GigaTap articles tagged supply chain security.
- Mini Shai-Hulud: где ломается SLSA L2 - Mini Shai-Hulud показал: SLSA подписи могут быть валидны при скомпрометированной CI/CD среде и утечке секретов.
- Сигналы атак на цепочку поставок прячутся в продаже доступов - Продажа GitHub-доступов и утечек часто скрывает ранние сигналы supply-chain атак, но требует валидации и проверки контекста.
- Подмена тегов Laravel Lang превратила старые релизы в вредоносные - Злоумышленники переписали GitHub-теги Laravel Lang и внедрили стилер учётных данных через обычные установки Composer.
- Черви в npm добрались до CI/CD и цепочек доверия - После Shai-Hulud атаки через npm нацелились не на разработчиков, а на издателей пакетов, CI/CD и всю цепочку поставок.
- Preinstall-пersistence ломает доверие к сборке пакета - Microsoft предупреждает: подпись пакета не гарантирует чистоту пути сборки, атакующие использовали preinstall-хук для кражи учетных данных.
- TeamPCP показал, что доверенные пакеты могут быть опасны - Кампания TeamPCP скомпрометировала PyPI, npm и VS Code, показывая, что верификация издателя не гарантирует безопасность.
- Mythos сокращает время на исправление уязвимостей - Если AI ускоряет создание эксплойтов, медленные обновления и непрозрачные цепочки поставок ПО становятся прямым риском.
- zizmor показал, почему парсеры CI критичны для безопасности - Тестирование и исправление zizmor раскрывает слабости GitHub Actions и важность точного анализа CI для защиты секретов и артефактов.
- Miasma превращает npm-пакеты в червя для цепочки поставок - Атака Miasma внедрилась в npm-пакеты Red Hat и пытается распространяться через учётные данные разработчиков и CI/CD.
- GitHub Actions как разлом в цепочке поставки - Risky Business #837 напоминает: ошибка в GitHub Actions может стать инцидентом цепочки поставки, а не мелкой проблемой CI/CD.
- GlassWorm ударили по C2: что проверить командам - CrowdStrike заявила о срыве известных C2-каналов GlassWorm. Это снижает контроль атакующих, но не закрывает инцидент.
- Glassworm отключили: почему новый C2 сложнее снести - Glassworm потерял управление после удара по четырем C2-каналам сразу. Но зараженные машины и украденные секреты сами не исчезли.
- pnpm 11.4: lockfile больше нельзя тихо подменить - pnpm 11.4 ужесточает установку пакетов: несовпадение tarball с lockfile теперь падает ошибкой, а не обновляет хэши молча.
- Glassworm: разработчики стали целью цепочки поставки - Срыв Glassworm важен не только как takedown: кампания показывает, почему аккаунты, рабочие станции и секреты разработчиков стали периметром.
- Один забытый токен открыл Grafana приватные репозитории - Инцидент Grafana после атаки на TanStack показывает главный риск CI/CD: если пропустить один токен, зачистка не закончена.
- Вредоносный npm-пакет охотился за файлами Claude - Пакет mouse5212-super-formatter пытался украсть файлы из рабочей папки Claude и выгружал их через GitHub.
- 157 отозванных отчётов OSV: риск для CI/CD - OSV отозвала 157 malware-отчётов из-за ложных срабатываний по npm и PyPI. Проблема — как такие записи доходят до CI/CD и блокируют сборки.
- AI-агент вошел в supply chain — ему нужны правила - Кодовые AI-агенты уже ставят зависимости, публикуют артефакты и подключают инструменты. Без доверенного маршрута они расширяют риск.
- Взлом AntV в npm: доверенный пакет украл доверие - Атака на аккаунт мейнтейнера AntV показала: знакомое имя, semver и подписи не спасают, если вредоносный код запускается при установке.
- Canvas показал, как риск SaaS доходит до аудитории - Сбой Canvas во время экзаменов напомнил: критический SaaS — часть операционной цепочки, а не просто внешний сервис.
- OpenSSF растёт под давлением CRA и AI - OpenSSF отчиталась о росте, но главный смысл квартала — переход open source security от разговоров к практическим обязательствам.
- TrapDoor превращает инструменты разработчика в ловушки для секретов - TrapDoor крадет токены, ключи, кошельки и cloud-секреты через npm, PyPI и Crates.io. Под ударом crypto, DeFi и AI-разработчики.
- Laravel-Lang: вредоносный код спрятали в release tags - Атака на пакеты Laravel-Lang показала: риск может быть не в исходниках, а в release tags и автозагрузке Composer.
- TeamPCP ударила по доверенным обновлениям разработчиков - SANS ISC: TeamPCP за неделю затронула VS Code, PyPI и npm. Риск не в одной библиотеке, а в доверенных каналах доставки.
- TrapDoor охотится за секретами разработчиков - Socket описала кампанию TrapDoor: вредоносные пакеты в npm, PyPI и Crates.io крадут токены, ключи, кошельки и доступы разработчиков.
- Отравленное расширение VS Code и тихая брешь supply chain - GitHub связал доступ к внутренним репозиториям с вредоносным расширением VS Code. Разбираем факты, ограничения и проверки для команд.
- Mini Shai-Hulud ударил по npm и доверию в CI - Новая supply-chain-кампания затронула сотни пакетов, GitHub Actions и CI-секреты. Что проверить командам прямо сейчас.
- Взлом Grafana: один CI-токен оставил дверь открытой - Grafana связала доступ к GitHub с атакой на TanStack: код скачали, но Grafana Cloud и продакшен, по словам компании, не затронуты.
- Snyk ставит AI-безопасность ближе к коду - Snyk усиливает партнерскую модель вокруг AI-безопасности: контроль должен появляться там, где AI помогает писать код.
- TeamPCP снова бьет по build chain - TeamPCP активизировалась: подтвержден компромисс Checkmarx Jenkins plugin и замечен worm Mini Shai-Hulud в npm и PyPI.
- Chainguard снижает трение вокруг RPM для регулируемых Linux-команд - Chainguard добавляет first-party совместимость с RHEL 9/10 RPM в Chainguard OS и присоединяется к FINOS.
- Взлом OpenAI показывает реальный риск в доверенных build pipelines - Инцидент OpenAI показывает, как supply-chain атаки через npm, PyPI и CI/CD превращают доверенные релизы в канал компрометации.
- Supply-chain атаки становятся таблицей лидеров - Socket сообщает о конкурсе TeamPCP и BreachForums вокруг Shai-Hulud: компромиссы open source пакетов оценивают по числу загрузок.
- Риск утечки Composer token: обновитесь, пока CI logs не стали проблемой - Packagist призывает обновить Composer: из-за изменения формата GitHub token некоторые tokens могли попасть в CI logs.
- 100% package test coverage — это конкретный показатель, а не лозунг - Chainguard заявляет о 100% package test coverage в своей OS. Почему это важно для rolling updates и где границы такого утверждения.
- Атаки на Supply Chain показывают реальную проверку resiliency - Недавние supply chain инциденты показали: слабые credentials, mutable tags и неясные роли ломают защиту быстрее, чем кажется.
- Взлом пакетов TanStack показывает пределы trusted publishing - Компрометация TanStack показала: trusted publishing и OIDC не спасают, если атакующий уже выполняет код внутри CI.
- PyPI устранил критичные баги контроля доступа, обнаруженные при аудите безопасности Warehouse - PyPI закрыл две High-severity уязвимости контроля доступа, найденные в ходе второго аудита безопасности Warehouse.