Последние новости: CI/CD

GitHub Actions, токены и релизы стали новой поверхностью атаки. Доверять пакетам «потому что они популярные» больше нельзя.

Gemini CLI доверял чужому коду и запускал команды: Google срочно закрыл критическую уязвимость

Python под угрозой: asyncio ломает память и открывает путь к RCE

Исследователь показал, как GitHub-комментарии, issue и заголовки PR можно использовать для prompt injection против Claude Code, Gemini CLI Action и GitHub Copilot Agent. Атака позволяет вытаскивать токены и API-ключи из окружения.

Популярная JavaScript-библиотека axios оказалась в центре серьезного инцидента с цепочкой поставок ПО (supply chain attack). Исследователи StepSecurity сообщили, что в npm были опубликованы две вредоносные версии пакета, axios@1.14.1 и axios@0.30.4.

Supply chain-атака на Trivy: скомпрометированы релизы, GitHub Actions и Docker-образы

LiteLLM скомпрометировали через PyPI: вредоносные версии крали ключи и токены