Специалисты GitHub рассказали об уязвимостях в npm
Материнская компания npm (Node Package Manager), GitHub, сообщила о двух серьезных уязвимостях, выявленных в JavaScript-мене…
Малварь обнаружена в двух пакетах npm, еженедельно загружаемых 22 млн раз
Команда безопасности npm предупредила пользователей о том, что одни из самых популярных пакетов (coa и rc) были захвачены зл…
Обнаружены вредоносные npm-пакеты, связанные с Roblox
Хакеры вновь опубликовали в JavaScript-менеджере пакетов npm (Node Package Manager) две вредоносные библиотеки. На этот раз …
Взломан npm-пакет, который еженедельно скачивают миллионы раз
В популярную JavaScript-библиотеку UA-Parser-JS внедрили вредоносный код, который загружал и устанавливал в системы пользова…
ВзломХардкор
HTB CrossfitTwo. Применяем на практике UNION SQL Injection, DNS rebinding и NPM Planting
Сегодня мы поработаем с технологией WebSocket, проэксплуатируем UNION SQL Injection, проведем атаку DNS rebinding, заюзаем багу в приложении на Node.js и разберемся с тем, как авторизоваться на хосте при помощи YubiKey. Все это позволит нам захватить машину Crossfit 2 с площадки Hack The Box уровня сложности Insane.
В трех пакетах npm обнаружен криптовалютный майнер
Специалисты компании Sonatype нашли очередную малварь в JavaScript-менеджере пакетов npm (Node Package Manager). На этот раз…
GitHub: на устранение уязвимостей в некоторых экосистемах нужны годы
Новый отчет GitHub демонстрирует, что зачастую разработчикам требуются годы для устранения уязвимостей, появившихся в их про…
Вредоносный пакет npm устанавливал на зараженные машины троян njRAT
В JavaScript-менеджере пакетов npm (Node Package Manager) обнаружили очередную малварь. На этот раз разработчики, установивш…
Еще один пакет npm воровал информацию из браузеров и Discord
Исследователи Sonatype обнаружили вредоносную библиотеку discord.dll, предназначенную для кражи конфиденциальных файлов из б…
NPM Hijacking. Встраиваем произвольный код в приложения на Node.js
С веб‑страниц JavaScript пришел на серверы, а с серверов — на десктопы, и старые баги заиграли новыми красками. В этой статье я покажу, как работает NPM Hijacking (Planting) — уязвимость Node.js, которая нашлась во многих популярных приложениях, среди которых Discord и VS Code.
Обнаружен еще один вредоносный пакет npm с бэкдором
Специалисты по безопасности удалили вредоносную JavaScript-библиотеку twilio-npm с сайта npm. Библиотека содержала вредонос…
Четыре пакета npm собирали данные пользователей
Специалисты выявили четыре пакета npm, которые собирали и отправляли своим создателям такие данные о пользовательских машина…
Вредоносный пакет npm воровал файлы Discord и браузеров
Команда безопасности популярнейшего JavaScript-менеджера пакетов npm обнаружила вредоносный пакет fallguys, якобы предназнач…
GitHub покупает NPM
На этой неделе принадлежащая Microsoft компания GitHub объявила о намерении купить NPM Inc, управляющую репозиторием npm, ко…
Вредоносный пакет npm похищал данные из UNIX-систем
Команда безопасности в npm обнаружила вредоносный пакет 1337qq-js, похищавший конфиденциальные данные из UNIX-систем.
Лишь 9,27% npm-разработчиков используют двухфакторную аутентификацию
Команда безопасности npm рассказывает, что менее 10% разработчиков JavaScript-библиотек используют двухфакторную аутентифика…
Уязвимость в npm позволяла размещать или модифицировать файлы на машине жертвы
В популярнейшем JavaScript-менеджере пакетов npm (Node Package Manager) была обнаружена уязвимость, и теперь пользователей п…
Бэкдоры найдены в 11 Ruby-библиотеках
Сотрудники RubyGems очистили репозиторий от 18 вредоносных версий 11 библиотек, в которых был обнаружен бэкдор.
В JavaScript-библиотеке event-stream обнаружен бэкдор для кражи криптовалюты с кошельков Copay
Злоумышленник внедрил в популярную библиотеку вредоносный код, похищавший Bitcoin и Bitcoin Cash с кошельков Copay.
Баг в обновлении Node Package Manager приводит Linux-системы в нерабочее состояние
Из-за бага в новой версии Node Package Manager изменяется владелец таких критически важных папок, как /etc, /usr, /boot, пос…
Удаление утилиты Kik привлекло внимание сообщества к серьезным проблемам менеджера пакетов Node.js
Неожиданное развитие получила история разработчика Азера Кочулу, который на прошлой неделе удалил из менеджера пакетов Node.…
Обиженный программист заблокировал установку тысяч проектов с открытыми исходниками
Для того, чтобы поставить на колени популярный пакетный менеджер и сделать невозможной установку тысяч модулей, хватило один…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире