче. Все дистрибутивы при этом расписывать тоже не вариант. Поэтому сделаем так: распишем для трёх самых популярных по предыдущему опросу вариантов, ну или для всех, у которых больше 10% юзеров на ЛОР, что в данном случае одно и то же, а остальное добавим в виде «другие». Это не смешает всё в кашу, но и не растянет главную на несколько экранов кучей вариантов, в которых можно запутаться. Ну и с мультивыбором здесь логичнее.

Разработчики CalyxOS – альтернативной Android-прошивки, независимой от сервисов Google, обнаружили, что компания перестала выкладывать в открытый репозиторий AOSP (Android Open Source Project) исходный код, связанный с поддержкой смартфонов Pixel.

Хотя Google опубликовала исходники Android 16 в день релиза, на этот раз в них вошли только общие изменения платформы и фреймворков. В отличие от прошлых лет, в репозитории отсутствуют: DeviceTree-спецификации для Pixel, проприетарные драйверы и полная история изменений ядра Linux, используемого в Android.

( читать дальше... )

>>> Новость на сайте opennet.ru

Как всем известно, язык программирования С++, пожалуй, самый большой по объему из ЯП. Даже программисты, которые пишут на нем десятки лет не могут похвастаться, что знают его полностью. В связи с чем комитет по стандартизации С++ принял нелегкое решение: чтобы язык оставался конкурентоспособным перед напирающими новыми ЯП, например rust, нужно удалить из него все легаси фичи, написаные непонятно какими гоблинами в мохнатые восьмидесятые. В этом помогут хорошо известные на этом форуме разработчики Gnome, которые в свое время удалили все лишние фичи из своей DE, тем самым сделав ее вне конкуренции. Они будут удалять все фичи, пока не удалят все «плюсы» и не дойдут до С, из которого и вылез C++, но на этом не остановятся, оставят от языка только минимальный C--.

( читать дальше... )

>>> Подробности

Flatpak - это универсальная система упаковки приложений для Linux, которая стремится решить проблему множества форматов пакетов. Она позволяет разработчикам создавать единый пакет приложения, который может быть установлен на различных дистрибутивах Linux без необходимости перекомпиляции.

( читать дальше... )

Состоялся первый и долгожданный стабильный релиз Emacs из 29 ветки.

В этой версии интегрирована знаменитая ветка Pure GTK (PGTK), реализующая графический интерфейс на базе GTK3 без привязки к X11. Таким образом, это первый официальный релиз с нативной поддержкой Wayland.

Отдельно стоит отметить интеграцию модуля подсветки синтаксиса tree-sitter как альтернативу встроенной системе font-lock. Парсеры tree-sitter вместо регулярных выражений используют более точную GLR-грамматику и подгружаются из нативных библиотек, не привязанных к редактору. Среди конкурентов, активно развивающих tree-sitter, стоит отметить NeoVim.

Другие изменения:

• Интегрирован Language Server клиент Eglot.
• Интегрирован популярный модуль use-package.
• Для X задействован XInput 2 и улучшен drag-n-drop.
• Добавлен модуль для работы с sqlite3.
• Поддержка изображений в формате WebP.
• Ускорена работа с очень длинными строками.
• Плавная прокрутка при использовании тачпада.
• Улучшена поддержка смайлов и Unicode 15.0.
• Реализована двойная буферизация на Windows.
• Множество мелких исправлений.

>>> Подробности

Леннарт Поттеринг (Lennart Poettering), создавший такие проекты, как Avahi (реализация протокола ZeroConf), звуковой сервер PulseAudio и системный менеджер systemd, уволился из компании Red Hat, в которой работал с 2008 года и руководил разработкой systemd. В качестве нового места работы называется компания Microsoft, деятельность Леннарта в которой также будет связана с разработкой systemd.

Компания Microsoft использует systemd в своём дистрибутиве CBL-Mariner, который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft.

>>> Подробности (OpenNET)

Компания Pine64 сообщила о начале продаж свободного защищенного смартфона PinePhone. Смартфон нацелен на тех, кто считает, что человек должен иметь полный контроль над технологиями и своей жизнью. Все, кто ценит приватность и ненавидит телеметрию Android и iOS, являются потенциальными покупателями PinePhone. Пришло время послать большого брата в /dev/null!

Первая партия разлетелась как горячие пирожки, но в ближайшее время в магазине появится новая.

Стоимость PinePhone всего $150. Железо смартфона полностью заменяемое — каждый модуль можно вытащить и заменить, или обновить на более мощный с помощью отсоединяемых шлейфов.

PinePhone поддерживает множество ОС:

• Postmarket OS (KDE Plasma Mobile предустановлена);
• UBPorts (Ubuntu Touch);
• Maemo Leste;
• Nemo Mobile;
• Manjaro;
• LuneOS;
• SailfishOS;
• В ближайшее время появится поддержка NixOS.

Все эти образы можно скачать и поставить на смартфон прямо с SD-карты.

Технические характеристики:

Allwinner A64 Quad Core SoC with Mali 400 MP2 GPU
2GB of LPDDR3 RAM
5.95″ LCD 1440×720, 18:9 aspect ratio (hardened glass)
Bootable Micro SD
16GB eMMC
HD Digital Video Out
USB Type C (Power, Data and Video Out)
Quectel EG-25G with worldwide bands
WiFi: 802.11 b/g/n, single-band, hotspot capable
Bluetooth: 4.0, A2DP
GNSS: GPS, GPS-A, GLONASS
Vibrator
RGB status LED
Selfie and Main camera (2/5Mpx respectively)
Main Camera: Single OV6540, 5MP, 1/4″, LED Flash
Selfie Camera: Single GC2035, 2MP, f/2.8, 1/5″
Sensors: accelerator, gyro, proximity, compass, barometer, ambient light
3 External Switches: up down and power
HW switches: LTE/GNSS, WiFi, Microphone, Speaker, Cameras
Samsung J7 form-factor 3000mAh battery
Case is matte black finished plastic
Headphone Jack

Видео: запуск 4х ОС на PinePhone

Бонус: обзор ноутбука Pinebook Pro

>>> Подробности

Purism объявила о первых поставках по предзаказам свободных смартфонов Librem 5. Отгрузка первой партии начнётся с 24 сентября этого года.

Librem 5 — это проект создания смартфона с полностью открытым и свободным программным и аппаратным обеспечением, который позволяет обеспечивать приватность пользователя. Он поставляется с PureOS - дистрибутивом GNU/Linux, одобренным Фондом Свободного ПО (FSF). Одной из ключевых заявленных особенностей этого продукта является наличие аппаратных выключателей камеры, микрофона и радиомодулей.

>>> Подробности

В связи с участившимся принятием кодексов поведения различными проектами и под давлением клиентов SQLite (лёгкий движок БД в общественном достоянии) решил не оставаться в стороне и принял кодекс на основе Устава святого Бенедикта с небольшими изменениями:

( читать дальше... )

Правила относятся только к разработчикам. Участники списков рассылки, форумов и прочие пользователи не обязаны ему следовать. Но от них ожидается, что они будут вести переписку как люди, следующие этому уставу.

Устав появился на сайте много месяцев назад, но обратили на него внимание только 23 октября. Реакцию журналист The Register описал фразой «Автора SQLite распяли».

>>> Устав на сайте SQLite

Как сообщает Software Freedom Conservancy, после многолетней переписки с Tesla, ведшейся тайно[0], производитель принял решение обнародовать [1] исходники операционной системы предустановленной наавтомобили Tesla S и X.

Речь идет об операционной системе Buildroot [2], частью которой является GNU/Linux.

Обнародованные исходники тем не менее пока еще не являются полными, таким образом нарушения не устранены полностью, но лишь сглажены. Выражается надежда, что вынос дела в публичную плоскость позволит ускорить процесс окончательного их устранения благодаря вовлечению широких масс [3]. Ранее, насколько можно понять, работа со стороны SFC велась водиночку.

Данный случай наглядно иллюстрирует главнейшую сложность в деле обеспечения свободы пользователей — конечные производители товара обделены важнейшими свободами [4], которые остаются лишь у их поставщиков.

Так, Tesla признается, что не могла своевременно добиться исходных кодов, нужных NVIDIA Tegra и Parrot’а.

Все происходящее не делает и не сделает систему свободной в целом — Tesla не намерена освобождать программы, написанные специально для нее.

[0] https://www.fsf.org/licensing/enforcement-principles
[1] https://github.com/teslamotors/
[2] https://buildroot.org
[3] https://lists.sfconservancy.org/pipermail/ccs-review/2018-May/000000.html
[4] https://www.gnu.org/philosophy/free-sw.ru.html

>>> https://sfconservancy.org/blog/2018/may/18/tesla-incomplete-ccs