checkmarx

Фальшивые звёзды усыпляют бдительность доверчивых разработчиков. Злоумышленники начали использовать функцию поиска на GitHub для обмана пользователей, которые ищут популярные репозитории, заставляя их скачивать поддельные пакеты, содержащие вредоносное ПО. О последнем нападении на...

С чем борются платформодержатели и что делать рядовым разработчикам? Популярный репозиторий открытого программного обеспечения PyPI (Python Package Index) недавно столкнулся с масштабной кибератакой, в ходе которой злоумышленники использовали автоматизированные средства для загрузки на...

Сколько пользователей пострадало от компрометации цепочки поставок Discord? Популярный сервис Top.gg, помогающий пользователям находить серверы и боты для Discord , пострадал от атаки на цепочку поставок. Злоумышленники внедряли вредоносный код в пакеты Python , используемые разработчиками...

Почему вы должны быть осторожны при установке пакетов PyPI? Команда Fortinet FortiGuard Labs обнаружила в репозитории Python Package Index ( PyPI ) вредоносные пакеты, которые доставляют в системы Windows инфостилер WhiteSnake Stealer. Пакеты, содержащие вредоносное ПО, называются...

Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами. Разработчик популярного открытого ПО для автоматизации CI/CD-процессов (Continuous Integration/Continuous Delivery) Jenkins исправил 9 уязвимостей в системе безопасности, включая одну...

Под прикрытием легитимного ПО PyPI-пакеты проникают глубоко внутрь системы жертвы. В репозитории Python Package Index ( PyPI ) были обнаружены поддельные пакеты, распространяющие вредоносное ПО. Пакеты, маскирующиеся под популярные библиотеки Python, привлекли тысячи загрузок по всему миру, в...

IT-специалистам лучше заклеить камеры на своих ноутбуках… Эксперты в области кибербезопасности бьют тревогу. По их данным, в последнее время резко участилось количество взломов популярных открытых библиотек для языка программирования Python . Интересно, что в некоторых случаях вредоносное...

Прокет OpenSSF будет отслеживать вредоносные пакеты разработки. В ответ на рост числа вредоносных пакетов с открытым исходным кодом Open Source Security Foundation (OpenSSF) запустил инициативу под названием Malicious Packages Repository. С момента своего запуска репозиторий уже накопил...

Почему лишь внимательность может спасти разработчиков от вездесущих хакеров? В пакетном менеджере NuGet для фреймворка .NET был обнаружен вредоносный пакет, который распространяет троянский вирус под названием SeroXen RAT. Пакет с названием «Pathoschild.Stardew.Mod.Build.Config»...

Если вы видите коммит от GitHub Dependabot, проверьте безопасность кода. Исследователи безопасности Checkmarx обнаружили необычные коммиты в сотнях публичных и частных репозиториев, которые были подделаны так, чтобы казаться коммитами Dependabot . Кампания сосредотачивается на внедрении...

Банкам нужно усилить защиту, чтобы защитить данные и деньги своих клиентов. В последние месяцы два банка стали мишенью атак на цепочку поставок открытого ПО (open source), что стало первыми подобными инцидентами такого рода. По данным аналитиков Checkmarx , в ходе отдельных кампаний в...

Если вы забыли про свой S3-бакет, он может стать источником вредоносного ПО. Киберпреступники нашли способ внедрить свой вредоносный код в пакеты npm , не меняя исходный код. Они использовали S3-бакеты AWS , которые были заброшены их владельцами, и заменили в них бинарные файлы, необходимые...

Причём здесь Aliexpress и Telegram-каналы о криптовалюте? Специалисты ИБ-компании Checkmarx сообщают , что злоумышленники распространяют в репозиториях npm поддельные пакеты, которые приводят к DoS -атаке. Киберпреступники публикуют пустые пакеты со ссылками на заранее созданные...

Исследователи безопасности обнаружили на платформе свыше 15 тысяч вредоносных пакетов. В ходе недавней атаки на Open Source экосистему NPM, киберпреступниками было загружено в репозиторий более 15 тысяч спам-пакетов с целью распространения фишинговых ссылок. «Пакеты были созданы с...

Неизвестные загрузили 144 294 фишинговых пакетов в NPM, PyPI и NuGet. Кампания по распространению фишинговых пакетов была обнаружена аналитиками из Checkmarx и Illustria, которые совместно работали над расследованием произошедшего. Как говорят специалисты, пакеты загружались с аккаунтов...

«Голые» дети и танцы способствуют заражению тысячей пользователей. Согласно отчету ИБ-компании Checkmarx , хакеры используют популярный тренд в TikTok под названием «Invisible Challenge», чтобы установить на устройства пользователей инфостилер для кражи паролей, аккаунтов Discord и...