цепочка поставок

Вредоносный код годами жил внутри программ и просто ждал сигнала от новых хозяев. Обычное рекламное ПО внезапно оказалось куда опаснее, чем казалось на первый взгляд. Специалисты Huntress заметили подозрительную активность, которая сначала выглядела как рядовой «мусорный» софт, но при...

История о том, как обычный маршрутизатор стал соучастником крупного преступления. Взлом маршрутизатора может показаться локальной неприятностью, а подмена кода в GitHub Actions — историей из совсем другого мира. Однако март 2026 года показал, что между домашними роутерами и корпоративными...

На кону стоят суммы, которые заставляют забыть о правилах приличия. На npm обнаружили вредоносный пакет, который маскируется под безобидный инструмент для логирования, но на деле открывает доступ к криптокошелькам и серверам разработчиков. Атака нацелена на узкую аудиторию — авторов...

Похоже, даже безупречная репутация не гарантирует, что данные уцелеют. Разработчики криптосервисов столкнулись с неприятным сюрпризом: один из релизов популярного пакета для работы с децентрализованной биржей Velora оказался заражён. Проблема затронула не всю линейку, а только одну версию, но...

Обычной осторожности профессионала больше недостаточно. Новая атака на разработчиков разворачивается тихо и почти незаметно — достаточно открыть скачанный репозиторий, чтобы запустить вредоносный код. Кампания, получившая название TasksJacker, показывает, как привычные инструменты разработки...

В официальной Python-библиотеке Telnyx обнаружили вредоносный код для кражи данных. Недавнее заражение популярной Python-библиотеки для работы с коммуникациями показало, насколько уязвимой остаётся цепочка поставок в Open Source. Вредоносный код незаметно встроили в официальный Python SDK...

Хакеры взломали десктопный клиент Apifox через официальный канал доставки контента. Атака через доверенный источник — сценарий, который многие до сих пор недооценивают. Новый инцидент с популярным инструментом для работы с API показывает, насколько опасным может оказаться компрометированный...

Инструмент для защиты инфраструктуры внезапно сам стал точкой входа. Атака на цепочку поставок снова ударила по популярным инструментам разработки. На этот раз злоумышленники внедрили вредоносный код в GitHub Action проекта KICS от Checkmarx — решение, которое используют для проверки...

Чертежи и коды доступа к стратегическим узлам могли попасть в чужие руки. На фоне обострения ситуации вокруг Ирана в киберпространстве появился новый игрок, который пытается ударить по одной из самых чувствительных отраслей региона. Группа под названием Nasir Security заявила о серии атак...

Логистика возвращается в 19-й век из-за ракет. Ситуация вокруг Ближнем Востоке уже ударила по морским портам и авиаперевозкам и грозит растянуть сроки поставок по всему миру. Пока глобальный рынок технологий чувствует лишь слабые отголоски, но логистика в регионе стремительно сжимается...

Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера. Вредоносный пакет в публичном реестре npm всего за несколько дней успел набрать десятки тысяч установок и показал, насколько быстро распространяется риск для цепочки поставок даже без взлома популярных библиотек...

Злоумышленники создали идеального двойника популярного финансового инструмента. Команда ReversingLabs обнаружила вредоносный пакет в репозитории NuGet, который маскировался под библиотеку Stripe.net и пытался перехватывать ключи доступа к платёжной платформе Stripe. Случай показал, что...

Почему взломщики теперь атакуют не офисы компаний, а системы управления судами. Кибератаки на суда перестали быть редкостью и всё чаще приводят к реальным сбоям в работе флота. За последние два года злоумышленники заметно нарастили активность, а их инструменты стали сложнее. Об этом...

Цифровая инфекция поражает выбранные цели по жестокому принципу домино. В 2025 году атаки на цепочки поставок окончательно перестали быть редкими инцидентами и превратились в системную угрозу. В новом отчёте High-Tech Crime Trends 2026 компания Group-IB описывает , как злоумышленники всё...

Сценарии автоматизации превратились в конвейер по краже секретов. Команда Socket описала активную кампанию в экосистеме npm , которая маскируется под популярные пакеты и превращает случайную установку зависимости в цепочку компрометации репозиториев и CI. Атаку отслеживают под именем...

Автор проекта пошёл на крайние меры, чтобы спасти репутацию «народного блокнота». Разработчики Notepad++ выпустили обновление безопасности 8.9.2, чтобы закрыть слабые места, которыми воспользовалась продвинутая группа с китайским следом. Злоумышленники перехватывали механизм обновлений...

Иногда выгодный контракт — это всего лишь ловушка для профессионалов. Масштаб киберугроз для оборонной промышленности стремительно растёт и выходит далеко за пределы цифровых атак на отдельные компании. По данным аналитиков Google Threat Intelligence Group, давление на...

Пока аналитики писали отчёты, противник просто сменил тактику. Специалисты Stormshield продолжили разбор цепочки компрометации , связанной с атакой на цепочку поставок текстового редактора EmEditor, и выявили дополнительные технические детали инфраструктуры злоумышленников. Поводом для...

Ваши привычные инструменты внезапно превратились в двойных агентов. В каталоге расширений Open VSX зафиксирована новая атака на цепочку поставок, связанная с захватом учётной записи разработчика. Злоумышленники внедрили вредоносные обновления в популярные инструменты для среды разработки и...

Одна лишняя буква, которая отдаёт контроль над системой посторонним. Публичные реестры контейнеров всё глубже встраиваются в процессы разработки и развёртывания сервисов, однако вместе со скоростью и удобством растёт и скрытый риск. Загрузка готовых образов всё чаще воспринимается как...

Одна лишняя буква, которая отдаёт контроль над системой посторонним. Публичные реестры контейнеров всё глубже встраиваются в процессы разработки и развёртывания сервисов, однако вместе со скоростью и удобством растёт и скрытый риск. Загрузка готовых образов всё чаще воспринимается как...

Кажется, эпоха слепого доверия к проверенным источникам окончательно ушла в прошлое. В конце декабря 2025 года разработчики популярного текстового редактора EmEditor предупредили пользователей о компрометации официальной страницы загрузки программы. Преступники незаметно подменили...

Кажется, эпоха слепого доверия к проверенным источникам окончательно ушла в прошлое. В конце декабря 2025 года разработчики популярного текстового редактора EmEditor предупредили пользователей о компрометации официальной страницы загрузки программы. Преступники незаметно подменили...

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам. Недавняя атака на цепочку поставок затронула платформу автоматизации рабочих процессов n8n — злоумышленники загрузили в репозиторий npm вредоносные пакеты, замаскированные под легитимные модули для...

Если вы собираете контейнеры для продакшена, у вас появился новый стандарт «по умолчанию» в ответ на угрозы цепочкам поставок. Компания Docker объявила , что делает свои контейнерные образы Docker Hardened Images (DHI) бесплатными и полностью открытыми: их можно использовать, распространять...