Populaire onderwerpen
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Yan Practice ⭕散修🎒
Crypto since 2017| ⭕rdinals|Inscription#81799 "Yan.sats"| 👉🏻 https://t.co/zu6WRzIZhz 👉🏻 https://t.co/UvfJSwwiHu
Snel wegwezen ah ah ah n8n heeft weer een kwetsbaarheid met een score van 10.0 op volle sterkte.
Iedereen gebruikt n8n vaak voor automatische handel en bestellingen, prijsmonitoring en liquidatievoorwaarden, wallet of exchange webhook verwerking, notificaties van activiteitsveranderingen, koppeling van CEX / DEX API's, verwerking van privésleutels of API-sleutels, en automatisering van onderhoud en waarschuwingen.
Deze CVSS 10.0 kwetsbaarheid beïnvloedt niet slechts één functie, maar de hele controlelaag.
Zonder in te loggen kan men n8n overnemen, API-sleutels / privésleutels lezen of uitlekken, geautomatiseerde processen wijzigen, kwaadaardige overboekingen of handelslogica invoegen, en zelfs de hele server overnemen onder hoge bevoegdheden.
Het is erger dan wat ik gisteren heb gepost,
het kan je server platleggen.
-
Er zijn al mensen die de jackpot hebben gewonnen, upgrade snel n8n en vervang alle gebruikte privésleutel API's om de veiligheid te waarborgen.
De relevante kwetsbaarheid op GitHub heb ik hieronder geplaatst:
Dit is een volledige aanval samengesteld uit CVE-2026-21858 in combinatie met de oude CVE-2025-68613.
678
De vandaag plotseling populaire app "Is het dood?"
Ik heb even gezocht en de internationale versie heet "Demumu"
Het staat al op de derde plaats in de categorie tools.
Feit is dat om populair te worden, de belangrijkste factor de vraag is, innovatie is secundair.
--
Overigens is deze app echt nuttig. Nu we in een supervergrijzende samenleving leven, is het goed dat mijn ouders het gebruiken.
Ik hoop dat ze niet zoals ik vaak vergeten om Alpha te checken en me een hoop sms'jes sturen🤣
512
In deze markt geeft deze traffic aan dat iedereen nog steeds zeer bezorgd is over de veiligheid van zijn kapitaal!
VMware Workstation Pro is nu gratis te gebruiken in de persoonlijke versie, zowel op Windows als Mac, en het is heel eenvoudig.
Laat me vooropstellen: "Voor de installatie van de Windows IOS-bestanden, download deze alsjeblieft van Microsoft. Als je een door iemand anders verpakt bestand gebruikt, is dat gelijk aan een extra risico."
Voor Linux download je de officiële Ubuntu-versie, dat is geen probleem.
Als je niet wilt gokken op "of het openen van de repo problemen zal veroorzaken", is de veiligste manier om VMware te gebruiken om de repo te openen, gebruik niet je lokale machine om het direct te openen.
Het eenvoudige proces is als volgt.
- Eerste stap: Installeer VMware of Virtualbox
Installeer VMware Workstation Pro op je lokale machine (het maakt niet uit welke), zolang je VM kunt draaien.
- Tweede stap: Installeer het systeem op de VM
Maak in VMware een schone besturingssysteem (Windows / Linux is prima),
Deze VM is alleen bedoeld om "niet-vertrouwde code te bekijken", log niet in met je persoonlijke account.
- Derde stap: Gebruik geen bridged netwerk
Stel de netwerkinstelling van de VM in op NAT,
Gebruik geen Bridged, om te voorkomen dat de VM direct toegang heeft tot je interne netwerk.
- Vierde stap: Koppel geen lokale harde schijf
Koppel je lokale Documents, Desktop, home directory niet aan de VM.
Anders stuur je je privésleutels en SSH-sleutels direct naar binnen.
- Vijfde stap: Installeer ontwikkeltools in de VM
Installeer VS Code, Node, Git allemaal in de VM,
repo's moeten ook alleen in de VM worden gekloond.
- Ten slotte: Open de repo in de VM
Voor alle niet-vertrouwde repo's, kloon, open IDE en bekijk de code allemaal in de VM.
Zelfs als de IDE automatisch iets uitvoert, blijven de effecten alleen in de VM.
--
Iedereen kan na het installeren van de omgeving in de vijfde stap een snapshot maken, zodat je het systeem eenvoudig kunt herstellen als er problemen zijn.
Hoe dan ook, VM is extreem eenvoudig, en voor het probleem dat eerder optrad waarbij de AI Agent de hele systeemdirectory verwijderde, kan je ook VM gebruiken om te isoleren en gewoon een speciale ontwikkelings-VM aanmaken.
Voor jullie ter referentie.
9 jan, 16:57
Let op iedereen die van baan wil veranderen na een jaar,
Onlangs zag ik een paar berichten op Threads,
waarbij iemand tijdens een remote interview een repo heeft gekloond zonder het handmatig uit te voeren
met een IDE (VS code / Cursor ..) om de broncode te bekijken.
De privésleutels op de computer zijn zo gelekt.
--
Ter aanvulling van de aanvalsmethode, veel mensen begrijpen het eigenlijk verkeerd.
De huidige IDE's (VS Code, Cursor, WebStorm) zijn al lang niet meer alleen tools om "code te bekijken".
Zodra je een repo opent, laadt de IDE automatisch de configuratiebestanden van het project met Node.js om je te helpen met ESLint, Prettier, TypeScript type-analyse, en frameworkdetectie (Next.js / Vite / React).
Bestanden zoals eslint.config.js, prettier.config.js, next.config.js, vite.config.js, die eruitzien als configuratiebestanden, zijn in wezen allemaal "uitvoerbare JavaScript".
Aanvallers verstoppen kwaadaardige code in deze configuratiebestanden.
Je voert geen npm run uit, je hebt geen node index.js,
maar de IDE heeft het al voor je uitgevoerd.
Zodra het wordt uitgevoerd, kan het veel dingen doen onder "gebruikersrechten", zoals het lezen van privésleutels, SSH-sleutels, configuratiebestanden, en de gegevens naar buiten sturen, het hele proces zal geen vensters openen en je niet laten merken.
Daarom komt deze vreemde situatie voor:
Ik heb alleen de repo gekloond
Ik heb alleen de IDE geopend om de broncode te bekijken
maar de privésleutels op de computer zijn verdwenen.
Dit is niet omdat je een fout hebt gemaakt, en het is ook niet omdat je geen bewustzijn van cybersecurity hebt,
maar omdat de moderne frontend-toolchain zelf "automatisch projectcode uitvoert".
--
In principe, als ik een open-source code krijg, ben ik ook vaak minder voorzichtig, ik scan het eerst met AI, maar ook bij het openen van VS code kan ik alsnog worden getroffen Q_Q
Ik ben van plan om een geïsoleerde omgeving voor "ongeloofwaardige projecten" op te zetten.
Het veiligste is een VM, daarna Docker + VS Code Remote.
Laat Node.js, ESLint, Prettier, en frameworks allemaal in de geïsoleerde omgeving draaien, zelfs als er een probleem is, blijft de impact binnen die omgeving.
De Sandbox die ingebouwd is in Windows is ook een soort geïsoleerde omgeving, maar als je het afsluit, wordt alles gewist, je moet het elke keer opnieuw installeren.
Met een VM is het veel handiger, je kunt het hergebruiken en het is volledig geïsoleerd, maar let op dat je niet direct het netwerk bridge en de lokale harde schijf koppelt, dat is ook als het openen van een achterdeur Q_Q.
581
Boven
Positie
Favorieten