Декабрь — свежие техногайды, предновогодний кэшбек и немного наших итогов за 2025
Неделя до Нового года — время грандиозных планов: пет-проект, блог, спортзал. Кажется, вот шанс стать новой, продуктивной версией себя!
Но эти планы часто остаются лишь списком — ведь они рождаются на излёте сил, когда организм просит отдыха, а не новых свершений. Поэтому единственный рывок, который всем нам жизненно необходим прямо сейчас, — к дивану, на марафон по «Гарри Поттеру» с мандаринами и оливье.
А пока время длинных праздников не пришло, предлагаем сделать передышку в череде рабочих задач и прочитать наш декабрьский дайджест. В нём — познавательные материалы, интересные факты и подарок от Деда Мороза.
Дайджест новогодний, поэтому в конце вас ждёт немного итогов: предлагаем вместе вспомнить самые важные события уходящего года.
Статьи и инструкции
Запуск и настройка Django-проекта на Ubuntu
Django — высокоуровневый веб-фреймворк для создания сайтов. Для стабильной работы рабочего проекта необходим надёжный стек, например, связка MariaDB, Gunicorn и Nginx. Эта инструкция шаг за шагом поможет развернуть и настроить такую среду на Ubuntu — от установки базы данных до запуска приложения.
firstvds.ru/technology/zapusk-i-nastroyka-django-na-ubuntu
PostgreSQL-триггеры: создание, изменение и удаление с примерами
PostgreSQL-триггеры — это хранимые процедуры, которые выполняются до, после или вместо определенной операции. Делимся опытом, как использовать этот механизм при проектировании БД.
firstvds.ru/technology/postgresql-triggery-sozdanie-izmenenie-i-udalenie-s-primerami
Habr: самое интересное за декабрь
Праздничный сюрприз, который точно никому не нужен, — это взлом системы. На Хабре рассказываем о неочевидных рисках: уязвимостях в WordPress, атаках на Active Directory и скрытых угрозах IPv6.
Если захочется творчества, налейте чашку какао, возьмите имбирное печенье и откройте руководство по OpenAPI — будем учиться создавать чёткую документацию для API. А для лёгкого чтения припасли любопытное исследование, которое ответит, пожалуй, на один из самых важных вопросов 2025 года: правда ли, что ИИ-модели уже приблизились к уровню человека и могут легко выполнять его рабочие задачи?
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, вы получите повышенный гонорар.
Тема января: софт.
firstvds.ru/avtoram
Новости декабря
Дед Мороз кешбэк принес
Чтобы сделать предпраздничные дни приятнее, подготовили специальное предложение: с 17 по 29 декабря начисляем кешбэк 10% при пополнении баланса на рекомендуемую сумму и выше. Узнать её можно в форме пополнения на сайте или в Личном кабинете.
firstvds.ru/actions/ded-moroz-keshbek
Переехали в новый ЦОД в Нидерландах
Открыли новую площадку в Амстердаме — ЦОД Qupra DC2. Это дата-центр с 30-летней историей, построенный по стандартам отказоустойчивости и безопасности. Подробнее о новом дата-центре рассказывали здесь.
Все серверы из euNetworks уже бесшовно перенесены в новый дата-центр. Стоимость аренды не изменилась, все услуги работают в штатном режиме.
firstvds.ru/products/vps_vds_netherlands
Новости из мира технологий и безопасности
Декабрь выдался довольно спокойным месяцем с точки зрения кибербезопасности. Но всё-таки не обошлось без пары серьёзных уязвимостей:
В репозитории crates.io обнаружены сразу четыре вредоносных пакета
В репозитории crates.io были обнаружены вредоносные пакеты Rust: evm-units и uniswap-utils (нацелены на кражу криптовалюты), а также sha-rust и finch-rust (собирали конфиденциальные данные). Они маскировались под легитимные инструменты и успели набрать тысячи загрузок.
Как работает атака:
При вызове функции get_evm_version() пакет evm-units/uniswap-utils обращается к внешнему серверу и загружает скрипт (init в Linux/macOS или init.ps1 в Windows) для выполнения вредоносных действий.
Пакет finch-rust добавляет вызов sha_rust::from_str(), которая отправляет на удалённый сервер данные системы, переменные окружения и файлы с токенами (например, .env, config.toml). Пакет finch-rust также является тайпсквоттинг-атакой, имитируя легитимный пакет finch.
Как защититься:
Тщательно проверяйте названия пакетов и их зависимости перед установкой.
Обращайте внимание на подозрительные функции, которые могут обращаться к внешним ресурсам.
Регулярно обновляйте зависимости и используйте инструменты для сканирования пакетов на наличие уязвимостей.
Для защиты от тайпсквоттинга используйте точные названия пакетов при добавлении в проект.
www.opennet.ru/opennews/art.shtml?num=64394
Критическая брешь в React, которая позволяет выполнять произвольный код на сервере
В экспериментальных серверных компонентах React (RSC) была обнаружена критическая уязвимость CVE-2025-55182 с наивысшим уровнем опасности (10 из 10), позволявшая выполнить произвольный код на сервере. Она затрагивала пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack, а также фреймворки Next.js (отдельная уязвимость CVE-2025-66478) и React Router в экспериментальном режиме RSC. Стоит отметить, что эти компоненты используются относительно редко, поэтому большинство React-приложений не были уязвимы.
Уязвимость была вызвана небезопасной десериализацией данных в HTTP-запросах к серверным обработчикам. Атакующий мог отправить специально сформированный запрос, который позволял использовать свойства прототипа для выполнения команд ОС, JavaScript-кода или доступа к файловой системе. Для атаки не требовалась аутентификация. Исследователи подтвердили принцип эксплуатации и опубликовали рабочие эксплойты.
Чтобы устранить риск, необходимо обновить React до версий 19.0.1, 19.1.2 или 19.2.1, а Next.js — до 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7.
www.opennet.ru/opennews/art.shtml?num=64373
Анализ атаки Shai-Hulud 2: отчёт компании Wiz
Компания Wiz опубликовала анализ деятельности червя Shai-Hulud 2. В ходе активности вредоноса злоумышленникам удалось опубликовать вредоносные версии более 800 пакетов, которые были загружены свыше 100 миллионов раз. После установки на машину разработчика такой пакет активирует червя, который начинает поиск конфиденциальных данных — токенов доступа, ключей и переменных окружения. Обнаружив токен для публикации в npm, червь использует его для выпуска новых вредоносных пакетов, самораспространяясь. Подробнее об атаке мы рассказывали здесь.
Самое важное из отчёта:
Червь создал на GitHub свыше 30 тысяч репозиториев с украденной информацией. В них чаще всего встречались файлы environment.json (80%), contents.json (70%) и truffleSecrets.json (50%), содержащие ключи доступа, пароли и переменные окружения с поражённых систем. Также было найдено около 400 файлов actionsSecrets.json с ключами от окружений GitHub Actions.
Анализ содержимого показал, что в файлах contents.json содержалось более 500 уникальных токенов доступа к GitHub. В truffleSecrets.json было выявлено свыше 400 тысяч уникальных записей, собранных утилитой TruffleHog (верифицировано около 2,5% из них). Большая часть данных остаётся актуальной: например, 60% из перехваченных токенов npm всё ещё действуют, что создаёт основу для новых атак.
Статистика по окружению показывает, что в 77% случаев червь запускался в средах непрерывной интеграции (CI), прежде всего в GitHub Actions (60%). На компьютерах разработчиков зафиксировано 23% запусков. В 87% инцидентов использовалась ОС Linux. Большинство запусков (76%) происходило в контейнерах.
Основными векторами заражения стали пакеты @postman/tunnel-agent-0.6.7 и @asyncapi/specs-6.8.3, на которые пришлось 60% всех инфицирований. В 99% случаев активация происходила через выполнение скрипта «node setup_bun.js», прописанного в секции preinstall файла package.json.
Напоминаем, как можно защитить свои системы:
Как мы работали в 2025 году
Пока готовили дайджест, оглянулись на прошедший год и захотелось поделиться с вами тем, что у нас получилось сделать.
В маркетинге тоже не скучали. Вместе с вами мы провели десятки активностей и подготовили десятки материалов — делились опытом, помогали находить решения и вдохновляли на новые проекты.
Спасибо, что в 2025 году были с нами. Впереди — 2026, и у нас уже много идей. Давайте поддерживать контакт и поздравляем вас с наступающими праздниками!
Но эти планы часто остаются лишь списком — ведь они рождаются на излёте сил, когда организм просит отдыха, а не новых свершений. Поэтому единственный рывок, который всем нам жизненно необходим прямо сейчас, — к дивану, на марафон по «Гарри Поттеру» с мандаринами и оливье.
А пока время длинных праздников не пришло, предлагаем сделать передышку в череде рабочих задач и прочитать наш декабрьский дайджест. В нём — познавательные материалы, интересные факты и подарок от Деда Мороза.
Дайджест новогодний, поэтому в конце вас ждёт немного итогов: предлагаем вместе вспомнить самые важные события уходящего года.
Статьи и инструкции
Запуск и настройка Django-проекта на Ubuntu
Django — высокоуровневый веб-фреймворк для создания сайтов. Для стабильной работы рабочего проекта необходим надёжный стек, например, связка MariaDB, Gunicorn и Nginx. Эта инструкция шаг за шагом поможет развернуть и настроить такую среду на Ubuntu — от установки базы данных до запуска приложения.
firstvds.ru/technology/zapusk-i-nastroyka-django-na-ubuntu
PostgreSQL-триггеры: создание, изменение и удаление с примерами
PostgreSQL-триггеры — это хранимые процедуры, которые выполняются до, после или вместо определенной операции. Делимся опытом, как использовать этот механизм при проектировании БД.
firstvds.ru/technology/postgresql-triggery-sozdanie-izmenenie-i-udalenie-s-primerami
Habr: самое интересное за декабрь
Праздничный сюрприз, который точно никому не нужен, — это взлом системы. На Хабре рассказываем о неочевидных рисках: уязвимостях в WordPress, атаках на Active Directory и скрытых угрозах IPv6.
Если захочется творчества, налейте чашку какао, возьмите имбирное печенье и откройте руководство по OpenAPI — будем учиться создавать чёткую документацию для API. А для лёгкого чтения припасли любопытное исследование, которое ответит, пожалуй, на один из самых важных вопросов 2025 года: правда ли, что ИИ-модели уже приблизились к уровню человека и могут легко выполнять его рабочие задачи?
- Уязвимости в WordPress и как их обнаружить: практическое руководство по WPScan
- Роль IPv6 в атаках на Active Directory
- OpenAPI на практике: пошаговое руководство
- 9 ИИ-агентов и 150 рабочих задач в виртуальной техподдержке: почему ни одна модель пока не сравнится с человеком
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, вы получите повышенный гонорар.
Тема января: софт.
firstvds.ru/avtoram
Новости декабря
Дед Мороз кешбэк принес
Чтобы сделать предпраздничные дни приятнее, подготовили специальное предложение: с 17 по 29 декабря начисляем кешбэк 10% при пополнении баланса на рекомендуемую сумму и выше. Узнать её можно в форме пополнения на сайте или в Личном кабинете.
firstvds.ru/actions/ded-moroz-keshbek
Переехали в новый ЦОД в Нидерландах
Открыли новую площадку в Амстердаме — ЦОД Qupra DC2. Это дата-центр с 30-летней историей, построенный по стандартам отказоустойчивости и безопасности. Подробнее о новом дата-центре рассказывали здесь.
Все серверы из euNetworks уже бесшовно перенесены в новый дата-центр. Стоимость аренды не изменилась, все услуги работают в штатном режиме.
firstvds.ru/products/vps_vds_netherlands
Новости из мира технологий и безопасности
Декабрь выдался довольно спокойным месяцем с точки зрения кибербезопасности. Но всё-таки не обошлось без пары серьёзных уязвимостей:
- В первой половине декабря в трёх ключевых экосистемах — npm, crates io и React — были выявлены критические инциденты. Что произошло и как защититься от атак — в подборке.
- Наша техподдержка обнаружила участившиеся случаи несанкционированных регистраций через демо-компоненты 1С-Битрикс, что может создать избыточную нагрузку на сайт. Какие меры предпринять, рассказываем в нашем материале.
В репозитории crates.io обнаружены сразу четыре вредоносных пакета
В репозитории crates.io были обнаружены вредоносные пакеты Rust: evm-units и uniswap-utils (нацелены на кражу криптовалюты), а также sha-rust и finch-rust (собирали конфиденциальные данные). Они маскировались под легитимные инструменты и успели набрать тысячи загрузок.
Как работает атака:
При вызове функции get_evm_version() пакет evm-units/uniswap-utils обращается к внешнему серверу и загружает скрипт (init в Linux/macOS или init.ps1 в Windows) для выполнения вредоносных действий.
Пакет finch-rust добавляет вызов sha_rust::from_str(), которая отправляет на удалённый сервер данные системы, переменные окружения и файлы с токенами (например, .env, config.toml). Пакет finch-rust также является тайпсквоттинг-атакой, имитируя легитимный пакет finch.
Как защититься:
Тщательно проверяйте названия пакетов и их зависимости перед установкой.
Обращайте внимание на подозрительные функции, которые могут обращаться к внешним ресурсам.
Регулярно обновляйте зависимости и используйте инструменты для сканирования пакетов на наличие уязвимостей.
Для защиты от тайпсквоттинга используйте точные названия пакетов при добавлении в проект.
www.opennet.ru/opennews/art.shtml?num=64394
Критическая брешь в React, которая позволяет выполнять произвольный код на сервере
В экспериментальных серверных компонентах React (RSC) была обнаружена критическая уязвимость CVE-2025-55182 с наивысшим уровнем опасности (10 из 10), позволявшая выполнить произвольный код на сервере. Она затрагивала пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack, а также фреймворки Next.js (отдельная уязвимость CVE-2025-66478) и React Router в экспериментальном режиме RSC. Стоит отметить, что эти компоненты используются относительно редко, поэтому большинство React-приложений не были уязвимы.
Уязвимость была вызвана небезопасной десериализацией данных в HTTP-запросах к серверным обработчикам. Атакующий мог отправить специально сформированный запрос, который позволял использовать свойства прототипа для выполнения команд ОС, JavaScript-кода или доступа к файловой системе. Для атаки не требовалась аутентификация. Исследователи подтвердили принцип эксплуатации и опубликовали рабочие эксплойты.
Чтобы устранить риск, необходимо обновить React до версий 19.0.1, 19.1.2 или 19.2.1, а Next.js — до 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7.
www.opennet.ru/opennews/art.shtml?num=64373
Анализ атаки Shai-Hulud 2: отчёт компании Wiz
Компания Wiz опубликовала анализ деятельности червя Shai-Hulud 2. В ходе активности вредоноса злоумышленникам удалось опубликовать вредоносные версии более 800 пакетов, которые были загружены свыше 100 миллионов раз. После установки на машину разработчика такой пакет активирует червя, который начинает поиск конфиденциальных данных — токенов доступа, ключей и переменных окружения. Обнаружив токен для публикации в npm, червь использует его для выпуска новых вредоносных пакетов, самораспространяясь. Подробнее об атаке мы рассказывали здесь.
Самое важное из отчёта:
Червь создал на GitHub свыше 30 тысяч репозиториев с украденной информацией. В них чаще всего встречались файлы environment.json (80%), contents.json (70%) и truffleSecrets.json (50%), содержащие ключи доступа, пароли и переменные окружения с поражённых систем. Также было найдено около 400 файлов actionsSecrets.json с ключами от окружений GitHub Actions.
Анализ содержимого показал, что в файлах contents.json содержалось более 500 уникальных токенов доступа к GitHub. В truffleSecrets.json было выявлено свыше 400 тысяч уникальных записей, собранных утилитой TruffleHog (верифицировано около 2,5% из них). Большая часть данных остаётся актуальной: например, 60% из перехваченных токенов npm всё ещё действуют, что создаёт основу для новых атак.
Статистика по окружению показывает, что в 77% случаев червь запускался в средах непрерывной интеграции (CI), прежде всего в GitHub Actions (60%). На компьютерах разработчиков зафиксировано 23% запусков. В 87% инцидентов использовалась ОС Linux. Большинство запусков (76%) происходило в контейнерах.
Основными векторами заражения стали пакеты @postman/tunnel-agent-0.6.7 и @asyncapi/specs-6.8.3, на которые пришлось 60% всех инфицирований. В 99% случаев активация происходила через выполнение скрипта «node setup_bun.js», прописанного в секции preinstall файла package.json.
Напоминаем, как можно защитить свои системы:
- просканировать все конечные точки на наличие заражённых пакетов и немедленно удалить их;
- обновить все учётные данные и проверить репозитории на наличие подозрительных файлов workflow, таких как shai-hulud-workflow.yml;
- внимательно следить за необычными ветками и действиями в .github/workflows для выявления скрытого заражения.
Как мы работали в 2025 году
Пока готовили дайджест, оглянулись на прошедший год и захотелось поделиться с вами тем, что у нас получилось сделать.
- 2025 был годом развития: мы внедряли новые услуги, открывали новые локации и улучшали железо. Ниже — краткий обзор всех главных продуктовых обновлений.
- Запустили объектное хранилище S3 для больших объёмов данных (бэкапов, контента, логов и сайтов) с удобной панелью управления.
- Представили VDS c GPU на видеокартах NVIDIA RTX 4090, L4 и L40S — решение для ресурсоёмких задач: работы с нейросетями и машинным обучением, 3D-моделирования, рендеринга и обработки видео.
- Чтобы вы меньше волновались о работе своей инфраструктуры, запустили статус-панель: она позволяет следить за состоянием серверов в режиме реального времени. Если что-то упадёт, вы сможете сразу понять — это локальная неисправность или масштабный инцидент.
- А для защиты проектов от внешних угроз добавили BitNinja — комплексное решение от кибератак: SQL-инъекций, DDoS, спама и взлома.
- В 2025 география FirstVDS стала шире. Открыли новую локацию в Алматы: можно арендовать сервер в дата-центре Ahost.kz. А в Москве и Амстердаме апгрейднули железо: теперь серверы в тарифах Форсаж и Атлант открываются не только на AMD EPYC 9654, но и на новом серверном процессоре AMD EPYC 9655.
В маркетинге тоже не скучали. Вместе с вами мы провели десятки активностей и подготовили десятки материалов — делились опытом, помогали находить решения и вдохновляли на новые проекты.
Спасибо, что в 2025 году были с нами. Впереди — 2026, и у нас уже много идей. Давайте поддерживать контакт и поздравляем вас с наступающими праздниками!
0 комментариев
Вставка изображения
Оставить комментарий