Мощная атака на ASUS, новый проект Дурова и подорожание ОЗУ

Последний осенний месяц 2025 года оказался на удивление продуктивным: Павел Дуров запустил очередной стартап, хакеры взломали более 50 000 роутеров ASUS и заразили 492 пакета в экосистеме npm, а исследователи построили математическую модель и объяснили, как разрушается наша способность к концентрации. Об этих и других важных событиях — в сегодняшнем дайджесте.

Содержание

• Математическая модель объяснила, почему вам бывает трудно сосредоточиться на работе
• Червь в npm крадёт токены разработчиков и заражает новые пакеты
• ИИ не оправдал ожиданий, и компании возвращают уволенных сотрудников
• 50 лет спустя: найдена UNIX V4 — версия, которая создала архитектуру современных ОС
• Дуров запустил Cocoon — сеть, где можно сдавать видеокарту в аренду для ИИ
• ОЗУ подорожали втрое из-за бума ИИ
• Срок службы интернет-магистралей в России подходит к концу
• Хакеры превратили 50 тысяч роутеров ASUS в шпионскую сеть — проверьте свой
• Полезные сайты, которые стоит посетить
• Интересное на Reddit

Математическая модель объяснила, почему вам бывает трудно сосредоточиться на работе

Аналитик Джан Дурук представил математическую модель, объясняющую, почему даже небольшие отвлечения выбивают из рабочего потока. В её основе — три параметра: частота прерываний, время на возвращение к задаче и минимальный непрерывный отрезок работы, необходимый для реального прогресса.

Модель показывает, что фокус нарушает не само отвлечение, а время на возврат к работе. При каждом переключении мозг тратит на восстановление контекста больше времени, чем длится отвлечение. В результате день заполняется безобидными микропереключениями, которые разрушают глубокое погружение в работу.

Предположим, коллега задаёт вам двухминутный вопрос. Вроде мелочь, но на возврат в задачу затем уходит 15–20 минут — столько времени требуется мозгу, чтобы восстановить контекст. При трёх прерываниях в час восьмичасовой рабочий день распадается на серию 20–30-минутных отрезков — слишком коротких для решения сложных задач, требующих глубокой концентрации.

Червь в npm крадёт токены разработчиков и заражает новые пакеты

Исследователи сообщили о массовой атаке на экосистему npm — крупнейшее хранилище библиотек JavaScript. Разработчики скачивают оттуда готовые модули для сайтов, приложений и сервисов. Почти каждый современный проект — от интернет-магазинов до мобильных сервисов — использует такие пакеты.

Злоумышленники встроили вредоносный код в 492 пакета, которые скачивают более 130 миллионов раз в месяц. Механизм работал как самораспространяющийся червь: при установке заражённой зависимости вредоносный скрипт запускался автоматически. Он крал учётные данные к GitHub, npm и другим сервисам, а затем использовал эти доступы для заражения новых пакетов от имени разработчика. Так цепочка разрасталась сама по себе.

Под удар попали проекты, которые используют многие компании: AsyncAPI, PostHog, Postman, Zapier и ENS. Риск оказался не где-то далеко — он скрывается в инструментах, на которые полагаются тысячи команд по всему миру.

Подобные атаки могут подтолкнуть разработчиков к использованию нативного кода. Для нейросетей не важно, с чем работать, но код без внешних библиотек безопаснее и не зависит от сторонних пакетов. А многие современные модели уже достаточно мощные, чтобы генерировать такой код в больших объёмах.

Например, в конце сентября Anthropic представила Claude Sonnet 4.5. Нейросеть установила рекорд на SWE-bench Verified и превзошла Gemini 2.0 и GPT-4o. Она лучше работает с большими кодовыми базами и использует на 60–70% меньше токенов. С такими возможностями генерация чистого кода без внешних зависимостей становится вполне реальной альтернативой, особенно для важных частей проектов, где безопасность в приоритете над скоростью разработки.

Читайте также:

Обзор нейросети Claude — главного конкурента ChatGPT

ИИ не оправдал ожиданий, и компании возвращают уволенных сотрудников

По данным аналитиков из компании Visier, около 5,3% уволенных работников позже вернулись к прежним работодателям. Этот показатель держался на одном уровне несколько лет подряд, но в 2025 году начал расти — одновременно с сокращениями, которые компании объясняли «оптимизацией с помощью ИИ».

Во многих компаниях ИИ-решения не принесли ожидаемой экономии. Задачи оказались сложнее, чем предполагалось, а модели часто ошибались там, где важны опыт, знание процессов и понимание контекста. На наш взгляд, это вполне ожидаемо: мы ещё далеки от момента, когда те же чат-боты в службах поддержки смогут хорошо справляться с нестандартными запросами клиентов.

В итоге часть уволенных специалистов пришлось вернуть. Многие заняли прежние места, но были и те, кого назначили исправлять последствия неудачной автоматизации. Хочется верить, что и российские работодатели скоро поймут, что ИИ пока не может заменить людей, — и прекратят подобные эксперименты.

50 лет спустя: найдена UNIX V4 — версия, которая создала архитектуру современных ОС

В хранилище Университета Юты обнаружили девятидорожечную магнитную ленту с надписью UNIX Original From Bell Labs V4. Она датируется примерно 1973 годом — это версия, в которой Unix была написана преимущественно на языке C. Именно V4 заложила архитектуру для Linux, BSD и большинства других современных серверных операционных систем. До сих пор считалось, что полный образ Unix V4 утерян — сохранились только разрозненные фрагменты.

Ленту передали в Computer History Museum, где её аккуратно считывают побитово и готовят к оцифровке. Если восстановление пройдёт успешно, это станет редкой возможностью увидеть Unix такой, какой она была на раннем этапе — ещё до форков, коммерческих версий и появления GNU-инструментов.

Для исследователей и энтузиастов это потерянная глава в истории операционных систем. Найти такую ленту спустя полвека — редкая удача. Она позволит увидеть, как выглядела ОС, когда весь код помещался на одну катушку, а Unix занимала меньше места, чем сегодня весит одна фотография. Главное — больше не терять.

Дуров запустил Cocoon — сеть, где можно сдавать видеокарту в аренду для ИИ

Павел Дуров объявил о запуске Cocoon — децентрализованной сети для аренды вычислительных мощностей, где владельцы видеокарт могут сдавать свои GPU в аренду, а разработчики и компании — использовать их для обучения и запуска ИИ-моделей. По сути, это распределённое облако вычислений, только вместо централизованных серверов в дата-центрах задачи будут выполняться параллельно на тысячах обычных компьютеров пользователей по всему миру.

Сеть работает на блокчейне TON. Участники получают вознаграждение в токенах, а разработчики — доступ к вычислениям по цене значительно ниже, чем в классических облаках. Главное отличие от Google Cloud или AWS — полное шифрование вычислений, которое гарантирует конфиденциальность данных. Ни владельцы GPU, ни платформа не видят содержимое обрабатываемых задач.

Первым крупным клиентом Cocoon станет Telegram. Сеть возьмёт на себя часть нейрофункций мессенджера — обработку голосовых сообщений и работу чат-ботов. Если экосистема вырастет, Cocoon станет одной из первых массовых сетей, где ИИ-мощности распределяются напрямую между пользователями.

ОЗУ подорожали втрое из-за бума ИИ

Цены на модули оперативной памяти резко выросли: DDR5 подорожала на 190% с конца сентября. Например, популярный комплект G.Skill Trident Z5 Neo (64 ГБ, 6000 МГц) стоил в сентябре 220 долларов, а к концу ноября — 640 долларов.

Рост цен ощущается по всему миру и затронул Россию. Увы, комплект памяти на 64 ГБ может стоить дороже PlayStation 5. А причина — в производителях, которые отдают приоритет дата-центрам, закупающим память для обучения ИИ-моделей. Аналитики прогнозируют, что дефицит сохранится и в 2026 году.

Из-за роста цен память стала настолько ценной, что даже участились случаи краж при доставке. Например, пользователь Reddit рассказал, что заказанная им DDR5 так и не дошла. Оказалось, что курьер в четыре утра отметил доставку как выполненную и расписался за получателя, нарисовав звезду вместо подписи.

Срок службы интернет-магистралей в России подходит к концу

Аналитики J’son & Partners Consulting предупреждают, что срок службы значительной часть российских магистральных волоконных линий на маршруте «Запад — Восток» приближается к концу. По примерным оценкам от 50 до 70% оптоволокна исчерпает гарантийный ресурс в этом году. Основную инфраструктуру проложили в нулевых, а служат такие кабели 20–25 лет.

Устаревание стекловолокна приводит к потере прозрачности — сигнал проходит хуже, усиливается шум, растёт число ошибок передачи. Одновременно с этим увеличивается нагрузка на сети. Отдельные магистрали уже используют до 70% пропускной способности, что делает инфраструктуру уязвимой к сбоям.

Эксперты также отмечают, что старые кабели могут быть несовместимы с современным оборудованием. Чтобы избежать ухудшения качества связи, до 2030 года власти должны заменить около 400 тысяч километров оптоволокна. Стоимость составляет примерно миллион рублей за километр, но сложный рельеф, реки и труднодоступные участки могут увеличить цену в несколько раз.

Читайте также:

На дне: подводные кабели и межконтинентальный интернет

Хакеры превратили 50 тысяч роутеров ASUS в шпионскую сеть — проверьте свой

Аналитики из SecurityScorecard обнаружили масштабную атаку на домашние и офисные роутеры ASUS — операцию WrtHug. По оценкам экспертов, злоумышленники взломали не менее 50 000 устройств по всему миру.

Хакеры использовали шесть уязвимостей в устаревших моделях, которые больше не получают обновления. Основной вектор атаки — сервис AiCloud, который позволяет удалённый доступ к домашним файлам через интернет.

Злоумышленники используют захваченные роутеры для маскировки своих кибератак. Ботнет работает максимально незаметно для владельцев устройств. Вот список взломанных моделей: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS, RT-AC1300UHP.

Чтобы проверить роутер, откройте веб-интерфейс устройства и найдите раздел AiCloud или настройки удалённого доступа. Посмотрите срок действия TLS-сертификата: если установлен 2122 год или другой нереально далёкий срок — это признак компрометации. В этом случае попробуйте обновить прошивку на официальном сайте ASUS или переходите на более современную модель.

Читайте также:

Что такое DDoS-атаки, как они устроены и почему от них сложно защититься

Полезные сайты, которые стоит посетить

LibrePods — открытый проект, который разблокирует многие функции AirPods на Android и Linux. Apple намеренно ограничивает шумоподавление, адаптивную прозрачность, жесты головой, режим слухового аппарата и подключение к нескольким устройствам только для своей экосистемы. LibrePods позволяет обходить эти ограничения с помощью реверс-инжиниринга протокола Bluetooth.

Полная поддержка доступна для AirPods Pro 2 и 3 (кроме мониторинга пульса) и AirPods Max. Базовые функции работают для всех моделей AirPods — речь о проверке заряда и определении наушников в ухе. Но есть нюанс: на Android требуется root-доступ и фреймворк Xposed из-за бага в Bluetooth-стеке, который блокирует приложениям низкоуровневый доступ без привилегированных прав. Ещё один момент: версия для десктопных Linux-систем пока в разработке.

DroidRun — открытый фреймворк для автоматизации мобильных приложений с помощью LLM-агентов. Работает просто: вы даёте команду вроде «Забронируй отель в Берлине на три ночи с 15 декабря», а DroidRun сам открывает нужное приложение, заполняет поля, фильтрует результаты и проходит весь сценарий бронирования. Можно автоматизировать что угодно — от проверки уровня батареи до сбора данных из приложений. Есть сомнения по поводу его работы в России, но ИИ-агенты лишними не бывают. Можно попробовать на праздниках.

Storm Search — расширение для VS Code, которое переносит удобный поиск из редактора PhpStorm. Результаты отображаются в двухпанельном интерфейсе: слева — список совпадений по файлам, справа — полное превью с подсветкой синтаксиса. Содержимое файлов можно просматривать до их открытия, что позволит сэкономить время при работе с большими кодовыми базами.

Главная фишка Storm Search — навигация с клавиатуры работает прямо во время набора запроса. Стрелками вы можете листать результаты, не отрываясь от поля ввода. Enter открывает файл на нужной строке, а модификаторы вроде Ctrl+Enter или Shift+Enter позволяют перейти в новую вкладку или в сплит-режим, не закрывая окно поиска. Также доступна фильтрация по типам файлов (*.ts, *.js) и поиск внутри конкретных директорий через контекстное меню в Explorer.

Интересное на Reddit

На r/programming обсуждают пост The Death of Software Engineering as a Profession — «Смерть разработки ПО как профессии». Разработчики спорят: уходит ли профессия на фоне ИИ и всё более сложных абстракций? Одни считают, что работа превратилась в сборку готовых библиотек. Другие возражают: без архитектуры и системного мышления всё рассыпается. Тред читается как групповая терапия для тех, кто переживает за будущее индустрии.

В r/cscareerquestions обсуждают, сколько «реального» кода пишут в крупных компаниях. Участники сходятся во мнении, что фреймворки и генераторы давно стали нормой, но ручная логика всё равно нужна для исправления ошибок и нестандартных случаев. Вывод отсюда довольно простой: инструменты меняются, но умение решать сложные задачи и понимать, что происходит под капотом, по-прежнему отличает сильного разработчика от сборщика библиотек.

Читайте также:

Что такое вайб-кодинг и почему о нём все говорят

В r/cybersecurity вспоминают историю с публичным Wi-Fi в Лувре, где пароль для гостевой сети оказался просто Louvre. Пользователи отмечают, что подобные случаи встречаются даже в крупных музеях и корпорациях. Всё дело в том, что базовые принципы кибербезопасности часто игнорируются ради удобства посетителей или из-за недостатка осведомлённости у персонала. Результат предсказуем: слабые пароли делают сеть уязвимой для атак, а репутационные риски остаются на втором плане, пока не произойдёт реальный инцидент.

Читайте также:

Упражнения в прекрасном: подключаемся к домашнему Wi-Fi без пароля

В r/AI_Agents обсуждают разработчика, который доверил создание продукта ИИ-инструментам и потратил около 4000 долларов на API и подписки. На локальной машине всё работало идеально. Но после деплоя на продакшен начались проблемы: сбои OAuth-авторизации, ограничения на размер загружаемых файлов, ошибки миграций и нестабильная работа под нагрузкой.

Комментаторы отмечают, что ИИ отлично справляется с прототипированием и написанием базовой логики, но не учитывает инфраструктурные нюансы. Думаем, это отличное доказательство того, что человек — главный в айтишке.