Специалисты из Koi сообщили о масштабной вредоносной кампании PhantomRaven, нацеленной на разработчиков и цепочки поставки ПО. В официальном каталоге npm было размещено не менее 126 заражённых пакетов, которые суммарно загрузили более 86 тысяч раз. При установке они загружали скрытый код из удалённых источников и похищали токены npm, ключи GitHub и данные CI/CD-систем.
Главная особенность PhantomRaven - использование механизма удалённых динамических зависимостей (Remote Dynamic Dependencies). Вредоносные модули выглядели безопасными при проверке, поскольку их код не содержал явных следов заражения. Активная часть подгружалась только во время установки через скрипт preinstall, что делало статический анализ и антивирусные проверки практически бесполезными.
После загрузки на компьютер разработчика код устанавливал соединение с управляющим сервером и выгружал собранные данные, включая ключи доступа к репозиториям и переменные окружения CI/CD. Эксперты отмечают, что похищенные токены могли использоваться для внедрения бэкдоров в программные продукты и дальнейшего распространения вредоносных модулей.
Koi предупреждает, что злоумышленники быстро меняют домены и хостинги для обхода блокировок, а инфраструктура PhantomRaven остаётся активной. Разработчикам рекомендуется проверить установленные зависимости, обратить внимание на недавно добавленные пакеты с низкой популярностью и исключить автоматическую установку непроверенных модулей.
Инцидент стал очередным примером того, как злоумышленники используют цепочки поставки и доверие к экосистемам открытого кода для кибератак, обходя традиционные средства защиты.
22 апреля 2026 года в Москве пройдет четвертая межотраслевая конференция для руководителей ИБ-служб.
Компания Google выпустила экстренное обновление браузера Google Chrome, устраняющее две уязвимости нулевого дня, которые уже активно эксплуатировались злоумышленниками.
Исследователи безопасности обнаружили новую технику атаки на ИИ-агентов, позволяющую похищать данные с помощью так называемой косвенной prompt-инъекции.
Эксперты по кибербезопасности из IBM сообщили о появлении новой группы вымогателей Slopoly, которая активно применяет инструменты искусственного интеллекта для подготовки и проведения атак.
В даркнете появилась база данных и исходный код, предположительно относящиеся к инфраструктуре шведской платформы электронного правительства.
В России появились признаки начала блокировки мессенджера Telegram: пользователи по всей стране сообщают о масштабных сбоях в работе сервиса, а эксперты связывают происходящее с возможным введением ограничительных мер со стороны регуляторов.
Компания Telus Digital подтвердила инцидент безопасности после того, как хакер заявил о масштабной краже данных.
Социальная сеть Instagram* начала внедрение сквозного шифрования в личных сообщениях, новая функция должна повысить уровень конфиденциальности переписки и защитить сообщения пользователей от доступа третьих лиц.
Специалисты по кибербезопасности заявили о взломе внутренней ИИ-платформы консалтинговой компании McKinsey & Company.
UserGate, российский разработчик решений в области информационной безопасности, запустил проект «Совместная техническая поддержка» — новую модель сервисного сопровождения клиентов совместно с сертифицированными партнерами.
