A klasszikus Pidgin üzenetküldő kliens 3.0-s ága több mint egy év kísérletezés után végre alfa fázisba lépett, ami fontos jelzés a fejlesztők és a protokollkiegészítők készítői számára. A protokoll API-k már elég stabilak ahhoz, hogy külsős integrációk induljanak, de a csapat nyomatékosan figyelmeztet: ez még nem végfelhasználóknak való, sok a hiányzó funkció és a hiba. Az alfa egyik nagy technikai váltása az új AccountSettings API bevezetése, ami jobban passzol Python- vagy Lua-alapú pluginekhez, és végre megszabadít a kötelező „username” mezőtől. Ráadásként érkezik egy új, hivatalosan karbantartott Zulip protokoll plugin is, modern REST API-s megközelítéssel.

A Microsoft figyelmeztetést adott ki egy ClickFix-alapú támadási módszerről, amely DNS-lekérdezések segítségével juttatja el a ModeloRAT nevű távoli hozzáférésű trójait (RAT) a célpontokhoz. A vállalat szerint a támadók a ClickFix technika egy új változatát alkalmazzák a kártevők terjesztésére.

Pontosan egy évvel a 3.13-as verzió után hivatalosan is megjelent a Python 3.14, a világ egyik népszerűbb programozási nyelvének legújabb kiadása. Ez a verzió mérföldkő a Python történetében, hiszen bevezeti a szabad szálkezelésű módot (free-threaded mode), amely megszünteti a korábbi globális értelmezőzárat (Global Interpreter Lock – GIL), és ezzel lehetővé teszi a valódi párhuzamos végrehajtást. A GIL eltávolítása évtizedes fejlesztői álom volt. A free-threaded Python révén mostantól a programozók teljes mértékben kihasználhatják a többmagos CPU-k teljesítményét, és nagy teljesítményű alkalmazásokat írhatnak tisztán Pythonban, külső C-bővítmények nélkül. A fejlesztőcsapat szerint ez az egyik legjelentősebb előrelépés a nyelv történetében.

A kiberbiztonsági kutatók egy új kártevőcsaládot fedeztek fel, amit LameHug névre kereszteltek. A malware család különlegessége, hogy egy nagy nyelvi modellt (LLM) használ parancsok generálására a megfertőzött Windows rendszereken. A malware-t az ukrán nemzeti kiberincidens elhárító csapat (CERT-UA) fedezte fel, és APT28 orosz állami támogatású hackercsoporthoz kötötte, amelyet több néven is ismerhetünk, például Fancy Bear, Sofacy vagy Tsar Team.

A Checkmarx Zero kutatója, Ariel Harush, egy összetett és kifinomult rosszindulatú csomagkampányt tárt fel, amely a Python és az NPM felhasználókat célozza meg Windows és Linux platformokon egyaránt. A támadást a népszerű csomagok nevének elírásával (typo-squatting) hajtják végre, így becsapva a felhasználókat. A felfedezett supply chain támadás kereszt-platformos tulajdonságokkal rendelkezik és fejlett elkerülési technikákat alkalmaz, melyek a szakemberek szerint az open-source fenyegetések fejlődését jelenthetik.

Azáltal, hogy a generatív AI eszközöket egyre többen használják programozásra, valamint azáltal, hogy a modellek az általuk generált kódban gyakran nem létező csomagnevekre hivatkoznak, megjelent egy új típusú ellátási lánc támadási forma, a slopsquatting.

A szövetségi program átnevezése ellenére a kormány több mint 100 millió dollárt szánt arra, hogy továbbra is figyelemmel kísérje a bevándorlók és külföldi látogatók online tevékenységét – derül ki az EFF (Electronic Frontier Foundation) számára közzétett iratokból.

Egy ellátási lánc támadás során kiderült, hogy az ultralytics nevű népszerű Python mesterséges intelligencia (AI) könyvtár két verzióját kompromittálták, annak érdekében, hogy egy kriptovaluta-bányász programot telepítsenek az áldozatok gépén. A 8.3.41 és 8.3.42 verziókat azóta eltávolították a Python Package Index (PyPI) tárhelyéről. Az ezt követően kiadott verzió már tartalmazza a biztonsági javítást.