цепочка поставок

Ученые показали, как находить идеальное решение почти без измерений. Найти самый дешевый маршрут для новой линии метро под мегаполисом вроде Москвы значит перебрать тысячи вариантов, проходящих через сотни кварталов, при этом для каждого участка земли нужно оценить стоимость работ. Обычно...

Каждый пакет содержал tea.yaml для вывода наград злоумышленникам. В экосистеме npm обнаружили одну из крупнейших атак на цепочку поставок за всю историю открытых репозиториев. Исследователи Amazon говорят о беспрецедентном «затоплении» реестра пакетами, но у этой кампании есть...

Зачем кто-то целых два года загружал на платформу мусорные пакеты? Появление десятков тысяч фиктивных пакетов в экосистеме npm неожиданно превратилось в долгую и труднообъяснимую историю, начавшуюся ещё в 2024 году. Специалисты заметили, что к каталогу JavaScript-библиотек за два года...

Контроль доступа снова провален и снова на первом месте. Когда мы уже научимся? Организация Open Worldwide Application Security Project (OWASP) опубликовала обновлённый список Top 10 Application Security Risks 2025 — первый после версии 2021 года. Документ был представлен на конференции...

Две новые категории угроз веб-приложений добавлены в топ-10 OWASP. OWASP обновил список самых опасных рисков для веб-приложений, добавив две новые категории и пересмотрев структуру рейтинга. Организация представила проект версии 2025 года , который открыт для обсуждения до 20 ноября. Этот...

Один «npm install» — и хакеры получают полный контроль над всей цепочкой поставок. Активная кампания «PhantomRaven» нацелилась на разработчиков через репозиторий npm и за короткое время разнесла по экосистеме десятки вредоносных пакетов. Встроенный в них зловредный код собирает токены...

11,7 миллиона установок за четыре дня — и ни у кого не возникло подозрений. Платформа распространения .NET-библиотек NuGet вновь стала каналом распространения вредоносного кода. На этот раз злоумышленники использовали технику подмены символов, чтобы создать вредоносный пакет , имитирующий...

Автопроизводитель до сих пор устраняет последствия, и конца этому не видно. Jaguar Land Rover продолжает устранять последствия кибератаки , которая парализовала производство, нарушила работу дилерской сети и поставила под угрозу цепочки поставок. Несмотря на возобновление производства в этом...

Обнаруженные следы указывают на тщательную подготовку атаки через цепочку поставок. На фоне роста активности китайских кибергрупп на территории Российской Федерации появилась тревожная новость. Согласно недавнему отчёту Symantec, APT-коллектив Jewelbug проник в сеть неназванного российского...

Может ли "зеленая" энергия стать причиной блэкаута? Мировой переход на возобновляемые источники энергии стремительно усиливает киберриски, о которых раньше почти не задумывались. Солнечные электростанции, аккумуляторные комплексы и системы мониторинга уже перестали быть просто инженерными...

Поддельная маска оказалась настолько совершенной, что обманула всех. Исследователи компании Socket выявили две вредоносные библиотеки на crates.io, маскирующиеся под популярный пакет fast_log и нацеленные на кражу приватных ключей криптокошельков Solana и Ethereum. Поддельные проекты...

Новый механизм публикации навсегда исключит человека из цепочки доверия. GitHub анонсировала масштабные изменения в системе аутентификации и публикации пакетов в npm, направленные на усиление защиты от атак на цепочку поставок. Причиной обновлений стала недавняя кампания Shai-Hulud —...

Атака остановила гиганта, но главный удар пришёлся не по нему. Кибератака на Jaguar Land Rover, которая парализовала деятельность компании, превратилась в один из самых тяжёлых кризисов для британского автопроизводителя. Компания была вынуждена отключить IT-системы и остановить производство...

Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом Крупнейшая в истории экосистемы NPM компрометация цепочки поставок задела примерно каждую десятую облачную инфраструктуру по всему миру, однако злоумышленники практически ничего на этом не заработали. Инцидент...

Атака на мейнтейнера через поддельное уведомление 2FA позволила внедрить вредоносный код. Как минимум 18 популярных JavaScript-пакетов на NPM с совокупной недельной аудиторией свыше 2 миллиардов загрузок на короткое время оказались с вредоносными вставками — после фишинг-атаки одного из...

Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой. В экосистеме npm обнаружили четыре вредоносные библиотеки, которые нацелены на кражу криптовалютных кошельков у разработчиков Ethereum. Анализ компании Socket показал , что они...

API-ключи разработчиков уже могут продаваться в даркнете. Атака GhostAction стала одним из крупнейших компрометаций GitHub-экосистемы за последние годы. Специалисты GitGuardian выявили масштабную кампанию, в ходе которой злоумышленники внедряли вредоносные workflow-файлы в репозитории. Через...

Думали, что умные холодильники сэкономят деньги, а оказалось, они могут уничтожить весь бизнес. Специалисты Armis Labs обнаружили 10 опасных уязвимостей в промышленных контроллерах Copeland серий E2 и E3, широко используемых крупнейшими мировыми торговыми сетями и компаниями холодильного...

Доверие к IT-экосистемам обернулось катастрофой для всей индустрии. Исследователи из Zscaler ThreatLabz обнаружили в официальном репозитории PyPI библиотеку termncolor, которая распространяла вредоносный код через зависимость colorinal. Обе библиотеки уже удалены, однако до этого их успели...

Один бит из 2024 года — и ваш DevOps в слезах. Бэкдор в библиотеке XZ-Utils , обнаруженный в марте 2024 года и признанный одной из самых серьёзных атак на цепочку поставок ПО за последние годы, до сих пор остаётся в открытом доступе на Docker Hub. Специалисты Binarly нашли как минимум 35...

Преступники создали цифровой театр иллюзий, где каждый клик приближал катастрофу. Исследователи из компании Socket выявили сразу 60 вредоносных пакетов на RubyGems.org, которые выдавали себя за популярные инструменты автоматизации для соцсетей и блогов, но на деле встраивали фишинговый...

Уязвимость усугубляет децентрализованная модель импорта из GitHub. Исследователи в области кибербезопасности выявили 11 вредоносных пакетов для языка Go, предназначенных для загрузки дополнительных компонентов с удалённых серверов и их исполнения как на Windows, так и на Linux. По данным...

Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...

Новый инструмент проверит, тот ли код вы установили из PyPI и npm. Открытое ПО лежит в основе современной цифровой инфраструктуры: оно используется в 77% приложений и оценивается более чем в $12 трлн. Но широкая распространённость делает его привлекательной мишенью для атак на цепочку...

Ключи лежали в открытом доступе. Остальное — дело техники. Крупная уязвимость в системе Open VSX Registry, позволяющей распространять расширения для популярных редакторов кода, могла привести к захвату всего рынка Visual Studio Code и созданию глобальной угрозы для цепочки поставок...