Новости / репозитории ПО

Следы кампании PolinRider ведут сразу в несколько экосистем открытого кода, включая npm, Packagist, Go modules и расширения Chrome

вредоносный код

Атаки связывают с северокорейской связкой Contagious Interview, также известным как Famous Chollima. Главная цель кампании не изменилась, пишут в Securitylab. Злоумышленники бьют по разработчикам, потому что рабочая машина программиста часто хранит доступы к репозиториям, пакетным реестрам, облакам, CI/CD и внутренним сервисам. Один зараженный паке …

Читать пост

Создан репозиторий для публикации сведений о ещё не закрытых уязвимостях нулевого дня

уязвимости

Автор репозитория создал архив, чтобы привлечь больше людей к поиску уязвимостей, и назвал такой способ самым действенным. О любой найденной уязвимости все желающие могут сообщить как bikini, так и автору уязвимого проекта, и получить признание, если брешь получит официальный номер CVE.

Читать пост

На GitHub обнаружен Miasma - самораспространяющийся вредоносный код для атак на цепочки поставок ПО

киберпреступления

Авторы проекта создали полноценный набор инструментов, способный использовать украденные учётные данные для атак на пакеты в PyPI, npm и RubyGems, репозитории GitHub, системы сборки GitHub Actions, корпоративные хранилища JFrog Artifactory, среды разработки с искусственным интеллектом и облачные сервисы.

Читать пост

Злоумышленники используют Hugging Face и ClawHub для распространения вредоносного ПО под видом ИИ-инструментов

ии

Главная опасность состоит в смене площадки. Раньше атаки поставок чаще связывали с GitHub, npm, PyPI и другими привычными хранилищами кода. Теперь тот же подход переезжает в ИИ-экосистемы, где разработчики, исследователи и пользователи быстро подключают модели, наборы данных и агентные расширения, часто без глубокой проверки, пишут в Securitylab. H …

Читать пост

В пакете PyTorch Lightning на PyPI найдена вредоносная сборка 2.6.3

PyTorch Lightning

Lightning AI сообщила об атаке на цепочку поставок 30 апреля. По данным разработчиков, версия 2.6.3 содержала скрытую цепочку запуска, которая срабатывала при импорте пакета lightning. После запуска вредоносный код создавал фоновый процесс, скачивал с GitHub JavaScript-среду Bun v1.3.13 и выполнял обфусцированный файл «router_runtime.js» размером 1 …

Читать пост

Trellix сообщил о взломе внутреннего репозитория с исходным кодом

Trellix

Компания подтвердила атаку в официальном заявлении на своем сайте. После обнаружения вторжения Trellix привлекла внешних экспертов по цифровой криминалистике, начала расследование и уведомила правоохранительные органы.

Читать пост

Злоумышленники используют механизмы уведомлений GitHub и Jira для доставки фишинговых писема и спама

https://everhour.com/blog/integrate-github-and-jira/

По данным Cisco Talos, преступники встраивают приманки прямо в содержимое уведомлений, которые сервисы рассылают автоматически. В случае с GitHub схема строится вокруг коммитов.

Читать пост

В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа

https://cyberinsider.com/axios-supply-chain-attack-hits-library-with-400m-monthly-downloads/

Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и разработчики по всему миру начали скачивать заражённые обновления, даже не подозревая об угрозе.

Читать пост

На платформе GitHub замечены фальшивые предупреждения о безопасности

GitHub

Согласно отчету Socket, неизвестные рассылают поддельные уведомления о проблемах в Visual Studio Code и заманивают пользователей на вредоносные сайты. Об этом передаёт Securitylab.

Читать пост

Злоумышленники захватывают учётные записи разработчиков на GitHub и внедряют вредоносный код в популярные Python-проекты

https://www.bleepingcomputer.com/news/security/malicious-lolip0p-pypi-packages-install-info-stealing-malware/

Команда StepSecurity отчиталась о кампании, получившую название «ForceMemo». Первые заражения появились 8 марта 2026 года, после чего число затронутых репозиториев продолжило расти. Вредоносный код добавляют в ключевые файлы вроде setup.py, main.py или app.py. При установке пакета или запуске проекта начинается скрытая нагрузка. Об этом пишет Secur …

Читать пост