Проект OpenSSF будет отслеживать вредоносные пакеты разработки.
Хакерские инструменты с открытым исходным кодом всё чаще используются в реальных атаках.
Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.
Банкам нужно усилить защиту, чтобы защитить данные и деньги своих клиентов.
Если вы забыли про свой S3-бакет, он может стать источником вредоносного ПО.
Хакер может "сломать" ChatGPT и заставить его рекомендовать пользователям скачать вредоносный пакет.
Вредоносные пакеты предназначены для кражи криптовалюты специалистов.
Эксперты позволили посмотреть на безопасность разработки с другой стороны.
Неизвестные загрузили 144 294 фишинговых пакетов в NPM, PyPI и NuGet.
Новый способ обхода проверок безопасности был обнаружен исследователями из JFrog.
Злоумышленники продают инструменты для взлома, но платить нужно не деньгами.
Фейковый пакет даже имитирует функционал оригинала, чтобы обмануть жертву.
Так правительство США и OpenSSF пытаются избежать повтора SolarWinds.
Sigstore – cервис, используемый для верификации ПО с помощью цифровых подписей.
Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.
Данные были похищены в результате апрельского взлома с использованием OAuth-токенов Heroku и Travis-CI.
Инструмент направлен на борьбу с вредоносным ПО в репозиториях с открытым исходным кодом.
Злоумышленник мог создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома.
Российский разработчик Yaffle добавил в свою библиотеку event-source-polyfill интересный фрагмент кода.