Security Lab

Sonatype

1625
Sonatype
Sonatype – американская компания, занимающаяся разработкой программного обеспечения, специализирующаяся на управлении компонентами программного обеспечения с открытым исходным кодом и их безопасностью. Компания предоставляет решения для управления зависимостями и безопасности в цепочке поставок программного обеспечения, помогая организациям выявлять и устранять уязвимости в используемых ими библиотеках и фреймворках с открытым исходным кодом. Основные продукты Sonatype включают Nexus Repository Manager, который помогает управлять артефактами программного обеспечения, и Nexus Lifecycle, предназначенный для анализа и улучшения безопасности и качества используемых компонентов.
Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас

Crytic-compilers: хакеры всё чаще прячут инфостилеры в репозиториях для разработчиков

Как обезопасить себя и свой софт от проделок кибербандитов?

Вирус под видом помощи: новый способ заражения разработчиков на Stack Overflow

Пользователи жертвуют своими данными, пользуясь советами других людей.

MavenGate: новый метод компрометации цепочки поставок ПО

Как взломать Android-приложение с помощью доменов?

NPM-пакеты стали платными: теперь платить нужно SSH-ключами и данными

Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.

Шпионское ПО безнаказанно распространяется в репозитории PyPI

Злоумышленники не скрывают вредоносные функции программы и умело обходят антивирусные проверки.

Исследователи обнаружили PyPI-пакет, запускающий майнер в памяти устройств на Linux

Злоумышленники использовали личные данные реального человека, чтобы пакет выглядел надежнее.

Исследователи обнаружили несколько вредоносных пакетов в официальном репозитории PyPi

Вредоносные пакеты способны похищать учетные данные AWS и другую конфиденциальную информацию.

Был взломан популярный Python-пакет: данные тысяч разработчиков в опасности

Вредоносная версия пакета ctx позволяет хакерам получить учетные данные AWS.

Вредоносный PyPI-пакет заражал бэкдором Windows-, Linux- и Darwin-системы

Название пакета напоминает PyKafka – популярный клиент Apache Kafka.

Microsoft: ботнет Sysrv атакует серверы Windows и Linux новыми эксплоитами

Sysrv полностью компрометирует сервера, используя эксплойты, которые позволяют удаленно выполнять вредоносный код.

Уязвимые версии Log4j были загружены 4 млн раз из Apache Maven Central

В период с 10 декабря 2021-го по 10 января 2022 года уязвимая версия Log4j была загружена из репозитория 4 млн раз.

Sonatype: атаки с открытым исходным кодом выросли на 650%

Компания Sonatype опубликовала отчет о состоянии цепочки поставок программного обеспечения за 2021 год.

Вредонос в npm-пакете web-browserify не обнаруживается ни одним антивирусным ПО

Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся в более чем 356 тыс. репозиториях на GitHub.

Исследователю удалось опубликовать на сайте Azure SDK поддельный пакет

По словам исследователя, это не атака «несоответствия используемых зависимостей», а нечто гораздо более простое.

Подражатели имитируют новую атаку на цепочку поставок в попытке заработать вознаграждение

С помощью новой атаки ИБ-эксперту удалось взломать десятки крупных техкомпаний, включая Microsoft, Apple, PayPal и Tesla.

На портале npm обнаружено четыре пакета с вредоносным кодом

Код похищал данные пользователей и загружал информацию на общедоступную страницу на GitHub.

Число кибератак на компоненты с открытым исходным кодом выросло на 430%

Киберпреступники нацелились на компоненты с открытым исходным кодом в рамках атак на цепочки поставок.

Sonatype: Программные приложения в среднем подвержены 24 опасным уязвимостям

В 2014 году производители ПО загрузили 240,757 тыс. программных компонентов из одного из крупнейших публичных хранилищ.