Sonatype

23 января, 2024

MavenGate: новый метод компрометации цепочки поставок ПО

Как взломать Android-приложение с помощью доменов?

21 сентября, 2023

NPM-пакеты стали платными: теперь платить нужно SSH-ключами и данными

Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.

12 апреля, 2023

Шпионское ПО безнаказанно распространяется в репозитории PyPI

Злоумышленники не скрывают вредоносные функции программы и умело обходят антивирусные проверки.

12 августа, 2022

Исследователи обнаружили PyPI-пакет, запускающий майнер в памяти устройств на Linux

Злоумышленники использовали личные данные реального человека, чтобы пакет выглядел надежнее.

27 июня, 2022

Исследователи обнаружили несколько вредоносных пакетов в официальном репозитории PyPi

Вредоносные пакеты способны похищать учетные данные AWS и другую конфиденциальную информацию.

25 мая, 2022

Был взломан популярный Python-пакет: данные тысяч разработчиков в опасности

Вредоносная версия пакета ctx позволяет хакерам получить учетные данные AWS.

22 мая, 2022

Вредоносный PyPI-пакет заражал бэкдором Windows-, Linux- и Darwin-системы

Название пакета напоминает PyKafka – популярный клиент Apache Kafka.

15 мая, 2022

Microsoft: ботнет Sysrv атакует серверы Windows и Linux новыми эксплоитами

Sysrv полностью компрометирует сервера, используя эксплойты, которые позволяют удаленно выполнять вредоносный код.

11 января, 2022

Уязвимые версии Log4j были загружены 4 млн раз из Apache Maven Central

В период с 10 декабря 2021-го по 10 января 2022 года уязвимая версия Log4j была загружена из репозитория 4 млн раз.

16 сентября, 2021

Sonatype: атаки с открытым исходным кодом выросли на 650%

Компания Sonatype опубликовала отчет о состоянии цепочки поставок программного обеспечения за 2021 год.

15 апреля, 2021

Вредонос в npm-пакете web-browserify не обнаруживается ни одним антивирусным ПО

Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся в более чем 356 тыс. репозиториях на GitHub.

18 марта, 2021

Исследователю удалось опубликовать на сайте Azure SDK поддельный пакет

По словам исследователя, это не атака «несоответствия используемых зависимостей», а нечто гораздо более простое.

13 февраля, 2021

Подражатели имитируют новую атаку на цепочку поставок в попытке заработать вознаграждение

С помощью новой атаки ИБ-эксперту удалось взломать десятки крупных техкомпаний, включая Microsoft, Apple, PayPal и Tesla.

5 октября, 2020

На портале npm обнаружено четыре пакета с вредоносным кодом

Код похищал данные пользователей и загружал информацию на общедоступную страницу на GitHub.

13 августа, 2020

Число кибератак на компоненты с открытым исходным кодом выросло на 430%

Киберпреступники нацелились на компоненты с открытым исходным кодом в рамках атак на цепочки поставок.

17 июня, 2015

Sonatype: Программные приложения в среднем подвержены 24 опасным уязвимостям

В 2014 году производители ПО загрузили 240,757 тыс. программных компонентов из одного из крупнейших публичных хранилищ.