Новости: цепочка поставок
Патчинг в ускоренном и замедленном темпе: разработчики Ruby медлят с обновлением, чтобы защититься от атак на цепочку поставок
Команда RubyGems внедрила в bundler функцию периода охлаждения для защиты разработчиков Ruby от атак на цепочки поставок ПО. Нововведение откладывает установку недавно обновленных пакетов, давая время на проверку. — csoonline.com

Собственные чипы автопроизводителей меняют цепочки поставок: BYD, NIO и XPeng бросают вызов сторонним вендорам
Собственные чипы BYD, NIO, XPeng и Tesla меняют автопром: пять гигантов разрабатывают чипы для автопилота, бросая вызов сторонним поставщикам и вызывая тектонический сдвиг в цепочке поставок. — pandaily.com

Завод Samsung в Тейлоре получил первую партию химикатов: ENF Technology начала поставки из Техаса
Активирована цепочка поставок фабрики Samsung Taylor: ENF Technology начала отгрузку технологических химикатов на литейное производство Samsung в Техасе в апреле 2026 года со своего завода в Кайле — первый корейский поставщик материалов, осуществивший поставку на территории США. Конкуренты Dongjin Semichem и Soulbrain отстают на 1–3 года, пока Samsung… — techtimes.com

Зараженные npm-пакеты Red Hat «сливают» учетные данные разработчиков
Разработчики, загрузившие пакеты из npm-пространства Red Hat Cloud Services, обнаружили в них червя, крадущего секреты. Специалисты предупреждают об атаке на цепочку поставок, скомпрометировавшей более 30 пакетов для кражи учетных данных и токенов. — csoonline.com

Следующий крупный DeFi-“эксплойт” начнется еще до развертывания кода
Раскрытие Socket о кампании TrapDoor выявило более 34 вредоносных пакетов в npm, PyPI и Crates.io, нацеленных на разработчиков и их учетные данные. TrapDoor создала маршрут от скомпрометированной машины разработчика до репозиториев и CI/CD. — cryptoslate.com

Почему некоторые патчи безопасности не попадают в ваш дашборд уязвимостей
22 апреля примерно в течение 90 минут в npm появилась вредоносная версия Bitwarden CLI. Версия 2026.4.0 содержала полезную нагрузку для кражи учетных данных, которая выполняла обфусцированный загрузчик и собирала токены AWS, Azure, GCP, GitHub и npm с любого компьютера разработчика, на котором выполнялась команда npm install. Злоумышленники получили доступ к пути публикации Bitwarden в npm через скомпрометированный GitHub […] — csoonline.com

Инструмент визуализации данных AntV стал новой целью атак на цепочку поставок в npm
Крупнейший реестр npm снова атакован вредоносным ПО, на этот раз целью стал инструмент визуализации данных AntV. Атака, использующая червя Mini-Shai-Hulud, скомпрометировала сотни пакетов, похищая токены и учетные данные. — csoonline.com

Хакеры скомпрометировали десятки популярных open source пакетов в ходе продолжающейся атаки на цепочку поставок
Атаки являются частью более широкой кампании под названием Mini Shai-Hulud, которая уже скомпрометировала ряд проектов с открытым исходным кодом, а также разработчиков и компании, которые их используют. — techcrunch.com

Самое просматриваемое:
- Вот как использовать новую кнопку “Плюс”…
- Bitcoin Depot оштрафован на $18,5 млн – сталкивается…
- WatchGuard бьёт тревогу: критическая уязвимость…
- Как настроить ComfyUI для генерации изображений ИИ…
- ECARX берет управление бизнесом Flyme OS в свои руки…
- Результаты еженедельного опроса: Samsung Galaxy Z…
- США прикрыли платформу для хранения паролей, которой…
- Исследователи из MIT возродили 40-летнюю концепцию…
- Представитель сервисного центра Google сообщил…
- Тим Суини из Epic: «нечестность» и «грубое…

