HTTP/2 Bomb выводит веб-серверы из строя одной машиной и каналом 100 Мбит/с
Читать далее →
Microsoft предупредила о риске утечки CI/CD-секретов через Claude Code GitHub Action. Один комментарий в GitHub мог заставить Claude Code прочитать секреты сборочного конвейера
Читать далее →
В Python Package Index обнаружили вредоносный пакет parsimonius, который маскировался под легитимную библиотеку parsimonious. Разница — одна буква. Для разработчика, который быстро ставит зависимость из консоли или копирует название из чужого README, этого достаточно.
Читать далее →
Red Hat подтвердила компрометацию npm-пакетов в пространстве @redhat-cloud-services. Вредоносные версии содержали вариант Shai-Hulud под названием Miasma, который крадёт GitHub-токены, npm-токены, облачные ключи, SSH-ключи и другие секреты разработчиков.
Читать далее →
Один день, 5718 коммитов. GitHub Actions превратили в стилер: Megalodon украл секреты CI/CD у тысяч проектов. Supply chain-атака Megalodon ударила по токенам, SSH-ключам и облачным доступам. Фейковые build-bot и ci-bot залили малварь в тысячи репозиториев.
Читать далее →
В npm обнаружили три вредоносные версии пакета node-ipc: 9.1.6, 9.2.3 и 12.0.1. Пакет используется в Node.js-проектах для межпроцессного взаимодействия, а вредоносный код был встроен в CommonJS-сборку node-ipc.cjs. При загрузке через require("node-ipc") он запускался автоматически, собирал переменные окружения, SSH-ключи, облачные конфиги, …
Читать далее →
Киберпреступники превратили взлом open source в конкурс: $1 000 за самый крупный supply chain. Риск — массовые атаки на цепочки поставок
Читать далее →
Для критической уязвимости CVE-2026-42945 в NGINX появились технические детали и proof-of-concept-код. Проблема получила CVSS 9.2 и затрагивает ngx_http_rewrite_module — модуль, который используется для переписывания URL, редиректов и обработки правил rewrite, if и set. NGINX уже выпустил исправления в версиях 1.30.1 …
Читать далее →
Экосистема npm пережила заметный сдвиг: вредоносные пакеты перестали быть мелким шумом вокруг опечаток в названиях библиотек. Атаки всё чаще бьют по реальным пакетам, учётным записям сопровождающих, сборочным конвейерам и токенам публикации. Главная цель — не компьютер отдельного разработчика, а вся …
Читать далее →
GitHub подтвердил несанкционированный доступ к части внутренних репозиториев после компрометации устройства сотрудника через вредоносное расширение Visual Studio Code. Группа TeamPCP выставила данные на продажу на хакерском форуме и заявила о доступе примерно к 4 000 приватных репозиториев. GitHub говорит, что …
Читать далее →
В Linux раскрыли новую опасную уязвимость повышения привилегий — Dirty Frag. Она позволяет локальному непривилегированному пользователю получить root-доступ через ошибки в сетевых и memory-fragment механизмах ядра. Под ударом — Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE и OpenShift-среды. Особенно неприятный …
Читать далее →
Разработчикам PHP-проектов рекомендуют срочно обновить Composer до версий 2.9.8, 2.2.28 LTS или 1.10.28. Исправление закрывает уязвимость CVE-2026-45793, из-за которой Composer мог вывести полный GitHub Actions GITHUB_TOKEN или GitHub App installation token в stderr, а затем — в логи CI. Проблема …
Читать далее →
Checkmarx предупредила клиентов о поддельной версии своего Jenkins AST Scanner — плагина, который подключает проверки безопасности Checkmarx One к пайплайнам Jenkins. Вредоносная сборка 2026.5.09 появилась в Jenkins Marketplace 9 мая 2026 года и была доступна до 10 мая. Компания советует …
Читать далее →
Свежие npm-пакеты больше не попадают в сборку сразу: pnpm 11 вводит обязательную паузу в 24 часа, чтобы остановить вредоносные релизы на входе.
Читать далее →
Jenkins закрыл серию опасных уязвимостей в популярных плагинах: одна из них позволяет записывать файлы в произвольные места на сервере и при определённых настройках может привести к удалённому выполнению кода.
Читать далее →