цепочка поставок

Доверие к IT-экосистемам обернулось катастрофой для всей индустрии. Исследователи из Zscaler ThreatLabz обнаружили в официальном репозитории PyPI библиотеку termncolor, которая распространяла вредоносный код через зависимость colorinal. Обе библиотеки уже удалены, однако до этого их успели...

Один бит из 2024 года — и ваш DevOps в слезах. Бэкдор в библиотеке XZ-Utils , обнаруженный в марте 2024 года и признанный одной из самых серьёзных атак на цепочку поставок ПО за последние годы, до сих пор остаётся в открытом доступе на Docker Hub. Специалисты Binarly нашли как минимум 35...

Преступники создали цифровой театр иллюзий, где каждый клик приближал катастрофу. Исследователи из компании Socket выявили сразу 60 вредоносных пакетов на RubyGems.org, которые выдавали себя за популярные инструменты автоматизации для соцсетей и блогов, но на деле встраивали фишинговый...

Уязвимость усугубляет децентрализованная модель импорта из GitHub. Исследователи в области кибербезопасности выявили 11 вредоносных пакетов для языка Go, предназначенных для загрузки дополнительных компонентов с удалённых серверов и их исполнения как на Windows, так и на Linux. По данным...

Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...

Новый инструмент проверит, тот ли код вы установили из PyPI и npm. Открытое ПО лежит в основе современной цифровой инфраструктуры: оно используется в 77% приложений и оценивается более чем в $12 трлн. Но широкая распространённость делает его привлекательной мишенью для атак на цепочку...

Ключи лежали в открытом доступе. Остальное — дело техники. Крупная уязвимость в системе Open VSX Registry, позволяющей распространять расширения для популярных редакторов кода, могла привести к захвату всего рынка Visual Studio Code и созданию глобальной угрозы для цепочки поставок...

Сайт для отслеживания крипты оказался инструментом её кражи. Один из крупнейших мировых сайтов по отслеживанию криптовалют, CoinMarketCap, стал жертвой атаки. Посетители портала неожиданно столкнулись со всплывающими окнами Web3, якобы предлагающими подключить кошельки к сайту. Однако...

Gluestack, NPM, RAT — всё сходится в одну цепочку, и она ведёт к вам. На платформе NPM зафиксирована масштабная атака на цепочку поставок: злоумышленники скомпрометировали 17 популярных пакетов из семейства Gluestack @react-native-aria , встроив в них вредоносный код. Эти пакеты...

Пять лет назад злоумышленник закопал фрагмент кода, а сегодня он активировался. В Git обнаружена методика сокрытия истории изменений, способная запутать даже опытных специалистов по цифровой криминалистике. Речь идёт не о новой уязвимости, а о функциональности, которая при неправильном...

Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке. Злоумышленники вновь атакуют экосистему npm, на этот раз с помощью пакета «os-info-checker-es6» , который маскируется под утилиту для получения информации об операционной системе. Подобная мимикрия...

VENOM и TIDRONE раскрыли реальную цель хакеров из Earth Ammit. Группировка Earth Ammit, связанная с китайскоязычными APT -структурами, провела две волны целенаправленных атак в 2023–2024 годах. Первая, под названием VENOM, была нацелена на поставщиков программных услуг, а вторая — TIDRONE...

В open-source доверие по умолчанию оказалось уязвимостью опаснее zero-day. Злоумышленники загрузили на официальный репозиторий PyPI вредоносный пакет под видом инструмента для работы с блокчейном Solana. Несмотря на то, что файл под названием «solana-token» уже удалён, до момента удаления...

Вы даже не заметите, как ваш редактор кода начнёт выполнять чужие команды. Исследователи из компании Socket выявили новую атаку на macOS-версию популярного редактора исходного кода Cursor — злоумышленники распространяют троянизированные библиотеки через npm, обещая «самый дешёвый API...

Официальное обновление оказалось троянским конём — и он уже в вашем коде. Угроза на уровне цепочки поставок программного кода вновь дала о себе знать: рекомендованная Ripple библиотека «xrpl.js» для работы с блокчейном XRP через JavaScript была скомпрометирована. Вредоносный код в неё...

Разработчики уже потеряли сотни тысяч, даже не подозревая об этом. Атаки на цепочку поставок программного обеспечения становятся всё изощрённее — злоумышленники маскируют вредоносный код под полезные библиотеки и внедряют его в системы разработчиков. Очередной пример — вредоносный npm-пакет...

Инновационный метод позволяет хакерам навсегда сохранить доступ к скомпрометированным системам. Злоумышленники внедрили новую тактику в атаках на экосистему npm — два вредоносных пакета тайно модифицируют уже установленные на системе легитимные библиотеки, чтобы вшить обратную оболочку и...

Хакеры модифицировали tj-actions/changed-files, чтобы копировать учетные данные из памяти серверов. Программное обеспечение с открытым исходным кодом, используемое более чем 23 000 организациями, было скомпрометировано вредоносным кодом, похищающим учетные данные. Хакеры получили...

Форки зараженного кода могли значительно увеличить масштаб компрометации. Исследователи в области кибербезопасности предупредили о вредоносной кампании, направленной на пользователей репозитория Python Package Index (PyPI). Злоумышленники распространяли поддельные библиотеки, маскируя их под...

Checkmarx раскрывает масштабную атаку на цепочку поставок через популярный NPM-пакет. Команда специалистов компании Checkmarx обнаружила атаку на цепочку поставок, которая продолжалась более года. Вредоносный npm -пакет @0xengine/xmlrpc, начавший своё существование в октябре 2023...

Вредоносные 3MF-модели могут долгое время оставаться незамеченными. Исследователи безопасности обнаружили уязвимость в популярном ПО для 3D-печати UltiMaker Cura. Проблема была выявлена специалистами компании Checkmarx , которые провели анализ исходного кода во время тестирования...

Подмена системных команд открывает новые возможности для киберпреступников. Исследователи из компании Checkmarx зафиксировали новую технику атак на цепочки поставок в Open Source экосистемах, позволяющую злоумышленникам использовать манипуляции в командной строке ( CLI ) для скрытого...

Исследователи раскрыли неожиданный механизм распространения вредоносного кода. Специалисты из компании Tenable выявили серьёзную уязвимость в Google Cloud Platform ( GCP ) Composer, которая могла использоваться для удалённого выполнения кода в реальных атаках. GCP Composer — это...

Исследователи раскрыли неожиданный механизм распространения вредоносного кода. Специалисты из компании Tenable выявили серьёзную уязвимость в Google Cloud Platform ( GCP ) Composer, которая могла использоваться для удалённого выполнения кода в реальных атаках. GCP Composer — это...

На платформе npm выявлены библиотеки-оборотни со скрытым функционалом. Исследователи в области кибербезопасности выявили два вредоносных пакета на платформе npm , содержащих бэкдор-код для выполнения команд с удалённого сервера. Подозрительные пакеты, под именами...