GitHub *

Исходный код фреймворка Miasma для кражи учётных данных оказался в открытом доступе на GitHub. Исследователи SafeDep обнаружили его во взломанных аккаунтах разработчиков, где он публиковался в репозиториях с названием Miasma-Open-Source-Release.

Как напоминают в SafeDep, Miasma — это обновлённая версия червя Shai-Hulud. Он заражает устройства разработчиков, похищает данные среды сборки и учётные записи облачных сервисов, а затем использует их для компрометации легитимных проектов. Miasma связывали с атаками на npm-пакеты, в том числе в инфраструктуре Red Hat, а также с компрометацией десятков репозиториев Microsoft на GitHub. 

Компания VideoLAN анонсировала проект dav2d — открытого, кроссплатформенного и бесплатного декодера AV2, ориентированного на скорость. Он основан на популярном декодере dav1d.

Microsoft заблокировала доступ к десяткам своих проектов с открытым исходным кодом на GitHub. Компания расследует то, как хакеры могли взломать эти проекты и внедрить в их код вредоносное ПО для кражи паролей.

Компании кибербезопасности Aikido и OX Security обнаружили более 30 пакетов npm из пространства имен Red Hat '@redhat-cloud-services', которые были скомпрометированы в результате атаки на цепочку поставок. В ходе неё хакеры распространили новый вариант вредоносного ПО Shai-Hulud «Miasma», предназначенного для кражи учётных данных.

🦀 Rust 1.96 вышел: новые range-типы, удобные assert-матчи и важное изменение для WebAssembly

Rust 1.96.0 выглядит как минорный релиз, но внутри есть несколько вещей, которые реально стоит заметить.

Главное изменение - новые core::range::Range* типы. Старые Range из core::ops напрямую реализуют Iterator, поэтому их нельзя нормально сделать Copy без неприятных ловушек. Новые range-типы идут другим путём: они реализуют IntoIterator, а значит могут быть Copy.

Теперь можно хранить диапазоны в Copy-структурах без костылей вроде раздельных start и end. use core::range::Range;

#[derive(Clone, Copy)] pub struct Span(Range); Ещё одно приятное обновление - assert_matches! и debug_assert_matches!.

Это как assert!(matches!(…)), только при падении выводится значение через Debug, а значит тесты и отладка становятся заметно понятнее. Макросы не добавили в prelude, их нужно импортировать вручную из core или std.

Для WebAssembly есть изменение построже: undefined symbols теперь становятся ошибкой линковки, а не молча превращаются в импорты из “env”. Это может сломать часть старых сборок, зато такие проблемы теперь ловятся раньше, а не всплывают странным поведением на рантайме.

Из важного по безопасности: в Rust 1.96 исправлены две уязвимости Cargo для пользователей сторонних registry. Пользователей crates.io они не затрагивают.

Обновление стандартное: rustup update stable Релиз без фейерверков, но полезный: меньше footgun’ов с range, удобнее проверки в тестах, строже WebAssembly-сборки и пара закрытых дыр в Cargo.

Администрация платформы GitHub заблокировала и удалила учётную запись независимого исследователя под псевдонимом Nightmare-Eclipse. Вскоре её примеру последовали и в GitLab. Санкции ввели после того, как разработчик опубликовал PoC-эксплойты для продуктов, связанных с Microsoft. 

Спустя почти восемь лет после сделки GitHub с Microsoft сервис сталкивается с трудностями. Участившиеся сбои, проблемы безопасности и отток специалистов — и всё это на фоне растущей конкуренции с ИИ-инструментами для кодинга.

По данным The Verge, трудности начались после ухода бывшего гендиректора GitHub Томаса Домке. Microsoft не стала назначать ему замену, а вместо этого перевела специалистов GitHub в подчинение отделу CoreAI. В итоге компания столкнулась с рядом увольнений, причём часть команды перешла в стартап Entire, основанный самим Домке. Из примерно 30 сотрудников Entire 11 раньше работали в GitHub.

Эксперты из GitGuardian обнаружили утечку данных из GitHub Агентства по кибербезопасности и защите инфраструктуры США (CISA). Публичный репозиторий под названием Private-CISA содержал 844 МБ данных, включая код инфраструктуры Terraform, скрипты для управления инфраструктурой, резервные копии внутренней документации и многое другое.

Сначала исследователи усомнились в подлинности находки. Названия папок и файлов выглядели слишком уж «удачно» — Backup-April-2026, Kubernetes-Important-Yaml-Files, Important-AWS-Tokens, AWS-Workspace-Firefox-Passwords и так далее. Однако анализ содержимого показал, что данные подлинные.

В GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована в результате атаки на цепочку поставок npm от TanStack на прошлой неделе.

20 мая 2026 года специалисты Центр мониторинга и управления сети связи общего пользования (ЦМУ ССОП) «Главного радиочастотного центра» (ГРЧЦ, входит в структуру Роскомнадзора) после проверки сообщили, что регулятор не фиксируют проблем с доступом и функционалом ресурсов крупнейшей онлайн-платформы для совместной IT-разработки GitHub, в РФ он не блокируется.

GitHub сообщил о компрометации одного из сотрудников компании. По предварительным данным, атака прошла через заражённое расширение для VS Code.

В результате злоумышленники получили доступ примерно к 4 000 внутренних репозиториев.

И, конечно, история уже вышла за рамки «внутреннего инцидента»: хакеры выставили похищенные данные на продажу за $50 000.

GitHub обещает позже опубликовать подробный отчёт и итоги расследования.

По текущей оценке, активность злоумышленника свелась к эксфильтрации только внутренних репозиториев GitHub. Заявления атакующего о ~3 800 репозиториях, по словам компании, в целом соответствуют результатам их расследования.

Чтобы снизить риски, GitHub оперативно провёл ротацию критических секретов — вчера и в течение ночи, начав с учётных данных с наибольшим потенциальным влиянием. Команда продолжает анализировать логи, проверять ротацию секретов и отслеживать возможную последующую активность; при необходимости будут предприняты дополнительные меры.

В администрации платформы для хостинга IT-проектов и совместной разработки GitHub подтвердили ситуацию с несанкционированным доступом к своим внутренним репозиториям. Этот инцидент произошёл из-за заражённого устройства сотрудника через зловредное расширение VS Code.

GitHub Mobile в основном использовался для просмотра существующих репозиториев. Теперь пользователи мобильного приложения могут создавать новые проекты прямо со своих устройств на iOS и Android.

Компания Grafana Labs, разработчик популярного программного обеспечения для визуализации веб-контента с открытым исходным кодом, подтвердила факт взлома токена доступа к GitHub-окружению. При этом она отказалась платить хакерам, угрожавшим опубликовать код компании.

В декабре прошлого года Microsoft открыла доступ к Claude Code, позволив тысячам своих разработчиков ежедневно использовать инструмент для программирования на основе искусственного интеллекта от Anthropic. Однако теперь американская корпорация готовится отказаться от своей инициативы по внедрению Claude Code в пользу собственного инструмента — GitHub Copilot CLI.

На GitHub вышла версия проекта OrcaSlicer, которая восстанавливает полную поддержку сети BambuNetwork для принтеров Bambu Lab. Она не ограничивается только локальной сетью, а работает через интернет, как и раньше.

Первый заместитель председателя комитета по информационной политике, информационным технологиям и связи Госдумы Антон Горелкин пояснил в своём Telegram-канале, что не считает платформу GitHub вредительской, так как в курсе, что она чрезвычайно ценная для IT.

Прогрев к блокировке GitHub уже начался

GitHub назвали «вредительской платформой» для России. Об этом заявил Антон Горелкин, первый зампред ИТ-комитета Госдумы.

По его словам, доля неудачных подключений к GitHub уже превысила 16%. При этом РКН утверждает, что платформу не ограничивает, а сам Горелкин обвиняет Microsoft и GitHub в дискриминации российских пользователей.

В ИТ-комитете считают, что дальше ситуация будет только ухудшаться. Разработчикам уже советуют переносить проекты на другие Git-сервисы, включая российские аналоги.

Пока это выглядит не как случайный сбой, а как подготовка почвы: сначала «проблемы с доступом», потом заявления про вредительскую платформу, потом рекомендации срочно переезжать.

Вопрос только один: это очередной политический шум или GitHub реально готовят к отключению?

Команда разработчиков эмулятора PlayStation 3 с открытым исходным кодом под названием RPCS3 обновила свои правила, чтобы бороться с наплывом низкокачественного кода, сгенерированного искусственным интеллектом. Новые правила требуют, чтобы участники владели навыками программирования и понимали любой код, который они предоставляют, даже если ИИ применялся в исследовательских целях.

Команда разработчиков эмулятора PlayStation 3 с открытым исходным кодом, RPCS3, попросила пользователей GitHub прекратить отправлять «некачественный ИИ-код». Авторы эмулятора пригрозили баном тем, кто продолжит это делать. Разработчики отметили, что в сети есть множество ресурсов для помощи с отладкой и написанием кода, который в текущем виде просто не работает.