stepsecurity

В проектах Microsoft нашли вредоносный код, нацеленный на разработчиков, работающих с ИИ. Даже крупные технологические компании не всегда успевают заметить опасность там, где разработчики привыкли доверять коду почти автоматически. Microsoft временно закрыла доступ к десяткам своих открытых...

Индустрия расплачивается за невнимательность создателей Nx Console. Популярное расширение Nx Console для Visual Studio Code оказалось заражено вредоносным кодом. Под удар попала версия 18.95.0, которую успели опубликовать в магазине расширений Microsoft. У расширения более 2,2 млн установок...

История началась с тихой публикации трёх версий, но быстро превратилась в тревожный сигнал для всей экосистемы. В экосистеме npm снова всплыл риск, который особенно опасен для разработчиков и DevOps-команд: вредоносный код попал не в новый сомнительный пакет, а в известную библиотеку...

Обнаружить следы проникновения удалось лишь случайно. Популярный Python-пакет elementary-data оказался каналом для кражи данных разработчиков. Вредоносная версия попала не только в PyPI , но и в Docker-образ проекта, поэтому часть пользователей могла получить заражённую сборку как обычное...

В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа. Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и...

Злоумышленники использовали старые расширения VS Code для установки шпионского ПО. Тихое обновление старого расширения для Visual Studio Code обернулось атакой на разработчиков блокчейн-проектов. Сразу три расширения IoliteLabs для работы с Solidity внезапно получили вредоносный код и...

Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать. Атака на один популярный инструмент незаметно превратилась в цепную реакцию, которая теперь заражает пакеты по всей экосистеме npm . Вредоносный код не просто прячется в отдельных библиотеках, а сам...

Странная метка в логах сулит серьёзные неприятности. Масштабная атака на цепочку поставок программного обеспечения затронула сотни репозиториев на GitHub. Злоумышленники захватывают аккаунты разработчиков и незаметно внедряют вредоносный код в популярные Python-проекты, включая библиотеки...

Популярный инструмент безопасности превратился в бэкдор из-за одной маленькой правки в ярлыке. Незаметная правка в одном ярлыке превратила популярный инструмент проверки безопасности в бэкдор . Злоумышленник взломал официальное действие GitHub (GitHub Action) Xygeni и внедрил полноценную...

Автономный бот взломал репозитории Microsoft и Datadog. Согласно отчету StepSecurity, за последнюю неделю неизвестный бот с говорящим именем hackerbot-claw устроил настоящую охоту на популярные проекты с открытым кодом и показал, насколько уязвимой остаётся инфраструктура сборки...

Вирус распространяется автоматически и закрепляется в репозиториях навсегда. Исследователи компании Socket сообщили о новой атаке на экосистему npm, в результате которой более 40 пакетов оказались заражены встроенным вредоносным кодом. Механизм компрометации был тщательно продуман...

Украдено более 1000 GitHub-токенов, пострадали 70% Fortune 500. Экосистема NPM столкнулась с новой атакой на цепочку поставок: объектом стал проект Nx, в репозиторий которого во вторник вечером были загружены несколько вредоносных версий пакетов. По данным исследователей из Wiz , эти...