github

Новая схема взлома корпоративных сетей, против которой сложно защититься. Злоумышленникам больше не нужно писать сложные вредоносные программы с нуля. Иногда хватает взять готовый инструмент с GitHub и использовать его «как есть». Именно так в середине апреля произошла атака, в которой...

В гараже нашли исходный код, с которого началась Microsoft как компания-миллиардер. Microsoft открыла на GitHub редкую часть ранней истории DOS: исходный код ядра 86-DOS 1.00, предварительные версии ядра PC-DOS 1.00, набор утилит и библиотеку времени выполнения компилятора Microsoft...

Ключи от всех тайников незаметно сменили владельца. Злоумышленники снова ударили по цепочке поставок npm, но на этот раз выбрали узкую и опасную цель — пакеты, которыми пользуются разработчики в экосистеме SAP. Вредоносная кампания «Mini Shai-Hulud» выглядит небольшой по числу затронутых...

Владельцев GitHub Enterprise призвали срочно обновить систему. Обычная команда git push неожиданно оказалась куда опаснее, чем принято считать. В инфраструктуре GitHub нашли уязвимость , которая превращала привычную операцию с кодом в потенциальную точку атаки. Проблему обнаружила...

Содержимое некогда защищённых репозиториев стало общественным достоянием. Checkmarx столкнулась с неприятным продолжением мартовского взлома : украденные из приватного репозитория GitHub данные появились в распоряжении группировки LAPSUS$. Компания считает, что инцидент вырос из атаки на...

Один неверный клик может стоить разработчикам целой инфраструктуры. Кампания GlassWorm снова всплыла в среде разработчиков, но теперь злоумышленники действуют тише. Вместо очевидно вредоносных расширений для OpenVSX они сначала публикуют безобидные копии популярных инструментов, а...

Ни телеметрии, ни лишнего кода — только профили, прокси и шифрование. На GitHub развивается Donut Browser, открытый антидетект-браузер для работы с изолированными профилями. Проект позволяет создавать отдельные браузерные среды со своими cookies, расширениями, данными и цифровыми...

Масштаб потенциального хаоса трудно даже вообразить. В популярных облачных средах разработки , где программисты быстро собирают прототипы прямо в браузере, обнаружилась неожиданная проблема. Масштабная проверка показала, что тысячи проектов содержат действующие ключи доступа и другие...

Что известно об атаке на цепочку поставок Checkmarx. Злоумышленники незаметно подменили популярный инструмент, которым проверяют код, и успели встроить в него вредоносный компонент, который крал пароли и ключи прямо из рабочих сред разработчиков. Речь идёт о KICS (Keeping Infrastructure...

Хакеры «зашли» в LMDeploy всего через 12 часов после публикации CVE. Уязвимости в инструментах для работы с искусственным интеллектом начинают жить по новым правилам — между публикацией проблемы и реальной атакой проходят часы. Очередной пример показал, насколько быстро злоумышленники...

Государственная техническая служба страны отрицает причастность к перебоям. В Казахстане пользователи пожаловались на проблемы с доступом к GitHub, сообщает Tengrinews.kz. По данным издания, сервис открывается, но при скачивании файлов часть пользователей сталкивается с ошибками, а загрузка...

GitHub решил упростить жизнь разработчикам, которые устали продираться через огромные pull request с десятками файлов и длинными цепочками зависимостей. Платформа представила Stacked PRs , новый механизм для работы с взаимосвязанными запросами на слияние, который должен ускорить ревью и сделать...

Заражённые устройства больше не подчиняются командам законного хозяина. На рынке Android-вредоносов появился новый игрок, который умеет не только красть данные и перехватывать управление смартфоном, но и использовать чужие устройства как удобный промежуточный узел для новых атак. Mirax быстро...

Почему даже гиганты индустрии не застрахованы от дырявого софта. В цепочке поставок программного обеспечения снова сбой, и на этот раз история задела популярные приложения OpenAI для macOS. Компания обнаружила , что в процесс сборки её программ незаметно попал вредоносный код через стороннюю...

Безупречное прошлое цифровых платформ теперь работает на злоумышленников. Обычное письмо от знакомого сервиса давно перестало быть гарантией безопасности. Специалисты Cisco Talos заметили новую волну атак, в которой злоумышленники используют легальные механизмы уведомлений GitHub и Jira...

Инструмент собрал 34 тысячи звезд за три дня. В чем подвох? Милла Йовович неожиданно оказалась в центре спора о памяти ИИ. Актриса вместе с Беном Сигманом запустила MemPalace , открытый инструмент для долгосрочной памяти моделей, и за считаные дни проект успел собрать десятки тысяч звезд на...

Изучаем ловушки, обманувшие даже самых бдительных специалистов. Северокорейская кампания Contagious Interview вышла далеко за пределы привычных площадок и начала маскировать вредоносные пакеты сразу в нескольких экосистемах разработки. Под видом безобидных библиотек для логирования...

Пользователи столкнулись с угрозой потери средств из-за вредоносного проекта на GitHub. Пользователи, которые ищут в интернете инструмент для работы с прокси, рискуют вместо полезной программы получить троян для кражи криптовалюты. Вредоносное ПО маскируется под популярную утилиту и уже...

Обычная ссора с багхантером привела к самым неожиданным последствиям. Утечка рабочего кода для новой уязвимости в Windows добавила Microsoft ещё одну головную боль. Проблема затрагивает повышение привилегий и пока остаётся без исправления, а публикация эксплойта делает историю особенно...

Расплата за любопытство оказалась гораздо выше ожидаемой. Недавняя утечка внутреннего кода одного из самых заметных ИИ-инструментов современности неожиданно превратилась в удобную приманку для киберпреступников. Ошибка в публикации пакета обернулась цепной реакцией — от мгновенного...

Обычной осторожности профессионала больше недостаточно. Новая атака на разработчиков разворачивается тихо и почти незаметно — достаточно открыть скачанный репозиторий, чтобы запустить вредоносный код. Кампания, получившая название TasksJacker, показывает, как привычные инструменты разработки...

Эпоха ручного взлома прошла, теперь тайны воруют в промышленных масштабах. ИБ-специалисты зафиксировали масштабную автоматизированную кампанию по сбору учётных данных, которая за считаные часы затронула сотни серверов по всему миру. Атака развивалась почти без участия человека и опиралась на...

Anthropic зачищает интернет от последствий одного случайного слива. Платформа GitHub получила жалобу по закону об авторском праве в цифровую эпоху от компании Anthropic . В обращении утверждается, что репозиторий с кодом, связанным с проектом Claude, нарушает авторские права компании...

В открытый доступ выложен проект для аудита API. Найти уязвимость в интерфейсе программирования приложений обычно сложнее, чем кажется. Многие сканеры бодро рапортуют «всё чисто», но при этом не замечают главную проблему – ошибки в проверке прав доступа. Новый открытый инструмент Hadrian как...

На платформе GitHub зафиксировали атаку с применением фальшивых предупреждений о безопасности. Разработчиков начали массово пугать «критическими уязвимостями» прямо на GitHub, но за тревожными предупреждениями скрывается совсем другая цель. Согласно отчету Socket, неизвестные рассылают...