Całkiem niedawno opisywaliśmy kampanię, która miała być największym atakiem na łańcuch dostaw w historii. Atakujący wykorzystali przejęte, dzięki phishingowi, konta programistów i umieścili w pakietach złośliwy kod wykradający środki z portfeli kryptowalut. Przestępcy osiągnęli dość dyskusyjny sukces (na szczęście), jednak to nie znaczy, że na tym zagrożenia czyhające na developerów…
Czytaj dalej »
W ostatnich miesiącach amerykańskie instytucje energetyczne rozpoczęły ponowną ocenę zagrożeń związanych z chińskimi urządzeniami wykorzystywanymi w infrastrukturze OZE. Powodem są odkrycia nieudokumentowanych modułów komunikacyjnych w niektórych inwerterach solarnych i magazynach energii produkowanych w Chinach. Te „ghost devices” mogą stanowić poważne zagrożenie dla bezpieczeństwa energetycznego Zachodu, dając potencjalnie możliwość zdalnego obejścia…
Czytaj dalej »
Badacze Socket.dev zaprezentowali odkryty atak na łańcuch dostaw celujący w projekty napisane w Golangu. Atak wykorzystywał literówkę (tzw. typosquatting) w znanej bibliotece BoltDB, obsługującej bazę danych typu klucz-wartość. Oryginalny projekt został zarchiwizowany jakiś czas temu i nie jest już rozwijany. Atakujący sklonowali repozytorium, nadali mu bardzo zbliżoną nazwę i dodali…
Czytaj dalej »
