Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
Атака на цепочку поставок SDK Injective затронула 87 зависимых пакетов в npm.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden"> Обычное обновление библиотеки для работы...
Достаточно одного утёкшего ключа, чтобы доверие системы стало чужим оружием.
Цифровая подпись должна подтверждать, что приложение Android выпустил настоящий разработчик, но новая исследовательская работа показывает, как утечка одного ключа превращает этот механизм доверия в слабое место всей...
На части заражённых Windows-машин обнаружили PowerShell-бэкдор с правами SYSTEM.
Более 140 пакетов из экосистемы Mastra для создания ИИ-приложений заразили через npm. Вредоносный код запускался сразу после <code>npm install</code> или <code>npm update</code>, поэтому заражение могло затронуть...
Платформа отказывается исправлять уязвимость ради мнимого удобства.
Иногда опасная атака держится не только на украденных паролях, но и на мелких деталях интерфейса, которым разработчики привыкли доверять. GitHub отклонил два отчёта Deep Specter Research о механизмах, которые, по данным...
NPM 12 превращает установку зависимостей в отдельную работу.
NPM готовит одно из самых заметных изменений за последние годы. В новой версии менеджера пакетов разработчики больше не смогут по умолчанию запускать установочные сценарии из чужих библиотек. На бумаге выглядит как мощный удар по...
Сразу 95 официальных пакетов внезапно превратились в шпионов.
Разработчики привыкли доверять пакетам из привычных пространств имён, особенно когда речь идёт о компонентах крупных вендоров. Но новый инцидент с npm показал, что даже такая зависимость может стать точкой входа для кражи...
Банальная опечатка при поиске нужной утилиты приводила к немедленному взлому системы.
В атаках на разработчиков всё чаще хватает не взлома крупной платформы, а одного удачно замаскированного пакета. Свежий случай с npm показывает, как быстро вредоносный код может попасть в рабочие среды...
Масштабная атака затронула более 700 версий, а защита даже не сработала.
Популярные пакеты Laravel-Lang оказались втянуты в крупную атаку на цепочку поставок: злоумышленник не стал добавлять вредоносный код в основные репозитории, а подменил исторические теги релизов. Из-за такого приёма...
Участившиеся хакерские атаки заставили создателей сервиса действовать предельно жёстко.
Компания GitHub, которой принадлежит платформа npm, сообщила о двух новых мерах защиты для экосистемы JavaScript. Обновления должны усложнить атаки, при которых злоумышленники пытаются подменять...
Новый подход обещает освободить команды от лишней работы, не превращая безопасность в формальность.
Red Hat предложила снизить усталость ИБ-команд от бесконечного потока CVE за счёт более «узких» контейнерных образов и связки с Anchore — платформой для проверки безопасности цепочек поставок...
Эксперты бьют тревогу: хакеры использовали не банальный взлом, а сложную многоуровневую цепочку.
В экосистеме npm снова вспыхнула крупная атака на цепочку поставок: злоумышленники за один час протолкнули сотни вредоносных версий популярных пакетов, которыми пользуются разработчики и системы...
Астрологи объявили неделю атак на цепочку поставок.
История Shai-Hulud перестала быть обычной кампанией по краже секретов у разработчиков. Группа TeamPCP, связанная с серией атак на npm и PyPI, фактически открыла исходный код своего инструментария на GitHub. Репозиторий быстро удалили, но...
Продать исходный код обещают только одному покупателю. Как думаете, сдержат слово?
Хакерская группа TeamPCP выставила на продажу данные, которые, по её утверждению, относятся к проектам Mistral AI. История началась не с громкой атаки на саму платформу, а с заражённых пакетов и украденных...
История началась с тихой публикации трёх версий, но быстро превратилась в тревожный сигнал для всей экосистемы.
В экосистеме npm снова всплыл риск, который особенно опасен для разработчиков и DevOps-команд: вредоносный код попал не в новый сомнительный пакет, а в известную библиотеку...
Атака использовала именно те механизмы защиты, которым разработчики доверяли больше всего.
Mini Shai-Hulud снова ударил по цепочке поставок. Но если первая волна атак затронула пакеты SAP , теперь вредоносная схема разрослась до сотен заражённых версий и стала бить по местам, где обычно...
Сотни вредоносных пакетов показали, насколько быстро привычная инфраструктура может стать ловушкой.
RubyGems временно закрыл регистрацию новых аккаунтов после крупной атаки на экосистему Ruby. По данным участников расследования, злоумышленники загрузили сотни вредоносных пакетов, часть...
Ставка была сделана на доверие к привычным зависимостям и ошибку, которую легко не заметить.
ИБ-специалисты раскрыли крупную вредоносную кампанию против разработчиков, в которой злоумышленник сделал ставку не на взлом готовых продуктов, а на слабые места сборочных процессов. Через публичный...
Защитные системы докладывают об успехах, пока взломщики тихо хозяйничают в вашей сети.
Новый Linux-имплант Quasar Linux угрожает не только отдельным рабочим станциям, но и всей цепочке разработки ПО. Вредоносный набор нацелен на среды, где создают, собирают и публикуют код, поэтому украденные...
Скрытый наблюдатель уже вовсю изучает содержимое вашего жёсткого диска.
Злоумышленники подменили часть официальных установщиков DAEMON Tools Lite и превратили привычный канал загрузки программы в инструмент для кибершпионажа. Опасность атаки усиливалась тем, что заражённые файлы были...
Последствия такой беспечности проявятся в самый неподходящий момент.
Компании давно научились вести учёт программных компонентов, но ИИ быстро усложнил привычную картину. В корпоративных системах появились модели, агенты, промпты, датасеты и внешние инструменты, о которых служба безопасности...
20% пострадавших устройств после компрометации DAEMON Tools находятся в России.
Официальный сайт DAEMON Tools стал источником заражения: с начала апреля 2026 года пользователи скачивали с сайта разработчика легитимную программу с бэкдором внутри. Кибератаку на AVB Disc Soft выявили эксперты...
Последствия затронули даже крупнейшие сетевые хранилища.
В популярный инструмент для разработки ИИ попала вредоносная версия, которая могла незаметно вытягивать ключи доступа, токены и данные из браузеров. Проблема затронула пакет PyTorch Lightning на PyPI, а опасная сборка успела появиться...
Ключи от всех тайников незаметно сменили владельца.
Злоумышленники снова ударили по цепочке поставок npm, но на этот раз выбрали узкую и опасную цель — пакеты, которыми пользуются разработчики в экосистеме SAP. Вредоносная кампания «Mini Shai-Hulud» выглядит небольшой по числу затронутых...
Что известно об атаке на цепочку поставок Checkmarx.
Злоумышленники незаметно подменили популярный инструмент, которым проверяют код, и успели встроить в него вредоносный компонент, который крал пароли и ключи прямо из рабочих сред разработчиков.
Речь идёт о KICS (Keeping Infrastructure...
Тандем Vect и TeamPCP доказал, что похитить данные можно даже без сложных вирусов.
Киберпреступный рынок сделал ещё один шаг к «конвейерному» вымогательству. Группа Vect выстроила сразу два партнёрства , которые резко упрощают запуск атак и расширяют их масштаб. В связке с форумом...