Новости: цепочка поставок
Атака на цепочку поставок ПО в npm затронула Mistral AI SDK и TanStack Router
Группа TeamPCP провела крупную атаку на цепочку поставок, скомпрометировав 170 пакетов npm и PyPI, включая всю экосистему TanStack Router. Атака использовала уязвимости GitHub Actions и вредоносное ПО Mini Shai-Hulud. — csoonline.com

Рабочие станции разработчиков — новый плацдарм для кибератак
В апреле были проанализированы три отчета об угрозах: кампания КНДР с вредоносными пакетами, заражение IDE через бинарник Zig и компрометация цепочки поставок через сканер уязвимостей. Общий вывод: рабочие станции разработчиков — главная цель для доступа. — csoonline.com

Взломанные пакеты Mistral AI и TanStack могли привести к утечке данных GitHub, облачных сервисов и CI/CD в ходе атаки вредоносного ПО «mini Shai Hulud»
Microsoft заявляет, что злоумышленники скомпрометировали пакет mistralai PyPI вредоносным ПО, которое выполнялось при импорте, в то время как исследователи связывают связанные компрометации npm, затронувшие TanStack и SDK Mistral, с более широкой кампанией по компрометации цепочки поставок «Mini Shai-Hulud». — tomshardware.com

Вредоносная модель на Hugging Face, маскирующаяся под релиз OpenAI, набрала 244 тысячи скачиваний
Вредоносный репозиторий Hugging Face, маскировавшийся под релиз OpenAI, доставил infostealer в Windows и набрал 244 тыс. загрузок. Инцидент выявил риски в цепочке поставок ИИ и неэффективность традиционных средств защиты. — csoonline.com

Сайт JDownloader взломан: установщики подменяют на “Python RAT” malware
Сайт популярного менеджера загрузок JDownloader был скомпрометирован для распространения вредоносных установщиков Windows и Linux, содержащих троян удаленного доступа на Python. Атака затронула пользователей, скачавших ПО 6-7 мая 2026 года. Рекомендуется переустановка ОС. — bleepingcomputer.com

Атаки на цепочки поставок нацелились на ваших ИИ-агентов для программирования
Злоумышленники адаптируют атаки на цепочки поставок для нацеливания на ИИ-агентов по кодированию, которые автономно сканируют NPM и PyPI. Появляются приманочные пакеты с убедительными описаниями, а также атаки, использующие галлюцинации LLM. — csoonline.com

Атака на npm-пакет SAP обнажает уязвимости в инструментах разработчика и CI/CD пайплайнах
Атака на цепочку поставок, нацеленная на npm-пакеты, связанные с SAP, привлекла внимание к инструментам разработки. Кампания «mini Shai-Hulud» затронула экосистему SAP, похищая учетные данные разработчиков, токены и секреты облачных сред. — csoonline.com

Самое просматриваемое:
- Вот как использовать новую кнопку “Плюс”…
- Bitcoin Depot оштрафован на $18,5 млн – сталкивается…
- WatchGuard бьёт тревогу: критическая уязвимость…
- Как настроить ComfyUI для генерации изображений ИИ…
- ECARX берет управление бизнесом Flyme OS в свои руки…
- Результаты еженедельного опроса: Samsung Galaxy Z…
- США прикрыли платформу для хранения паролей, которой…
- Исследователи из MIT возродили 40-летнюю концепцию…
- Представитель сервисного центра Google сообщил…
- Тим Суини из Epic: «нечестность» и «грубое…


