socket

Они просто хотели помочь с автоматизацией — автоматизацией кражи. Исследователи из компании JFrog выявили вредоносный пакет, размещённый в официальном репозитории Python Package Index (PyPI). Его основная цель — перехват торговых ордеров, отправляемых на криптовалютную биржу MEXC, с...

Вредоносный модуль мастерски имитировал покупателя для незаметной атаки. На платформе PyPI вновь обнаружены вредоносные Python-библиотеки, предназначенные для кражи конфиденциальных данных и автоматической проверки украденных банковских карт. Общая популярность этих пакетов превысила 39 тысяч...

В тени популярных библиотек затаился хакер, жаждущий ваших цифровых активов. Исследователи безопасности из компании Socket выявили вредоносный пакет PyPI под названием «set-utils», который перехватывал функции создания криптокошельков и отправлял украденные приватные ключи через блокчейн...

Обман под видом полезных инструментов разрушил доверие к популярной платформе. В экосистеме npm обнаружена очередная вредоносная кампания с применением Skuld Infostealer — известного вредоносного ПО, нацеленного на разработчиков. Исследователи компании Socket сообщили, что атаки...

Вредоносный код из npm лишает пользователей криптовалюты. Специалисты Socket сообщили о крупной атаке на цепочку поставок популярной библиотеки @solana/web3.js, доступной через npm. Вредоносные версии 1.95.6 и 1.95.7, которые содержали код для кражи приватных ключей, использовались для...

Киберугроза проникла в код тысяч разработчиков и осталась необнаруженной. Команда исследователей из компании Socket обнаружила вредоносный Python-пакет с названием «fabrice», замаскированный под популярную библиотеку «fabric». Этот пакет, присутствующий в PyPI с 2021 года и скачанный...

Зараженный клон нацелен на кражу данных программистов. Специалисты Socket обнаружили в каталоге NPM новую угрозу, использующую технику тайпсквоттинга для установки вредоносного ПО с целью кражи конфиденциальных данных разработчиков. Тайпосквоттинг ( Typosquatting ) — метод...

Фальшивый блеск исходного кода вводит в заблуждение неопытных разработчиков. Исследователи из компании Socket обнаружили на GitHub 3,7 миллиона фальшивых звёзд GitHub Stars, что указывает на рост мошенничества и распространение вредоносного ПО на популярной платформе для...

«Видишь зависимости? И я не вижу, а они есть». Популярный репозиторий для разработчиков NPM страдает от проблемы безопасности, называемой «путаница в манифестах» (Manifest Confusion), которая подрывает доверие к пакетам и даёт возможность злоумышленникам прятать вредоносный код в...