цепочка поставок

  1. NewsMaker

    Новости Не нужен хакер-гений. Хватит одного логина и 49 минут. Разбор атаки на цепочку поставок Injective

    Атака на цепочку поставок SDK Injective затронула 87 зависимых пакетов в npm. <div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden"> Обычное обновление библиотеки для работы...
  2. NewsMaker

    Новости Уязвимость на 10 миллиардов установок: сотни Android-приложений оказались беззащитны перед перехватом управления

    Достаточно одного утёкшего ключа, чтобы доверие системы стало чужим оружием. Цифровая подпись должна подтверждать, что приложение Android выпустил настоящий разработчик, но новая исследовательская работа показывает, как утечка одного ключа превращает этот механизм доверия в слабое место всей...
  3. NewsMaker

    Новости Установил пакет — отдал кошелёк. Как через экосистему Mastra заразили 140+ npm-библиотек и начали охотиться за криптовалютой

    На части заражённых Windows-машин обнаружили PowerShell-бэкдор с правами SYSTEM. Более 140 пакетов из экосистемы Mastra для создания ИИ-приложений заразили через npm. Вредоносный код запускался сразу после <code>npm install</code> или <code>npm update</code>, поэтому заражение могло затронуть...
  4. NewsMaker

    Новости Фото ваше, код чужой. Почему интерфейсу GitHub больше нельзя верить на слово

    Платформа отказывается исправлять уязвимость ради мнимого удобства. Иногда опасная атака держится не только на украденных паролях, но и на мелких деталях интерфейса, которым разработчики привыкли доверять. GitHub отклонил два отчёта Deep Specter Research о механизмах, которые, по данным...
  5. NewsMaker

    Новости Одна кнопка «одобрить всё». NPM наконец отключает автоматические установочные сценарии

    NPM 12 превращает установку зависимостей в отдельную работу. NPM готовит одно из самых заметных изменений за последние годы. В новой версии менеджера пакетов разработчики больше не смогут по умолчанию запускать установочные сценарии из чужих библиотек. На бумаге выглядит как мощный удар по...
  6. NewsMaker

    Новости Срочно меняйте ключи: Red Hat оказалась в центре атаки на цепочку поставок через npm

    Сразу 95 официальных пакетов внезапно превратились в шпионов. Разработчики привыкли доверять пакетам из привычных пространств имён, особенно когда речь идёт о компонентах крупных вендоров. Но новый инцидент с npm показал, что даже такая зависимость может стать точкой входа для кражи...
  7. NewsMaker

    Новости В npm нашли 14 вредоносных пакетов. Microsoft советует разработчикам срочно заменить ключи AWS и GitHub Actions

    Банальная опечатка при поиске нужной утилиты приводила к немедленному взлому системы. В атаках на разработчиков всё чаще хватает не взлома крупной платформы, а одного удачно замаскированного пакета. Свежий случай с npm показывает, как быстро вредоносный код может попасть в рабочие среды...
  8. NewsMaker

    Новости Хакеры использовали уязвимость механизма синхронизации GitHub и Packagist для внедрения инфостилера

    Масштабная атака затронула более 700 версий, а защита даже не сработала. Популярные пакеты Laravel-Lang оказались втянуты в крупную атаку на цепочку поставок: злоумышленник не стал добавлять вредоносный код в основные репозитории, а подменил исторические теги релизов. Из-за такого приёма...
  9. NewsMaker

    Новости Роботам тут не рады. Платформа npm больше не доверяет автоматическим сборкам без одобрения человека

    Участившиеся хакерские атаки заставили создателей сервиса действовать предельно жёстко. Компания GitHub, которой принадлежит платформа npm, сообщила о двух новых мерах защиты для экосистемы JavaScript. Обновления должны усложнить атаки, при которых злоумышленники пытаются подменять...
  10. NewsMaker

    Новости Red Hat предложила игнорировать половину предупреждений об уязвимостях. Но делать это с умом

    Новый подход обещает освободить команды от лишней работы, не превращая безопасность в формальность. Red Hat предложила снизить усталость ИБ-команд от бесконечного потока CVE за счёт более «узких» контейнерных образов и связки с Anchore — платформой для проверки безопасности цепочек поставок...
  11. NewsMaker

    Новости 639 вредоносных версий за 60 минут. Вот как глубоко зашла новая атака на npm

    Эксперты бьют тревогу: хакеры использовали не банальный взлом, а сложную многоуровневую цепочку. В экосистеме npm снова вспыхнула крупная атака на цепочку поставок: злоумышленники за один час протолкнули сотни вредоносных версий популярных пакетов, которыми пользуются разработчики и системы...
  12. NewsMaker

    Новости Shai-Hulud в открытом доступе. Теперь любой желающий может похищать токены GitHub, SSH-ключи и криптокошельки — инструкция прилагается

    Астрологи объявили неделю атак на цепочку поставок. История Shai-Hulud перестала быть обычной кампанией по краже секретов у разработчиков. Группа TeamPCP, связанная с серией атак на npm и PyPI, фактически открыла исходный код своего инструментария на GitHub. Репозиторий быстро удалили, но...
  13. NewsMaker

    Новости «Торг уместен»: хакеры взломали ИИ-компанию, украли 5 ГБ кода и устроили аукцион в даркнете

    Продать исходный код обещают только одному покупателю. Как думаете, сдержат слово? Хакерская группа TeamPCP выставила на продажу данные, которые, по её утверждению, относятся к проектам Mistral AI. История началась не с громкой атаки на саму платформу, а с заражённых пакетов и украденных...
  14. NewsMaker

    Новости Хотели обновиться — получили бэкдор. Как так вышло, что node-ipc теперь охотится за паролями разработчиков

    История началась с тихой публикации трёх версий, но быстро превратилась в тревожный сигнал для всей экосистемы. В экосистеме npm снова всплыл риск, который особенно опасен для разработчиков и DevOps-команд: вредоносный код попал не в новый сомнительный пакет, а в известную библиотеку...
  15. NewsMaker

    Новости Mini Shai-Hulud заразил 373 пакета, не нарушив ни единого правила публикации

    Атака использовала именно те механизмы защиты, которым разработчики доверяли больше всего. Mini Shai-Hulud снова ударил по цепочке поставок. Но если первая волна атак затронула пакеты SAP , теперь вредоносная схема разрослась до сотен заражённых версий и стала бить по местам, где обычно...
  16. NewsMaker

    Новости RubyGems приостановил регистрацию новых пользователей. Репозиторий превратился в минное поле для программистов

    Сотни вредоносных пакетов показали, насколько быстро привычная инфраструктура может стать ловушкой. RubyGems временно закрыл регистрацию новых аккаунтов после крупной атаки на экосистему Ruby. По данным участников расследования, злоумышленники загрузили сотни вредоносных пакетов, часть...
  17. NewsMaker

    Новости 38 пакетов выдавали себя за инструменты Apple и Google. Атака на разработчиков едва не закончилась масштабной компрометацией

    Ставка была сделана на доверие к привычным зависимостям и ошибку, которую легко не заметить. ИБ-специалисты раскрыли крупную вредоносную кампанию против разработчиков, в которой злоумышленник сделал ставку не на взлом готовых продуктов, а на слабые места сборочных процессов. Через публичный...
  18. NewsMaker

    Новости Облака под угрозой, а пароли уже утекли. Встречайте Quasar Linux — новый кошмар для DevOps-инженеров

    Защитные системы докладывают об успехах, пока взломщики тихо хозяйничают в вашей сети. Новый Linux-имплант Quasar Linux угрожает не только отдельным рабочим станциям, но и всей цепочке разработки ПО. Вредоносный набор нацелен на среды, где создают, собирают и публикуют код, поэтому украденные...
  19. NewsMaker

    Новости Недавно устанавливали DAEMON Tools? Похоже, вы приютили шпиона

    Скрытый наблюдатель уже вовсю изучает содержимое вашего жёсткого диска. Злоумышленники подменили часть официальных установщиков DAEMON Tools Lite и превратили привычный канал загрузки программы в инструмент для кибершпионажа. Опасность атаки усиливалась тем, что заражённые файлы были...
  20. NewsMaker

    Новости Торт от незнакомца. Эксперты сравнили корпоративные нейросети с десертом из неизвестных ингредиентов

    Последствия такой беспечности проявятся в самый неподходящий момент. Компании давно научились вести учёт программных компонентов, но ИИ быстро усложнил привычную картину. В корпоративных системах появились модели, агенты, промпты, датасеты и внешние инструменты, о которых служба безопасности...
  21. NewsMaker

    Новости Kaspersky нашёл бэкдор. После 2000 заражений в 100 странах — но нашёл

    20% пострадавших устройств после компрометации DAEMON Tools находятся в России. Официальный сайт DAEMON Tools стал источником заражения: с начала апреля 2026 года пользователи скачивали с сайта разработчика легитимную программу с бэкдором внутри. Кибератаку на AVB Disc Soft выявили эксперты...
  22. NewsMaker

    Новости 11,4 МБ и одна команда. Рассказываем о неприятной находке в коде PyTorch Lightning

    Последствия затронули даже крупнейшие сетевые хранилища. В популярный инструмент для разработки ИИ попала вредоносная версия, которая могла незаметно вытягивать ключи доступа, токены и данные из браузеров. Проблема затронула пакет PyTorch Lightning на PyPI, а опасная сборка успела появиться...
  23. NewsMaker

    Новости Хакеры устроили склад краденых секретов и назвали его в честь червя — «Дюна» на GitHub

    Ключи от всех тайников незаметно сменили владельца. Злоумышленники снова ударили по цепочке поставок npm, но на этот раз выбрали узкую и опасную цель — пакеты, которыми пользуются разработчики в экосистеме SAP. Вредоносная кампания «Mini Shai-Hulud» выглядит небольшой по числу затронутых...
  24. NewsMaker

    Новости Успеть за 83 минуты. Разработчиков взломали через сканер уязвимостей Checkmarx KICS

    Что известно об атаке на цепочку поставок Checkmarx. Злоумышленники незаметно подменили популярный инструмент, которым проверяют код, и успели встроить в него вредоносный компонент, который крал пароли и ключи прямо из рабочих сред разработчиков. Речь идёт о KICS (Keeping Infrastructure...
  25. NewsMaker

    Новости Хочешь почувствовать себя хакером? Теперь любой новичок BreachForums получает готовый инструмент для взлома компаний

    Тандем Vect и TeamPCP доказал, что похитить данные можно даже без сложных вирусов. Киберпреступный рынок сделал ещё один шаг к «конвейерному» вымогательству. Группа Vect выстроила сразу два партнёрства , которые резко упрощают запуск атак и расширяют их масштаб. В связке с форумом...