github

Вредонос OrBit четыре года заражал серверы под видом уникальной разработки. Linux-вредонос OrBit, который почти четыре года скрытно заражает серверы и крадёт пароли, оказался вовсе не уникальной разработкой. Специалисты Intezer выяснили , что злоумышленники годами используют слегка...

Астрологи объявили неделю атак на цепочку поставок. История Shai-Hulud перестала быть обычной кампанией по краже секретов у разработчиков. Группа TeamPCP, связанная с серией атак на npm и PyPI, фактически открыла исходный код своего инструментария на GitHub. Репозиторий быстро удалили, но...

Депутат назвал происходящее сознательной дискриминацией россиян. Депутат Госдумы Антон Горелкин рекомендовал российским разработчикам переносить проекты с GitHub на другие Git-репозитории. Поводом стали сообщения о росте числа неудачных соединений с платформой у пользователей из России...

TeamPCP так освоились в репозиториях Checkmarx, что успели заразить три разных продукта. Неизвестные злоумышленники подменили плагин Checkmarx для Jenkins и встроили в него вредоносный код для кражи учётных данных. Инцидент продолжил серию атак на цепочку поставок программного обеспечения...

Новая схема взлома корпоративных сетей, против которой сложно защититься. Злоумышленникам больше не нужно писать сложные вредоносные программы с нуля. Иногда хватает взять готовый инструмент с GitHub и использовать его «как есть». Именно так в середине апреля произошла атака, в которой...

В гараже нашли исходный код, с которого началась Microsoft как компания-миллиардер. Microsoft открыла на GitHub редкую часть ранней истории DOS: исходный код ядра 86-DOS 1.00, предварительные версии ядра PC-DOS 1.00, набор утилит и библиотеку времени выполнения компилятора Microsoft...

Ключи от всех тайников незаметно сменили владельца. Злоумышленники снова ударили по цепочке поставок npm, но на этот раз выбрали узкую и опасную цель — пакеты, которыми пользуются разработчики в экосистеме SAP. Вредоносная кампания «Mini Shai-Hulud» выглядит небольшой по числу затронутых...

Владельцев GitHub Enterprise призвали срочно обновить систему. Обычная команда git push неожиданно оказалась куда опаснее, чем принято считать. В инфраструктуре GitHub нашли уязвимость , которая превращала привычную операцию с кодом в потенциальную точку атаки. Проблему обнаружила...

Содержимое некогда защищённых репозиториев стало общественным достоянием. Checkmarx столкнулась с неприятным продолжением мартовского взлома : украденные из приватного репозитория GitHub данные появились в распоряжении группировки LAPSUS$. Компания считает, что инцидент вырос из атаки на...

Один неверный клик может стоить разработчикам целой инфраструктуры. Кампания GlassWorm снова всплыла в среде разработчиков, но теперь злоумышленники действуют тише. Вместо очевидно вредоносных расширений для OpenVSX они сначала публикуют безобидные копии популярных инструментов, а...

Ни телеметрии, ни лишнего кода — только профили, прокси и шифрование. На GitHub развивается Donut Browser, открытый антидетект-браузер для работы с изолированными профилями. Проект позволяет создавать отдельные браузерные среды со своими cookies, расширениями, данными и цифровыми...

Масштаб потенциального хаоса трудно даже вообразить. В популярных облачных средах разработки , где программисты быстро собирают прототипы прямо в браузере, обнаружилась неожиданная проблема. Масштабная проверка показала, что тысячи проектов содержат действующие ключи доступа и другие...

Что известно об атаке на цепочку поставок Checkmarx. Злоумышленники незаметно подменили популярный инструмент, которым проверяют код, и успели встроить в него вредоносный компонент, который крал пароли и ключи прямо из рабочих сред разработчиков. Речь идёт о KICS (Keeping Infrastructure...

Хакеры «зашли» в LMDeploy всего через 12 часов после публикации CVE. Уязвимости в инструментах для работы с искусственным интеллектом начинают жить по новым правилам — между публикацией проблемы и реальной атакой проходят часы. Очередной пример показал, насколько быстро злоумышленники...

Государственная техническая служба страны отрицает причастность к перебоям. В Казахстане пользователи пожаловались на проблемы с доступом к GitHub, сообщает Tengrinews.kz. По данным издания, сервис открывается, но при скачивании файлов часть пользователей сталкивается с ошибками, а загрузка...

GitHub решил упростить жизнь разработчикам, которые устали продираться через огромные pull request с десятками файлов и длинными цепочками зависимостей. Платформа представила Stacked PRs , новый механизм для работы с взаимосвязанными запросами на слияние, который должен ускорить ревью и сделать...

Заражённые устройства больше не подчиняются командам законного хозяина. На рынке Android-вредоносов появился новый игрок, который умеет не только красть данные и перехватывать управление смартфоном, но и использовать чужие устройства как удобный промежуточный узел для новых атак. Mirax быстро...

Почему даже гиганты индустрии не застрахованы от дырявого софта. В цепочке поставок программного обеспечения снова сбой, и на этот раз история задела популярные приложения OpenAI для macOS. Компания обнаружила , что в процесс сборки её программ незаметно попал вредоносный код через стороннюю...

Безупречное прошлое цифровых платформ теперь работает на злоумышленников. Обычное письмо от знакомого сервиса давно перестало быть гарантией безопасности. Специалисты Cisco Talos заметили новую волну атак, в которой злоумышленники используют легальные механизмы уведомлений GitHub и Jira...

Инструмент собрал 34 тысячи звезд за три дня. В чем подвох? Милла Йовович неожиданно оказалась в центре спора о памяти ИИ. Актриса вместе с Беном Сигманом запустила MemPalace , открытый инструмент для долгосрочной памяти моделей, и за считаные дни проект успел собрать десятки тысяч звезд на...

Изучаем ловушки, обманувшие даже самых бдительных специалистов. Северокорейская кампания Contagious Interview вышла далеко за пределы привычных площадок и начала маскировать вредоносные пакеты сразу в нескольких экосистемах разработки. Под видом безобидных библиотек для логирования...

Пользователи столкнулись с угрозой потери средств из-за вредоносного проекта на GitHub. Пользователи, которые ищут в интернете инструмент для работы с прокси, рискуют вместо полезной программы получить троян для кражи криптовалюты. Вредоносное ПО маскируется под популярную утилиту и уже...

Обычная ссора с багхантером привела к самым неожиданным последствиям. Утечка рабочего кода для новой уязвимости в Windows добавила Microsoft ещё одну головную боль. Проблема затрагивает повышение привилегий и пока остаётся без исправления, а публикация эксплойта делает историю особенно...

Расплата за любопытство оказалась гораздо выше ожидаемой. Недавняя утечка внутреннего кода одного из самых заметных ИИ-инструментов современности неожиданно превратилась в удобную приманку для киберпреступников. Ошибка в публикации пакета обернулась цепной реакцией — от мгновенного...

Обычной осторожности профессионала больше недостаточно. Новая атака на разработчиков разворачивается тихо и почти незаметно — достаточно открыть скачанный репозиторий, чтобы запустить вредоносный код. Кампания, получившая название TasksJacker, показывает, как привычные инструменты разработки...