An Online Repository for KiCad Schematics

In the desktop 3D printing world, we’re fortunate to have multiple online repositories of models that anyone can load up on their machine. Looking to create a similar experience but for electronic projects, [Mike Ayles] created CircuitSnips — a searchable database of ready-to-use KiCad schematics available under open source licenses.

Looking for reference designs for LiPo chargers? CircuitSnips has you covered. Want to upload your own design so others can utilize it? Even better. Currently, there are over four thousand circuits on CircuitSnips, although not all have been put there purposely. To get the project off the ground, [Mike] scrapped GitHub for open source KiCad projects. While this doesn’t run afoul of the licensing, there’s a mechanism in place for anyone who wants to have their project removed from the repository.

To scrape the depths of GitHub, [Mike] had to simplify the text expression for the KiCad projects using a tool he’s since released. For anyone so inclined, he’s even put the entire site on GitHub for anyone who wants to try their hand at running it locally.

CircuitSnaps fills a very specific space to post your circuit diagrams, but if you’re looking for somewhere to host your complete designs, we can’t fail to mention Hackaday’s own repository for hardware projects and hacks!

hackaday.com/2025/11/28/an-onl…

Il worm Shai-Hulud si diffonde oltre npm e attacca anche Maven

Il worm Shai-Hulud si è diffuso oltre l’ecosistema npm ed è stato scoperto in Maven. Gli specialisti dei socket hanno notato un pacchetto infetto su Maven Central che contiene gli stessi componenti dannosi utilizzati nella seconda ondata di attacchi Shai-Hulud .

Gli esperti hanno identificato il pacchetto org.mvnpm:posthog-node:4.18.1 su Maven Central, che contiene due componenti caratteristici di Shai-Hulud: il loader setup_bun.js e il payload principale bun_environment.js. Attualmente, questo è l’unico pacchetto Java trovato contenente questo malware.

“Il progetto PostHog è stato compromesso sia nell’ecosistema JavaScript/npm che in quello Java/Maven: in tutti i casi è stato utilizzato lo stesso payload, Shai-Hulud v2”, scrivono i ricercatori.

È importante notare che il team di PostHog non pubblica il pacchetto su Maven Central. Le coordinate org.mvnpm vengono generate automaticamente dal processo mvnpm, che ricostruisce i pacchetti NPM in artefatti Maven.

I rappresentanti di Maven Central hanno già annunciato che stanno lavorando a ulteriori misure di sicurezza per impedire il riconfezionamento di componenti npm compromessi.

Ricordiamo che la seconda ondata di attacchi Shai-Hulud, iniziata la scorsa settimana, sta prendendo di mira sviluppatori in tutto il mondo, con l’obiettivo degli aggressori di rubare dati. La nuova versione del worm è diventata più furtiva, consentendo agli aggressori di ottenere l’accesso non autorizzato agli account dei manutentori di npm e di pubblicare versioni di pacchetti infetti a loro nome.

Secondo gli analisti di Wiz , al 24 novembre 2025, più di 25.000 repository GitHub avevano pubblicato segreti rubati alle vittime, con circa 1.000 nuovi repository che apparivano ogni 30 minuti.

Un’analisi tecnica del malware eseguita dagli specialisti di Step Security ha rivelato che il malware è costituito da due file: setup_bun.js (un dropper camuffato da programma di installazione di Bun) e bun_environment.js (10 MB), che utilizza complesse tecniche di offuscamento: una stringa codificata in esadecimale con migliaia di voci, un ciclo separato per l’anti-analisi e una funzione offuscata per estrarre ogni riga di codice.

Una volta infettato, il malware esegue un attacco in cinque fasi, che include il furto di segreti (token GitHub e npm, credenziali AWS, GCP, Azure) e la sovrascrittura distruttiva dell’intera directory home della vittima se non vengono soddisfatte quattro condizioni necessarie: se il malware non riesce ad autenticarsi su GitHub, crea un repository e trova i token GitHub e npm.

Alla fine, i segreti rubati vengono pubblicati nei repository GitHub generati automaticamente con la descrizione “Sha1-Hulud: The Second Coming”.

Come riportato dagli analisti di Aikido Security, gli aggressori hanno sfruttato impostazioni di CI errate nel flusso di lavoro di GitHub Actions. In particolare, gli aggressori hanno sfruttato vulnerabilità nei trigger pull_request_target e workflow_run, che hanno permesso loro di compromettere i progetti AsyncAPI, Postman e PostHog.

Secondo i ricercatori di GitGuardian , OX Security e Wiz, questa campagna dannosa ha causato la fuga di centinaia di token di accesso GitHub e credenziali per AWS, Google Cloud e Azure (oltre 5.000 file con i segreti rubati sono stati caricati su GitHub). Un’analisi di 4.645 repository ha identificato 11.858 segreti univoci, di cui 2.298 ancora validi e accessibili al pubblico al 24 novembre 2025.

L'articolo Il worm Shai-Hulud si diffonde oltre npm e attacca anche Maven proviene da Red Hot Cyber.

L’11,7% dei lavori possono essere sostituiti dall’intelligenza artificiale

L’intelligenza artificiale è attualmente in grado di svolgere lavori equivalenti all’11,7% dell’occupazione negli Stati Uniti. E non solo in teoria: in termini di valore monetario, questo valore è già paragonabile agli stipendi dei lavoratori umani.

Uno studio del MIT, sviluppato nell’ambito del Progetto Iceberg, mostra che, all’attuale livello di sviluppo tecnologico, è possibile automatizzare compiti per un valore di circa 1,2 trilioni di dollari, una quota di mercato in cui l’intelligenza artificiale può già svolgere le stesse funzioni degli esseri umani, pur costando meno.

A differenza delle stime precedenti, basate su ipotesi sulla “suscettibilità delle professioni all’automazione”, i ricercatori si sono concentrati su un altro aspetto: dove esattamente l’IA svolge compiti altrettanto bene degli esseri umani senza comportare costi aggiuntivi per i datori di lavoro. È proprio questo che determina la percentuale dell’11,7%: non come un’illusione per il futuro, ma come una quantità di lavoro molto realistica che può essere esternalizzata agli algoritmi già da ora.

Il progetto Iceberg è stato sviluppato in collaborazione con l’Oak Ridge National Laboratory, sede di Frontier, uno dei supercomputer più potenti al mondo. È stato utilizzato per creare una simulazione dettagliata del mercato del lavoro statunitense: 151 milioni di lavoratori virtuali con diverse occupazioni, competenze e sedi. Il sistema tiene conto di 32.000 competenze in 923 titoli di lavoro, coprendo 3.000 contee in tutto il paese. Questo modello digitale è stato confrontato con le capacità dei moderni sistemi di intelligenza artificiale, dai modelli linguistici ai software specializzati.

È importante capire che lo studio non prevede che l’11,7% dei posti di lavoro scomparirà nel prossimo anno. Significa che l‘intelligenza artificiale può già sostituire gli esseri umani in questi compiti, sia tecnicamente che economicamente. Tuttavia, il divario tra potenziale e pratica effettiva rimane ampio.

Attualmente, l’IA è ampiamente utilizzata nell’IT, principalmente per la programmazione. Queste attività rappresentano circa il 2,2% degli stipendi, ovvero circa 211 miliardi di dollari all’anno. Tuttavia, i ricercatori stimano che un potenziale di automazione molto maggiore si trovi in altri settori, in particolare in quelli precedentemente considerati al di fuori delle capacità delle macchine. Tra questi rientrano le attività di routine in ambito finanziario, sanitario, logistico, delle risorse umane, contabile e legale, professioni a lungo considerate relativamente immuni all’automazione.

Il rischio principale, a quanto pare, non risiede nemmeno nelle catene di produzione, ma nelle routine d’ufficio, dove quotidianamente vengono eseguite attività ripetitive legate alla gestione dei documenti, ai calcoli, all’elaborazione delle richieste e ad altre tipiche funzioni amministrative. L’intelligenza artificiale sta già affrontando questo problema, se non ovunque, almeno in un numero significativo di casi.

Ma questo non significa che la migrazione di massa di persone sia una questione che riguarda i prossimi anni. Precedenti ricerche del MIT (in particolare del laboratorio CSAIL) dimostrano che, anche se la tecnologia può sostituire gli esseri umani, non sempre ha senso. La formazione dei modelli, la riprogettazione dei processi e i costi organizzativi sono spesso proibitivi. Un altro studio, questa volta del MIT Sloan, ha rilevato che l’implementazione dell’IA non ha comportato perdite nette di posti di lavoro tra il 2010 e il 2023. Al contrario, in molti casi le aziende sono cresciute e, insieme al fatturato, è cresciuto anche il numero di dipendenti.

L’indice in sé, calcolato nell’ambito del Progetto Iceberg, non è necessario per le previsioni di licenziamenti. È concepito come strumento di pianificazione: consente di modellare diversi scenari e di comprendere in anticipo dove sia necessario rafforzare la formazione della forza lavoro, rivedere le infrastrutture o sviluppare nuove misure di supporto. Alcuni stati degli Stati Uniti, come Tennessee, Carolina del Nord e Utah, stanno già utilizzando questa piattaforma. Questi stati stanno utilizzando i calcoli per formulare strategie regionali di adattamento all’intelligenza artificiale..

L'articolo L’11,7% dei lavori possono essere sostituiti dall’intelligenza artificiale proviene da Red Hot Cyber.

Chat control evaluation report: EU Commission again fails to demonstrate effectiveness of mass surveillance of intimate personal photos and videos

The EU Council’s current push to make Chat Control 1.0 (Regulation (EU) 2021/1232) permanent is legally and ethically reckless. The Commission’s own 2025 evaluation report admits to a total failure in data collection, an inability to link mass surveillance to actual convictions, and significant error rates in detection technologies. To permanently enshrine a derogation of fundamental rights based on a report that explicitly states “available data are insufficient” to judge proportionality is a violation of EU lawmaking principles.

Detailed Critique

1. The “Argument from Ignorance” on Proportionality

The Report: In Section 3 (Conclusions), the Commission states that “the available data are insufficient to provide a definitive answer” regarding the proportionality of the Regulation. Yet, in the very same paragraph, it concludes: “there are no indications that the derogation is not proportionate.”
The Critique: This is a logical fallacy. The Commission is arguing that because their data is too fragmented to prove the law is bad, it must be good. You cannot permanently suspend the fundamental right to privacy (Article 7, Charter of Fundamental Rights) based on an absence of data. The burden of proof lies with the legislator to demonstrate necessity and efficacy, which this report fails to do.

2. The Broken Link Between Surveillance and Convictions

The Report: Section 2.2.3 explicitly admits: “It is not currently possible… to establish a clear link between these convictions and the reports submitted by providers.” Furthermore, major Member States like Germany and Spain failed to provide usable data on convictions linked to this Regulation.
The Critique: As noted in my blogpost on the previous evaluation, there is no evidence that the mass scanning of private messages contributes significantly to convicting abusers. If millions of private messages are scanned and hundreds of thousands of reports are generated (708,894 in 2024), but the Commission cannot point to a specific number of resulting convictions, the system is a dragnet that violates privacy without a proven benefit to child safety. The system generates “noise” for law enforcement rather than actionable intelligence.

3. High Error Rates and “Black Box” Algorithms

The Report:

• Microsoft (Section 2.1.6) reported that its data was “insufficient to calculate an error rate.”
• Yubo reported error rates for detecting new CSAM/grooming of 20% in 2023 and 13% in 2024.
• The report notes that “human review is not factored into the statistics,” meaning the raw algorithmic intrusion is even less accurate than presented.

The Critique: Making this regulation permanent endorses the use of technology that is admittedly flawed. A 13-20% error rate in flagging “grooming” or new CSAM means thousands of innocent users are flagged, their private communications viewed by corporate moderators, and potentially reported to police erroneously. The fact that a giant like Microsoft cannot even calculate its error rate proves that Big Tech is operating without accountability or transparency. According to the German Police and former EU Commissioner Johansson the actual error rate is far higher (50-75%).

4. Chaos in Data and Lack of EU Control

The Report: The Commission admits that providers “did not use the standard form for reporting” (Section 1) and that Member States provided “fragmented and incomplete” data. The disparity between NCMEC reports sent to Member States vs. reports acknowledged by Member States is massive (e.g., France received 150k reports from NCMEC but has incomplete processing data).
The Critique: The EU cannot effectively oversee this surveillance. If, after three years, the Commission cannot force providers to use a standard reporting form or get Member States to track basic statistics, the Regulation is dysfunctional. Making a dysfunctional temporary fix permanent is poor governance. It cements a system where US tech giants (Google, Meta, Microsoft) act as private police forces with no standardized oversight.

5. Obsolescence via Encryption

The Report: The report notes a 30% drop in reports concerning the EU in 2024, attributed largely to interpersonal messaging services moving to end-to-end encryption (E2EE) (Section 2.2.1).
The Critique: The Regulation is already obsolete. As noted in the previous commentary, as platforms move to E2EE (like Meta), voluntary scanning becomes impossible without breaking encryption (client-side scanning). The drop in reports proves that voluntary scanning is a dying model. Making this Regulation permanent is a desperate attempt to cling to a failing approach rather than investing in targeted investigations and “safety by design” that respects encryption.

6. Failure to Assess Privacy Intrusion

The Report: The conclusion states: “No information was submitted by the providers on whether the technologies were deployed… in the least privacy-intrusive way.”
The Critique: The Regulation requires that the derogation be used only when necessary and in the least intrusive manner. The Commission admits it has no information on whether this legal requirement is being met. To extend a law permanently when the primary safeguard (minimization of privacy intrusion) is not being monitored is a dereliction of duty.

Conclusion

The Council looks to permanently legalize a regime of mass surveillance where:

1. The technology has double-digit error rates (Yubo).
2. The efficacy (convictions) is unproven.
3. The oversight (data collection) is broken.
4. The targets (encrypted chats) are increasingly immune to it.

This confirms the fears raised in the previous evaluation: this is performative security that sacrifices the privacy of all citizens for a system that the Commission admits it cannot properly measure or validate.

Read on: chatcontrol.eu

patrick-breyer.de/en/chat-cont…