цепочка поставок

Банальная опечатка при поиске нужной утилиты приводила к немедленному взлому системы. В атаках на разработчиков всё чаще хватает не взлома крупной платформы, а одного удачно замаскированного пакета. Свежий случай с npm показывает, как быстро вредоносный код может попасть в рабочие среды...

Масштабная атака затронула более 700 версий, а защита даже не сработала. Популярные пакеты Laravel-Lang оказались втянуты в крупную атаку на цепочку поставок: злоумышленник не стал добавлять вредоносный код в основные репозитории, а подменил исторические теги релизов. Из-за такого приёма...

Участившиеся хакерские атаки заставили создателей сервиса действовать предельно жёстко. Компания GitHub, которой принадлежит платформа npm, сообщила о двух новых мерах защиты для экосистемы JavaScript. Обновления должны усложнить атаки, при которых злоумышленники пытаются подменять...

Новый подход обещает освободить команды от лишней работы, не превращая безопасность в формальность. Red Hat предложила снизить усталость ИБ-команд от бесконечного потока CVE за счёт более «узких» контейнерных образов и связки с Anchore — платформой для проверки безопасности цепочек поставок...

Эксперты бьют тревогу: хакеры использовали не банальный взлом, а сложную многоуровневую цепочку. В экосистеме npm снова вспыхнула крупная атака на цепочку поставок: злоумышленники за один час протолкнули сотни вредоносных версий популярных пакетов, которыми пользуются разработчики и системы...

Астрологи объявили неделю атак на цепочку поставок. История Shai-Hulud перестала быть обычной кампанией по краже секретов у разработчиков. Группа TeamPCP, связанная с серией атак на npm и PyPI, фактически открыла исходный код своего инструментария на GitHub. Репозиторий быстро удалили, но...

Продать исходный код обещают только одному покупателю. Как думаете, сдержат слово? Хакерская группа TeamPCP выставила на продажу данные, которые, по её утверждению, относятся к проектам Mistral AI. История началась не с громкой атаки на саму платформу, а с заражённых пакетов и украденных...

История началась с тихой публикации трёх версий, но быстро превратилась в тревожный сигнал для всей экосистемы. В экосистеме npm снова всплыл риск, который особенно опасен для разработчиков и DevOps-команд: вредоносный код попал не в новый сомнительный пакет, а в известную библиотеку...

Атака использовала именно те механизмы защиты, которым разработчики доверяли больше всего. Mini Shai-Hulud снова ударил по цепочке поставок. Но если первая волна атак затронула пакеты SAP , теперь вредоносная схема разрослась до сотен заражённых версий и стала бить по местам, где обычно...

Сотни вредоносных пакетов показали, насколько быстро привычная инфраструктура может стать ловушкой. RubyGems временно закрыл регистрацию новых аккаунтов после крупной атаки на экосистему Ruby. По данным участников расследования, злоумышленники загрузили сотни вредоносных пакетов, часть...

Ставка была сделана на доверие к привычным зависимостям и ошибку, которую легко не заметить. ИБ-специалисты раскрыли крупную вредоносную кампанию против разработчиков, в которой злоумышленник сделал ставку не на взлом готовых продуктов, а на слабые места сборочных процессов. Через публичный...

Защитные системы докладывают об успехах, пока взломщики тихо хозяйничают в вашей сети. Новый Linux-имплант Quasar Linux угрожает не только отдельным рабочим станциям, но и всей цепочке разработки ПО. Вредоносный набор нацелен на среды, где создают, собирают и публикуют код, поэтому украденные...

Скрытый наблюдатель уже вовсю изучает содержимое вашего жёсткого диска. Злоумышленники подменили часть официальных установщиков DAEMON Tools Lite и превратили привычный канал загрузки программы в инструмент для кибершпионажа. Опасность атаки усиливалась тем, что заражённые файлы были...

Последствия такой беспечности проявятся в самый неподходящий момент. Компании давно научились вести учёт программных компонентов, но ИИ быстро усложнил привычную картину. В корпоративных системах появились модели, агенты, промпты, датасеты и внешние инструменты, о которых служба безопасности...

20% пострадавших устройств после компрометации DAEMON Tools находятся в России. Официальный сайт DAEMON Tools стал источником заражения: с начала апреля 2026 года пользователи скачивали с сайта разработчика легитимную программу с бэкдором внутри. Кибератаку на AVB Disc Soft выявили эксперты...

Последствия затронули даже крупнейшие сетевые хранилища. В популярный инструмент для разработки ИИ попала вредоносная версия, которая могла незаметно вытягивать ключи доступа, токены и данные из браузеров. Проблема затронула пакет PyTorch Lightning на PyPI, а опасная сборка успела появиться...

Ключи от всех тайников незаметно сменили владельца. Злоумышленники снова ударили по цепочке поставок npm, но на этот раз выбрали узкую и опасную цель — пакеты, которыми пользуются разработчики в экосистеме SAP. Вредоносная кампания «Mini Shai-Hulud» выглядит небольшой по числу затронутых...

Что известно об атаке на цепочку поставок Checkmarx. Злоумышленники незаметно подменили популярный инструмент, которым проверяют код, и успели встроить в него вредоносный компонент, который крал пароли и ключи прямо из рабочих сред разработчиков. Речь идёт о KICS (Keeping Infrastructure...

Тандем Vect и TeamPCP доказал, что похитить данные можно даже без сложных вирусов. Киберпреступный рынок сделал ещё один шаг к «конвейерному» вымогательству. Группа Vect выстроила сразу два партнёрства , которые резко упрощают запуск атак и расширяют их масштаб. В связке с форумом...

Вредоносный код годами жил внутри программ и просто ждал сигнала от новых хозяев. Обычное рекламное ПО внезапно оказалось куда опаснее, чем казалось на первый взгляд. Специалисты Huntress заметили подозрительную активность, которая сначала выглядела как рядовой «мусорный» софт, но при...

История о том, как обычный маршрутизатор стал соучастником крупного преступления. Взлом маршрутизатора может показаться локальной неприятностью, а подмена кода в GitHub Actions — историей из совсем другого мира. Однако март 2026 года показал, что между домашними роутерами и корпоративными...

На кону стоят суммы, которые заставляют забыть о правилах приличия. На npm обнаружили вредоносный пакет, который маскируется под безобидный инструмент для логирования, но на деле открывает доступ к криптокошелькам и серверам разработчиков. Атака нацелена на узкую аудиторию — авторов...

Похоже, даже безупречная репутация не гарантирует, что данные уцелеют. Разработчики криптосервисов столкнулись с неприятным сюрпризом: один из релизов популярного пакета для работы с децентрализованной биржей Velora оказался заражён. Проблема затронула не всю линейку, а только одну версию, но...

Обычной осторожности профессионала больше недостаточно. Новая атака на разработчиков разворачивается тихо и почти незаметно — достаточно открыть скачанный репозиторий, чтобы запустить вредоносный код. Кампания, получившая название TasksJacker, показывает, как привычные инструменты разработки...

В официальной Python-библиотеке Telnyx обнаружили вредоносный код для кражи данных. Недавнее заражение популярной Python-библиотеки для работы с коммуникациями показало, насколько уязвимой остаётся цепочка поставок в Open Source. Вредоносный код незаметно встроили в официальный Python SDK...