Borja López Soilán

The AUR (Arch Linux User Repository) is continuing to be flooded with malicious code. As of this writing, the Arch team has found at least 1,579 malicious packages (roughly 1.4% of all packages within the AUR), with more packages being updated with malicious code this morning. This includes several popular utilities and libraries, including: gtkimageview, gdl, libgdata, and python-future. A partial list of impacted packages can be found here: https://t.co/LmHBksv8UC

A dev got so frustrated watching his AI agent write 500 lines for a 5-line problem that he built a fix. He called it Ponytail. Named after the guy every team has - long ponytail, oval glasses, been there longer than the version control. You show him fifty lines; he looks at them, says nothing, and replaces them with one. Now your agent does the same. Before writing anything, it looks for a reason not to. 80-94% less code. 47-77% cheaper. 3-6x faster. The best code is the code you never wrote. GitHub Repo: https://t.co/WnFp9YNY53

HTTP/2を利用する主要Webサーバーに、わずかな通信で数十GBのメモリを消費させる新たなDoS攻撃「HTTP/2 Bomb」が公開された。PoCコードも既に公開されており、ApacheやEnvoyなどでは1台のクライアントからサーバー全体を停止状態へ追い込める可能性がある。 この攻撃は、HTTP/2のヘッダー圧縮機構であるHPACKとSlowloris型攻撃を組み合わせたものだ。通常の圧縮爆弾とは異なり、大量データを送るのではなく、極めて小さなヘッダーからサーバー側で大量のメモリ確保を発生させる。さらにゼロバイトのフロー制御ウィンドウを悪用し、確保したメモリを長時間解放させない。 研究者によると、Apache httpdやEnvoyでは単一の攻撃クライアントが約20秒で32GBのメモリを消費させることが可能という。サーバーはクラッシュせずスワップ状態へ陥るため、正規ユーザーのアクセスが極端に遅くなる。 影響は広範囲に及び、nginxは既に対策を実装済みで、ApacheもCVE-2026-49975として修正を公開した。一方でMicrosoft IISやEnvoy、Cloudflare Pingoraなどは記事時点で修正が提供されていないとされる。 対策として研究者は、可能であればHTTP/1.1への切り替えやヘッダー数の制限、コンテナ単位でのメモリ制限設定を推奨している。 https://t.co/FB6DxWNsWt

The company that once called Linux a "cancer" is now the one shipping its core tools to Windows users. Microsoft just shipped GNU coreutils for Windows. ls. grep. cat. cp. find. The same commands that have powered Unix and Linux systems for over 50 years are now available natively on Windows, maintained by Microsoft itself. For context: GNU coreutils are the foundational utilities that every Linux and macOS system relies on for basic file operations, text processing, and shell scripting. They are the bedrock of Unix computing. Tens of millions of scripts, pipelines, and workflows run on them every day. And now Microsoft is shipping and maintaining a build of them for Windows. This is not WSL. You do not need a Linux subsystem running in the background. These tools run natively on Windows, with the exact same flags and behavior as on Linux. Your existing scripts just work. Microsoft's goal: make moving between Linux, macOS, WSL, containers, and Windows completely frictionless. Write a script once. Run it anywhere. The package bundles uutils/coreutils (a modern Rust rewrite of GNU coreutils), findutils, and grep into a single multi-call binary. Every command supports standard flags. Same commands, same pipelines, no translation needed. The project is still in preview. But the direction is unmistakable.

🚨 The "𝙼𝚎𝚐𝚊𝚕𝚘𝚍𝚘𝚗" Campaign is live... 𝟻,𝟽𝟷𝟾 malicious commits to 𝟻,𝟻𝟼𝟷 GitHub repositories in a six-hour window. Using throwaway accounts and forged author identities (build-bot, auto-ci, ci-bot, pipeline-bot), the attacker injected 𝙶𝚒𝚝𝙷𝚞𝚋 𝙰𝚌𝚝𝚒𝚘𝚗𝚜 workflows containing 𝚋𝚊𝚜𝚎𝟼𝟺-𝚎𝚗𝚌𝚘𝚍𝚎𝚍 bash payloads that exfiltrate: - CI secrets, - cloud credentials - SSH keys - OIDC tokens - source code secrets Check your repo / Technical details: https://t.co/tua3jYU1wa

Update: el ataque TanStack / Mini Shai-Hulud se extiende y podría ser el más grave del año El total de versiones maliciosas supera las 400 entre npm y PyPI. La lista sigue creciendo porque es un worm que usa los tokens robados para publicar más exploits automáticamente El worm Mini Shai-Hulud (TeamPCP) se convirtió en una campaña masiva y "auto-propagable" - Más de 200 paquetes infectados: Hay reportes de 169 paquetes npm con 373 versiones maliciosas confirmadas -Propagación del worm a 200+ paquetes adicionales(incluyendo OpenSearch, Mistral AI en npm + PyPI, Guardrails AI, etc.) - Se “regó” a otras herramientas y editores: El payload ya no solo se ejecuta en `npm install`. Se propaga y persiste escribiéndose en: - `.claude/settings.json` y `.claude/router_runtime.js` (Claude Code) - `.vscode/tasks.json` y `.vscode/setup.mjs` (VS Code) Cada vez que abres el editor o usas Claude Code, el malware se vuelve a ejecutar solo npm uninstall no sirve de nada: la infección sobrevive en tu entorno de desarrollo Si tocaste cualquier tanstack/*, uipath, mistralai o paquetes de la lista en las últimas 48 horas: asume que tu máquina y tu CI están quemados. Rota TODO YA (tokens, keys, credenciales), audita .claude y .vscode manualmente, revisa commits nuevos, limpia todo desde cero y trata tu entorno como comprometido El ecosistema de dependencias ya no es riesgoso… es campo minado en llamas. Confiar en “npm install” o “pip install” en 2026 es suicida

Un desarrollador danés, flipando con Autofirma, deja un educado comentario en el repositorio de desarrollo. Es imposible explicarlo mejor: «En el sector privado, lanzar software en este estado supondría un fracaso comercial inmediato. El hecho de que esta aplicación sea obligatoria para los ciudadanos españoles no exime al equipo de desarrollo de cumplir con los estándares modernos de seguridad y distribución. Exige estándares más altos, no más bajos». ¡Necesitamos más software de código abierto en la Administración pública!

Windows defender has been compromised. right now there is a public unpatched exploit that gives any app on your windows PC full system admin access. no password. no popup. nothing your antivirus doesnt stop it. your antivirus IS the exploit. windows defender is the attack vector ransomware gangs can use this to encrypt your entire machine and steal every saved password, browser session, and discord token you have. fully patched windows 11. real time protection on thread

🇪🇺 L’app European Age Verification est vendue comme open source, privacy-by-design et ultra-respectueuse de la vie privée... ⚠️ Pourtant, sa doc officielle donne le mode d’emploi exact pour que quelqu’un (police, services de renseignement, cabinet du Premier ministre…) puisse se placer au milieu des échanges de l’app et lire ou modifier les données en toute discrétion !! 🚨 La backdoor MITM est intégrée au cœur technique de tout le projet EUDI Wallet / European Digital Identity Dites non à la surveillance de masse abusive et protégez le futur de vos enfants contre ces gens 🤥 👁️ #AgeVerification #Backdoor

The situation in Spain where LaLiga can force ISPs to ban any IP range they want without a court order is ridiculous and so aggressively anti-internet that it's causing real harm to Spain's citizens. Docker is one thing, but the other comments in this HN post are way worse (anti-theft alarms, apps for helping people suffering from dementia). It's horrible that clouds that serve multiple sites from the same IPs are being strong-armed into either taking down anything LaLiga wants without a court order or suffering mass ip blocks.