Атаки на цепочку поставки ПО: виды угроз и как с ними бороться

Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений . В случае с атаками в open source злоумышленники эксплуатируют доверие к публичным репозиториям, человеческий фактор и сложность зависимостей, внедряя вредоносный код в тысячи проектов одновременно. Последствия варьируются от единичной кражи секретов до компрометации целых экосистем с глобальными экономическими потерями. Только за 2025 год они оцениваются в $60 млрд и прогнозируются на уровне $138 млрд в ближайшие годы.

https://habr.com/ru/companies/codescoring/articles/1011358/

#open_source #supply_chain_attack #devsecops #typosquatting #malware

Prompt Worms Часть 2: Я проверил на практике — 31 уязвимость в экосистеме AI-агента

В первой части мы разобрали теорию Prompt Worms — самореплицирующихся атак через AI-агентов. OpenClaw был назван «идеальным носителем». В этой части я проверил на практике: скачал репозиторий, залез в код, прощупал инфраструктуру и нашёл 31 уязвимость в 4 слоях экосистемы. Ноль санитизации на 867 строк мозга, timeout вместо approval, бэкдор-«пасхалка» в коде, утечка хешей паролей в маркетплейсном SaaS, и 14 слепых зон в их собственной threat model. Три дня, ~4,500 строк трассировки, 14 kill chains с PoC

https://habr.com/ru/articles/994230/

#prompt_injection #ai_agents #llmattack #openclaw #ai_security #threat_model #supply_chain_attack #mitre_atlas #pentesting #prompt_worms

Distroless приложения (VM/bare-metal)

Некоторые языки программирования (например, Go и Zig) позволяют собрать приложение без каких-либо зависимостей, в том числе отвязаться от libc, тем самым создание distroless-контейнера на Go становится тривиальной задачей. Но эта же особенность может быть применена не только для создания контейнера, но и для запуска такого приложения в VM или на реальном хосте не используя какой-либо дистрибутив Linux, а используя только ядро Linux и само приложение, построенное с помощью Go (или, например, Zig). Такая возможность позволяет избавиться от дополнительных зависимостей, которые добавляют потенциальные риски с точки зрения атаки на цепочку поставок (supply chain attack).

https://habr.com/ru/articles/949168/

#distroless #embedded #supply_chain_attack

Атака через заброшенные бакеты

Пример ссылки на удалённый бакет termis с государственного сайта, источник В связи с развитием технологий каждый год появляются принципиально новые способы атаки, которые раньше никому в голову не приходили и/или не были возможны технически. Например, в 2025 году впервые в истории исследователи провели атаку через заброшенные бакеты S3 . Это разновидность атаки на цепочку поставок , как пресловутый случай SolarWinds . Такие действия злоумышленников практически невозможно детектировать стандартными инструментами безопасности, поэтому те могут незаметно работать годами. Взлом доверенных бакетов означает автоматический доступ к тысячам компаний и организаций, которые скачивают оттуда софт: обновления, исходный код, опенсорсные библиотеки и т. д.

https://habr.com/ru/companies/globalsign/articles/914742/

#заброшенный_бакет #цепочка_поставок #supply_chain_attack #объектное_хранилище

Проникновение в Jenkins или история одного взлома

Временами получается поучаствовать в разгребании последствий «взломов с проникновением» в чужие ИТ-системы, по итогам одного такого расследования и была написана эта статья. Восстановил для вас полную картину.

https://habr.com/ru/articles/891456/

#jenkins #jenkins_ci #supply_chain #supply_chain_attack #supply_chain_compromise #java

Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году

Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных платформ являются DDoS‑атаки, — но на самом деле всё гораздо интереснее. Меня зовут Юрий Наместников, я руковожу Cloud Security Operations в Yandex Cloud и в этой статье поделюсь нашей внутренней облачной кухней. Расскажу, с какими интересными задачами сталкиваются команды безопасности облачных платформ сегодня, и разберу кейсы с наиболее запоминающимися решениями.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/862320/

#soc #форензика #форенсика #статистика_атак #supply_chain_attack #access_control #access_management #secretsmanagement #расследование_инцидентов

APT Group StormBamboo Attacks ISP Customers Via DNS Poisoning - https://www.redpacketsecurity.com/apt-group-stormbamboo-attacks-isp-customers-via-dns-poisoning/

#threatintel #supply_chain_attack #dns_poisoning #malware_attacks

#DailyStandup

Yesterday:
- Between the power being out & my brain being broken, not much

Today:
- Updated https://www.lukeshu.com/imworkingon/ to get "last updated" for pipermail mailinglist archives
- Wrote some notes on email message threading https://www.lukeshu.com/blog/message-threading.html
- Wrote a bit at https://www.lukeshu.com/imworkingon/ about why this week's work on #GNU #binutils is important. #supply_chain_attack

If any of this seems useful or important to you, plz consider throwing a few dollars my way https://www.lukeshu.com/sponsor/