цепочка поставок

  1. NewsMaker

    Новости Доверие = компрометация. Любимый инструмент разработчиков оказался троянским конём

    Поддельная маска оказалась настолько совершенной, что обманула всех. Исследователи компании Socket выявили две вредоносные библиотеки на crates.io, маскирующиеся под популярный пакет fast_log и нацеленные на кражу приватных ключей криптокошельков Solana и Ethereum. Поддельные проекты...
  2. NewsMaker

    Новости Червь Shai-Hulud заразил сотни библиотек. Жёсткий ответ GitHub не заставил себя ждать

    Новый механизм публикации навсегда исключит человека из цепочки доверия. GitHub анонсировала масштабные изменения в системе аутентификации и публикации пакетов в npm, направленные на усиление защиты от атак на цепочку поставок. Причиной обновлений стала недавняя кампания Shai-Hulud —...
  3. NewsMaker

    Новости Заводы стоят, люди — на улице: кибератака на Jaguar Land Rover «положила» автопромышленность

    Атака остановила гиганта, но главный удар пришёлся не по нему. Кибератака на Jaguar Land Rover, которая парализовала деятельность компании, превратилась в один из самых тяжёлых кризисов для британского автопроизводителя. Компания была вынуждена отключить IT-системы и остановить производство...
  4. NewsMaker

    Новости Цена паники для IT-мира — $600. Почему историческая атака оказалась настолько унизительно провальной?

    Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом Крупнейшая в истории экосистемы NPM компрометация цепочки поставок задела примерно каждую десятую облачную инфраструктуру по всему миру, однако злоумышленники практически ничего на этом не заработали. Инцидент...
  5. NewsMaker

    Новости Взломаны 18 JavaScript-библиотек с 2 миллиардами загрузок в неделю. Вся экосистема веб-разработки под ударом хакеров

    Атака на мейнтейнера через поддельное уведомление 2FA позволила внедрить вредоносный код. Как минимум 18 популярных JavaScript-пакетов на NPM с совокупной недельной аудиторией свыше 2 миллиардов загрузок на короткое время оказались с вредоносными вставками — после фишинг-атаки одного из...
  6. NewsMaker

    Новости Одна лишняя «t». Разработчики Ethereum теряют кошельки через Telegram-боты

    Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой. В экосистеме npm обнаружили четыре вредоносные библиотеки, которые нацелены на кражу криптовалютных кошельков у разработчиков Ethereum. Анализ компании Socket показал , что они...
  7. NewsMaker

    Новости 1 коммит — 3000 украденных секретов: что не так с безопасностью на GitHub

    API-ключи разработчиков уже могут продаваться в даркнете. Атака GhostAction стала одним из крупнейших компрометаций GitHub-экосистемы за последние годы. Специалисты GitGuardian выявили масштабную кампанию, в ходе которой злоумышленники внедряли вредоносные workflow-файлы в репозитории. Через...
  8. NewsMaker

    Новости Запланированное устаревание? Встроенный троян. Один пароль чуть не спровоцировал кризис в мировой торговле

    Думали, что умные холодильники сэкономят деньги, а оказалось, они могут уничтожить весь бизнес. Специалисты Armis Labs обнаружили 10 опасных уязвимостей в промышленных контроллерах Copeland серий E2 и E3, широко используемых крупнейшими мировыми торговыми сетями и компаниями холодильного...
  9. NewsMaker

    Новости Каждая установка библиотеки — русская рулетка. Разработчики не подозревают об опасности в собственном коде

    Доверие к IT-экосистемам обернулось катастрофой для всей индустрии. Исследователи из Zscaler ThreatLabz обнаружили в официальном репозитории PyPI библиотеку termncolor, которая распространяла вредоносный код через зависимость colorinal. Обе библиотеки уже удалены, однако до этого их успели...
  10. NewsMaker

    Новости Вы думаете, это база для CI. А это — инструмент проникновения уровня ЦРУ

    Один бит из 2024 года — и ваш DevOps в слезах. Бэкдор в библиотеке XZ-Utils , обнаруженный в марте 2024 года и признанный одной из самых серьёзных атак на цепочку поставок ПО за последние годы, до сих пор остаётся в открытом доступе на Docker Hub. Специалисты Binarly нашли как минимум 35...
  11. NewsMaker

    Новости Ruby предал собственное сообщество. Как программисты потеряли всё за одну ночь

    Преступники создали цифровой театр иллюзий, где каждый клик приближал катастрофу. Исследователи из компании Socket выявили сразу 60 вредоносных пакетов на RubyGems.org, которые выдавали себя за популярные инструменты автоматизации для соцсетей и блогов, но на деле встраивали фишинговый...
  12. NewsMaker

    Новости 11 вредоносных Go-пакетов из GitHub атакуют Windows и Linux, маскируясь под легитимный код и загружая вредонос в память

    Уязвимость усугубляет децентрализованная модель импорта из GitHub. Исследователи в области кибербезопасности выявили 11 вредоносных пакетов для языка Go, предназначенных для загрузки дополнительных компонентов с удалённых серверов и их исполнения как на Windows, так и на Linux. По данным...
  13. NewsMaker

    Новости Самая скучная библиотека в мире оказалась самой опасной за всю историю Node.js

    Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...
  14. NewsMaker

    Новости Бэкдоры в npm и GitHub — реальность. Новый инструмент Google ловит их на сборке

    Новый инструмент проверит, тот ли код вы установили из PyPI и npm. Открытое ПО лежит в основе современной цифровой инфраструктуры: оно используется в 77% приложений и оценивается более чем в $12 трлн. Но широкая распространённость делает его привлекательной мишенью для атак на цепочку...
  15. NewsMaker

    Новости Доверенная среда стала средой для недоверия. И разработчики сами открыли ей дверь

    Ключи лежали в открытом доступе. Остальное — дело техники. Крупная уязвимость в системе Open VSX Registry, позволяющей распространять расширения для популярных редакторов кода, могла привести к захвату всего рынка Visual Studio Code и созданию глобальной угрозы для цепочки поставок...
  16. NewsMaker

    Новости Зашли за курсом крипты — а ушли без денег. Всему виной красивая картинка на CoinMarketCap

    Сайт для отслеживания крипты оказался инструментом её кражи. Один из крупнейших мировых сайтов по отслеживанию криптовалют, CoinMarketCap, стал жертвой атаки. Посетители портала неожиданно столкнулись со всплывающими окнами Web3, якобы предлагающими подключить кошельки к сайту. Однако...
  17. NewsMaker

    Новости Один троян, миллионы установок — популярные пакеты для разработчиков превратились в орудие зла

    Gluestack, NPM, RAT — всё сходится в одну цепочку, и она ведёт к вам. На платформе NPM зафиксирована масштабная атака на цепочку поставок: злоумышленники скомпрометировали 17 популярных пакетов из семейства Gluestack @react-native-aria , встроив в них вредоносный код. Эти пакеты...
  18. NewsMaker

    Новости Вы не изменили коммит — вы изменили прошлое. А потом никто не смог это доказать: новая техника атаки Commit Stomping

    Пять лет назад злоумышленник закопал фрагмент кода, а сегодня он активировался. В Git обнаружена методика сокрытия истории изменений, способная запутать даже опытных специалистов по цифровой криминалистике. Речь идёт не о новой уязвимости, а о функциональности, которая при неправильном...
  19. NewsMaker

    Новости NPM снова подвёл — пакет притворился утилитой, общался через календарь и даже не пытался быть полезным

    Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке. Злоумышленники вновь атакуют экосистему npm, на этот раз с помощью пакета «os-info-checker-es6» , который маскируется под утилиту для получения информации об операционной системе. Подобная мимикрия...
  20. NewsMaker

    Новости Earth Ammit: GitHub стал трамплином ко взлому военных дронов

    VENOM и TIDRONE раскрыли реальную цель хакеров из Earth Ammit. Группировка Earth Ammit, связанная с китайскоязычными APT -структурами, провела две волны целенаправленных атак в 2023–2024 годах. Первая, под названием VENOM, была нацелена на поставщиков программных услуг, а вторая — TIDRONE...
  21. NewsMaker

    Новости Псевдобиблиотека обманула блокчейн-разработчиков и унесла за собой приватные ключи и исходники

    В open-source доверие по умолчанию оказалось уязвимостью опаснее zero-day. Злоумышленники загрузили на официальный репозиторий PyPI вредоносный пакет под видом инструмента для работы с блокчейном Solana. Несмотря на то, что файл под названием «solana-token» уже удалён, до момента удаления...
  22. NewsMaker

    Новости Хотите дешёвый доступ к ИИ-функциям Cursor? Вот и хакеры хотят… внедрить бэкдор на ваш Mac

    Вы даже не заметите, как ваш редактор кода начнёт выполнять чужие команды. Исследователи из компании Socket выявили новую атаку на macOS-версию популярного редактора исходного кода Cursor — злоумышленники распространяют троянизированные библиотеки через npm, обещая «самый дешёвый API...
  23. NewsMaker

    Новости Используете библиотеку «xrpl.js»? Что ж, похоже, у вас большие проблемы

    Официальное обновление оказалось троянским конём — и он уже в вашем коде. Угроза на уровне цепочки поставок программного кода вновь дала о себе знать: рекомендованная Ripple библиотека «xrpl.js» для работы с блокчейном XRP через JavaScript была скомпрометирована. Вредоносный код в неё...
  24. NewsMaker

    Новости Хотел «.doc», отдал «биток»: новый зловредный пакет штурмует npm

    Разработчики уже потеряли сотни тысяч, даже не подозревая об этом. Атаки на цепочку поставок программного обеспечения становятся всё изощрённее — злоумышленники маскируют вредоносный код под полезные библиотеки и внедряют его в системы разработчиков. Очередной пример — вредоносный npm-пакет...
  25. NewsMaker

    Новости Бессмертные бэкдоры: новая тактика атак на экосистему npm

    Инновационный метод позволяет хакерам навсегда сохранить доступ к скомпрометированным системам. Злоумышленники внедрили новую тактику в атаках на экосистему npm — два вредоносных пакета тайно модифицируют уже установленные на системе легитимные библиотеки, чтобы вшить обратную оболочку и...