Hackerspace News

News

Microsoft e il buffet di malware: questa volta l’invitato è un AI agent

🇮🇹 · /root · Lamberto Tedaldi

Avete mai desiderato che i vostri script di automazione facessero il lavoro sporco al posto vostro, magari pulendo il codice o aggiornando le dipendenze, senza però che si portassera via anche le vostre password del server? Ecco, sembra che qualcuno abbia preso questo concetto un po’ troppo alla lettera. Arrivano notizie fresche (e decisamente poco rallegranti) da Ars Technica: per la seconda volta in poche settimane, abbiamo scoperto pacchetti Microsoft che sono in realtà dei cavalli di Troia travestiti. Non stiamo parlando della solita vecchia mail di phishing che arriva dal tizio che ti promette un iPhone gratis, ma di roba che si nasconde dentro pacchetti software ufficiali o apparentemente legittimi. Il payload in questione? Un credential stealer che si auto-replica non appena viene toccato da un agente AI. Sì, avete letto bene. Il malware è progettato per sfruttare proprio quella nuova ondata di automazione basata su IA che tutti stiamo cercando di implementare nei nostri workflow. Se lasciate che un agente AI analizzi il codice o gestisca i pacchetti per voi, il malware si sveglia, si replica e inizia a succhiarti le credenziali. È come se avessi costruito un robot per pulire il garage e lui, invece di raccogliere le viti, iniziasse a svuotare il tuo conto in banca. Da smanettone che non vive in una bolla di sudsata sicurezza corporate, trovo questo scenario assolutamente inquietante ma anche tragicamente prevedibile. Siamo in un’epoca in cui il marketing spinge l’automazione AI ovunque, ma la sicurezza della supply chain è rimasta ferma ai tempi del modem 56k. Microsoft, con tutta la sua infrastruttura mastodontica, si ritrova a essere il vettore perfetto per questo tipo di attacchi. È il classico problema del ‘too big to fail’ che diventa ‘too big to secure’. Per noi che passiamo le notti a compilare kernel, buildare macchine CNC o far girare script Python per gestire i dati dei sensori, la lezione è una sola: l’automazione senza controllo è un suicidio digitale. Se state iniziando a usare agenti AI per gestire repository o per il deployment, fate attenzione. Non date in pasto ai bot qualsiasi cosa senza aver prima verificato l’integrità di quello che state scaricando. Il sandbox non è più un’opzione, è una necessità vitale. In un mondo dove il software è sempre più una scatola nera e le dipendenze sono un labirinto di codice scritto da sconosciuti, l’unica difesa è tornare alle basi: ispezionare, testare e, se possibile, isolare. E per l’amor di Dio, tenete le chiavi SSH lontano dai bot che non avete configurato voi. Source: For the 2nd time in weeks, Microsoft packages laced with credential stealer

webnewsaicybersecurityhackingMicrosoft

Codice illeggibile, genio puro: sono arrivati i vincitori dell’IOCCC 2025!

🇮🇹 · /root · Lamberto Tedaldi

Se la vostra idea di ‘pulizia del codice’ consiste nel seguire maniacalmente le convenzioni di stile di Google o di rendere tutto leggibile ai vostri colleghi umani, fermatevi subito: siete nel posto sbagliato. È ufficialmente uscito il verdetlo del 29esimo International Obfuscated C Code Contest (IOCCC), la competizione dove l’obiettivo non è scrivere software che funzioni, ma scrivere software che funzioni nonostante sembri un attacco di panico digitale. Mentre il resto del mondo tech si affanna a scrivere prompt per l’IA sperando che generino qualcosa di coerente, gli artisti dell’IOCCC hanno deciso che la leggibilità è un concetto superato e che il vero valore risiede nell’arte di nascondere la logica dietro un labirinto di macro, spazi bianchi strategici e simboli che farebbero piangere un linter. I vincitori del 2025 sono stati annunciati e, devo ammetterlo, la qualità delle sottomissioni è stata quasi mostruosa. Dopo l’edizione record dell’anno scorso (che era stata alimentata da un periodo di pausa di quattro anni che ha lasciato tempo agli autori per affinare le loro tecniche di sadismo digitale), quest’anno il livello è rimasto altissimo. Non siamo solo di fronte a semplici ‘trucchi’, ma a vere e proprie sculture di codice. Vedere un programma che compila e produce un output coerente partendo da un file sorgente che sembra un errore di codifica UTF-8 è quel tipo di magia nera che ci fa sentire parte di una vera élite di smanettoni. Per noi che passiamo le serate a far girare codice su vecchi hardware retrocomputing o a cercare di far comunicare un modulo CNC con un controller scritto in un linguaggio che non vediamo dal 1995, queste sottomissioni sono una fonte d’ispirazione pura. Non è solo esercizio di stile; è una sfida ai limiti di ciò che il compilatore può sopportare senza implodere. È pura ingegneria inversa del pensiero logico. Certo, non aspettatevi di trovare qui soluzioni per la vostra prossima app di delivery o per ottimizzare un database in cloud. Questo è puro artigianato digitale, privo di qualsiasi utilità pratica nel mondo del ‘corporate-speak’ e della produttività aziendale standardizzata. Ma è proprio qui che risiede il bello. In un mondo dove tutto sta diventando astrazione, wrapper e API pre-masticate, l’IOCCC ci ricorda che sotto lo strato di comodità c’è ancora tanta, tanta logica grezza e, a volte, decisamente caotica. Il consiglio è semplice: scaricate il tarball con tutte le sottomissioni, aprite un editor che non vi faccia troppo soffrire e provate a compilare. Cercate di capire come diavolo quel blocco di caratteri apparentemente casuali riesca a generare un’immagine o un pattern logico. È un esercizio di decriptazione che vi farà sentire come degli hacker dei film anni ’90. Buon debugging (se ci riuscirete)! Source: The 29th International Obfuscated C Code Contest (IOCCC) 2025 Winners

webnewsC programmingCoding ArthackingIOCCC

Performative-UI: Quando il design diventa un teatro di ombre (e noi siamo il pubblico)

🇮🇹 · /root · Lamberto Tedaldi

Smettetela di cercare la funzione quando potete avere solo l’apparenza. Se avete passato almeno un’ora negli ultimi mesi navigando tra i siti delle startup della Silicon Valley, sapete esattamente di cosa parlo: quel mix letale di animazioni ultra-fluide, gradienti sfumati che sembrano fatti di zucchero filato e micro-interazioni che ti fanno sentire dentro un film di fantascienza, anche se sotto il cofano c’è solo un database SQL che arranca. È proprio su questa parodia del modernismo che si fonda «Performative-UI», una nuova libreria di componenti React appena approdata su Hacker News. L’idea, se così si può definire, è quella di una collezione di ‘design tropes’ (ovvero, quei cliché visivi che ormai sono diventati il default del web) pronti all’uso. Non è una libreria per rendere la tua app più veloce o più usabile; è una libreria per renderla più ‘performante’ nel senso puramente teatrale del termine. In pratica, è il kit di sopravvivenza per chi vuole vendere un’idea di prodotto rivoluzionario senza aver ancora scritto una singola riga di logica di business. Da smanettone che mastica codice e hardware da una vita, trovo questo progetto assolutamente geniale. C’è una vena di satira sottile che colpisce dritto al cuore di quel tuttofare del frontend che passa ore a regolare il raggio di curvatura dei bottoni invece di ottimizzare le query. È un atto di ribellione contro l’hype tecnologico che ci vuole tutti attenti al pixel perfetto anche quando stiamo solo buildando un tool per gestire l’inventario della nostra stampante 3D. Cosa significa per noi che amiamo smontare le cose? Significa che, nonostante l’ironia del progetto, il rischio è reale. Stiamo assistendo alla nascita di un’estetica standardizzata che uccide l’originalità. Se usiamo tutti gli stessi componenti ‘performanti’ per sembrare moderni, finiremo per avere un web che sembra un unico, infinito, identico template di Canva. Detto questo, se state sviluppando il vostro prossimo progetto su Godot o state creando una dashboard per la vostra CNC e volete far vedere ai vostri amici che il vostro software è ‘di classe’ (anche se è solo un prototipo che gira su un Raspberry Pi), Performative-UI è lo strumento perfetto per fregare chiunque. Usatela con consapevolezza, ma godetevi lo spettacolo. Alla fine, un po’ di sano teatro nel codice non guasta mai, purché sappiamo sempre dove si trova il vero motore sotto la carrozzeria. Source: Show HN: Performative-UI – a react component library of design tropes

webnewsfrontendReactSatiresoftware engineering

Linear è così veloce perché non aspetta che il server gli dia il permesso

🇮🇹 · /root · Lamberto Tedaldi

Quanto tempo perdete ogni giorno a fissare uno spinner che gira mentre aspettate che un foglio Google o un Jira decidano finalmente di caricare i dati? Se la risposta è «più di quanto dovrei ammettere», allora dovete dare un’occhiata a quello che sta succedendo nel mondo di Linear. Recentemente è uscito un breakdown tecnico che spiega perché questa app sembra avere dei superpoteri rispetto alla media delle piattaforme SaaS che oggi chiamiamo «moderno» (ma che in realtà sono solo wrapper pesanti di JavaScript). Il segreto non è un miracolo divino, ma un’architettura che rimpicciolisce la distanza tra il vostro click e l’azione compiuta. Il pezzo forte è l’approccio «local-first sync». Invece di fare una chiamata al server ogni volta che spostate un task (con la latenza che ti fa venire voglia di andare a farti un caffè nel frattempo), l’app sincronizza i dati in background. I dati sono già lì, sul vostro disco, pronti all’uso. Se la connessione cade, non succede nulla: continuiate a smanettare e quando il Wi-Fi torna, il sync si occupa del resto. A questo si aggiunge l’uso di MobX per la gestione degli osservabili, che permette aggiornamenti della UI istantanei e chirurgici, e un design costruito attorno alla tastiera che evita quel tripudio di click frustranti tipico delle interfacce pensate solo per chi usa il mouse come un principiante. Da smanettone, trovo questa cosa decisamente stimolante. Spesso ci perdiamo in setup infiniti di Docker, Kubernetes e microservizi complicatissimi, dimenticandoci che l’esperienza utente finale dipende da quanto velocemente l’interfaccia risponde. È un po’ come costruire una CNC ultra-precisa ma con i motori passo-passo che saltano i passi: non importa quanto sia figo il codice G-code, se la macchina non è reattiva, non serve a nulla. Per noi che amiamo mettere le mani in pasta, questo è un promemoria: la vera innovazione spesso non sta nell’aggiungere una funzione AI inutile che scrive i commenti al posto tuo, ma nel risolvere i problemi fondamentali di latenza e fluidità. Costruire software che sia «reattivo» come un hardware ben calibrato è la vera sfida. C’è un piccolo rischio, però: questo approccio local-first può diventare un incubo di gestione dei conflitti se non gestito con una logica di sincronizzazione impeccabile. E poi, ovviamente, c’è sempre il rischio di trovarsi intrappolati in un ecosistema troppo ottimizzato che rende difficile migrare i propri dati altrove. Ma ehi, se la velocità è questa, forse sono disposto a perdonare un po’ di vendor lock-in. Almeno non devo aspettare tre secondi per spostare una card da «In Progress» a «Done». Source: How's Linear so fast? A technical breakdown

webnewsLocal-firstProductivity Toolssoftware engineeringTech Breakdown

Dopamine Fracking: quando l’ottimizzazione distrugge tutto il resto

🇮🇹 · /root · Lamberto Tedaldi

Immaginate di avere in mano una fragola perfetta, succosa, con quel mix di dolce e acidulo che vi fa venire i brividi. Ora, immaginate che un team di ingegneri chimici decida che è troppo costoso coltivare fragole vere, quindi estrae solo la molecola del ‘sapore’ e la inietta in un gel sintetico che costa un decimo. Il risultato? Un sapore di fragola intensissimo, ma la fragola, come esperienza, è morta. Questo è esattamente ciò che sta succedendo alla nostra cultura, e il termine è geniale quanto disturbante: «dopamine fracking». L’idea è quella di applicare tecniche di estrazione brutali — analisi dati, algoritmi di ottimizzazione, min-maxing selvaggio — a tutto ciò che un tempo era complesso e stratificato, con l’unico scopo di estrarre la dose più concentrata e pura di dopamina possibile. L’autore dell’articolo originale (che ho trovato girando su Hacker News) lo descrive perfettamente: come nel fracking petrolifero, si iniettano risorse enormi in un sistema per forzarne l’uscita di materia prima, distruggendo però la struttura e la sostenibilità del terreno circostante. Vediamo l’applicazione di questo concetto ovunque: i video di YouTube che diventano tutti una parodia di MrBeast, i film Marvel che sembrano tutti prodotti in serie da una stampante 3D mal calibrata, e persino i social che sono diventati dei veri e propri slot machine progettati per colpire il vostro sistema di ricompensa cerebrale senza alcuna pietà. Da smanettone, io trovo questo processo profondamente irritante. Noi passiamo le notti a cercare la perfezione tecnica: vogliamo che il codice sia pulito, che il modello 3D in Blender sia fluido, che la nostra CNC tagli con precisione micrometrica. L’ottimizzazione è il nostro pane quotidiano. Ma c’è una differenza enorme tra l’ottimizzare un algoritmo di pathfinding in Godot e l’ottimizzare un’esperienza umana per renderla un ‘hit’ di dopamina a basso costo. La prima è ingegneria, la seconda è cannibalismo culturale. Il rischio per noi, che amiamo costruire e sperimentare, è che il mondo diventi un luogo piatto, privo di quelle ‘imperfezioni analogiche’ che rendono speciale un progetto. Se tutto viene pre-masticato, ottimizzato e standardizzato per il consumo rapido, non ci sarà più spazio per la scoperta, per l’errore creativo, o per quel piacere quasi sacrale che si prova quando qualcosa non è ‘perfetto’ secondo gli standard industriali, ma è ‘giusto’ secondo il nostro. Cosa possiamo fare? Non ho una soluzione magica (non sono un guru della Silicon Valley, per fortuna), ma possiamo iniziare a fare ‘de-fracking’ personale. Cancellare quei feed che ci tengono incollati solo per rabbia o stimolazione artificiale, smettere di inseguire l’iper-ottimizzazione fine a se stessa e tornare a dare valore alla complessità. A volte, la cosa più rivoluzionaria che puoi fare è spegnere tutto e dedicarti a un progetto che non serve a nulla se non a capire come funziona un vecchio motore elettrico o a modellare un oggetto che non ha alcun valore di mercato. Restiamo analogici, dove possibile. Source: Dopamine Fracking

webnewsculturedopaminemindfulnessoptimization

Reboot dopo il crash totale: quando il sistema operativo della vita va in kernel panic

🇮🇹 · /root · Lamberto Tedaldi

Esistono errori che puoi correggere con un semplice ‘git revert’ o un veloce rollback di una configurazione andata male, e poi esistono errori che sembrano aver corrotto l’intero file system della tua esistenza. Ho appena finito di leggere un post su Hacker News che mi ha lasciato addosso una strana forma di rispetto. Parliamo di Gavin Ray, uno che non ha solo avuto un ‘bad patch’ nella sua vita, ma ha vissamente un totale sistema di crash: prigione per minorenni in massima sicurezza, una condanna penale a 19 anni e un tunnel di dipendenza che gli ha portato via quasi tutto. Se pensate che il vostro ultimo progetto di automazione CNC sia andato in pezzi perché avete sbagliato i passi del motore, provate a ricalibrare la vostra prospione. La cosa che mi ha colpito non è il dramma in sé, ma la tecnica di recupero utilizzata. Gavin è riuscito a ricostruire la sua vita partendo da zero, usando il software, il mondo dell’open source e la fortuna di aver incontrato persone disposte a guardare oltre il suo ‘status’ di ex detenuto. È un po’ come quando trovi un vecchio hardware abbandonato in un mercatino dell’usato, tutto arrugginito e apparentemente irrecuperabile, e invece di buttarlo, inizi a pulire i contatti, a dissaldare i componenti bruciati e a riscrivere il firmware finché non torna a girare meglio di prima. Per noi che amiamo smanettare, che passiamo le notti a modellare in Blender o a cercare di far comunicare un vecchio modulo radio con un ESP32, c’è un messaggio potente in tutto questo. La tecnologia, quando è usata nel modo giusto (e parlo di open source, di comunità, di condivisione di conoscenza), non è solo un insieme di bit e silicio, ma uno strumento di emancipazione. Il codice non ti giudica per il tuo passato; il compilatore non gli importa se hai un record criminale, gli importa solo se la sintassi è corretta. Certo, non è tutto un happy ending digitale. Il mondo reale è pieno di ‘gatekeeper’ e di burocrazia che non hanno lo stesso spirito di un repository su GitHub. Per molti, il marchio di una condanna rimane un bug non risolvibile nel sistema sociale. Però, la storia di Gavin ci ricorda che, finché c’è una linea di codice da scrivere o un circuito da progettare, c’è la possibilità di un nuovo boot. Quindi, la prossima volta che un progetto di stampa 3D fallisce miseramente o che il vostro script Python va in loop infinito, prendetela con filosofia. Se un uomo può ricostruire un’intera carriera partendo da un kernel panic esistenziale, noi possiamo sicuramente imparare a gestire meglio quel maledetto driver che non ne vuole sapere di caricarsi. Source: Building from zero after addiction, prison, and a felony

webnewsCoding Lifehacker cultureInspirationopen source