Update: The author has been notified and is actively working with the NPM security team to resolve the issue. The malicious code has already been removed from most of the affected packages, and the situation is being remediated.
However, it is crucial to audit your projects, as compromised versions may still be present in your dependencies or lockfiles.
Summary:
What happened? A supply chain attack compromised the NPM account of developer
What was the impact? The combined weekly downloads of the affected packages exceed one billion, posing a significant threat to the JavaScript ecosystem.
What does the malware do? The payload is a crypto-clipper that steals funds by swapping wallet addresses in network requests and directly hijacking crypto transactions.
How to protect yourself: Immediately audit your project's dependencies. Pin all affected packages to their last known-safe versions using the
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
However, it is crucial to audit your projects, as compromised versions may still be present in your dependencies or lockfiles.
Summary:
What happened? A supply chain attack compromised the NPM account of developer
qix, leading to malicious versions of dozens of high-impact packages being published.What was the impact? The combined weekly downloads of the affected packages exceed one billion, posing a significant threat to the JavaScript ecosystem.
What does the malware do? The payload is a crypto-clipper that steals funds by swapping wallet addresses in network requests and directly hijacking crypto transactions.
How to protect yourself: Immediately audit your project's dependencies. Pin all affected packages to their last known-safe versions using the
overrides feature in package.json.https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
Substack
Anatomy of a Billion-Download NPM Supply-Chain Attack
A massive NPM supply chain attack has compromised foundational packages like Chalk, affecting over 1 billion weekly downloads. We dissect the crypto-stealing malware and show you how to protect your projects immediately.
🔥5❤2
Людина псіханула і забацала мінікуб українською
https://asciinema.org/a/AHFKwHCbHB2vo8fD7Sk2ybRzO
Давно спостерігаю за роботою Andrii Holovin в Linkedin, і він прям неспинний в цьому плані. Це респектіщє.
https://asciinema.org/a/AHFKwHCbHB2vo8fD7Sk2ybRzO
Давно спостерігаю за роботою Andrii Holovin в Linkedin, і він прям неспинний в цьому плані. Це респектіщє.
asciinema.org
minikube in Ukrainian
Recorded by andygol
🔥5
https://microsoft.github.io/Threat-Matrix-for-Kubernetes/ чомусь раніше мені не траплялась ця прекрасна штука. А жаль.
❤19
Forwarded from Мамкін Архітектор
Люту історію я щойно прочитав — хакери хакнули AWS JavaScript SDK, яка використовується в AWS Console (це адмінка AWS) 😱
Забрали собі їх репо на гітхабі, витягнули ключі, і взагалі отримали повний контроль.
Зона ураження — 66% клауда контролюється цією адмінкою, і це була б прямо біда-біда, якби хакери були злими. А так вони виявились добрими, все розказали AWS і дірку прикрили.
А шо за дірка? В двох словах, це недороблений regex, за допомогою якого визначалось, чи можна запускати білд для PR чи ні. AWS використовував фільтр
Regex шаблон не мав анкерів (^ та $):
Чуваки порахували, шо десь раз в пʼять днів для нового користувача github ID буде містити потрібний шматочок. Згенерували купу ботів, які нагенерували реєстрацій, і отримали потрібний ID.
З ним зробили пулріквест, який запустився CodeBuild, а там вже з памʼяті процесу дістали всі токени і отримали доступ над репозиторієм.
Така ось казочка на ніч, деталі можна почитати тут
Забрали собі їх репо на гітхабі, витягнули ключі, і взагалі отримали повний контроль.
Зона ураження — 66% клауда контролюється цією адмінкою, і це була б прямо біда-біда, якби хакери були злими. А так вони виявились добрими, все розказали AWS і дірку прикрили.
А шо за дірка? В двох словах, це недороблений regex, за допомогою якого визначалось, чи можна запускати білд для PR чи ні. AWS використовував фільтр
ACTOR_ID для захисту від недовірених PRRegex шаблон не мав анкерів (^ та $):
12345|67890|.... Це означало збіг підрядка, а не точний збіг (GitHub ID 226755743 містить всередині довірений ID `2267557`)Чуваки порахували, шо десь раз в пʼять днів для нового користувача github ID буде містити потрібний шматочок. Згенерували купу ботів, які нагенерували реєстрацій, і отримали потрібний ID.
З ним зробили пулріквест, який запустився CodeBuild, а там вже з памʼяті процесу дістали всі токени і отримали доступ над репозиторієм.
Така ось казочка на ніч, деталі можна почитати тут
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13😱8🤣4🔥2❤1
В ЄС анонсували реліз власної CVE DB - https://db.gcve.eu.
Система безкоштовно доступна за web-мордою, АПІ або завантаженням дампу.
Збирає дані з 25+ джерел.
Побуована на базі опенсорсного vulnerability-lookup.
Розгорнута на інфраструктурі в Люксембурзі та повністтю контрольована ЄС.
Схоже ризики втрати CVE.MITRE в минулому році мали суттєвий вплив на відповідні кібер-структури ЄС. Ще один приклад, як геополітика відображається в кібер-складовій.
Джерело і більше деталей: https://gcve.eu/2026/01/07/gcve-db-announce
Система безкоштовно доступна за web-мордою, АПІ або завантаженням дампу.
Збирає дані з 25+ джерел.
Побуована на базі опенсорсного vulnerability-lookup.
Розгорнута на інфраструктурі в Люксембурзі та повністтю контрольована ЄС.
Схоже ризики втрати CVE.MITRE в минулому році мали суттєвий вплив на відповідні кібер-структури ЄС. Ще один приклад, як геополітика відображається в кібер-складовій.
Джерело і більше деталей: https://gcve.eu/2026/01/07/gcve-db-announce
👍20🔥4❤1
Forwarded from CyberPeople
Вакансія до мене в команду 🙋♀️
AI Engineer junior +
(напрям кібербезпеки)
Формат роботи: Full-time
Графік: 9:00–18:00, постійна доступність на зв’язку
Оплата: обговорюється
В компаніі можливий карʼєрний розвиток
Обов’язки
• Участь у дослідженні та розробці продукту
• Забезпечення виконання задач у встановлені дедлайни
• Робота із задачами за напрямком кібербезпеки
• Валідація гіпотез, тестування ідей і участь у їх реалізації
• Генерація та опрацювання нових ідей для розвитку продукту
Вимоги
- Базове розуміння принципів роботи AI / ML (робота з моделями, API або інструментами AI)
- Практичні навички програмування
- Розуміння основ кібербезпеки
- Вільне володіння англійською мовою
- Ініціативність і відповідальність
- Досвід проходження навчальних платформ або лабораторій (наприклад, HTB — Hack The Box) буде перевагою
Особисті якості
• Самостійність у роботі
• Уміння працювати в команді
• Орієнтація на результат і дотримання дедлайнів
Писати @onasibullina
AI Engineer junior +
(напрям кібербезпеки)
Формат роботи: Full-time
Графік: 9:00–18:00, постійна доступність на зв’язку
Оплата: обговорюється
В компаніі можливий карʼєрний розвиток
Обов’язки
• Участь у дослідженні та розробці продукту
• Забезпечення виконання задач у встановлені дедлайни
• Робота із задачами за напрямком кібербезпеки
• Валідація гіпотез, тестування ідей і участь у їх реалізації
• Генерація та опрацювання нових ідей для розвитку продукту
Вимоги
- Базове розуміння принципів роботи AI / ML (робота з моделями, API або інструментами AI)
- Практичні навички програмування
- Розуміння основ кібербезпеки
- Вільне володіння англійською мовою
- Ініціативність і відповідальність
- Досвід проходження навчальних платформ або лабораторій (наприклад, HTB — Hack The Box) буде перевагою
Особисті якості
• Самостійність у роботі
• Уміння працювати в команді
• Орієнтація на результат і дотримання дедлайнів
Писати @onasibullina
❤10🔥3🤣3
Forwarded from CyberPeople
Вакансіі:
Information Security Officer (військова) - https://surl.li/jftsql
Security Architect (військова) - https://surl.li/bnvurx
Фахівець з кібербезпеки (військова) - https://surl.lt/cvqtia
Security Champion (військова) - https://surl.li/hmwhgm
Vulnerability Disclosure Officer (військова) - https://surl.li/hhzqpq
Керівник напряму впровадження Secure CI/CD (військова) - https://surl.li/uwihin
Services Access Governance Lead (військова) - https://surl.li/uzwxtb
Secure CI/CD Technical Lead (військова) - https://surl.li/qczbct
Security Governance Lead (військова) - https://surl.lu/lemcuj
Information Security Officer (військова) - https://surl.li/jftsql
Security Architect (військова) - https://surl.li/bnvurx
Фахівець з кібербезпеки (військова) - https://surl.lt/cvqtia
Security Champion (військова) - https://surl.li/hmwhgm
Vulnerability Disclosure Officer (військова) - https://surl.li/hhzqpq
Керівник напряму впровадження Secure CI/CD (військова) - https://surl.li/uwihin
Services Access Governance Lead (військова) - https://surl.li/uzwxtb
Secure CI/CD Technical Lead (військова) - https://surl.li/qczbct
Security Governance Lead (військова) - https://surl.lu/lemcuj
🔥5
Forwarded from UST | Космос
This media is not supported in your browser
VIEW IN TELEGRAM
🙃🚀 Не знаємо, для чого вам ця інформація, але пароль від бортового комп’ютера Artemis II: 3939
Однозначно найнадійніший PIN-код, відомий людству! Краще тільки 1111 💪
🪐 UST | Підписатися
Однозначно найнадійніший PIN-код, відомий людству! Краще тільки 1111 💪
🪐 UST | Підписатися
😁21
https://owasp.org/www-project-artificial-intelligence-security-verification-standard-aisvs-docs/
Шейм он мі, провтикав появу такого потужного документу.
Якщо ви також провтикали - шейм он ю олсо, і скоріше беріть в роботу (але звертайте увагу на поточний статус документа, все на свій страх і ризик).
Шейм он мі, провтикав появу такого потужного документу.
Якщо ви також провтикали - шейм он ю олсо, і скоріше беріть в роботу (але звертайте увагу на поточний статус документа, все на свій страх і ризик).
owasp.org
OWASP Artificial Intelligence Security Verification Standard AISVS Docs | OWASP Foundation
OWASP AI verification standard for developers and testers
❤5👍3🔥1🤔1