цепочка поставок

Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера. Вредоносный пакет в публичном реестре npm всего за несколько дней успел набрать десятки тысяч установок и показал, насколько быстро распространяется риск для цепочки поставок даже без взлома популярных библиотек...

Злоумышленники создали идеального двойника популярного финансового инструмента. Команда ReversingLabs обнаружила вредоносный пакет в репозитории NuGet, который маскировался под библиотеку Stripe.net и пытался перехватывать ключи доступа к платёжной платформе Stripe. Случай показал, что...

Почему взломщики теперь атакуют не офисы компаний, а системы управления судами. Кибератаки на суда перестали быть редкостью и всё чаще приводят к реальным сбоям в работе флота. За последние два года злоумышленники заметно нарастили активность, а их инструменты стали сложнее. Об этом...

Цифровая инфекция поражает выбранные цели по жестокому принципу домино. В 2025 году атаки на цепочки поставок окончательно перестали быть редкими инцидентами и превратились в системную угрозу. В новом отчёте High-Tech Crime Trends 2026 компания Group-IB описывает , как злоумышленники всё...

Сценарии автоматизации превратились в конвейер по краже секретов. Команда Socket описала активную кампанию в экосистеме npm , которая маскируется под популярные пакеты и превращает случайную установку зависимости в цепочку компрометации репозиториев и CI. Атаку отслеживают под именем...

Автор проекта пошёл на крайние меры, чтобы спасти репутацию «народного блокнота». Разработчики Notepad++ выпустили обновление безопасности 8.9.2, чтобы закрыть слабые места, которыми воспользовалась продвинутая группа с китайским следом. Злоумышленники перехватывали механизм обновлений...

Иногда выгодный контракт — это всего лишь ловушка для профессионалов. Масштаб киберугроз для оборонной промышленности стремительно растёт и выходит далеко за пределы цифровых атак на отдельные компании. По данным аналитиков Google Threat Intelligence Group, давление на...

Пока аналитики писали отчёты, противник просто сменил тактику. Специалисты Stormshield продолжили разбор цепочки компрометации , связанной с атакой на цепочку поставок текстового редактора EmEditor, и выявили дополнительные технические детали инфраструктуры злоумышленников. Поводом для...

Ваши привычные инструменты внезапно превратились в двойных агентов. В каталоге расширений Open VSX зафиксирована новая атака на цепочку поставок, связанная с захватом учётной записи разработчика. Злоумышленники внедрили вредоносные обновления в популярные инструменты для среды разработки и...

Одна лишняя буква, которая отдаёт контроль над системой посторонним. Публичные реестры контейнеров всё глубже встраиваются в процессы разработки и развёртывания сервисов, однако вместе со скоростью и удобством растёт и скрытый риск. Загрузка готовых образов всё чаще воспринимается как...

Одна лишняя буква, которая отдаёт контроль над системой посторонним. Публичные реестры контейнеров всё глубже встраиваются в процессы разработки и развёртывания сервисов, однако вместе со скоростью и удобством растёт и скрытый риск. Загрузка готовых образов всё чаще воспринимается как...

Кажется, эпоха слепого доверия к проверенным источникам окончательно ушла в прошлое. В конце декабря 2025 года разработчики популярного текстового редактора EmEditor предупредили пользователей о компрометации официальной страницы загрузки программы. Преступники незаметно подменили...

Кажется, эпоха слепого доверия к проверенным источникам окончательно ушла в прошлое. В конце декабря 2025 года разработчики популярного текстового редактора EmEditor предупредили пользователей о компрометации официальной страницы загрузки программы. Преступники незаметно подменили...

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам. Недавняя атака на цепочку поставок затронула платформу автоматизации рабочих процессов n8n — злоумышленники загрузили в репозиторий npm вредоносные пакеты, замаскированные под легитимные модули для...

Если вы собираете контейнеры для продакшена, у вас появился новый стандарт «по умолчанию» в ответ на угрозы цепочкам поставок. Компания Docker объявила , что делает свои контейнерные образы Docker Hardened Images (DHI) бесплатными и полностью открытыми: их можно использовать, распространять...

Визуально обнаружить ловушку было крайне сложно даже при ручной проверке. В экосистеме .NET обнаружена скрытая угроза, связанная с подменой популярной библиотеки трассировки. В каталоге NuGet более пяти лет распространялся вредоносный пакет, маскирующийся под легитимный компонент и...

Ученые показали, как находить идеальное решение почти без измерений. Найти самый дешевый маршрут для новой линии метро под мегаполисом вроде Москвы значит перебрать тысячи вариантов, проходящих через сотни кварталов, при этом для каждого участка земли нужно оценить стоимость работ. Обычно...

Каждый пакет содержал tea.yaml для вывода наград злоумышленникам. В экосистеме npm обнаружили одну из крупнейших атак на цепочку поставок за всю историю открытых репозиториев. Исследователи Amazon говорят о беспрецедентном «затоплении» реестра пакетами, но у этой кампании есть...

Зачем кто-то целых два года загружал на платформу мусорные пакеты? Появление десятков тысяч фиктивных пакетов в экосистеме npm неожиданно превратилось в долгую и труднообъяснимую историю, начавшуюся ещё в 2024 году. Специалисты заметили, что к каталогу JavaScript-библиотек за два года...

Контроль доступа снова провален и снова на первом месте. Когда мы уже научимся? Организация Open Worldwide Application Security Project (OWASP) опубликовала обновлённый список Top 10 Application Security Risks 2025 — первый после версии 2021 года. Документ был представлен на конференции...

Две новые категории угроз веб-приложений добавлены в топ-10 OWASP. OWASP обновил список самых опасных рисков для веб-приложений, добавив две новые категории и пересмотрев структуру рейтинга. Организация представила проект версии 2025 года , который открыт для обсуждения до 20 ноября. Этот...

Один «npm install» — и хакеры получают полный контроль над всей цепочкой поставок. Активная кампания «PhantomRaven» нацелилась на разработчиков через репозиторий npm и за короткое время разнесла по экосистеме десятки вредоносных пакетов. Встроенный в них зловредный код собирает токены...

11,7 миллиона установок за четыре дня — и ни у кого не возникло подозрений. Платформа распространения .NET-библиотек NuGet вновь стала каналом распространения вредоносного кода. На этот раз злоумышленники использовали технику подмены символов, чтобы создать вредоносный пакет , имитирующий...

Автопроизводитель до сих пор устраняет последствия, и конца этому не видно. Jaguar Land Rover продолжает устранять последствия кибератаки , которая парализовала производство, нарушила работу дилерской сети и поставила под угрозу цепочки поставок. Несмотря на возобновление производства в этом...

Обнаруженные следы указывают на тщательную подготовку атаки через цепочку поставок. На фоне роста активности китайских кибергрупп на территории Российской Федерации появилась тревожная новость. Согласно недавнему отчёту Symantec, APT-коллектив Jewelbug проник в сеть неназванного российского...