Последние новости: Supply Chain

Искали AI-помощника — получили стилер: как подделки Gemini и Claude били по dev-машинам

Киберпреступники превратили взлом open source в конкурс: $1 000 за самый крупный supply chain. Риск — массовые атаки на цепочки поставок

Сайт популярного менеджера загрузок JDownloader несколько дней использовали для распространения вредоносных установщиков под Windows и Linux. Это была атака на цепочку поставки: пользователи заходили на официальный сайт, но часть ссылок вела не на легитимный инсталлятор, а на сторонний сервер с …

Вокруг fsnotify, одной из популярных Go-библиотек для отслеживания изменений файловой системы, разгорелся спор о правах мейнтейнеров. Участники экосистемы начали проверять релизы, обсуждать форки и задавать вопрос, кто реально контролирует проект. Публичных признаков вредоносного кода в релизах fsnotify сейчас нет. Риск …

GitHub Actions, токены и релизы стали новой поверхностью атаки. Доверять пакетам «потому что они популярные» больше нельзя.

Новая supply chain-атака в npm: злоумышленники маскировались под плагины Strapi

Supply chain-атака на Trivy: скомпрометированы релизы, GitHub Actions и Docker-образы

В PyPI обнаружили вредоносные версии официального Python SDK Telnyx — 4.87.1 и 4.87.2. Разбираем, что произошло, какие системы были под угрозой, как работала атака и что делать разработчикам и DevOps-командам.

Исследователи Aikido обнаружили новый этап кампании TeamPCP: вредоносный скрипт проверяет настройки системы и при совпадении с Ираном стирает данные на Kubernetes-узлах и Linux-хостах. Разбираем, как работает атака, что известно о CanisterWorm и что делать защитникам.

LiteLLM скомпрометировали через PyPI: вредоносные версии крали ключи и токены

Исследователи обнаружили в npm кампанию CanisterWorm: вредоносный код запускается через postinstall, крадёт npm-токены, закрепляется в Linux через systemd и публикует заражённые версии других пакетов.

Любимый редактор миллионов администраторов и разработчиков стал точкой входа в корпоративные сети.