Под прикрытием легитимного ПО PyPI-пакеты проникают глубоко внутрь системы жертвы.
Почему специалисты пренебрегают основами безопасности и почему ситуация не меняется с годами?
Проект OpenSSF будет отслеживать вредоносные пакеты разработки.
Почему лишь внимательность может спасти разработчиков от вездесущих хакеров?
Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.
Оказывается, репозитории PyPI и GitHub хранят в себе множество загадок.
Как зловредные Python-пакеты заражают систему и какие цели преследуют их разработчики.
Исследователи из GuidePoint дали дельные рекомендации, чтобы защититься от новой угрозы.
Техническая особенность кода позволила хакерам внедрить в пакет загрузчик вредоносного ПО.
Фонд программного обеспечения Python получил три повестки с требованием предоставить данные пяти пользователей PyPI.
Администраторы обещают вернуться к обычному режиму работы после того, как найдут способ бороться с хакерами.
Исследователи обнаружили огромное количество артефактов и образов контейнеров, размещенных в различных реестрах и репозиториях без надлежащей защиты.
Злоумышленники не скрывают вредоносные функции программы и умело обходят антивирусные проверки.
Хакеры вновь воспользовались платформой PyPI для распространения своего вредоносного пакета.
Вредоносные пакеты предназначены для кражи криптовалюты специалистов.
Вредонос, который специалисты назвали «Colour-Blind», обладает поистине обширным функционалом.
Злоумышленники не оставляют попыток «насолить» разработчикам программного обеспечения.
Разработчик решил поэкспериментировать и использовал разную компоновку у каждого пакета, чтобы выявить наиболее эффективный.
5 заражённых пакетов содержат инфостилер W4SP Stealer.
Зловредный софт успели скачать на свой компьютер несколько сотен человек.