Не станьте звеном в атаке через цепочку поставок
Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Атаки на open source чаще всего сводятся к публикации новых вредоносных пакетов в репозиториях. Атака, произошедшая 14 марта, из другой лиги — злоумышленники скомпрометировали популярный процесс (GitHub Action) tj-actions/changed-files, который применяется более чем в 23000 репозиториев. Инцидент получил номер CVE-2025-30066, этой уязвимости подвержены все репозитории, в которых использовался заражённый процесс changed-files. Хотя администрация заблокировала changed-files, а затем откатила его к безопасной версии, все, кто пользовался им должны провести реагирование на инцидент, а сообщество разработчиков — извлечь из него более общие уроки.
Что такое GitHub Actions
Рабочие процессы (GitHub Actions) упрощают разработку ПО при помощи автоматизации типовых задач DevOps. Они могут стартовать при наступлении каких-то событий в GitHub, например коммитов. У GitHub есть условный «магазин приложений», в котором можно взять готовый процесс и применить его в своём репозитории, например популярны процессы для автоматической инсталляции вспомогательных инструментов. Чтобы интегрировать в свой сборочный конвейер CI/CD такой готовый процесс GitHub, достаточно всего одной строчки кода.
View the full article
-
Автор KL FC Bot
Атака на цепочку поставок может свести на нет все усилия по обеспечению безопасности инфраструктуры компании. Предотвратить подобные атаки крайне непросто — ведь значительная часть действий злоумышленников происходят в инфраструктуре неподконтрольной ИБ-службе конечной цели. Это делает атаки на цепочку поставок одной из самых опасных угроз последних лет. Сегодня мы поговорим о масштабных инцидентах такого рода, которые привлекли наше внимание в 2024 году.
Январь 2024: вредоносные npm-пакеты на GitHub воровали SSH-ключи у сотен разработчиков
Первой значительной атакой на цепочку поставок в 2024 году стал инцидент с вредоносными npm-пакетами, которые в начале января были загружены на GitHub. Основной задачей модулей под названиями warbeast2000 и kodiak2k был поиск в зараженных системах SSH-ключей и их отправка создателям зловредов. Также некоторые версии пакета kodiak2k были дополнены скриптом для запуска Mimikatz — инструмента для поиска паролей в памяти.
Всего злоумышленники успели опубликовать восемь версий warbeast2000 и более тридцати версий kodiak2k. К моменту обнаружения и удаления из репозитория вредоносные пакеты успели набрать 412 и 1281 загрузку соответственно — так что потенциально речь может идти о нескольких сотнях пострадавших разработчиков.
View the full article
-
Автор Sandynist
Добрый день!
Каждый раз при открытии Алика (https://aliexpress.ru/) такая вот картинка.
Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя приложения: opera.exe Путь к приложению: C:\Users\Home7\AppData\Local\Programs\Opera Компонент: Интернет-защита Описание результата: Запрещено Имя объекта: rap.skcrtxr.com Причина: Этот сертификат или один из сертификатов в цепочке устарел. И непонятно — это что? И что с этим всем делать?
-
Автор foroven
Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
-
Автор KL FC Bot
Чуть больше года назад в посте Google OAuth и фантомные аккаунты мы уже обсуждали, что использование опции «Вход с аккаунтом Google» в корпоративные сервисы дает возможность сотрудникам создавать фантомные Google-аккаунты, которые не контролируются администратором корпоративного Google Workspace и продолжают работать после оффбординга. Недавно выяснилось, что это не единственная проблема, связанная с OAuth. Из-за недостатков этого механизма аутентификации любой желающий может получить доступ к данным многих прекративших деятельность организаций, перерегистрировав на себя брошенные компаниями домены. Рассказываем подробнее об этой атаке.
Как работает аутентификация при использовании «Вход с аккаунтом Google»
Некоторые могут подумать, что, доверяя опции «Вход с аккаунтом Google», компания получает надежный механизм аутентификации, использующий продвинутые технологии Google и широкие возможности интернет-гиганта по мониторингу пользователей. Однако на деле это не так: при входе с Google OAuth применяется достаточно примитивная проверка. Сводится она, как правило, к тому, что у пользователя есть доступ к почтовому адресу, который привязан к Google Workspace организации.
Причем, как мы уже говорили в предыдущем материале о Google OAuth, это вовсе не обязательно Gmail — ведь привязать Google-аккаунт можно совершенно к любой почте. Получается, что при использовании «Входа с аккаунтом Google» доступ к тому или иному корпоративному сервису защищен ровно настолько надежно, насколько защищен почтовый адрес, к которому привязан Google-аккаунт.
Если говорить несколько более подробно, то при аутентификации пользователя в корпоративном сервисе Google OAuth отправляет этому сервису следующую информацию:
В теории в ID-токене Google OAuth есть уникальный для каждого Google-аккаунта параметр sub, но на практике из-за проблем с его использованием сервисы проверяют лишь домен и адрес электронной почты. Источник
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти