Вредоносные пакеты NPM опять воруют токены Discord
Специалисты «Лаборатории Касперского» обнаружили кампанию LofyLife, в рамках которой распространяются вредоносные npm-пакеты…
Майнинговая кампания CuteBoi затронула более 1200 пакетов NPM
Израильская компания Checkmarx обнаружила масштабную майнинговую кампанию, которая была нацелена на репозиторий NPM и получ…
От новой партии вредоносных пакетов NPM пострадали сотни приложений и сайтов
Около двух десятков пакетов NPM воровали данные из форм, встроенных в мобильные приложения и сайты, с декабря 2021 года. Экс…
GitHub: хакеры похитили учетные данные 100 000 пользователей npm
Представители GitHub сообщают, что детально изучили недавнюю атаку, в ходе которой неизвестные лица использовали ворованные …
Опенсорсный проект GradeJS поможет найти уязвимости в npm-пакетах
Опенсосрный проект GradeJS позволяет анализировать «собранный» код сайтов, без доступа к оригинальному исходному коду. Серви…
В OpenSSF создали инструмент для поиска малвари в опенсорсных репозиториях
Эксперты Open Source Security Foundation (OpenSSF), поддерживаемого Linux Foundation, анонсировали новый проект, целью котор…
GitHub: хакеры проникли в чужие репозитории с помощью токенов OAuth
Разработчики GitHub сообщили, что неизвестные лица использовали ворованные токены OAuth (выпущенные Heroku и Travis-CI) для …
Исследователи обнаружили «фабрику» вредоносных пакетов npm
Специалисты Checkmarx предупреждают, что хакеры полностью автоматизировали создание и доставку в экосистему npm сотен вредон…
Более 200 пакетов npm атаковали Azure-разработчиков
Эксперты обнаружили новую масштабную атаку на цепочку поставок, нацеленную на Azure-разработчиков. Вредоносная кампания вклю…
Популярный npm-пакет удаляет файлы в системах разработчиков из России и Беларуси
Разработчик популярного npm-пакета node-ipc выпустил обновленные версии своей библиотеки и в обновлении выразил свой протест…
Из npm удалено еще 25 вредоносных пакетов
ИБ-компания JFrog сообщила, что обнаружила и помогла удалить из официального репозитория npm 25 вредоносных JavaScript-библи…
Разработчиков топ-100 пакетов npm обязали использовать 2ФА
Из-за участившихся атак на цепочку поставок и взломов администраторы Node Package Manager (npm) приняли решение обязать влад…
17 пакетов npm воровали токены Discord
Исследователи обнаружили еще 17 вредоносных пакетов в репозитории npm. На этот раз малварь похищала учетные данные, токены, …
Специалисты GitHub рассказали об уязвимостях в npm
Материнская компания npm (Node Package Manager), GitHub, сообщила о двух серьезных уязвимостях, выявленных в JavaScript-мене…
Малварь обнаружена в двух пакетах npm, еженедельно загружаемых 22 млн раз
Команда безопасности npm предупредила пользователей о том, что одни из самых популярных пакетов (coa и rc) были захвачены зл…
Обнаружены вредоносные npm-пакеты, связанные с Roblox
Хакеры вновь опубликовали в JavaScript-менеджере пакетов npm (Node Package Manager) две вредоносные библиотеки. На этот раз …
Взломан npm-пакет, который еженедельно скачивают миллионы раз
В популярную JavaScript-библиотеку UA-Parser-JS внедрили вредоносный код, который загружал и устанавливал в системы пользова…
В трех пакетах npm обнаружен криптовалютный майнер
Специалисты компании Sonatype нашли очередную малварь в JavaScript-менеджере пакетов npm (Node Package Manager). На этот раз…
ВзломХардкор
HTB CrossfitTwo. Применяем на практике UNION SQL Injection, DNS rebinding и NPM Planting
Сегодня мы поработаем с технологией WebSocket, проэксплуатируем UNION SQL Injection, проведем атаку DNS rebinding, заюзаем багу в приложении на Node.js и разберемся с тем, как авторизоваться на хосте при помощи YubiKey. Все это позволит нам захватить машину Crossfit 2 с площадки Hack The Box уровня сложности Insane.
GitHub: на устранение уязвимостей в некоторых экосистемах нужны годы
Новый отчет GitHub демонстрирует, что зачастую разработчикам требуются годы для устранения уязвимостей, появившихся в их про…
Вредоносный пакет npm устанавливал на зараженные машины троян njRAT
В JavaScript-менеджере пакетов npm (Node Package Manager) обнаружили очередную малварь. На этот раз разработчики, установивш…
Еще один пакет npm воровал информацию из браузеров и Discord
Исследователи Sonatype обнаружили вредоносную библиотеку discord.dll, предназначенную для кражи конфиденциальных файлов из б…
Обнаружен еще один вредоносный пакет npm с бэкдором
Специалисты по безопасности удалили вредоносную JavaScript-библиотеку twilio-npm с сайта npm. Библиотека содержала вредонос…
NPM Hijacking. Встраиваем произвольный код в приложения на Node.js
С веб‑страниц JavaScript пришел на серверы, а с серверов — на десктопы, и старые баги заиграли новыми красками. В этой статье я покажу, как работает NPM Hijacking (Planting) — уязвимость Node.js, которая нашлась во многих популярных приложениях, среди которых Discord и VS Code.
Четыре пакета npm собирали данные пользователей
Специалисты выявили четыре пакета npm, которые собирали и отправляли своим создателям такие данные о пользовательских машина…
Вредоносный пакет npm воровал файлы Discord и браузеров
Команда безопасности популярнейшего JavaScript-менеджера пакетов npm обнаружила вредоносный пакет fallguys, якобы предназнач…
GitHub покупает NPM
На этой неделе принадлежащая Microsoft компания GitHub объявила о намерении купить NPM Inc, управляющую репозиторием npm, ко…
Вредоносный пакет npm похищал данные из UNIX-систем
Команда безопасности в npm обнаружила вредоносный пакет 1337qq-js, похищавший конфиденциальные данные из UNIX-систем.
Лишь 9,27% npm-разработчиков используют двухфакторную аутентификацию
Команда безопасности npm рассказывает, что менее 10% разработчиков JavaScript-библиотек используют двухфакторную аутентифика…
Уязвимость в npm позволяла размещать или модифицировать файлы на машине жертвы
В популярнейшем JavaScript-менеджере пакетов npm (Node Package Manager) была обнаружена уязвимость, и теперь пользователей п…
Бэкдоры найдены в 11 Ruby-библиотеках
Сотрудники RubyGems очистили репозиторий от 18 вредоносных версий 11 библиотек, в которых был обнаружен бэкдор.
В JavaScript-библиотеке event-stream обнаружен бэкдор для кражи криптовалюты с кошельков Copay
Злоумышленник внедрил в популярную библиотеку вредоносный код, похищавший Bitcoin и Bitcoin Cash с кошельков Copay.
Баг в обновлении Node Package Manager приводит Linux-системы в нерабочее состояние
Из-за бага в новой версии Node Package Manager изменяется владелец таких критически важных папок, как /etc, /usr, /boot, пос…
Удаление утилиты Kik привлекло внимание сообщества к серьезным проблемам менеджера пакетов Node.js
Неожиданное развитие получила история разработчика Азера Кочулу, который на прошлой неделе удалил из менеджера пакетов Node.…
Обиженный программист заблокировал установку тысяч проектов с открытыми исходниками
Для того, чтобы поставить на колени популярный пакетный менеджер и сделать невозможной установку тысяч модулей, хватило один…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире