15-й выпуск IT-новостей от OpenIDE!
Вредоносная версия плагина провисела в VS Code Marketplace 18 минут и этого хватило, чтобы слить конфиги Claude Code, ключи AWS и 3800 репозиториев GitHub.
Параллельно двое братьев удалили 96 правительственных баз данных за ~1 час после увольнения по Teams, а Bolt вообще уволил весь HR-отдел.
Дайджест также доступен в формате видео:
GitHub взломан через VS Code за 18 минут
18 мая 2026 года группировка TeamPCP опубликовала вредоносную версию расширения Nx Console (версия 18.95.0) в VS Code Marketplace. Расширение провисело там ровно 18 минут, с 12:30 до 12:48 UTC, прежде чем его удалили. За это время автообновление успело раздать заражённую версию пользователям.
Один из разработчиков GitHub установил обновление и запустил вредоносный payload, который при открытии workspace молча собрал AWS-ключи, npm-токены, GitHub-учётные данные, конфигурации 1Password и Claude Code, после чего отправил всё на серверы атакующих. Итог: TeamPCP получила доступ примерно к 3 800 внутренних репозиториев GitHub.
CVE-2026-48027. Nx Console — 2,2 млн установок на Marketplace, верифицированный издатель. GitHub подтвердил, что пользовательские репозитории инцидент не затронул — только внутренние.
Вредоносная версия тянула обфусцированный payload из специально подготовленного коммита в официальном репозитории nrwl/nx на GitHub. Атакующие скомпрометировали аккаунт одного из мейнтейнеров и от его имени запушили заражённую версию.
TeamPCP объявила, что продаст всё одному покупателю за $50 000. Если покупатель не найдётся — опубликует бесплатно.
Это подходящий момент сказать пару слов про OpenIDE Marketplace 😀 Да ладно, рофлю. Но всё же немного не посмаковать её я не могу. Разработчик Microsoft поставил расширение из Marketplace Microsoft в VS Code от Microsoft и получил вредоносное ПО. К-к-к-комбо!
Карпати переходит в Anthropic
19 мая Андрей Карпати объявил о переходе в Anthropic. Он войдёт в команду pre-training под руководством Ника Джозефа — именно этот отдел отвечает за крупные обучающие прогоны, формирующие базовые знания и способности Claude.
Карпати, один из 11 сооснователей OpenAI, с 2017 по 2022 год возглавлял команду компьютерного зрения Tesla Autopilot. После Tesla вернулся в OpenAI на год, затем основал Eureka Labs — AI-нативную школу. Теперь вот в Anthropic.
Это примерно как если бы Федя Сазонов вдруг перешёл работать в GigaIDE. В общем уровень трансфера из «Реал Мадрида» в «Барселону». Карпати 15 лет занимался LLM и их обучением до того, как это стало мейнстримом, и эти 15 лет сейчас стоят огромных денег. У Anthropic деньги есть, им нужны люди. Аналогичная история: OpenAI подписали создателя OpenClaw, который теперь тратит $1,3 млн в месяц только на токены. Скоро IPO у Anthropic, скоро IPO у OpenAI, интересные времена впереди!
Qwen 3.7 Max: Alibaba на Alibaba Cloud Summit
20 мая Alibaba представила Qwen 3.7 Max на Cloud Summit в Ханчжоу. Модель закрытая, без открытых весов, доступна только через API.
Ну в общем то вышла и вышла. Никакого прорыва со стороны Alibaba на этот раз как по мне нет, ребята постепенно нагоняют то, что происходит в индустрии. По опыту реального использования можете написать в комментариях, какого оно.
Bolt положил болт на HR-отдел
Финтех-стартап Bolt в 2022 году стоил $11 млрд — к 2024-му капитализация упала до $300 млн, минус 97%. Основатель Райан Брезлоу в 2022-м ушёл с поста CEO, в марте 2025-го вернулся.
19 мая на Fortune Workforce Innovation Summit он рассказал, что уволил весь HR-отдел: «Они создавали проблемы, которых не существовало. Когда я от них избавился, проблемы исчезли». Вместо HR в компании теперь небольшая команда people ops, которая занимается обучением и кадровыми вопросами.
Параллельно с HR Брезлоу срезал 30% штата, убрал четырёхдневную рабочую неделю и безлимитный отпуск. Возможно, надо было сделать трёхдневную рабочую неделю — тогда всё бы точно наладилось. Посмотрим, насколько хорошо получится у этого Bolt’а!
Источник: Хабр
Roo Code закрывает расширение
15 мая Roo Code закрыл расширения Roo Cloud и Roo Router. На момент закрытия — 3 млн установок в VS Code Marketplace, около 24 000 звёзд на GitHub. Сооснователь объяснил закрытие тем, что «IDE — это не будущее кодинга».
Чувак, ты делаешь расширение для VS Code. Попробуй OpenIDE, или любую другую IDE на базе JetBrains — поймёшь, где будущее! Ты бы ещё для Neovim написал плагин, а потом сказал, что это не IDE будущего 🙂
Источник: Хабр
Братья-близнецы удалили 96 правительственных баз данных
18 февраля 2025 года Муниб и Сухайб Ахтер были уволены из Opexus — подрядчика, который обслуживает более 45 федеральных ведомств США. Причина увольнения: выяснилось, что у Сухайба есть судимость.
Уволили обоих во время звонка в Microsoft Teams, завершившегося в 16:50. В 16:56 Муниб, доступ которому закрыть забыли, уже заходил в правительственные базы данных. За несколько часов братья удалили 96 баз, включая документы по запросам FOIA и следственные материалы федеральных ведомств. Сразу после удаления одной из баз DHS Муниб спросил у AI-ассистента, как очистить системные логи SQL Server и Windows Server.
Муниб также скачал более 1 800 файлов из EEOC и налоговые данные нескольких сотен человек. Параллельно у братьев нашли файл с 1,2 млн строк персональных данных и 5 400 украденных учётных записей.
Это не первый раз: в 2015 году оба уже получили реальные сроки за взлом федеральных систем — Муниб 39 месяцев, Сухайб два года. Сухайб осуждён по новому делу 7 мая 2026 года, приговор — до 21 года. Муниб заключил досудебное соглашение 15 апреля 2026 года, но уже пытается от него отказаться.
Вопрос, который хочется задать первым: зачем? Что они хотели этим добиться — непонятно. Если у правительства США не было бэкапов, то этим двоим, наверное, стоило выписать премию, а не срок — они как минимум выявили, что вся архивная инфраструктура держится на честном слове. Ну и отдельная история про найм: их уволили ровно потому, что подрядчик наконец узнал о судимости 2015 года. За то же самое! Ребят ничему не научило ни первое, ни второе — теперь не три года, а сорок пять.
Источник: Хабр
Уже сейчас OpenIDE позволяет разрабатывать проекты на Java, Spring, Python, Go, JavaScript и TypeScript! А поддержка Docker и 300+ плагинов доступны абсолютно бесплатно в маркетплейсе. Пробуйте российскую IDE в деле и подписывайтесь на нас в Telegram или Max, чтобы не пропустить свежие обновления и полезные материалы.
ссылка на оригинал статьи https://habr.com/ru/articles/1039790/