HN Digest
Briefing personnel.

Edition quotidienne

Lire vite. Garder l'essentiel.

Les meilleurs longs formats de Hacker News, relus plus calmement.

6614 articles Page 242/662 Sans filtre

06:00

Postmortem: TanStack npm supply-chain compromise

Le 11 mai 2026 entre 19:20 et 19:26 UTC un attaquant a publié 84 versions malveillantes sur 42 packages @tanstack/* en combinant l'utilisation de pull_request_target, un empoisonnement du cache GitHub Actions et l'extraction mémoire d'un jeton OIDC. Le code malveillant s'exécute lors de npm/pnpm/yarn install en résolvant une optionalDependencies malveillante, en lançant un script prepare qui exécute un router_init.js obfusqué, collecte des identifiants (AWS, GCP, Kubernetes, Vault, .npmrc, tokens GitHub, clés SSH), exfiltre via le réseau Session/Oxen et se propage en republian des packages. Aucune preuve de vol de jetons npm n'a été trouvée et le workflow de publication npm en tant que tel n'a pas été compromis, mais toutes les versions affectées ont été dépréciées, npm security a été contacté pour retirer les tarballs et il est fortement recommandé de faire tourner les identifiants accessibles depuis un hôte ayant installé une version affectée le 11 mai 2026. La détection a été réalisée par un chercheur externe environ vingt minutes après la publication, les mainteneurs ont lancé une réponse (dépréciations, purge des caches, demande de retrait des tarballs, publication d'un avis de sécurité et fusion de corrections pour durcir les workflows) et un suivi est organisé via un issue et un advisory GitHub. L'incident montre que la chaîne d'attaques nécessite les trois failles simultanément et les mitigations proposées comprennent l'audit des workflows pull_request_target, le verrouillage des références d'actions, l'ajout de gardes repository_owner, la surveillance des publications et la révision des mécanismes de publication OIDC ou de recours à des tokens à courte durée et revue manuelle.

06:08

BLAS, Lapack and OpenMP

BLAS et LAPACK fournissent des routines d'algèbre linéaire tandis qu'OpenMP apporte des primitives pour le parallélisme en mémoire partagée, et ces bibliothèques existent en de nombreuses implémentations optimisées. Les différences d'API/ABI (LP64 vs ILP64, conventions Fortran, noms de symboles) et l'obligation qu'un même environnement utilise une seule implémentation rendent l'intégration délicate. Le packaging Python aggrave la situation car les roues vendent des bibliothèques natives (OpenBLAS, libomp, MKL), ce qui multiplie les copies, empêche le basculement à l'exécution et provoque des conflits de threads, des blocages et des résultats numériques erronés. Concrètement, NumPy et SciPy vendent des versions différentes d'OpenBLAS, PyTorch lie statiquement MKL et vend OpenMP, scikit-learn vend libomp/libgomp et a introduit threadpoolctl, et SciPy limite l'usage d'OpenMP à cause des risques. Les pistes d'atténuation comprennent des bibliothèques de démultiplexage (FlexiBLAS, libblastrampoline, interfaces SciPy), des paquets mutex comme dans conda, la publication de roues séparées pour OpenBLAS/OpenMP ou une évolution du modèle PyPI pour exprimer des dépendances système.

06:07

James Schuyler's Genius

James Schuyler est présenté comme un poète de l'attention quotidienne dont les poèmes captent des moments éphémères par des répétitions et des détails sensoriels, illustré par "October". La biographie récente de Nathan Kernan, A Day Like Any Other, retrace en détail la vie tourmentée de Schuyler, ses crises mentales, ses relations et son appartenance à l'école de New York. L'article souligne la tension entre la turbulence de sa vie privée et la discipline de son écriture, notant que ses poèmes transforment des événements réels en images quotidiennes plutôt qu'en confession directe. Schuyler relie le banal et le métaphysique en célébrant les tâches domestiques, la répétition et la présence, thèmes qui donnent à ses vers une intensité de vie et de mortalité. Sa poésie connaît une renaissance contemporaine parce qu'elle propose d'absorber l'instant et de trouver du sens dans de petites joies quotidiennes, ce qui résonne avec l'insécurité sociale et le désir d'ancrage actuel.

06:07

Spain has become one of Europe’s cheapest power markets

Au cours des quatre premiers mois de 2026, le prix de gros de l'électricité en Espagne était d'environ 44 €/MWh, bien inférieur à celui de la plupart des grands pays européens (Italie 127 €, Allemagne 96 €, Royaume‑Uni 103 €) et désormais plus bas que la France et le bloc d'Europe centrale. La cause structurale est un remplacement massif des fossiles par les renouvelables : le charbon a quasiment disparu, le gaz est passé d'un pic supérieur à 30 % il y a une décennie à ~19 % aujourd'hui, tandis que l'éolien (20 % en 2025) et le solaire (22 % en 2025) fournissent ensemble environ 44 % de la production. Conséquence directe, la part des heures où le gaz fixe le prix a chuté (≈55 % en 2022 → 27 % en 2024 → ≈9 % sur les quatre premiers mois de 2026), même si la méthode d'estimation sous‑évalue probablement l'influence du gaz en ne tenant pas pleinement compte des coûts d'opportunité de l'hydro et des spécificités des installations de cogénération. Cela n'implique pas des factures domestiques forcément plus basses : le chiffre de 44 €/MWh concerne le marché de gros et les ménages payent encore en 2025 ~0,265 €/kWh en Espagne, en grande partie à cause des taxes, des charges réseau et des coûts systémiques qui augmentent pour financer l'équilibrage et le renforcement des réseaux ; par ailleurs la sortie programmée des réacteurs nucléaires (2027‑2035) pourrait faire remonter la part de gaz au marginal si elle n'est pas compensée par des moyens bas‑carbone. L'incident de coupure générale du 28 avril 2025 n'a pas été causé par les renouvelables selon l'enquête d'ENTSO‑E mais par des oscillations de tension et des protocoles de déconnexion inadéquats, et des solutions techniques (statcoms, meilleurs contrôles de tension et protocoles de déconnexion) existent mais requièrent des investissements et des décisions sur qui en supportera le coût.

06:07

Nuke All Routers

Ce projet fournit un firmware pour ESP32-C5 qui balaie les réseaux 2,4 GHz et 5 GHz et permet d'envoyer des trames de désauthentification 802.11 vers des cibles sélectionnées via une liaison Bluetooth Low Energy. Trois front-ends sont fournis pour contrôler l'appareil: une application Flutter pour Android et Linux, une application pour montres Garmin Fenix et le firmware lui-même, qui communiquent via le profil BLE Nordic UART Service et un protocole texte simple. L'auteur indique explicitement que l'outil est destiné à la recherche de sécurité défensive et à l'éducation et que son usage contre des réseaux sans autorisation explicite est illégal et interdit. Le dépôt propose des binaires prêts à l'emploi, un téléversement rapide via un flasher Web, et des instructions de compilation incluant un patch de libnet80211.a nécessaire pour permettre l'envoi de trames spoofées sur la radio 5 GHz. Le matériel recommandé est la carte Seeed XIAO ESP32-C5, le projet est organisé en sous-répertoires pour le firmware, l'application Flutter et l'app Garmin, et il est publié sous licence Apache 2.0 avec remerciements au travail initial d'AnvilBrain.

06:07

The Struggle Is Gone

Lors de ses études de physique, l'auteur a constaté que les exercices qui nécessitaient une lutte aboutissaient à une compréhension durable, tandis que les notions apprises sans effort s'oublient rapidement. En apprenant la programmation à vingt-deux ans à travers des difficultés techniques et des erreurs, il est devenu data scientist et a consolidé ses compétences par la pratique. L'apparition des grands modèles de langage supprime souvent la nécessité de lutter longuement pour résoudre un problème, car les réponses peuvent être obtenues en quelques frappes. L'analogie avec les enfants et les téléphones illustre que l'évitement de l'ennui et de l'inconfort immédiat nuit au développement de la créativité, de l'initiative et de la résilience. L'auteur conclut que l'éducation est en mutation: certains continueront à s'engager dans la difficulté et en tireront profit, mais beaucoup préféreront les raccourcis et il est incertain combien de diplômés sauront encore résoudre des problèmes difficiles de façon autonome.