Argomenti di tendenza
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Yan Practice ⭕散修🎒
Crypto dal 2017| ⭕rdinals|Iscrizione#81799 "Yan.sats"| 👉🏻 https://t.co/zu6WRzIZhz 👉🏻 https://t.co/UvfJSwwiHu
Fuggi!!! n8n ha un'altra vulnerabilità con punteggio 10.0!
Tutti usano n8n per fare trading automatico e ordini, monitorare i prezzi e le condizioni di liquidazione, gestire webhook di portafogli o exchange, notifiche di variazione degli asset, collegare API CEX / DEX, gestire chiavi private o API Key, automazione della manutenzione e degli allarmi.
Questa vulnerabilità con CVSS 10.0 non colpisce una singola funzione, ma l'intero livello di controllo.
Accesso diretto a n8n senza login, lettura o fuoriuscita di API Key / chiavi private, modifica dei flussi di automazione, inserimento di logiche di trasferimento o trading malevole, e persino assunzione del controllo dell'intero server in un'implementazione con privilegi elevati.
È peggio di quanto ho pubblicato ieri,
potrebbe far crashare il tuo server.
-
Ci sono già stati dei casi, quindi affrettati ad aggiornare n8n e cambia tutte le API delle chiavi private che hai utilizzato per garantire la sicurezza.
Ho messo qui sotto il GitHub relativo alla vulnerabilità:
questo è un attacco completo composto da CVE-2026-21858 insieme al vecchio CVE-2025-68613.
682
L'App "È morta?" che è diventata improvvisamente popolare oggi
Ho cercato la versione internazionale chiamata "Demumu"
È già arrivata al terzo posto nella categoria strumenti
I fatti dimostrano che per diventare popolari, la causa principale è sempre la domanda, mentre l'innovazione è secondaria.
--
A proposito, questa App è davvero utile. Ora siamo già entrati in una società super invecchiata, farla usare ai miei genitori è davvero una buona idea.
Spero che non dimentichino di controllare Alpha e di inviarmi un sacco di messaggi come faccio io🤣
532
In questa situazione di mercato, questo flusso indica che tutti sono ancora molto preoccupati per la sicurezza dei propri fondi!
VMware Workstation Pro è ora disponibile gratuitamente per la versione personale, utilizzabile direttamente su Windows e Mac, ed è molto facile.
Per prima cosa, "Scarica il file ISO di Windows da Microsoft; se utilizzi una versione confezionata da qualcun altro, stai aggiungendo un ulteriore rischio."
Per Linux, scarica la versione ufficiale di Ubuntu, il pacchetto non presenta problemi.
Se non vuoi rischiare "di aprire il repo e avere problemi", il modo più sicuro è utilizzare VMware per aprire il repo, senza utilizzare direttamente il computer.
Il processo semplice è il seguente.
- Primo passo: installa VMware o Virtualbox
Installa VMware Workstation Pro sul tuo computer, va bene qualsiasi cosa che possa eseguire VM.
- Secondo passo: installa il sistema nella VM
Crea un sistema operativo pulito in VMware (va bene Windows o Linux),
questa VM deve essere utilizzata solo per "visualizzare codice non fidato", non accedere a account personali.
- Terzo passo: non collegare la rete
Imposta la modalità di rete della VM su NAT,
non utilizzare Bridged, per evitare che la VM acceda direttamente alla tua rete interna.
- Quarto passo: non montare il disco rigido locale
Non montare le directory Documents, Desktop, home del computer nella VM.
Altrimenti, stai praticamente inviando direttamente le chiavi private e le chiavi SSH.
- Quinto passo: installa gli strumenti di sviluppo nella VM
Installa VS Code, Node, Git all'interno della VM,
il repo deve essere clonato solo nella VM.
- Infine, apri il repo nella VM
Dopo, qualsiasi repo non fidato deve essere clonato, aperto in IDE e visualizzato nel codice all'interno della VM.
Anche se l'IDE esegue automaticamente qualcosa, l'impatto rimarrà solo nella VM.
--
Dopo aver completato l'installazione dell'ambiente al quinto passo, puoi eseguire uno snapshot per creare un'istantanea; in seguito, se ci sono problemi con il sistema, puoi ripristinarlo direttamente.
In ogni caso, la VM è estremamente semplice; per il problema precedente in cui un AI Agent ha cancellato l'intera directory di sistema, puoi isolare utilizzando la VM e creare una VM dedicata allo sviluppo.
Spero che queste informazioni siano utili.
9 gen, 16:57
Attenzione a tutti coloro che stanno pensando di cambiare lavoro dopo un anno,
recentemente ho visto alcuni post su Threads,
qualcuno ha fatto un colloquio remoto clonando un repo senza eseguire manualmente
usando un IDE (VS code / Cursor ..) per controllare il codice sorgente,
e la chiave privata nel computer è stata esposta.
--
Aggiungo un chiarimento sul principio dell'attacco, molti in realtà hanno frainteso.
Gli IDE attuali (VS Code, Cursor, WebStorm) non sono più solo strumenti per "guardare il codice".
Quando apri un repo, l'IDE, per aiutarti con ESLint, Prettier, analisi dei tipi TypeScript, rilevamento dei framework (Next.js / Vite / React), carica automaticamente i file di configurazione del progetto usando Node.js.
File come eslint.config.js, prettier.config.js, next.config.js, vite.config.js, che sembrano file di configurazione, in realtà sono tutti "JavaScript eseguibile".
L'attaccante nasconde il codice malevolo in questi file di configurazione.
Non hai eseguito npm run, non hai eseguito node index.js,
ma l'IDE ha già eseguito il codice per te.
Una volta eseguito, può fare molte cose "con i permessi dell'utente", come leggere la chiave privata, la chiave SSH, i file di configurazione e inviare i dati all'esterno, tutto il processo non mostra alcuna finestra e non ti fa accorgere di nulla.
Ecco perché si verifica questa situazione che sembra strana:
Ho solo clonata un repo
Ho solo aperto l'IDE per vedere il codice sorgente
Ma la chiave privata nel computer è scomparsa.
Non è colpa tua se hai fatto un errore, né se non hai consapevolezza della sicurezza informatica,
ma è che la moderna catena di strumenti frontend esegue automaticamente il "codice del progetto".
--
Fondamentalmente, dammi un codice open source, di solito abbasso la guardia, dopo averlo scaricato lo scansiono con l'AI, ma anche aprendo VS code finisco per essere colpito Q_Q.
In futuro preparerò un ambiente isolato appositamente per aprire "progetti non fidati".
Il più sicuro è una VM, seguito da Docker + VS Code Remote.
Farò eseguire Node.js, ESLint, Prettier e framework in un ambiente isolato, anche se ci sono problemi, l'impatto rimane confinato lì.
Il Sandbox integrato in Windows è lo stesso tipo di ambiente isolato, ma una volta chiuso viene cancellato, quindi ogni volta deve essere reinstallato.
Usare una VM è molto più comodo, può essere riutilizzata e completamente isolata, ma bisogna fare attenzione a non collegare direttamente la rete e a non montare il disco rigido locale, altrimenti è come aprire una porta sul retro Q_Q.
604
Principali
Ranking
Preferiti