github

Когда хакеры устали держать серверы — они переехали на GitHub. И никто не заметил. Когда на GitHub опубликовали очередной исходный код, это неожиданно привлекло внимание специалистов по безопасности. За последние дни на платформе начали массово появляться репозитории с названием...

В проектах Microsoft нашли вредоносный код, нацеленный на разработчиков, работающих с ИИ. Даже крупные технологические компании не всегда успевают заметить опасность там, где разработчики привыкли доверять коду почти автоматически. Microsoft временно закрыла доступ к десяткам своих открытых...

Представители индустрии рискуют оказаться запертыми в тесном цифровом контуре. Российские ИТ-компании могут получить государственный VPN для доступа к зарубежным сервисам — такую идею обсудили в Роскомнадзоре на встрече с представителями отрасли. По информации профильных источников...

Представители индустрии рискуют оказаться запертыми в тесном цифровом контуре. Российские ИТ-компании могут получить государственный VPN для доступа к зарубежным сервисам — такую идею обсудили в Роскомнадзоре на встрече с представителями отрасли. По информации профильных источников...

Среди жертв — компоненты Azure, демо-проекты для ИИ и библиотеки, которыми пользуются тысячи разрабов. GitHub отключил доступ к 73 репозиториям Microsoft после новой волны самораспространяющейся атаки Miasma. Под удар попали проекты сразу в четырёх организациях Microsoft на GitHub: Azure...

Функция, созданная для удобства, открыла дорогу к чужим репозиториям. Обычный переход по ссылке мог позволить злоумышленнику украсть доступ к приватным репозиториям GitHub. Уязвимость нашли в том, как Visual Studio Code обрабатывал нажатия клавиш внутри встроенных веб-окон. В случае с...

Сразу 95 официальных пакетов внезапно превратились в шпионов. Разработчики привыкли доверять пакетам из привычных пространств имён, особенно когда речь идёт о компонентах крупных вендоров. Но новый инцидент с npm показал, что даже такая зависимость может стать точкой входа для кражи...

Зачем хакерам взламывать браузер, если можно просто скормить вашему ИИ вредоносные инструкции. Обычная веб-страница может стать приманкой не хуже фишингового письма, если её содержимое пересказывает ИИ-помощник . Новое исследование показало, как злоумышленник способен спрятать инструкции...

Эндрю Келли рассказал, куда на самом деле спешит Zig. Создатель Zig Эндрю Келли снова показал, почему вокруг небольшого языка программирования столько споров. Проект пытается сохранить скорость и низкоуровневые возможности C, но убрать часть опасных ошибок, из-за которых разработчики неделями...

Как работала атака и почему целый год никто не замечал угрозы… CrowdStrike заявила о срыве работы ботнета Glassworm , который атаковал разработчиков через расширения для редакторов кода, пакеты npm и Python, а также заражённые репозитории GitHub. Операция прошла совместно с Google и...

Архитектурный изъян популярного Python-фреймворка Starlette превращает любую проверку доступа в иллюзию. Популярный Python-фреймворк Starlette, на котором построен FastAPI, был затронут уязвимостью, позволяющую обходить защиту приложений, подменяя заголовок Host. Проблема затрагивает версии...

Хакер пообещал уничтожить репутацию создателей Windows и ушёл собирать компромат до июля. Microsoft снова оказалась в центре спора вокруг раскрытия уязвимостей. На этот раз конфликт разгорелся не из-за очередной ошибки в Windows, а из-за того, как компания и связанные с ней площадки реагируют...

Участившиеся хакерские атаки заставили создателей сервиса действовать предельно жёстко. Компания GitHub, которой принадлежит платформа npm, сообщила о двух новых мерах защиты для экосистемы JavaScript. Обновления должны усложнить атаки, при которых злоумышленники пытаются подменять...

КНДР научилась проникать в корпоративные сети без единого взлома. Северная Корея больше не действует в сети как набор разрозненных хакерских групп. По данным Krypt3ia, кибероперации КНДР превратились в связанную систему, где используют поддельных сотрудников , атакуют разработчиков, крадут...

Крупнейшая атака на цепочку поставок за последнее время. GitHub снова используют для атак на цепочку поставки ПО. На этот раз злоумышленник за несколько часов добавил вредоносные коммиты в 5561 репозиторий. Кампания получила название Megalodon, а её цель проста: добраться до секретов...

Bumblebee позволяет обнаруживать вредоносные пакеты и расширения без запуска стороннего кода. Perplexity AI выложила в открытый доступ Bumblebee, сканер для проверки рабочих компьютеров разработчиков на следы опасных пакетов, расширений и настроек инструментов. Утилита помогает быстро...

Опасность скрывалась не в редком баге, а в чрезмерном доверии к готовым решениям. Массовое увлечение автоматизацией на базе n8n неожиданно обернулось серьёзной проблемой. Команда AIronClaw проверила более 12 тысяч готовых шаблонов рабочих процессов и обнаружила тысячи опасных ошибок, которые...

Grafana Labs раскрыла все детали взлома GitHub и объяснила, почему платить отказалась. Злоумышленники получили доступ к репозиториям Grafana Labs на GitHub, скачали исходный код компании и потребовали выкуп , угрожая опубликовать данные. Компания заявила , что платить не будет. По...

Никакого кода, никакого фишинга — просто ссылка и терпение. Специалисты Imperva нашли в Dify две критические уязвимости, одна из которых позволяла захватить учётную запись после одного клика по ссылке. Dify используют компании, которым нужны собственные инструменты на базе искусственного...

Trivy, Checkmarx, OpenAI и теперь GitHub. Цепочка громких атак TeamPCP пополнилась крупнейшим именем. GitHub проверяет возможную утечку внутреннего кода после заявления хакерской группировки TeamPCP. Злоумышленники утверждают, что получили доступ примерно к 4000 закрытых репозиториев сервиса...

Индустрия расплачивается за невнимательность создателей Nx Console. Популярное расширение Nx Console для Visual Studio Code оказалось заражено вредоносным кодом. Под удар попала версия 18.95.0, которую успели опубликовать в магазине расширений Microsoft. У расширения более 2,2 млн установок...

Американские спецы показали новый уровень хранения секретов. Американское Агентство по кибербезопасности и защите инфраструктуры оказалось в центре крупной утечки. Подрядчик ведомства держал в открытом доступе на GitHub закрытый архив с паролями, ключами доступа и внутренними файлами CISA. По...

Посмотрим, рискнут ли теперь шантажисты довести свои угрозы до конца. Недавний инцидент в Grafana Labs начался с одной утёкшей учётной записи, но быстро перерос в попытку шантажа. Неизвестный получил токен с доступом к GitHub-среде компании и смог скачать кодовую базу, после чего потребовал...

Роботы за минуты находят уязвимости, которые люди искали месяцами. Индустрия оказалась совершенно не готова к такой реальности. Рост числа уязвимостей в популярных продуктах перестал быть обычной статистикой для отчётов. За первые месяцы 2026 года поставщики ПО начали публиковать рекордные...

Трагикомическая история популярной ИИ-платформы, которая забыла про авторизацию. Хакеры начали искать уязвимые серверы PraisonAI менее чем через четыре часа после публикации информации об ошибке безопасности. Автоматический сканер с названием CVE-Detector/1.0 атаковал открытые экземпляры...