Security Lab

GitHub

1636
GitHub
GitHub - это платформа для хостинга и совместной разработки программного обеспечения.

Одним из ключевых аспектов GitHub является его социальная составляющая. Разработчики могут подписываться на интересующие их проекты, следить за обновлениями, вносить свои предложения и комментарии, а также взаимодействовать с другими разработчиками, делая процесс разработки быстрее и эффективнее.

GitHub является популярным инструментом в сообществе разработчиков и служит платформой для сотен тысяч открытых и закрытых проектов в различных областях программного обеспечения.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

82 участника, 1,3 миллиарда и...отсрочка: что происходит с российской платформой для обмена кодом

Отложенный старт или смена курса?

RisePro: взломанный софт на GitHub стал надёжным прикрытием для кражи данных

CCleaner, Daemon Tools и AVAST успешно использовались как приманка для любителей «бесплатного сыра».

GitHub оказался эпицентром утечек секретных данных в 2023 году

Миллионы слитых ключей, паролей и токенов стали лакомой добычей для киберпреступников.

Более 100 тысяч зараженных репозиториев на GitHub маскируются под легитимные проекты

Злоумышленники автоматизировали процесс создания и продвижения фейковых библиотек.

Snyk: ИИ-помощник GitHub Copilot может тиражировать ошибки в коде

AI-ассистенты не способны оценивать семантику и безопасность кода.

Xeno RAT опубликован на GitHub: продвинутый кибершпионаж теперь доступен каждому

Планирует ли администрация платформы что-то делать с «распространяемым в образовательных целях» вредоносным ПО?

Утекшие секреты: шпионское ПО I-Soon и кибервойска Китая

Сколько зарабатывают шпионы из Поднебесной? Отвечают исследователи.

SiCat: революция в поиске эксплойтов или новый инструмент хакеров?

Помощник ИБ-специалистов может стать мощным оружием зла.

ИИ перепрограммирует мозг программистов. Ваш может быть следующим

Гендиректор GitHub рассказал, как ИИ влияет на будущее программирования.

Взлом или небрежность? Код и пароли Binance были доступны на GitHub в течение нескольких месяцев

Повлияет ли утечка на безопасность клиентов и внутренних систем платформы?

White Phoenix Online: известный дешифратор стал ещё проще в эксплуатации

Теперь для восстановления файлов достаточно загрузить их в сервис и нажать одну кнопку.

Сотрудник Mercedes-Benz обронил в репозитории GitHub ключ доступа к корпоративным системам

Любой желающий мог заполучить секреты компании на протяжении 4 месяцев.

Беззащитные серверы Jenkins: новые PoC-эксплойты уже активно используются

Публикация исправлений Jenkins спровоцировала многочисленные попытки захвата систем.

npm-модули против разработчиков: GitHub в роли склада краденого

Злоумышленники придумали хитрый способ распространять скрипты через GitHub

Минусы открытого кода: как взломать TensorFlow с помощью одного запроса

Недоработка платформы стоит разработчикам всей цепочки поставок ПО.

GitHub латает дыры в Enterprise Server: установите обновление как можно скорее

Прошлогодняя утечка SSH-ключа вынудила компанию стать бдительнее.

Inferno Drainer: история самой успешной криптовалютной аферы

Исследователи из Group-IB поделились антидостижениями матёрых киберпреступников.

GitHub – новая социальная сеть для киберпреступников

Recorded Future подчёркивает глобальный рост угрозы легитимных платформ.

Lumma Stealer продолжает своё шествие по YouTube: любители халявы массово теряют данные

Почему видеоплатформа утопает в мошеннических роликах, а наивные пользователи идут на поводу у хакеров?

Copilot Chat от GitHub: инновация или революция?

Разбираемся, что стоит за новым шагом в мире ИИ.

AppleSeed, Meterpreter и TinyNuke: что ещё скрывает арсенал северокорейской Kimsuky

Хакеры регулярно прибегают к целевому фишингу, чтобы соблюсти интересы КНДР на международной арене.

Криптокапкан на Upwork: как блокчейн-разработчика обворовали на $500

Реальная история о том, почему стоит с бдительностью относиться к предложениям трудоустройства.

Безопасность ПО начинается с разработчика: GitHub вводит обязательную двухфакторную аутентификацию

Пользователи рискуют потерять доступ к коду, если проигнорируют требование.

GitHub и киберпреступность: как популярная платформа для разработчиков внезапно стала лучшим другом тёмных хакеров

Набирающие популярность методы злоумышленников были изучены и раскрыты исследователями.

Debuggy Ducky: как ИИ-утка на Raspberry Pi может качественно улучшить опыт написания кода

На первый взгляд шуточная разработка вполне способна позаботиться о настроении и продуктивности разработчиков.

AsyncRAT в ASP.NET: как хакеры в два клика обходят антивирусную защиту и тайно собирают пароли

Эксперты Trend Micro подробно проанализировали тактику злоумышленников и сообщили, как избежать атаки.

64-битная Windows 11 может получить встроенный текстовый редактор для командной строки

Сотрудник корпорации инициировал на GitHub дискуссию об интеграции CLI-редактора.

Программирование нового поколения: ИИ-инструмент Copilot набирает популярность

Модель становится незаменимым коллегой всех продвинутых кодеров.

WordPress устранил 0-day, связанный с WP_HTML_Token: так хакеры могли выполнять произвольный код

Окончательно обезопасить свой сайт можно лишь немедленной установкой обновления.

Красный код для GitHub: 15 000 репозиториев Go на грани компрометации

VulnCheck предупреждает о беспрецедентной уязвимости цепочек поставок программного обеспечения.

Утечка секретов Kubernetes: недальновидность разработчиков поставила под угрозу гигантов блокчейна

Анализ безопасности контейнерных сред выявил реальные риски в цепочке поставок.

Жадность LaLiga: очередная попытка уничтожить бесплатный IPTV

Судьбу популярного проекта iptv-org решает Google.

С GitHub исчезли десятки сервисов для обхода блокировок

Многие из них поддерживаются китайскими разработчиками.

Уязвимостью CVE-2023-37580 в Zimbra успели воспользоваться сразу 4 хакерских группировки

Zero-day в популярном почтовом клиенте обернулся потерей данных для тысяч пользователей.

Открытый код, закрытые секреты: Растущая проблема утечек конфиденциальных данных в разработке ПО

Почему специалисты пренебрегают основами безопасности и почему ситуация не меняется с годами?

84% данных передано правительству: как GitHub отвечает на запросы суда

Сервис поделился статистикой по работе с запрещённым контентом.

Группа BlueNoroff использует анкеты на LinkedIn для кражи криптовалют

Хакеры создали собственную инфраструктуру для обхода обнаружений.

Mozilla переносит разработку своего браузера на GitHub. Для чего это нужно?

Возможно, у разработчиков Firefox наконец появится время на отдых.

Google Календарь полон не только событиями, но и дырами для хакерских атак

Скрытые команды преступников теперь в вашем обыденном графике.

LeMa от Microsoft: теперь ИИ самообучается, решая математические задачи

Роботы смогут захватить человечество, делая уроки с вашими детьми.

Эпидемия RAT: исследователи отмечают стремительный рост активности троянов удалённого доступа

Открыл счёт-фактуру — прощайся с данными. Почему нужно быть осторожнее с офисными документами?

5 минут от утечки до криптоджекинга: операция EleKtra-Leak не щадит AWS-серверы

IAM-ключи открывают хакерам любые двери, не спасает даже карантинная политика.

Cообщество OpenSource против HashiCorp: место Terraform занимает OpenTofu

Иногда не стоит гнаться за прибылью — это может пагубно сказаться на репутации.

Представлен открытый проект БМПОС для обучения разработки операционных систем

Отечественная платформа меняет подход к обучению системному программированию.

Побочный эффект Okta: стоит ли переживать за безопасность паролей 1Password?

Будут ли последствия взлома важного клиента Okta?

Новый репозиторий OpenSSF поможет предотвратить кибератаки на цепочку поставок ПО

Проект OpenSSF будет отслеживать вредоносные пакеты разработки.

Волк в овечьей шкуре: АНБ презентовала инструмент ELITEWOLF для защиты критической инфраструктуры

Сможет ли новый инструмент изменить взгляд на кибербезопасность в ICS/OT-сфере?

GNOME под угрозой: очередная Linux-уязвимость не оставляет пользователям и шанса

Данные не будут в безопасности, пока вы не обновите своё окружение до последней версии.

Сurl предупреждает о выходе экстренного патча, который может затронуть миллионы систем

Специалисты предупреждают о высокой опасности одной из уязвимостей. С чем связана угроза?

Закон кибербумеранга: вымогательская группа Lorenz стала жертвой своей же утечки

Данные всех, кто пытался связаться с хакерами за 2 года, оказались в открытом доступе.

Атаки на цепочку поставок становятся мейнстримом. Как обезопасить свой продукт и организацию

Исследователи Trend Micro подробно рассказали о методах компрометации доверенных репозиториев.

DiscordRAT 2.0 и r77 против разработчиков: ударили там, откуда не ждали

Хакерские инструменты с открытым исходным кодом всё чаще используются в реальных атаках.

Ваш код уже не защищён: хакеры превратили GitHub в троян

Если вы видите коммит от GitHub Dependabot, проверьте безопасность кода.

Copilot в массы: ИИ-кодинг стал доступен ещё большему числу разработчиков

Умный помощник от GitHub меняет правила игры в индустрии.

Как подсистема Windows для Linux экономит ресурсы вашего компьютера

Новая версия WSL предлагает несколько интересных функций.

Скрытая угроза: помощники в написании кода знают больше, чем кажется

Все секреты разработчиков будут раскрыты через функцию автозавершения кода.

GitHub стал источником утечки для Microsoft: кто допустил ошибку?

Терабайты информации раскрыли конфиденциальные данные сотрудников Microsoft.

Scattered Spider и BlackCat: кто на самом деле атаковал американские казино?

Кому верить, если даже версии представителей банд сильно разнятся.

Репозитории под угрозой: как GitHub чуть не допустил массового захвата кода

4000 популярных пакетов целых полгода были уязвимы для RepoJacking-атак.

Двойная жизнь Python: как универсальность превращается в скрытую угрозу

Оказывается, репозитории PyPI и GitHub хранят в себе множество загадок.

Киберрецессия в Facebook: бизнес-акаунты стали игрушкой в руках вьетнамских хакеров

Если ваш продукт популярен в соцсетях, это ещё не значит, что его хотят купить.

Microsoft играет в адвоката: ИИ-модель Copilot и тонкости авторского права

Корпорация обещает клиентам, что возьмет юридические риски на себя, но при одном условии...

Атака на MinIO: пересмотрите свои стратегии безопасности прежде, чем стать следующей жертвой

Кибербандиты использовали интересную уловку, чтобы удалённо выполнять вредоносный код.

Блокнот с подвохом: как в популярном Notepad++ обнаружили сразу 4 уязвимости

Всего один текстовый файл может превратить вашу систему в игрушку для злоумышленников.

Интим на заказ: как дипфейки нарушают границы частной жизни знаменитостей

Скандальные цифровые подделки вгоняют селебрити в краску — как бороться с проблемой, вышедшей из-под контроля?

Искусственный интеллект IBM пробуждает COBOL: рефакторинг кода, который мы заслужили

IBM преобразует старичка COBOL в молодой код.

Кодируйте красиво: Intel выпустила обновление шрифта One Mono для программистов

У разработчиков теперь есть свой Times New Roman.

GitHub и хакеры: история успеха в цифрах, нововведения и планы на десятилетие

Команда проекта опубликовала итоги программы GitHub Security Bug Bounty за 2022 год.

Над Cloudflare R2 сгущаются тучи: оказывается, хранилище хорошо подходит для фишинга

Netskope обнаружила, что мошенники используют сервис все чаще.

«Double RAT Power»: зачем хакеры заражают устройства своих жертв сразу двумя троянами удалённого доступа?

Сложная цепочка атаки использует легитимный инструмент Freeze.rs и приводит к установке троянцев XWorm и Remcos RAT.

Google представляет Project IDX: ИИ-инструмент позволяет кодить прямо в облаке

Основанный на технологиях Google, проект открывает новый горизонт в разработке приложений.

VSCode — редактор кода или дырявое ведро? Исследователи обнаружили способ кражи токенов аутентификации

Брешь в защите охватывает версии программы для Windows, Linux и macOS.

Битва за данные: уязвимость безопасности позволяет взломать процессоры Intel за считанные секунды

Фирменное аппаратное шифрование SGX не спасает синие чипы от новой атаки Downfall.

По следам WannaCry: новый вариант вымогателя Yashma восстал для новых кибератак

Кампания с интересными особенностями следует по всем канонам кибервымогателей.

Охота на охотников: хакеры атакуют своих коллег с помощью пентест-инструмента OpenBullet

Чтобы поймать киберпреступника, нужно думать, как киберпреступник.

Критическая уязвимость в клиенте Mozilla VPN превращает VPN в инструмент для кражи данных

Неправильная настройка системы позволяет пользователям почувствовать себя администратором.

Контроль кода в руках разработчиков: GitHub Copilot запустил новую функцию ссылки на код

Функция позволит избежать нарушения авторских прав и увеличит взаимопомощь разработчиков.

И пусть всё тайное станет явным: Microsoft случайно раскрыла все карты актуальной Windows

Новый инструмент StagingTool способен активировать скрытые и необъявленные функции во всем известной операционной системе.

Учёные разработали беспрецедентный метод кражи данных, перед которым не устоит ни один современный процессор

Но есть нюанс…

Молчание – не всегда золото: база данных PySecDB будет обнаруживать «тихие» исправления уязвимостей Python

Неопубликованные уязвимости являются большой опасностью для приложений и кладом для хакеров.

Группа Jade Sleet превращает аккаунты сотрудников блокчейн-компаний в инструмент для взлома

Заражения проходят незаметно и без проверки средств безопасности.

Шаг впереди: GitHub Copilot вносит прогресс в мир программирования

GitHub Copilot превращается в вашего личного советника по коду.

Не дождавшись Мартина, фанат “Игры престолов” создал свою версию “Ветров зимы” и “Грёз о весне” с помощью ИИ

Нейросеть достойно справилась с развитием общей сюжетной линии.

Кампания социальной инженерии: GitHub стал полем битвы для Jade Sleet и TraderTraitor

Можно ли защититься от злоумышленников и как они связаны с КНДР?

Исходный код вредоносной программы Blacklotus для Windows UEFI опубликован на GitHub

Теперь любой желающий может загрузить и запустить ее.

Драйверы режима ядра: скрытая опасность для всех пользователей Windows

Microsoft отзывает сертификаты, а китайские хакеры ищут новые лазейки для проведения атак.

«Путаница манифестов» в NPM больше не страшна, энтузиасты решили проблему самостоятельно

Новый инструмент на базе Python покажет любые скрытые зависимости в пакетах популярного репозитория.

Сияющие звезды или скрытые чёрные дыры? Исследование рисков AI-проектов

Отчет Rezilion: популярность ИИ-проектов на GitHub не гарантирует безопасность.

Snappy: продвинутый детектор мошеннических Wi-Fi сетей

Как не попасться на удочку хакеров в общественных местах?

Microsoft и OpenAI обвиняются в краже личных данных пользователей для обучения ИИ

По словам истцов, компании проигнорировали законные способы покупки данных для ИИ и решили собирать их бесплатно

Паника в сообществе разработчиков: NPM скрывает вредоносный код в пакетах

Проблема путаницы в манифестах ставит под угрозу целостность приложений.

Microsoft раскрыл новый способ майнинга криптовалюты на Linux-серверах и IoT-устройствах

Хакеры используют бэкдор и модифицированный OpenSSH для заражения устройств и скрытого майнинга.

Более 9 миллионов репозиториев на GitHub уязвимы для атак типа RepoJacking

Злоумышленники могут с лёгкостью клонировать старые репозитории и нарушить перенаправление зависимостей.

На Microsoft подали в суд за неправомерное использование украденных учетных данных

По обвинениям, Microsoft нарушила договор с ИБ-компанией Hold Security и использовала украденные данные клиентов для создания сервиса ADFS.

Новый инфостилер «Skuld» на базе языка Go массово атакует Windows-устройства

Вредонос способен целенаправленно похищать Discord-токены жертв, а кастомные модификации клиента бессильны.

Злоумышленники выдумали целую фирму по кибербезопасности для эффективного распространения вредоносных PoC-эксплойтов

Авторитетные специалисты из «High Sierra Cyber Security» оказались ничем иным, как фальшивкой, с чужими фотографиями и данными.

Хакеры предпочитают BatCloak: новый движок для обфускации обходит 80% антивирусов

Трёхэтапная распаковка позволяет максимально скрытно поместить вредонос в целевую систему.

Заговор против программистов: Microsoft, GitHub и OpenAI обвиняются в сокрытии факта кражи лицензионного кода

Умный помощник для разработки Copilot уже давно нарушает закон об авторском праве.

Новый вредонос Fractureiser угрожает безопасности игроков Minecraft

Как выявить опасную угрозу и полностью очистить от неё свой компьютер?

Новый скрытный троян SeroXen RAT обходит антивирусы и даёт хакерам полный доступ к целевым компьютерам

Пока что инструмент используется против обычных геймеров, но его популярность рано или поздно поставит под удар и корпоративный сектор.

Отечественная библиотека кода Mos.Hub стала доступна для разработчиков

Репозиторий на базе GitLab даёт возможность российским специалистам развивать собственное ПО.

Новый троян DogeRAT атакует пользователей Android в Индии

Автор вредоноса не жадничает и предлагает клиентам множество зловредных функций всего за 30 долларов в месяц.

GobRAT: новый троян удалённого доступа, который может превратить ваш Linux-роутер в зомби

Пока что вредонос нацелен на японский рынок маршрутизаторов, но вполне может добраться и до других стран.

Индонезийские хакеры GUI-vil используют облачные сервисы Amazon для незаконного майнинга криптовалюты

Предприимчивые преступники используют уязвимости GitLab для компрометации AWS.

Китайские TV-приставки на базе Android продаются с предустановленным вредоносным ПО

DDoS-атаки, майнинг и кража данных — стоит ли покупка дешёвого ТВ-бокса таких последствий?

Уязвимость в KeePass позволяет злоумышленникам извлечь мастер-пароль из памяти приложения

Фикса всё ещё нет, а PoC-эксплойт уже во всю гуляет по сети.

Исследователи фиксируют рост случаев злонамеренного использования Geacon против компьютеров на macOS

Долгое время никому не нужный инструмент внезапно начал набирать популярность у киберпреступников.

Встречайте White Phoenix: мощный дешифратор, восстанавливающий данные после атак программ-вымогателей

Популярные вымогательские банды бессильны, их зловредные действия больше не страшны пользователям.

Механизм сканирования секретов и защиты от 'git push' в Github теперь доступен для всех

GitHub обеспечивает безопасность открытых репозиториев.

Пентестер взломал популярные пакеты Packagist в надежде получить работу

Исследователь потенциально мог заразить более 500 млн. компьютеров вредоносным ПО.

Процессоры AMD можно взломать через TPM-модуль и получить доступ к конфиденциальным данным

Атака faulTPM использует замыкание напряжения для эксплуатации неисправленной уязвимости.

Представлена стабильная версия Linux 6.3 с новыми функциями и большими изменениями

Более 2000 разработчиков внесли вклад в новый релиз, который стал функциональнее и легче.

Специалисты Infoblox обнаружили Decoy Dog — киберугрозу, скрытно функционирующую на протяжении целого года

Анализ DNS-запросов показывает неплохой потенциал в выявлении новых киберпреступных методов.

Эксплоит в библиотеке VM2 позволяет хакеру обойти средства защиты Java

PoC-эксплоит показывает, чем грозит новая уязвимость для миллионов приложений.

Новая ИИ-программа Россомаха исправляет ошибки в коде «на лету»

Россомаха обладает функцией саморегенерации и автоматизированной отладки.

Хром в царстве теней: криптостилер Rilide маскируется под Google Диск и похищает криптовалюту

Принцип работы вредоноса крайне схож с CryptoClipper, недавно раскрытого Лабораторией Касперского.

Twitter разместил исходный код на GitHub: что это значит для разработчиков?

Инженеры Twitter раскрыли, как алгоритмы соцсети отбирают из 500 млн. твитов только самые интересные для пользователя.

GitHub удалил просочившийся в сеть исходный код сервиса Twitter

Юристы синей компании планируют привлечь виновных к ответственности.

Хакеры REF2924 меняют тактику и переходят к постоянному доступу в сети с помощью NAPLISTENER

Киберпреступники используют код открытых проектов для создания скрытого бэкдора.

Хакеры выложили на GitHub часть исходного кода Twitter

Интересно, как инцидент повлияет на безопасность пользователей соцсети.

Horizon3 Attack Team выпустила PoC-эксплойт для уязвимости Veeam's Backup & Replication

Производитель ПО для работы с виртуальными машинами уже подготовил фикс, теперь дело за клиентами компании.

Инструмент «Untitled Goose»: новое оружие в борьбе против киберпреступников

Агентство уже засекло хакерскую деятельность в облачных сервисах Microsoft.

Раскрыт новый метод распространения бэкдоров на примере группы ScarCruft

От файла справки Microsoft до совершенного бэкдора для кражи информации.

GitHub Copilot X — новая веха в написании машинного кода

Обновлённый инструмент с поддержкой GPT-4 призван существенно упростить жизнь программистам.

Минцифры предложило создать российский аналог GitHub на зависшие 1,3 млрд «Росинфокоминвеста»

С 2007 года деньги фонда находятся без движения.

Эксперты опубликовали инструкции на GitHub для расшифровки DJI DroneID

Исследователи продемонстрировали взлом DJI дронов на симпозиуме NDSS.

Функция обнаружения утечек секретов GitHub теперь открыта для общедоступных репозиториев

Опция поможет обнаружить утечку конфиденциальных данных в репозитории.

Исследователи взломали популярный NPM-пакет с миллионами загрузок

Эксперты позволили посмотреть на безопасность разработки с другой стороны.

GitHub повысит производительность и безопасность инструмента Copilot в ближайшем обновлении

ИИ будет быстрее давать рекомендации, а также блокировать любые конфиденциальные данные.

Описаны подробности о поисковой системе исходного кода GitHub

Инженер GitHub рассказал, как система добилась индексирования поиска со скоростью около 120 000 документов в секунду.

Жертвы вымогателя Clop для Linux на протяжении нескольких месяцев бесплатно расшифровывали свои данные

Досадный недочёт в коде шифровальщика не позволил хакерам как следует заработать.

Сотрудник Ubiquiti признал свою вину в раскрытии конфиденциальных данных компании

Инженер взломал сети своего работодателя и потребовал у него выкуп.

GitHub отзывает сертификаты подписи кода, украденные при взломе репозиториев

Компания рекомендует заменить установленные Desktop и Atom другими версиями.

Microsoft, GitHub и OpenAI просят суд отклонить иск об авторских правах на ИИ

Истец считает что инструмент нанес ущерб сообществу Open Source в размере 9 млрд долларов США.

Функция GitHub может привести к массовым заражениям цепочек поставок ПО

Злоумышленники могут использовать опцию в GitHub Codespaces для доставки вредоносного ПО в системы жертв.

Троянский конь: похитители данных проникают на компьютер вместе с пиратским софтом

Зловредные программы Raccoon и Vidar уже давно распространяются через сайты со взломанным ПО.

Похитители конфиденциальных данных нацелились на итальянцев

Схема совершенно классическая – жертвам рассылают фишинговые электронные письма с инфостилером внутри.

Осы жалят пользователей репозиториев PyPI

Злоумышленники заражают десятки пакетов инфостилерами, написанными на основе W4SP.

GIT по-русски или отечественный репозиторий открытого ПО

Киберпреступники украли исходный код Okta

Повлияет ли это на конфиденциальность пользователей?

Сканирование репозиториев GitHub на наличие секретных данных в коде станет доступно для всех

Система будет полностью бесплатной, ее запуск запланирован на январь 2023 года.

Нейросеть AlphaCode от Google сможет заменить программистов уровня Junior и Middle

Нейросеть AlphaCode входит в 54% лучших программистов.

Шифровальщик Cryptonite меняет профессию

По словам исследователей Fortinet, шифровальщик становится вайпером не по замыслу разработчика, а из-за ошибки в коде.

Новая уязвимость в GitHub может повлиять на цепочку поставок ПО

Эксперты описали новый способ атаки отравления артефактов.

Вредонос Aurora набирает популярность на киберпреступной арене

Популярность инфостилера обусловлена его скрытностью и функционалом.

Дайджест главных событий в сфере ИИ прошедшей недели

GitHub Copilot теперь позволяет разработчикам писать код с помощью голоса, Amazon представил нового робота, а изображения Midjourney стали еще более реалистичными.

Пользователи GitHub обвинили Microsoft в пиратстве в беспрецедентных масштабах

Юрист и программист Мэтью Баттерик подал коллективный иск в суд на компанию Microsoft и ее технологического партнера OpenAI.

Одна из крупнейших компаний мира оставила пароль от своего сервера на GitHub

Забытый в 2021 году пароль открыл доступ к конфиденциальным данным клиентов.

Хакеры получили доступ к 130 репозиториям исходного кода DropBox

Помимо библиотек DropBox, злоумышленники получили доступ к личной информации клиентов и сотрудников компании.

Тысячи репозиториев на GitHub заражают ИБ-специалистов вредоносным ПО

Вредоносный код скрывается в поддельных PoC-эксплойтах для множества уязвимостей.

Игра с огнем: миллионы папок .git находятся в открытом доступе

Об этом стало известно благодаря исследовательской группе издания Cybernews.

RCE-уязвимость обнаружена в библиотеке Apache Commons Text

Эксперты сравнивают ошибку Text4Shell с известной уязвимостью Log4Shell.

Microsoft может стать ответчиком в суде за нарушение авторских прав

Инструмент на основе ИИ может генерировать код других разработчиков, нарушая их авторские права.

CISA выпустила open-source инструмент с открытым кодом для визуализации C&C-логов

Инструмент получил название “RedEye”.

Киберпреступники ловят тайминг для атаки на мировые цепочки поставок

Хакерам достаточно полсекунды, чтобы поставить под угрозу безопасность пользователей по всему миру.

Создание российского аналога GitHub начнется 1 ноября 2022 года

Правительство запланировало эксперимент по использованию открытого ПО.

Toyota призналась, что с 2017 года в сеть утекли данные 296 тысяч пользователей приложения T-Connect

Виной всему оказался кусочек исходного кода T-Connect, пять лет лежавший на GitHub.

Как хакеры используют Discord, YouTube и GitHub в ходе массовой кражи учетных данных

Злоумышленники продают инструменты для взлома, но платить нужно не деньгами.

Лаборатория Касперского раскрыла новую тактику атак ливанских хакеров DeftTorero

После затишья группа возобновила атаки, используя общедоступные инструменты.

Хакер взломал PlayStation 5 и выпустил эксплойт для консоли

Эксплоит будет полезен тем, кто хочет изучить внутреннюю систему PS5.

Обзор событий в сфере искусственного интеллекта за прошедшую неделю

Сможет ли искусственный интеллект занять место человека? Как ИИ помогает писать код, создавать произведения искусства и ставить диагнозы.

Злоумышленники крадут GitHub-аккаунты, подделывая уведомления от CircleCI

Цель злоумышленников – кража учетных данных и кодов двухфакторной аутентификации.

Язык программирования Go будет уведомлять об уязвимостях в проекте

Новый инструмент повысит безопасность проектов и повысит осведомленность разработчиков.

Инструмент GitHub Copilot поможет студентам списывать на экзаменах по программированию

Copilot специально обучали всем вводным заданиям по программированию.

RubyGems делает MFA обязательной для сопровождающих самых популярных пакетов

Судя по всему, RubyGems решила пойти по стопам NPM и PyPi, пускай и с небольшим отставанием.

Теперь инструмент Dependabot предупреждает разработчиков об уязвимых GitHub Actions

Это должно помочь разработчикам быстро устранять уязвимости в рабочих процессах CI/CD.

Для защиты NPM от атак на цепочки поставок планируется использовать сервис Sigstore

Sigstore – cервис, используемый для верификации ПО с помощью цифровых подписей.

Клоны официальных репозиториев GitHub распространяют вредоносное ПО

Однострочный бэкдор может украсть учетные данные и криптографические ключи пользователей.

Доверенные репозитории GitHub содержат вредоносный код

Уважаемые пользователи GitHub продвигают мошеннические репозитории

ИБ-исследователи потревожили улей: вышел дешифратор для Hive 5 версии

Все ранее доступные дешифраторы были предназначены только для более старых версий, написанных на Go.

Злоумышленник майнит криптовалюту с помощью GitHub и Azure

Более 1000 репозиториев позволяют майнить криптовалюту в облаке

Чем опасен встроенный браузер в приложении

Кейлоггинг, кражу аккаунта и обход МФА продемонстрировал эксперт в PoC-атаке

Расширения Chrome отслеживают пользователя в Интернете

С помощью расширений можно создать отпечаток браузера и следить за активностью пользователя

Уязвимый API Travis CI ставит под угрозу десятки тысяч пользователей бесплатного варианта сервиса

Публичные логи Travis CI содержали тысячи токенов и паролей GitHub, AWS и Docker Hub.

Новое расширение Google Chrome подменяет ваше местоположение

Станет ли это заменой VPN?

GitHub сбрасывает атомную бомбу: прекращается использование текстового редактора с открытым исходным кодом

Компания GitHub объявила о прекращении разработки редактора кода Atom.

GitHub: Хакеры похитили данные авторизации для порядка 100 тыс. учетных записей npm

Данные были похищены в результате апрельского взлома с использованием OAuth-токенов Heroku и Travis-CI.

Был взломан популярный Python-пакет: данные тысяч разработчиков в опасности

Вредоносная версия пакета ctx позволяет хакерам получить учетные данные AWS.

Злоумышленник атаковал ИБ-специалистов с помощью Cobalt-Strike

Киберпреступник использовал поддельный PoC для запуска Cobalt-Strike Beacon

Студент нашел уязвимость в клиентской библиотеке Google OAuth для Java

Уязвимость связана с обходом авторизации в библиотеке и возникает из-за неправильной проверки криптографической подписи.

GitHub значительно улучшил 2FA для npm-аккаунтов

Теперь владелец npm-аккаунта может сделать двухфакторную защиту многофакторной.

Heroku принудительно сбрасывает пароли пользователей после кражи OAuth-токенов GitHub

С момента кражи компания отозвала все токены доступа и убрала возможность запуска приложений с GitHub через Heroku Dashboard.

ИИ допустил утечку закрытых ключей криптовалютных кошельков

Copilot на базе OpenAI запоминает конфиденциальные общедоступные данные.

Недавняя атака на GitHub оказалась целенаправленной

Злоумышленник клонировал репозитории пользователей с помощью OAuth-токенов

Китайская группировка Override Panda вернулась с новыми шпионскими атаками

Override Panda появилась с новой фишинговой атакой.

GitHub: Хакеры украли данные десятков организаций с помощью похищенных токенов OAuth

Хакеры воспользовались похищенными токенами OAuth, выпущенными для приложений Heroku и Travis-CI.

GitHub объяснил блокировку аккаунтов Российских разработчиков

GitHub объяснил блокировку российских аккаунтов санкциями

GitHub начал блокировать аккаунты российских компаний и разработчиков

При блокировании корпоративного аккаунта, доступ к данным может сохраняться в течение двух часов, для личного аккаунта доступ ограничивается моментально.

Dependency Review GitHub Action предотвращает появление уязвимостей в коде

Новая функция призвана обеспечить безопасность при добавлении новой зависимости.

GitHub теперь автоматически блокирует коммиты с ключами API и токенами аутентификации

Новая возможность включает сканирование секретов в рабочий процесс разработчиков и работает с 69 типами токенов.

GitHub отказался блокировать российских разработчиков

Пользователи сервиса неделю спорили о необходимости блокировки Российских пользователей.

Российским разработчикам могут закрыть доступ к ПО с открытым исходным кодом

использование открытого кода нельзя считать гарантией от блокировок.

В России намерены разработать национальный аналог GitHub

Публикация государственного кода повысит эффективность исполнения госконтрактов

Команда NPM обязала разработчиков популярных пакетов включить 2FA

Новое требование вступило в силу 1 февраля 2022 года.

Исходный код вредоноса BotenaGo опубликован на GitHub

Публикация исходного кода поставила под угрозу атак миллионы маршрутизаторов и IoT-устройств.

На GitHub обнаружены cookies пользователей браузера Firefox

Тысячи файлов cookie браузера Firefox, которые используются для авторизации на интернет-ресурсах, оказались в открытом доступе на платформе для IT-разработчиков GitHub.

Microsoft, GitHub, GitLab и BitBucket массово отзывают SSH-ключи

Отзыв начался 12 октября, после того, как стало известно об уязвимости в популярном программном Git-клиенте GitKraken.

Мишустин призвал создать российский аналог GitHub

У нас должна появиться собственная платформа в этой сфере, другими словами, российский GitHub, заявил Мишустин

Система на базе ИИ GitHub Copilot примерно в 40% случаев создает уязвимый код

Сгенерированный помощником по программированию код в лучшем случае содержит ошибки, а в худшем — потенциально уязвим к атакам.

GitHub перестанет принимать пароли учетных записей для аутентификации Git-операций

Принудительная аутентификация на основе токенов повышает защиту учетных записей GitHub от попыток взлома.