Исследователи из Socket выявили атаку на цепочку поставок, связанную с мимикрией (клонированием) популярных библиотек Node.js. Эти библиотеки широко используются во множестве приложений, что делает их привлекательными для злоумышленников. Это подчёркивает необходимость внедрения решений, таких как SafeERP, для реализации процесса безопасной разработки — DevSecOps.
Руководитель лаборатории исследований кибербезопасности «Газинформсервис» Вадим Матвиенко предупреждает, что атаки на цепочку поставок остаются самыми популярными и для минимизации рисков в разработке программного обеспечения организациям следует внедрять подходы DevSecOps, интегрируя безопасность на всех этапах жизненного цикла.
«Атаки на цепочку поставок остаются одним из самых распространённых методов, используемых злоумышленниками. Популярные библиотеки Node.js, например chokidar и chalk, были использованы для создания различных ресурсов и приложений, таких как Microsoft Visual Studio Code, Gulp, Karma, Webpack. Они упрощают разработку, улучшая пользовательский опыт и обеспечивая удобство в процессе. Однако недавний случай с мимикрией (клонированием) этих популярных библиотек с вредоносным кодом представляет серьёзную угрозу для компаний по всему миру. Чтобы минимизировать риски при разработке программного обеспечения, необходимо выстроить процесс безопасной разработки — DevSecOps. Одним из мощных инструментов для его реализации является программный комплекс SafeERP от компании "Газинформсервис"», — подчеркнул Вадим Матвиенко.
Организации, добивающиеся успеха во внедрении искусственного интеллекта, инвестируют в фундаментальные направления, такие как качество данных, управление данными, подготовка персонала и управление изменениями — до четырех раз больше (в доле от выручки), чем компании с неудачными ИИ-инициативами.
Александр Михайлов, руководитель GSOC компании «Газинформсервис», констатирует появление новой глобальной угрозы: киберпреступники все чаще используют взлом ИТ-инфраструктуры транспортно-логистических компаний для организации физических краж грузов.
Компания «Инфосистемы Джет» представила результаты ежегодного исследования рынка информационной безопасности, в котором приняли участие руководители 255 крупных организаций.
Взаимная технологическая совместимость PT Data Security, единственной в России платформы безопасности данных и объектного S3 -хранилища Закрома подтверждена в ходе испытаний.
Более 30 плагинов из пакета EssentialPlugin оказались скомпрометированы вредоносным кодом, который давал посторонним доступ к сайтам на WordPress.
Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки.
Microsoft с апреля 2026 года меняет поведение Remote Desktop Connection при открытии rdp-файлов.
Скорость цифровой эволюции постоянно растёт: то, что ещё вчера считалось технологической мечтой, сегодня превращается в рабочий инструмент.
В США к длительным срокам приговорили двух граждан страны, которые помогали северокорейским IT-специалистам устраиваться на удаленную работу под видом американских сотрудников.
В США в каталог Known Exploited Vulnerabilities добавили CVE-2009-0238 - старую, но все еще рабочую уязвимость Microsoft Excel, для которой уже зафиксирована эксплуатация в атаках.
