[Перевод] Снова GitHub Actions: разбираем масштабную атаку на TanStack, 84 пакета под угрозой

Команда Socket Threat Research обнаружила компрометацию 84 npm-пакетов в пространстве @tanstack : в них внедрили вредоносный имплант Mini Shai-Hulud, нацеленный на кражу учётных данных и секретов из CI/CD-сред, включая GitHub Actions Атака особенно опасна тем, что вредонос автоматически запускается при установке зависимостей через lifecycle-хуки npm, а среди затронутых пакетов есть крайне популярные — например, @tanstack/react-router с более чем 12 млн загрузок в неделю, что делает инцидент серьёзной угрозой для безопасности цепочки поставок ПО. В статье подробнее разберём механизм заражения, риски для разработчиков и компаний, а также первоочередные меры реагирования — от проверки зависимостей до ротации секретов и аудита CI-пайплайнов.

https://habr.com/ru/companies/first/articles/1034068/

#tanstack #взлом #react #supply_chain #supply_chain_attack #supply_chain_security #github #безопасность #программирование

Supply Chain Security: Protecting Your Organisation Through Trusted Tech - https://www.redpacketsecurity.com/supply-chain-security-protecting-your-organisation-through-trusted-tech/

#Supply_chain_security #CyberSecurity #OSINT #Cyber

Supply Chain Security: Protecting Software, Services and Updates - https://www.redpacketsecurity.com/supply-chain-security-protecting-software-services-and-updates/

#Supply_chain_security #CyberSecurity #OSINT #Cyber

RubyGems와 Bundler에 패키지 쿨다운 기능을 도입해야 할까요?

공급망 공격 방지를 위해 패키지 출시 후 일정 기간 설치를 제한하는 '쿨다운' 기능을 RubyGems와 Bundler에 선택적 도입하는 방안이 논의되고 있습니다.

🔗 원문 보기

Supply Chain Security: Protecting Your Software and Services End-to-End - https://www.redpacketsecurity.com/supply-chain-security-protecting-your-software-and-services-end-to-end/

#Supply_chain_security #CyberSecurity #OSINT #Cyber

Supply Chain Security на примере кофемашины: почему ваш код горчит

Привет, Хабр! Меня зовут Максим Князев, старший системный инженер К2 Кибербезопасность . Сегодня я хочу поговорить об атаках на цепочки поставок на примере того, что все хорошо понимают и любят. Просто представьте, как вы заказываете эспрессо в проверенной кофейне. Зерна от известного обжарщика, бариста с опытом, кофемашина за миллион. И казалось бы, все идеально. Но потом выясняется, что кто-то подсыпал в зерна что-то лишнее еще на плантации. Вы не виноваты, кофейня не виновата, но пить это вы уже не хотите. В разработке происходит ровно то же самое, только в роли зерен здесь выступают npm-пакеты. Плантация превращается в GitHub, а подозрительные примеси представляют собой вредоносный код в легитимном релизе. И вы узнаете о проблемах не по вкусу, а по инциденту в проде. Давайте продолжим это сравнение под катом и разберемся, как не испортить компоненты, из которых складывается современная кибербезопасность.

https://habr.com/ru/companies/k2tech/articles/1004536/

#supply_chain_security #безопасность_цепочки_поставок #sbom #devsecops #open_source #npm #кибербезопасность #уязвимости #slsa #разработка_по

Supply chain security: protecting value in a connected ecosystem - https://www.redpacketsecurity.com/supply-chain-security-protecting-value-in-a-connected-ecosystem/

#Supply_chain_security #CyberSecurity #OSINT #Cyber

Supply chain security: safeguarding your organisation from third‑party risks - https://www.redpacketsecurity.com/supply-chain-security-safeguarding-your-organisation-from-thirdparty-risks/

#Supply_chain_security #CyberSecurity #OSINT #Cyber

<!-- wp:heading -->
<h1 class='wp-block-heading'>Fortifying the Supply Chain through Practical Security for Modern Organizations</h1>
<!-- /wp:heading --> - https://www.redpacketsecurity.com/wp-heading-h-class-wp-block-heading-fortifying-the-supply-chain-through-practical-security-for-modern-organizations-h-wp-heading/

#Supply_chain_security #CyberSecurity #OSINT #Cyber

Secure by Design A Practical Guide to Supply Chain Security for Modern Businesses - https://www.redpacketsecurity.com/secure-by-design-a-practical-guide-to-supply-chain-security-for-modern-businesses/

#Supply_chain_security #CyberSecurity #OSINT #Cyber