GitHub выявил небольшую кампанию социальной инженерии, нацеленную на личные учётные записи сотрудников технологических фирм. В ходе этой кампании не было скомпрометировано ни одной системы GitHub или npm, заявляет платформа. Читать далее…
Разработчик представил утилиту, решающую проблему «путаницы манифестов» в NPM. На прошлой неделе стало известно, что злоумышленники могут прятать вредоносный код в зависимостях пакетов. Читать далее…
В блоге GitHub рассказали, что теперь пользователи могут видеть происхождение npm-пакетов. Обновление призвано повысить безопасность и информирование пользователей, а злоумышленникам будет сложнее выдавать вредоносный код за популярные библиотеки. Чита…
Компании Checkmarx и Illustria провели исследование, которое показало, что в репозиториях программного обеспечения с открытым исходным кодом присутствует множество вредоносных пакетов. В экосистемах NuGet, NPM и PyPi выявили более 144 тысяч таких пакет…
GitHub к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию (2FA) в качестве дополнительной меры защиты своих учётных записей. Читать далее…
GitHub внедрил обязательное применение в репозитории NPM двухфакторной аутентификации к учётным записям разработчиков, сопровождающих пакеты с более чем 1 млн загрузок в неделю или используемых в качестве зависимости у более чем 500 пакетов. Чита…
Исследователи из Reversing Labs рассказали, что злоумышленники публикуют вредоносные npm-пакеты для кражи пользовательских данных с сайтов и приложений. При этом хакеры выбирают для атаки названия популярных пакетов, чтобы смутить пользователей и заста…
GitHub раскрыла объем похищенных данных хакерами во время апрельской атаки с помощью скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CIGitHub. Читать дальше →…
По информации Bleeping Computer, веб-сервис для хостинга IT-проектов и их совместной разработки GitHub запустил бета-тестирование улучшенного механизма двухфакторной аутентификации (2FA) для всех npm-аккаунтов. Читать дальше →…
16 апреля 2022 года команда GitHub Security рассказала об инциденте по утечке данных из приватных репозиториев клиентов платформы с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CIGitHub. Читать дал…