цепочка поставок

Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...

Новый инструмент проверит, тот ли код вы установили из PyPI и npm. Открытое ПО лежит в основе современной цифровой инфраструктуры: оно используется в 77% приложений и оценивается более чем в $12 трлн. Но широкая распространённость делает его привлекательной мишенью для атак на цепочку...

Ключи лежали в открытом доступе. Остальное — дело техники. Крупная уязвимость в системе Open VSX Registry, позволяющей распространять расширения для популярных редакторов кода, могла привести к захвату всего рынка Visual Studio Code и созданию глобальной угрозы для цепочки поставок...

Сайт для отслеживания крипты оказался инструментом её кражи. Один из крупнейших мировых сайтов по отслеживанию криптовалют, CoinMarketCap, стал жертвой атаки. Посетители портала неожиданно столкнулись со всплывающими окнами Web3, якобы предлагающими подключить кошельки к сайту. Однако...

Gluestack, NPM, RAT — всё сходится в одну цепочку, и она ведёт к вам. На платформе NPM зафиксирована масштабная атака на цепочку поставок: злоумышленники скомпрометировали 17 популярных пакетов из семейства Gluestack @react-native-aria , встроив в них вредоносный код. Эти пакеты...

Пять лет назад злоумышленник закопал фрагмент кода, а сегодня он активировался. В Git обнаружена методика сокрытия истории изменений, способная запутать даже опытных специалистов по цифровой криминалистике. Речь идёт не о новой уязвимости, а о функциональности, которая при неправильном...

Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке. Злоумышленники вновь атакуют экосистему npm, на этот раз с помощью пакета «os-info-checker-es6» , который маскируется под утилиту для получения информации об операционной системе. Подобная мимикрия...

VENOM и TIDRONE раскрыли реальную цель хакеров из Earth Ammit. Группировка Earth Ammit, связанная с китайскоязычными APT -структурами, провела две волны целенаправленных атак в 2023–2024 годах. Первая, под названием VENOM, была нацелена на поставщиков программных услуг, а вторая — TIDRONE...

В open-source доверие по умолчанию оказалось уязвимостью опаснее zero-day. Злоумышленники загрузили на официальный репозиторий PyPI вредоносный пакет под видом инструмента для работы с блокчейном Solana. Несмотря на то, что файл под названием «solana-token» уже удалён, до момента удаления...

Вы даже не заметите, как ваш редактор кода начнёт выполнять чужие команды. Исследователи из компании Socket выявили новую атаку на macOS-версию популярного редактора исходного кода Cursor — злоумышленники распространяют троянизированные библиотеки через npm, обещая «самый дешёвый API...

Официальное обновление оказалось троянским конём — и он уже в вашем коде. Угроза на уровне цепочки поставок программного кода вновь дала о себе знать: рекомендованная Ripple библиотека «xrpl.js» для работы с блокчейном XRP через JavaScript была скомпрометирована. Вредоносный код в неё...

Разработчики уже потеряли сотни тысяч, даже не подозревая об этом. Атаки на цепочку поставок программного обеспечения становятся всё изощрённее — злоумышленники маскируют вредоносный код под полезные библиотеки и внедряют его в системы разработчиков. Очередной пример — вредоносный npm-пакет...

Инновационный метод позволяет хакерам навсегда сохранить доступ к скомпрометированным системам. Злоумышленники внедрили новую тактику в атаках на экосистему npm — два вредоносных пакета тайно модифицируют уже установленные на системе легитимные библиотеки, чтобы вшить обратную оболочку и...

Хакеры модифицировали tj-actions/changed-files, чтобы копировать учетные данные из памяти серверов. Программное обеспечение с открытым исходным кодом, используемое более чем 23 000 организациями, было скомпрометировано вредоносным кодом, похищающим учетные данные. Хакеры получили...

Форки зараженного кода могли значительно увеличить масштаб компрометации. Исследователи в области кибербезопасности предупредили о вредоносной кампании, направленной на пользователей репозитория Python Package Index (PyPI). Злоумышленники распространяли поддельные библиотеки, маскируя их под...

Checkmarx раскрывает масштабную атаку на цепочку поставок через популярный NPM-пакет. Команда специалистов компании Checkmarx обнаружила атаку на цепочку поставок, которая продолжалась более года. Вредоносный npm -пакет @0xengine/xmlrpc, начавший своё существование в октябре 2023...

Вредоносные 3MF-модели могут долгое время оставаться незамеченными. Исследователи безопасности обнаружили уязвимость в популярном ПО для 3D-печати UltiMaker Cura. Проблема была выявлена специалистами компании Checkmarx , которые провели анализ исходного кода во время тестирования...

Подмена системных команд открывает новые возможности для киберпреступников. Исследователи из компании Checkmarx зафиксировали новую технику атак на цепочки поставок в Open Source экосистемах, позволяющую злоумышленникам использовать манипуляции в командной строке ( CLI ) для скрытого...

Исследователи раскрыли неожиданный механизм распространения вредоносного кода. Специалисты из компании Tenable выявили серьёзную уязвимость в Google Cloud Platform ( GCP ) Composer, которая могла использоваться для удалённого выполнения кода в реальных атаках. GCP Composer — это...

Исследователи раскрыли неожиданный механизм распространения вредоносного кода. Специалисты из компании Tenable выявили серьёзную уязвимость в Google Cloud Platform ( GCP ) Composer, которая могла использоваться для удалённого выполнения кода в реальных атаках. GCP Composer — это...

На платформе npm выявлены библиотеки-оборотни со скрытым функционалом. Исследователи в области кибербезопасности выявили два вредоносных пакета на платформе npm , содержащих бэкдор-код для выполнения команд с удалённого сервера. Подозрительные пакеты, под именами...

ReversingLabs выявила 60 вредоносных пакетов с изощренной маскировкой. В рамках продолжающейся вредоносной кампании, начавшейся в августе 2023 года, злоумышленники публикуют новые вредоносные пакеты в менеджере пакетов NuGet , добавляя новый уровень скрытности для обхода обнаружения...

Удалось ли киберпреступникам осуществить задуманное? Недавно специалисты в области кибербезопасности успешно предотвратили попытку взлома проекта на платформе OpenJS, которая в общих чертах очень напоминает недавний инцидент с бэкдором в утилите сжатия XZ Utils. В понедельник, 15 апреля...

Рейтинг показывает, на что нужно обратить внимание при планировании киберзащиты. Европейское агентство по кибербезопасности ( ENISA ) обновило прогноз по киберугрозам, выделив 10 основных угроз, которые будут оказывать наибольшее влияние к 2030 году. Компрометация цепочки поставок ПО...

Ваши сотрудники используют приложения, о которых вы не знаете. Вы уверены, что они безопасны? ИБ-компания Wing Security провела анализ использования SaaS -приложений в 493 компаниях и выявила основные угрозы и способы их предотвращения, предложив рекомендации для безопасного использования...