home.social

#supply_chain_attack — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #supply_chain_attack, aggregated by home.social.

  1. Атаки через подрядчиков, дефицит кадров и квест с импортозамещением: главные вызовы ИБ в 2026 году

    Привет, Хабр! На связи Кирилл Морданов, PR-менеджер Своего Банка. Наша DevRel-команда регулярно вытаскивает на свет интересные кейсы и инсайды от технических специалистов СВОЙ Тех, чтобы вытащить наружу самые сочные инсайды. В этот раз с чашкой кофе я дошел до Алексея Ахмеева , начальника управления информационной безопасности банка. Тема ИБ сейчас максимально горячая: атаки эволюционируют, регуляторы закручивают гайки, а дедлайны по импортозамещению КИИ уже дышат в спину. Я позадавал Алексею вопросы о том, как устроен современный Supply Chain в финтехе, где брать дефицитных специалистов и почему классический фишинг теперь пишут нейросети. Под катом — выжимка нашего разговора без лишней канцелярщины и «воды».

    habr.com/ru/companies/svoi_ru/

    #информационная_безопасность #кибербезопасность #хакеры #кибератаки #supply_chain_attack #кии #субд

  2. Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

    Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

    habr.com/ru/articles/1037090/

    #open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

  3. Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

    Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

    habr.com/ru/articles/1037090/

    #open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

  4. Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

    Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

    habr.com/ru/articles/1037090/

    #open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

  5. Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

    Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

    habr.com/ru/articles/1037090/

    #open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

  6. node-ipc снова взломали — но не код, а домен за $9. Разбор атаки через DNS-туннели, которой не увидел ни один SIEM

    npm снова горит — и на этот раз атакующим даже не пришлось ломать код. Разбираем свежую supply chain-атаку на node-ipc , где доступ к популярному npm-пакету получили через… просроченный домен за $9. Без взлома npm, без bypass 2FA — только forgotten password и DNS. В статье: как payload крал AWS, SSH и .env , почему эксфильтрация шла через DNS TXT, почему SIEM почти ничего не увидел, как dormant-аккаунты становятся оружием — и почему подобные атаки скоро станут массовыми. Если у вас есть CI/CD, npm-зависимости или production на Node.js — это стоит прочитать.

    habr.com/ru/articles/1035902/

    #nodeipc #npm #supply_chain_attack #DNS_tunneling #DNS_exfiltration #SIEM #DevSecOps #npm_security #Nodejs #cybersecurity

  7. node-ipc снова взломали — но не код, а домен за $9. Разбор атаки через DNS-туннели, которой не увидел ни один SIEM

    npm снова горит — и на этот раз атакующим даже не пришлось ломать код. Разбираем свежую supply chain-атаку на node-ipc , где доступ к популярному npm-пакету получили через… просроченный домен за $9. Без взлома npm, без bypass 2FA — только forgotten password и DNS. В статье: как payload крал AWS, SSH и .env , почему эксфильтрация шла через DNS TXT, почему SIEM почти ничего не увидел, как dormant-аккаунты становятся оружием — и почему подобные атаки скоро станут массовыми. Если у вас есть CI/CD, npm-зависимости или production на Node.js — это стоит прочитать.

    habr.com/ru/articles/1035902/

    #nodeipc #npm #supply_chain_attack #DNS_tunneling #DNS_exfiltration #SIEM #DevSecOps #npm_security #Nodejs #cybersecurity

  8. node-ipc снова взломали — но не код, а домен за $9. Разбор атаки через DNS-туннели, которой не увидел ни один SIEM

    npm снова горит — и на этот раз атакующим даже не пришлось ломать код. Разбираем свежую supply chain-атаку на node-ipc , где доступ к популярному npm-пакету получили через… просроченный домен за $9. Без взлома npm, без bypass 2FA — только forgotten password и DNS. В статье: как payload крал AWS, SSH и .env , почему эксфильтрация шла через DNS TXT, почему SIEM почти ничего не увидел, как dormant-аккаунты становятся оружием — и почему подобные атаки скоро станут массовыми. Если у вас есть CI/CD, npm-зависимости или production на Node.js — это стоит прочитать.

    habr.com/ru/articles/1035902/

    #nodeipc #npm #supply_chain_attack #DNS_tunneling #DNS_exfiltration #SIEM #DevSecOps #npm_security #Nodejs #cybersecurity

  9. node-ipc снова взломали — но не код, а домен за $9. Разбор атаки через DNS-туннели, которой не увидел ни один SIEM

    npm снова горит — и на этот раз атакующим даже не пришлось ломать код. Разбираем свежую supply chain-атаку на node-ipc , где доступ к популярному npm-пакету получили через… просроченный домен за $9. Без взлома npm, без bypass 2FA — только forgotten password и DNS. В статье: как payload крал AWS, SSH и .env , почему эксфильтрация шла через DNS TXT, почему SIEM почти ничего не увидел, как dormant-аккаунты становятся оружием — и почему подобные атаки скоро станут массовыми. Если у вас есть CI/CD, npm-зависимости или production на Node.js — это стоит прочитать.

    habr.com/ru/articles/1035902/

    #nodeipc #npm #supply_chain_attack #DNS_tunneling #DNS_exfiltration #SIEM #DevSecOps #npm_security #Nodejs #cybersecurity

  10. [Перевод] Снова GitHub Actions: разбираем масштабную атаку на TanStack, 84 пакета под угрозой

    Команда Socket Threat Research обнаружила компрометацию 84 npm-пакетов в пространстве @tanstack : в них внедрили вредоносный имплант Mini Shai-Hulud, нацеленный на кражу учётных данных и секретов из CI/CD-сред, включая GitHub Actions Атака особенно опасна тем, что вредонос автоматически запускается при установке зависимостей через lifecycle-хуки npm, а среди затронутых пакетов есть крайне популярные — например, @tanstack/react-router с более чем 12 млн загрузок в неделю, что делает инцидент серьёзной угрозой для безопасности цепочки поставок ПО. В статье подробнее разберём механизм заражения, риски для разработчиков и компаний, а также первоочередные меры реагирования — от проверки зависимостей до ротации секретов и аудита CI-пайплайнов.

    habr.com/ru/companies/first/ar

    #tanstack #взлом #react #supply_chain #supply_chain_attack #supply_chain_security #github #безопасность #программирование

  11. [Перевод] Снова GitHub Actions: разбираем масштабную атаку на TanStack, 84 пакета под угрозой

    Команда Socket Threat Research обнаружила компрометацию 84 npm-пакетов в пространстве @tanstack : в них внедрили вредоносный имплант Mini Shai-Hulud, нацеленный на кражу учётных данных и секретов из CI/CD-сред, включая GitHub Actions Атака особенно опасна тем, что вредонос автоматически запускается при установке зависимостей через lifecycle-хуки npm, а среди затронутых пакетов есть крайне популярные — например, @tanstack/react-router с более чем 12 млн загрузок в неделю, что делает инцидент серьёзной угрозой для безопасности цепочки поставок ПО. В статье подробнее разберём механизм заражения, риски для разработчиков и компаний, а также первоочередные меры реагирования — от проверки зависимостей до ротации секретов и аудита CI-пайплайнов.

    habr.com/ru/companies/first/ar

    #tanstack #взлом #react #supply_chain #supply_chain_attack #supply_chain_security #github #безопасность #программирование

  12. [Перевод] Снова GitHub Actions: разбираем масштабную атаку на TanStack, 84 пакета под угрозой

    Команда Socket Threat Research обнаружила компрометацию 84 npm-пакетов в пространстве @tanstack : в них внедрили вредоносный имплант Mini Shai-Hulud, нацеленный на кражу учётных данных и секретов из CI/CD-сред, включая GitHub Actions Атака особенно опасна тем, что вредонос автоматически запускается при установке зависимостей через lifecycle-хуки npm, а среди затронутых пакетов есть крайне популярные — например, @tanstack/react-router с более чем 12 млн загрузок в неделю, что делает инцидент серьёзной угрозой для безопасности цепочки поставок ПО. В статье подробнее разберём механизм заражения, риски для разработчиков и компаний, а также первоочередные меры реагирования — от проверки зависимостей до ротации секретов и аудита CI-пайплайнов.

    habr.com/ru/companies/first/ar

    #tanstack #взлом #react #supply_chain #supply_chain_attack #supply_chain_security #github #безопасность #программирование

  13. [Перевод] Снова GitHub Actions: разбираем масштабную атаку на TanStack, 84 пакета под угрозой

    Команда Socket Threat Research обнаружила компрометацию 84 npm-пакетов в пространстве @tanstack : в них внедрили вредоносный имплант Mini Shai-Hulud, нацеленный на кражу учётных данных и секретов из CI/CD-сред, включая GitHub Actions Атака особенно опасна тем, что вредонос автоматически запускается при установке зависимостей через lifecycle-хуки npm, а среди затронутых пакетов есть крайне популярные — например, @tanstack/react-router с более чем 12 млн загрузок в неделю, что делает инцидент серьёзной угрозой для безопасности цепочки поставок ПО. В статье подробнее разберём механизм заражения, риски для разработчиков и компаний, а также первоочередные меры реагирования — от проверки зависимостей до ротации секретов и аудита CI-пайплайнов.

    habr.com/ru/companies/first/ar

    #tanstack #взлом #react #supply_chain #supply_chain_attack #supply_chain_security #github #безопасность #программирование

  14. Как Runtime Radar помогает обнаруживать атаки на цепочку поставок: кейс LiteLLM

    Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней компрометации . Помимо этого, мы, конечно же, рассмотрим и боковое перемещение внутри Kubernetes-инфрастуктуры, которое происходит, если скрипт инфостилера запускается в поде с достаточными привилегиями. Мы не смогли удержаться и проверили, что Runtime Radar может обнаружить при реализации подобной атаки. Но обо всем по порядку.

    habr.com/ru/companies/pt/artic

    #kubernetes #runtime_security #containers #supply_chain_attack #ebpf #tetragon #runtimeradar #open_source #security

  15. Как Runtime Radar помогает обнаруживать атаки на цепочку поставок: кейс LiteLLM

    Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней компрометации . Помимо этого, мы, конечно же, рассмотрим и боковое перемещение внутри Kubernetes-инфрастуктуры, которое происходит, если скрипт инфостилера запускается в поде с достаточными привилегиями. Мы не смогли удержаться и проверили, что Runtime Radar может обнаружить при реализации подобной атаки. Но обо всем по порядку.

    habr.com/ru/companies/pt/artic

    #kubernetes #runtime_security #containers #supply_chain_attack #ebpf #tetragon #runtimeradar #open_source #security

  16. Как Runtime Radar помогает обнаруживать атаки на цепочку поставок: кейс LiteLLM

    Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней компрометации . Помимо этого, мы, конечно же, рассмотрим и боковое перемещение внутри Kubernetes-инфрастуктуры, которое происходит, если скрипт инфостилера запускается в поде с достаточными привилегиями. Мы не смогли удержаться и проверили, что Runtime Radar может обнаружить при реализации подобной атаки. Но обо всем по порядку.

    habr.com/ru/companies/pt/artic

    #kubernetes #runtime_security #containers #supply_chain_attack #ebpf #tetragon #runtimeradar #open_source #security

  17. Как Runtime Radar помогает обнаруживать атаки на цепочку поставок: кейс LiteLLM

    Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней компрометации . Помимо этого, мы, конечно же, рассмотрим и боковое перемещение внутри Kubernetes-инфрастуктуры, которое происходит, если скрипт инфостилера запускается в поде с достаточными привилегиями. Мы не смогли удержаться и проверили, что Runtime Radar может обнаружить при реализации подобной атаки. Но обо всем по порядку.

    habr.com/ru/companies/pt/artic

    #kubernetes #runtime_security #containers #supply_chain_attack #ebpf #tetragon #runtimeradar #open_source #security

  18. Троянский форк: от шалости до крита

    Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

    habr.com/ru/companies/bastion/

    #пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

  19. Троянский форк: от шалости до крита

    Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

    habr.com/ru/companies/bastion/

    #пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

  20. Троянский форк: от шалости до крита

    Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

    habr.com/ru/companies/bastion/

    #пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

  21. Троянский форк: от шалости до крита

    Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

    habr.com/ru/companies/bastion/

    #пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

  22. CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

  23. CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

  24. CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

  25. CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

  26. Evil Merge: как малварь пряталась в git merge-коммите 3,5 месяца

    Несколько месяцев назад я делал плановую проверку кодовой базы на одном из проектов и нашёл обфусцированный код в файле vite.config.js . Он был на той же строке что и закрывающий }; , но сдвинут вправо на несколько сотен пробелов — туда, куда ни один diff-вьюер не прокрутит и ни один редактор не покажет без горизонтального скролла. Я пошёл смотреть через git log — какой коммит это принёс. Оказался merge-коммит. Не обычный коммит в ветке — именно merge. И вот тут началось интересное.

    habr.com/ru/articles/1018124/

    #git #security #supply_chain_attack #evil_merge #open_source

  27. Evil Merge: как малварь пряталась в git merge-коммите 3,5 месяца

    Несколько месяцев назад я делал плановую проверку кодовой базы на одном из проектов и нашёл обфусцированный код в файле vite.config.js . Он был на той же строке что и закрывающий }; , но сдвинут вправо на несколько сотен пробелов — туда, куда ни один diff-вьюер не прокрутит и ни один редактор не покажет без горизонтального скролла. Я пошёл смотреть через git log — какой коммит это принёс. Оказался merge-коммит. Не обычный коммит в ветке — именно merge. И вот тут началось интересное.

    habr.com/ru/articles/1018124/

    #git #security #supply_chain_attack #evil_merge #open_source

  28. Evil Merge: как малварь пряталась в git merge-коммите 3,5 месяца

    Несколько месяцев назад я делал плановую проверку кодовой базы на одном из проектов и нашёл обфусцированный код в файле vite.config.js . Он был на той же строке что и закрывающий }; , но сдвинут вправо на несколько сотен пробелов — туда, куда ни один diff-вьюер не прокрутит и ни один редактор не покажет без горизонтального скролла. Я пошёл смотреть через git log — какой коммит это принёс. Оказался merge-коммит. Не обычный коммит в ветке — именно merge. И вот тут началось интересное.

    habr.com/ru/articles/1018124/

    #git #security #supply_chain_attack #evil_merge #open_source

  29. Evil Merge: как малварь пряталась в git merge-коммите 3,5 месяца

    Несколько месяцев назад я делал плановую проверку кодовой базы на одном из проектов и нашёл обфусцированный код в файле vite.config.js . Он был на той же строке что и закрывающий }; , но сдвинут вправо на несколько сотен пробелов — туда, куда ни один diff-вьюер не прокрутит и ни один редактор не покажет без горизонтального скролла. Я пошёл смотреть через git log — какой коммит это принёс. Оказался merge-коммит. Не обычный коммит в ветке — именно merge. И вот тут началось интересное.

    habr.com/ru/articles/1018124/

    #git #security #supply_chain_attack #evil_merge #open_source

  30. Атаки на цепочку поставки ПО: виды угроз и как с ними бороться

    Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений . В случае с атаками в open source злоумышленники эксплуатируют доверие к публичным репозиториям, человеческий фактор и сложность зависимостей, внедряя вредоносный код в тысячи проектов одновременно. Последствия варьируются от единичной кражи секретов до компрометации целых экосистем с глобальными экономическими потерями. Только за 2025 год они оцениваются в $60 млрд и прогнозируются на уровне $138 млрд в ближайшие годы.

    habr.com/ru/companies/codescor

    #open_source #supply_chain_attack #devsecops #typosquatting #malware

  31. Атаки на цепочку поставки ПО: виды угроз и как с ними бороться

    Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений . В случае с атаками в open source злоумышленники эксплуатируют доверие к публичным репозиториям, человеческий фактор и сложность зависимостей, внедряя вредоносный код в тысячи проектов одновременно. Последствия варьируются от единичной кражи секретов до компрометации целых экосистем с глобальными экономическими потерями. Только за 2025 год они оцениваются в $60 млрд и прогнозируются на уровне $138 млрд в ближайшие годы.

    habr.com/ru/companies/codescor

    #open_source #supply_chain_attack #devsecops #typosquatting #malware

  32. Атаки на цепочку поставки ПО: виды угроз и как с ними бороться

    Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений . В случае с атаками в open source злоумышленники эксплуатируют доверие к публичным репозиториям, человеческий фактор и сложность зависимостей, внедряя вредоносный код в тысячи проектов одновременно. Последствия варьируются от единичной кражи секретов до компрометации целых экосистем с глобальными экономическими потерями. Только за 2025 год они оцениваются в $60 млрд и прогнозируются на уровне $138 млрд в ближайшие годы.

    habr.com/ru/companies/codescor

    #open_source #supply_chain_attack #devsecops #typosquatting #malware

  33. Атаки на цепочку поставки ПО: виды угроз и как с ними бороться

    Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений . В случае с атаками в open source злоумышленники эксплуатируют доверие к публичным репозиториям, человеческий фактор и сложность зависимостей, внедряя вредоносный код в тысячи проектов одновременно. Последствия варьируются от единичной кражи секретов до компрометации целых экосистем с глобальными экономическими потерями. Только за 2025 год они оцениваются в $60 млрд и прогнозируются на уровне $138 млрд в ближайшие годы.

    habr.com/ru/companies/codescor

    #open_source #supply_chain_attack #devsecops #typosquatting #malware

  34. Prompt Worms Часть 2: Я проверил на практике — 31 уязвимость в экосистеме AI-агента

    В первой части мы разобрали теорию Prompt Worms — самореплицирующихся атак через AI-агентов. OpenClaw был назван «идеальным носителем». В этой части я проверил на практике: скачал репозиторий, залез в код, прощупал инфраструктуру и нашёл 31 уязвимость в 4 слоях экосистемы. Ноль санитизации на 867 строк мозга, timeout вместо approval, бэкдор-«пасхалка» в коде, утечка хешей паролей в маркетплейсном SaaS, и 14 слепых зон в их собственной threat model. Три дня, ~4,500 строк трассировки, 14 kill chains с PoC

    habr.com/ru/articles/994230/

    #prompt_injection #ai_agents #llmattack #openclaw #ai_security #threat_model #supply_chain_attack #mitre_atlas #pentesting #prompt_worms

  35. Prompt Worms Часть 2: Я проверил на практике — 31 уязвимость в экосистеме AI-агента

    В первой части мы разобрали теорию Prompt Worms — самореплицирующихся атак через AI-агентов. OpenClaw был назван «идеальным носителем». В этой части я проверил на практике: скачал репозиторий, залез в код, прощупал инфраструктуру и нашёл 31 уязвимость в 4 слоях экосистемы. Ноль санитизации на 867 строк мозга, timeout вместо approval, бэкдор-«пасхалка» в коде, утечка хешей паролей в маркетплейсном SaaS, и 14 слепых зон в их собственной threat model. Три дня, ~4,500 строк трассировки, 14 kill chains с PoC

    habr.com/ru/articles/994230/

    #prompt_injection #ai_agents #llmattack #openclaw #ai_security #threat_model #supply_chain_attack #mitre_atlas #pentesting #prompt_worms

  36. Prompt Worms Часть 2: Я проверил на практике — 31 уязвимость в экосистеме AI-агента

    В первой части мы разобрали теорию Prompt Worms — самореплицирующихся атак через AI-агентов. OpenClaw был назван «идеальным носителем». В этой части я проверил на практике: скачал репозиторий, залез в код, прощупал инфраструктуру и нашёл 31 уязвимость в 4 слоях экосистемы. Ноль санитизации на 867 строк мозга, timeout вместо approval, бэкдор-«пасхалка» в коде, утечка хешей паролей в маркетплейсном SaaS, и 14 слепых зон в их собственной threat model. Три дня, ~4,500 строк трассировки, 14 kill chains с PoC

    habr.com/ru/articles/994230/

    #prompt_injection #ai_agents #llmattack #openclaw #ai_security #threat_model #supply_chain_attack #mitre_atlas #pentesting #prompt_worms

  37. Prompt Worms Часть 2: Я проверил на практике — 31 уязвимость в экосистеме AI-агента

    В первой части мы разобрали теорию Prompt Worms — самореплицирующихся атак через AI-агентов. OpenClaw был назван «идеальным носителем». В этой части я проверил на практике: скачал репозиторий, залез в код, прощупал инфраструктуру и нашёл 31 уязвимость в 4 слоях экосистемы. Ноль санитизации на 867 строк мозга, timeout вместо approval, бэкдор-«пасхалка» в коде, утечка хешей паролей в маркетплейсном SaaS, и 14 слепых зон в их собственной threat model. Три дня, ~4,500 строк трассировки, 14 kill chains с PoC

    habr.com/ru/articles/994230/

    #prompt_injection #ai_agents #llmattack #openclaw #ai_security #threat_model #supply_chain_attack #mitre_atlas #pentesting #prompt_worms

  38. Distroless приложения (VM/bare-metal)

    Некоторые языки программирования (например, Go и Zig) позволяют собрать приложение без каких-либо зависимостей, в том числе отвязаться от libc, тем самым создание distroless-контейнера на Go становится тривиальной задачей. Но эта же особенность может быть применена не только для создания контейнера, но и для запуска такого приложения в VM или на реальном хосте не используя какой-либо дистрибутив Linux, а используя только ядро Linux и само приложение, построенное с помощью Go (или, например, Zig). Такая возможность позволяет избавиться от дополнительных зависимостей, которые добавляют потенциальные риски с точки зрения атаки на цепочку поставок (supply chain attack).

    habr.com/ru/articles/949168/

    #distroless #embedded #supply_chain_attack

  39. Distroless приложения (VM/bare-metal)

    Некоторые языки программирования (например, Go и Zig) позволяют собрать приложение без каких-либо зависимостей, в том числе отвязаться от libc, тем самым создание distroless-контейнера на Go становится тривиальной задачей. Но эта же особенность может быть применена не только для создания контейнера, но и для запуска такого приложения в VM или на реальном хосте не используя какой-либо дистрибутив Linux, а используя только ядро Linux и само приложение, построенное с помощью Go (или, например, Zig). Такая возможность позволяет избавиться от дополнительных зависимостей, которые добавляют потенциальные риски с точки зрения атаки на цепочку поставок (supply chain attack).

    habr.com/ru/articles/949168/

    #distroless #embedded #supply_chain_attack

  40. Distroless приложения (VM/bare-metal)

    Некоторые языки программирования (например, Go и Zig) позволяют собрать приложение без каких-либо зависимостей, в том числе отвязаться от libc, тем самым создание distroless-контейнера на Go становится тривиальной задачей. Но эта же особенность может быть применена не только для создания контейнера, но и для запуска такого приложения в VM или на реальном хосте не используя какой-либо дистрибутив Linux, а используя только ядро Linux и само приложение, построенное с помощью Go (или, например, Zig). Такая возможность позволяет избавиться от дополнительных зависимостей, которые добавляют потенциальные риски с точки зрения атаки на цепочку поставок (supply chain attack).

    habr.com/ru/articles/949168/

    #distroless #embedded #supply_chain_attack

  41. Distroless приложения (VM/bare-metal)

    Некоторые языки программирования (например, Go и Zig) позволяют собрать приложение без каких-либо зависимостей, в том числе отвязаться от libc, тем самым создание distroless-контейнера на Go становится тривиальной задачей. Но эта же особенность может быть применена не только для создания контейнера, но и для запуска такого приложения в VM или на реальном хосте не используя какой-либо дистрибутив Linux, а используя только ядро Linux и само приложение, построенное с помощью Go (или, например, Zig). Такая возможность позволяет избавиться от дополнительных зависимостей, которые добавляют потенциальные риски с точки зрения атаки на цепочку поставок (supply chain attack).

    habr.com/ru/articles/949168/

    #distroless #embedded #supply_chain_attack

  42. Атака через заброшенные бакеты

    Пример ссылки на удалённый бакет termis с государственного сайта, источник В связи с развитием технологий каждый год появляются принципиально новые способы атаки, которые раньше никому в голову не приходили и/или не были возможны технически. Например, в 2025 году впервые в истории исследователи провели атаку через заброшенные бакеты S3 . Это разновидность атаки на цепочку поставок , как пресловутый случай SolarWinds . Такие действия злоумышленников практически невозможно детектировать стандартными инструментами безопасности, поэтому те могут незаметно работать годами. Взлом доверенных бакетов означает автоматический доступ к тысячам компаний и организаций, которые скачивают оттуда софт: обновления, исходный код, опенсорсные библиотеки и т. д.

    habr.com/ru/companies/globalsi

    #заброшенный_бакет #цепочка_поставок #supply_chain_attack #объектное_хранилище

  43. Атака через заброшенные бакеты

    Пример ссылки на удалённый бакет termis с государственного сайта, источник В связи с развитием технологий каждый год появляются принципиально новые способы атаки, которые раньше никому в голову не приходили и/или не были возможны технически. Например, в 2025 году впервые в истории исследователи провели атаку через заброшенные бакеты S3 . Это разновидность атаки на цепочку поставок , как пресловутый случай SolarWinds . Такие действия злоумышленников практически невозможно детектировать стандартными инструментами безопасности, поэтому те могут незаметно работать годами. Взлом доверенных бакетов означает автоматический доступ к тысячам компаний и организаций, которые скачивают оттуда софт: обновления, исходный код, опенсорсные библиотеки и т. д.

    habr.com/ru/companies/globalsi

    #заброшенный_бакет #цепочка_поставок #supply_chain_attack #объектное_хранилище

  44. Атака через заброшенные бакеты

    Пример ссылки на удалённый бакет termis с государственного сайта, источник В связи с развитием технологий каждый год появляются принципиально новые способы атаки, которые раньше никому в голову не приходили и/или не были возможны технически. Например, в 2025 году впервые в истории исследователи провели атаку через заброшенные бакеты S3 . Это разновидность атаки на цепочку поставок , как пресловутый случай SolarWinds . Такие действия злоумышленников практически невозможно детектировать стандартными инструментами безопасности, поэтому те могут незаметно работать годами. Взлом доверенных бакетов означает автоматический доступ к тысячам компаний и организаций, которые скачивают оттуда софт: обновления, исходный код, опенсорсные библиотеки и т. д.

    habr.com/ru/companies/globalsi

    #заброшенный_бакет #цепочка_поставок #supply_chain_attack #объектное_хранилище

  45. Атака через заброшенные бакеты

    Пример ссылки на удалённый бакет termis с государственного сайта, источник В связи с развитием технологий каждый год появляются принципиально новые способы атаки, которые раньше никому в голову не приходили и/или не были возможны технически. Например, в 2025 году впервые в истории исследователи провели атаку через заброшенные бакеты S3 . Это разновидность атаки на цепочку поставок , как пресловутый случай SolarWinds . Такие действия злоумышленников практически невозможно детектировать стандартными инструментами безопасности, поэтому те могут незаметно работать годами. Взлом доверенных бакетов означает автоматический доступ к тысячам компаний и организаций, которые скачивают оттуда софт: обновления, исходный код, опенсорсные библиотеки и т. д.

    habr.com/ru/companies/globalsi

    #заброшенный_бакет #цепочка_поставок #supply_chain_attack #объектное_хранилище

  46. Проникновение в Jenkins или история одного взлома

    Временами получается поучаствовать в разгребании последствий «взломов с проникновением» в чужие ИТ-системы, по итогам одного такого расследования и была написана эта статья. Восстановил для вас полную картину.

    habr.com/ru/articles/891456/

    #jenkins #jenkins_ci #supply_chain #supply_chain_attack #supply_chain_compromise #java

  47. Проникновение в Jenkins или история одного взлома

    Временами получается поучаствовать в разгребании последствий «взломов с проникновением» в чужие ИТ-системы, по итогам одного такого расследования и была написана эта статья. Восстановил для вас полную картину.

    habr.com/ru/articles/891456/

    #jenkins #jenkins_ci #supply_chain #supply_chain_attack #supply_chain_compromise #java

  48. Проникновение в Jenkins или история одного взлома

    Временами получается поучаствовать в разгребании последствий «взломов с проникновением» в чужие ИТ-системы, по итогам одного такого расследования и была написана эта статья. Восстановил для вас полную картину.

    habr.com/ru/articles/891456/

    #jenkins #jenkins_ci #supply_chain #supply_chain_attack #supply_chain_compromise #java

  49. Проникновение в Jenkins или история одного взлома

    Временами получается поучаствовать в разгребании последствий «взломов с проникновением» в чужие ИТ-системы, по итогам одного такого расследования и была написана эта статья. Восстановил для вас полную картину.

    habr.com/ru/articles/891456/

    #jenkins #jenkins_ci #supply_chain #supply_chain_attack #supply_chain_compromise #java