Security Lab

Цепочка поставок

Цепочка поставок (Supply Chain) - это совокупность всех процессов, связанных с передачей товаров и услуг от поставщиков до конечных потребителей. Цепочка поставок включает в себя такие этапы, как закупки, производство, хранение, логистику и распределение продукции. Целью цепочки поставок является обеспечение потребностей потребителей в товарах и услугах, оптимизация затрат на производство и логистику, а также улучшение эффективности и конкурентоспособности бизнеса.

Даже официальный сайт — больше не гарантия. Хакеры превратили популярный текстовый редактор в инструмент шпионажа

Кажется, эпоха слепого доверия к проверенным источникам окончательно ушла в прошлое.

«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам.

Минус 95% веса и 0 уязвимостей: Docker открыл доступ к своим лучшим образам

Если вы собираете контейнеры для продакшена, у вас появился новый стандарт «по умолчанию» в ответ на угрозы цепочкам поставок.

Доверяй, но проверяй (орфографию). Лишняя буква в названии пакета стоила разработчикам всех сбережений

Визуально обнаружить ловушку было крайне сложно даже при ручной проверке.

Главная ложь XXI века: «Данных много не бывает». MIT доказали обратное

Ученые показали, как находить идеальное решение почти без измерений.

Реестр npm накрыла волна из 150 000 мусорных пакетов — крупнейшая кампания по выкачиванию крипто-токенов в истории открытого ПО

Каждый пакет содержал tea.yaml для вывода наград злоумышленникам.

«Это даже не вирус!»: новая атака на npm оказалась коварнее, чем предполагалось

Зачем кто-то целых два года загружал на платформу мусорные пакеты?

Старые грабли, новые баги. OWASP обновил топ-10 угроз веб-приложений

Контроль доступа снова провален и снова на первом месте. Когда мы уже научимся?

Цепочки поставок в Топ-3: OWASP признал, что проект уничтожит не уязвимость, а кривая зависимость из NPM/PyPI

Две новые категории угроз веб-приложений добавлены в топ-10 OWASP.

ИИ-помощник подсказал название пакета, вы сделали "npm install" — и передали все токены GitHub хакерам. PhantomRaven не оставил шансов

Вредоносный код подгружается динамически и сливает секреты по трём каналам связи.

Одна буква — миллионные потери. Как русская «Е» обманула разработчиков и присвоила их крипту

11,7 миллиона установок за четыре дня — и ни у кого не возникло подозрений.

Кибератака на Jaguar Land Rover стала самой дорогой в истории Великобритании. Счёт идёт на миллиарды

Автопроизводитель до сих пор устраняет последствия, и конца этому не видно.

Пять месяцев в сетях российской IT-компании. Группировка Jewelbug получила доступ к исходному коду и системам сборки

Обнаруженные следы указывают на тщательную подготовку атаки через цепочку поставок.

Взломать солнце за 5 минут? Достаточно одного «admin» — и системы солнечных станций в ваших руках

Может ли "зеленая" энергия стать причиной блэкаута?

Доверие = компрометация. Любимый инструмент разработчиков оказался троянским конём

Поддельная маска оказалась настолько совершенной, что обманула всех.

GitHub объявил войну хакерам и меняет правила игры

Новый механизм публикации навсегда исключит человека из цепочки доверия.

Зависимость от цепочки поставок — как проверить устойчивость бизнеса и закрыть «слепые зоны»

От мелкого сбоя до катастрофы: что происходит, когда никто не готов к форс-мажору?

Заводы стоят, люди — на улице: кибератака на Jaguar Land Rover «положила» автопромышленность

Атака остановила гиганта, но главный удар пришёлся не по нему.

Цена паники для IT-мира — $600. Почему историческая атака оказалась настолько унизительно провальной?

Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом

Взломаны 18 JavaScript-библиотек с 2 миллиардами загрузок в неделю. Вся экосистема веб-разработки под ударом хакеров

Атака на мейнтейнера через поддельное уведомление 2FA позволила внедрить вредоносный код.