Гравитация научных фактов сильнее, чем вы думаете
Зараженный клон нацелен на кражу данных программистов.
Новые версии плагина стали ловушкой для пользователей.
Когда обычный JavaScript-загрузчик превращается в инструмент шпионажа.
На платформе npm выявлены библиотеки-оборотни со скрытым функционалом.
Специалисты раскрывают стратегию блиц-атаки против разработчиков.
Почему вредоносный Node.js-пакет всё ещё доступен для скачивания?
Хакеры бьют по разработчикам, ожидая затронуть программную цепочку поставок.
Злоумышленники придумали хитрый способ распространять скрипты через GitHub
Дерзкий подход к компрометации открыл хакерам доступ к цепочке поставок открытого ПО.
Почему взломать сервисы вроде NuGet, PyPI, и RubyGems так просто и какую главную ошибку совершают поставщики?
Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.
VulnCheck предупреждает о беспрецедентной уязвимости цепочек поставок программного обеспечения.
Проект OpenSSF будет отслеживать вредоносные пакеты разработки.
Хакерские инструменты с открытым исходным кодом всё чаще используются в реальных атаках.
Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.
Банкам нужно усилить защиту, чтобы защитить данные и деньги своих клиентов.
Если вы забыли про свой S3-бакет, он может стать источником вредоносного ПО.
Хакер может "сломать" ChatGPT и заставить его рекомендовать пользователям скачать вредоносный пакет.
Вредоносные пакеты предназначены для кражи криптовалюты специалистов.
Эксперты позволили посмотреть на безопасность разработки с другой стороны.
Неизвестные загрузили 144 294 фишинговых пакетов в NPM, PyPI и NuGet.
Новый способ обхода проверок безопасности был обнаружен исследователями из JFrog.
Злоумышленники продают инструменты для взлома, но платить нужно не деньгами.
Фейковый пакет даже имитирует функционал оригинала, чтобы обмануть жертву.
Так правительство США и OpenSSF пытаются избежать повтора SolarWinds.
Sigstore – cервис, используемый для верификации ПО с помощью цифровых подписей.
Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.
Данные были похищены в результате апрельского взлома с использованием OAuth-токенов Heroku и Travis-CI.
Инструмент направлен на борьбу с вредоносным ПО в репозиториях с открытым исходным кодом.
Злоумышленник мог создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома.
Российский разработчик Yaffle добавил в свою библиотеку event-source-polyfill интересный фрагмент кода.
Новое требование вступило в силу 1 февраля 2022 года.
Действия разработчика привели к нарушению работы тысяч зависящих проектов.
Пакеты похищали токены доступа Discord и переменные среды с компьютеров пользователей и устанавливали RAT.
Кто-то регулярно создает вредоносные копии пакета noblox.js и дает им названия, очень похожие на настоящее.
Исследователь мог выполнять команды на домене halowaypoint.com, связанном с серией видеоигр Halo.
Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся в более чем 356 тыс. репозиториях на GitHub.
Проблема может привести к различным другим уязвимостям — от подделки запросов на стороне сервера до удаленного доступа.
По словам исследователя, это не атака «несоответствия используемых зависимостей», а нечто гораздо более простое.
Суть «атаки с подменой» заключается во вмешательстве в процесс разработки приложения в корпоративной среде.
На портале npm обнаружена вредоносная JavaScript-библиотека discord.dll.
Библиотеки открывали оболочки на компьютерах разработчиков, импортировавших пакеты в свои проекты.
Код похищал данные пользователей и загружал информацию на общедоступную страницу на GitHub.
Из репозитория npm удален вредоносный пакет, пробывший там две недели.
Вредоносный пакет bb-builder находился в npm в течение года.
Скомпрометированный пакет JavaScript использовался для хищения учетных данных пользователей.
Бэкдор позволял атакующему добавлять на запущенный сервер произвольный код и выполнять его.
Ошибка в npm v5.7.0 вызывает переназначения права владения системными папками