Security Lab

GitHub

GitHub – крупнейший web-сервис для хостинга проекта и их совместной разработки. GitHub является бесплатным и предоставляет все возможности для проектов с открытым исходным кодом. Для частных проектов сервис предлагает разнообразные платные тарифные планы.

Разработчики сервиса называют его «социальной сетью для разработчиков», так как помимо размещения кода, участники также могут общаться, комментировать правки друг друга и следить за новостями знакомых. GitHub позволяет программистам объединять свои репозитории. У проектов в сервисе есть свои личные страницы, а также систему отслеживания ошибок.

Первый репозиторий в GitHub был создан в 2008 году, а по данным на 2011 год в проекте уже было зарегистрировано более 1 млн участников и более 2 млн репозиториев.

article-title

RubyGems делает MFA обязательной для сопровождающих самых популярных пакетов

Судя по всему, RubyGems решила пойти по стопам NPM и PyPi, пускай и с небольшим отставанием.

article-title

Теперь инструмент Dependabot предупреждает разработчиков об уязвимых GitHub Actions

Это должно помочь разработчикам быстро устранять уязвимости в рабочих процессах CI/CD.

article-title

Для защиты NPM от атак на цепочки поставок планируется использовать сервис Sigstore

Sigstore – cервис, используемый для верификации ПО с помощью цифровых подписей.

article-title

Клоны официальных репозиториев GitHub распространяют вредоносное ПО

Однострочный бэкдор может украсть учетные данные и криптографические ключи пользователей.

article-title

Доверенные репозитории GitHub содержат вредоносный код

Уважаемые пользователи GitHub продвигают мошеннические репозитории

article-title

ИБ-исследователи потревожили улей: вышел дешифратор для Hive 5 версии

Все ранее доступные дешифраторы были предназначены только для более старых версий, написанных на Go.

article-title

Злоумышленник майнит криптовалюту с помощью GitHub и Azure

Более 1000 репозиториев позволяют майнить криптовалюту в облаке

article-title

Чем опасен встроенный браузер в приложении

Кейлоггинг, кражу аккаунта и обход МФА продемонстрировал эксперт в PoC-атаке

article-title

Расширения Chrome отслеживают пользователя в Интернете

С помощью расширений можно создать отпечаток браузера и следить за активностью пользователя

article-title

Уязвимый API Travis CI ставит под угрозу десятки тысяч пользователей бесплатного варианта сервиса

Публичные логи Travis CI содержали тысячи токенов и паролей GitHub, AWS и Docker Hub.

article-title

Новое расширение Google Chrome подменяет ваше местоположение

Станет ли это заменой VPN?

article-title

GitHub сбрасывает атомную бомбу: прекращается использование текстового редактора с открытым исходным кодом

Компания GitHub объявила о прекращении разработки редактора кода Atom.

article-title

GitHub: Хакеры похитили данные авторизации для порядка 100 тыс. учетных записей npm

Данные были похищены в результате апрельского взлома с использованием OAuth-токенов Heroku и Travis-CI.

article-title

Был взломан популярный Python-пакет: данные тысяч разработчиков в опасности

Вредоносная версия пакета ctx позволяет хакерам получить учетные данные AWS.

article-title

Злоумышленник атаковал ИБ-специалистов с помощью Cobalt-Strike

Киберпреступник использовал поддельный PoC для запуска Cobalt-Strike Beacon

article-title

Студент нашел уязвимость в клиентской библиотеке Google OAuth для Java

Уязвимость связана с обходом авторизации в библиотеке и возникает из-за неправильной проверки криптографической подписи.

article-title

GitHub значительно улучшил 2FA для npm-аккаунтов

Теперь владелец npm-аккаунта может сделать двухфакторную защиту многофакторной.

article-title

Heroku принудительно сбрасывает пароли пользователей после кражи OAuth-токенов GitHub

С момента кражи компания отозвала все токены доступа и убрала возможность запуска приложений с GitHub через Heroku Dashboard.

article-title

ИИ допустил утечку закрытых ключей криптовалютных кошельков

Copilot на базе OpenAI запоминает конфиденциальные общедоступные данные.

article-title

Недавняя атака на GitHub оказалась целенаправленной

Злоумышленник клонировал репозитории пользователей с помощью OAuth-токенов