Полный статический архив статей GigaTap о VPN, privacy, OPSEC и безопасности.
- Laravel-Lang: вредоносный код спрятали в release tags - Атака на пакеты Laravel-Lang показала: риск может быть не в исходниках, а в release tags и автозагрузке Composer.
- Атака на Packagist: слепая зона смешанных PHP-сборок - Восемь пакетов Packagist изменили так, чтобы запускать Linux-бинарник через package.json. Риск — в стыке Composer и JS-инструментов.
- Pixel TPU выходит в рабочий процесс разработчика - Google перевела Tensor ML SDK в бета-статус: разработчики получили поддерживаемый путь к запуску моделей на TPU в Pixel 10.
- TeamPCP ударила по доверенным обновлениям разработчиков - SANS ISC: TeamPCP за неделю затронула VS Code, PyPI и npm. Риск не в одной библиотеке, а в доверенных каналах доставки.
- TrapDoor охотится за секретами разработчиков - Socket описала кампанию TrapDoor: вредоносные пакеты в npm, PyPI и Crates.io крадут токены, ключи, кошельки и доступы разработчиков.
- Underminr: доверие к CDN дает сбой - Underminr прячет вредоносные соединения за доверенными доменами CDN. Что известно, где риск и что проверить защитникам.
- Судья, иск Трампа и вопрос отвода - FPF требует проверки судьи из Флориды: он вел дело Трампа и, по жалобе, одновременно добивался федеральной должности.
- AI уже помогает искать эксплойты для macOS - Короткий пост Шнайера важен не паникой вокруг Mac, а сигналом: AI входит в рабочие процессы сложного поиска уязвимостей.
- Риск AI начинается с хаоса в управлении - Главные риски AI на работе — не фантастика, а теневые инструменты, утечки данных, слабые аккаунты и API-ключи без контроля.
- Fast16 и старый урок разрушительного вредоноса - Обсуждение Risky Business #835 напоминает: разрушительное ПО — не только текущие инциденты, но и проблема истории угроз.
- Топливные уровнемеры: тихий риск для инфраструктуры - Открытые в Интернет системы контроля топливных резервуаров могут дать атакующим не только данные, но и рычаг для сбоев и паники.
- Игровая безопасность давно вышла за пределы аккаунтов - Microsoft объясняет, почему игры нельзя защищать как обычную корпоративную среду: слишком много платформ, студий, платежей и доверия.
- Отравленное расширение VS Code и тихая брешь supply chain - GitHub связал доступ к внутренним репозиториям с вредоносным расширением VS Code. Разбираем факты, ограничения и проверки для команд.
- Проверять личность мало: устройству тоже нужно доверять - Украденные сессии и скомпрометированные устройства обходят сильную идентификацию. Доступ стоит проверять по текущему состоянию устройства.
- Отключение интернета нельзя импровизировать - EFF напоминает: связь при шатдауне спасает только тогда, когда запасные каналы установлены, проверены и понятны заранее.
- Арест по делу Kimwolf: цена забытых IoT-устройств - Дело Kimwolf показывает, как камеры, фоторамки и старые роутеры превращаются в DDoS-инфраструктуру, пока владельцы о них не вспоминают.
- Laravel Lang: как теги пакетов подменяют доверие - Атака на laravel-lang шла не через коммиты в официальных репозиториях, а через теги и Packagist. Что проверить и как реагировать.
- Meta ограничила охват правозащитников в странах Залива - Access Now заявляет, что Meta не дает правозащитным аккаунтам дотянуться до аудитории в Саудовской Аравии и ОАЭ.
- Microsoft Security в мае: контроль за AI выходит на первый план - Майский обзор Microsoft Security показывает главный сдвиг: AI усложняет облака, SaaS, идентичности и потоки данных, а значит требует видимости и контроля.
- Mini Shai-Hulud ударил по npm и доверию в CI - Новая supply-chain-кампания затронула сотни пакетов, GitHub Actions и CI-секреты. Что проверить командам прямо сейчас.
- Mullvad: смена сервера не всегда разрывает сессии - Mullvad описала проблему с назначением exit IP: сайт может связать сессии после перехода на другой VPN-сервер.
- OmniRoute удобен, но проверяйте его как инфраструктуру - OmniRoute обещает единый AI-шлюз для 160+ провайдеров. Перед внедрением проверьте ключи, логи, fallback, сжатие и модель развертывания.
- SAST, SCA и DAST: что видит каждый сканер - SAST, SCA и DAST закрывают разные слои риска: код, зависимости и поведение работающего приложения. Их нельзя заменять друг другом.
- Shai-Hulud бьет по доверию к мейнтейнерам - Sonatype описывает новую волну npm-компрометаций: атаковали не имена пакетов, а доверенный доступ мейнтейнеров.