Наступило то самое время: до нового года остались считаные дни, и со всех сторон слышится «давай после праздников». Значит, пришла пора подводить итоги и вспомнить, какими событиями был наполнен уходящий 2024-й. Мы уже выбрали победителей в одиннадцати номинациях и подготовили для тебя традиционную подборку самых значимых атак, фейлов, уязвимостей, взломов и других ярких моментов уходящего года.
Сегодня поговорим о самых классных ресерчах этого года. Принципы защищенного дизайна от Google, анализ зиродеев, уязвимые пакеты в PyPI и NPM, лучшие доклады с конференций RSA и Black Hat.
В npm нашли сразу 20 вредоносных пакетов, выдающих себя за среду разработки Hardhat, которую используют Ethereum-разработчик…
Сразу три популярных в npm пакета были взломаны и заменены вредоносными версиями, содержащими криптовалютные майнеры. Дело в…
Эксперты Checkmarx и Datadog Security Labs выявили сложную атаку на цепочку поставок, которая длится уже более года. Злоумыш…
В репозитории npm обнаружено несколько вредоносных пакетов, нацеленных на разработчиков Roblox. При помощи опенсорсных стиле…
ИБ-исследователи обнаружили новую партию вредоносных пакетов в репозитории npm. Злоумышленники используют тайпсквоттинг, что…
Исследователи обнаружили ряд подозрительных пакетов в npm и выяснили, что те были созданы для сбора приватных ключей Ethereu…
По данным Fortinet FortiGuard Labs, в репозитории npm было обнаружено более трех десятков вредоносных пакетов, предназначенн…
По данным аналитиков компании Checkmarx, за последние месяцы сразу два неназванных банка стали жертвами атак на опенсорсную …
Аналитики Checkmarx заметили, что репозиторий npm заполонили более 15 000 пакетов с «мусорными» ссылками. Злоумышленники исп…
Аналитики компаний Checkmarx и Illustria обнаружили, что неизвестные злоумышленники загрузили 144 294 фишинговых пакета в оп…
В этом райтапе я покажу, как создать свой реестр NPM и разместить с ним вредоносный пакет для захвата удаленной машины. Но начнем мы с SQL-инъекции, а затем заюзаем известную RCE для повышения привилегий.
Компания Aqua Security, занимающаяся безопасностью контейнерных и облачных приложений, предупреждает, что существование прив…
Неизвестные злоумышленники скомпрометировали аккаунт одного из разработчиков криптовалютной биржи dYdX и внедрили вредоносны…
Специалисты ReversingLabs обнаружили вредоносный npm-пакет, маскирующийся под легитимную библиотеку CSS-фреймворка Material …
Эксперты снова обнаружили малварь в репозиториях PyPI и npm. На этот раз выяснилось, что более 200 пакетов используют тайпск…
Специалисты «Лаборатории Касперского» обнаружили кампанию LofyLife, в рамках которой распространяются вредоносные npm-пакеты…
Израильская компания Checkmarx обнаружила масштабную майнинговую кампанию, которая была нацелена на репозиторий NPM и получ…
Около двух десятков пакетов NPM воровали данные из форм, встроенных в мобильные приложения и сайты, с декабря 2021 года. Экс…
Представители GitHub сообщают, что детально изучили недавнюю атаку, в ходе которой неизвестные лица использовали ворованные …
Опенсосрный проект GradeJS позволяет анализировать «собранный» код сайтов, без доступа к оригинальному исходному коду. Серви…
Эксперты Open Source Security Foundation (OpenSSF), поддерживаемого Linux Foundation, анонсировали новый проект, целью котор…
Разработчики GitHub сообщили, что неизвестные лица использовали ворованные токены OAuth (выпущенные Heroku и Travis-CI) для …
Специалисты Checkmarx предупреждают, что хакеры полностью автоматизировали создание и доставку в экосистему npm сотен вредон…
Эксперты обнаружили новую масштабную атаку на цепочку поставок, нацеленную на Azure-разработчиков. Вредоносная кампания вклю…
Разработчик популярного npm-пакета node-ipc выпустил обновленные версии своей библиотеки и в обновлении выразил свой протест…
ИБ-компания JFrog сообщила, что обнаружила и помогла удалить из официального репозитория npm 25 вредоносных JavaScript-библи…
Из-за участившихся атак на цепочку поставок и взломов администраторы Node Package Manager (npm) приняли решение обязать влад…
Исследователи обнаружили еще 17 вредоносных пакетов в репозитории npm. На этот раз малварь похищала учетные данные, токены, …
Материнская компания npm (Node Package Manager), GitHub, сообщила о двух серьезных уязвимостях, выявленных в JavaScript-мене…
Команда безопасности npm предупредила пользователей о том, что одни из самых популярных пакетов (coa и rc) были захвачены зл…
Хакеры вновь опубликовали в JavaScript-менеджере пакетов npm (Node Package Manager) две вредоносные библиотеки. На этот раз …
В популярную JavaScript-библиотеку UA-Parser-JS внедрили вредоносный код, который загружал и устанавливал в системы пользова…
Специалисты компании Sonatype нашли очередную малварь в JavaScript-менеджере пакетов npm (Node Package Manager). На этот раз…
Сегодня мы поработаем с технологией WebSocket, проэксплуатируем UNION SQL Injection, проведем атаку DNS rebinding, заюзаем багу в приложении на Node.js и разберемся с тем, как авторизоваться на хосте при помощи YubiKey. Все это позволит нам захватить машину Crossfit 2 с площадки Hack The Box уровня сложности Insane.
Новый отчет GitHub демонстрирует, что зачастую разработчикам требуются годы для устранения уязвимостей, появившихся в их про…
В JavaScript-менеджере пакетов npm (Node Package Manager) обнаружили очередную малварь. На этот раз разработчики, установивш…
Исследователи Sonatype обнаружили вредоносную библиотеку discord.dll, предназначенную для кражи конфиденциальных файлов из б…
Специалисты по безопасности удалили вредоносную JavaScript-библиотеку twilio-npm с сайта npm. Библиотека содержала вредонос…
Сайт защищен Qrator —
