github

На GitHub участились случаи рассылки поддельных уведомлений о критических уязвимостях в Visual Studio Code. Злоумышленники публикуют фальшивые сообщения в репозиториях, предлагая скачать «исправленную» версию редактора по внешним ссылкам. Эти ссылки ведут на вредоносные сайты, где собираются...

Злоумышленники внедрили вредоносный код в GitHub Action проекта KICS от Checkmarx, используемый для проверки инфраструктуры как кода. Атака произошла 23 марта и затронула 35 тегов в репозитории checkmarx/kics-github-action. Вредоносный скрипт собирал чувствительные данные, включая переменные...

Группа киберпреступников TeamPCP скомпрометировала рабочие процессы GitHub Actions компании Checkmarx, используя украденные учетные данные CI. Злоумышленники внедрили вредоносный код в два рабочих процесса Checkmarx, что позволило им красть учетные данные и секреты, связанные с SSH-ключами, Git...

Опасный инструмент для взлома iPhone под названием DarkSword был опубликован на GitHub, что увеличивает риски для пользователей старых устройств Apple. Эксперты рекомендуют немедленно установить обновления. Инструмент использует несколько уязвимостей нулевого дня для полного контроля над...

Массовое внедрение ИИ в разработку привело к резкому увеличению утечек чувствительных данных на GitHub. Согласно отчёту GitGuardian, в 2025 году в публичные репозитории попало 28,65 млн секретов, что на 34% больше, чем в предыдущем году. Особенно заметен рост утечек ключей и токенов ИИ-сервисов...

Популярный сканер уязвимостей Trivy, поддерживаемый компанией Aqua Security, был скомпрометирован во второй раз за месяц. Злоумышленники изменили 75 из 76 тегов версий в репозитории GitHub Actions, чтобы распространить вредоносный код. Этот код предназначен для кражи конфиденциальных данных из...

Кампания GlassWorm использует украденные токены GitHub для внедрения вредоносного кода в сотни репозиториев Python. Атака направлена на проекты Python, включая приложения Django, исследовательский код машинного обучения и пакеты PyPI. Злоумышленники добавляют зашифрованный код в файлы, такие...

Незаметная правка в ярлыке превратила популярный инструмент проверки безопасности в бэкдор. Злоумышленник внедрил вредоносный код в официальное действие GitHub, что позволило выполнять команды на серверах сборки. Специалисты StepSecurity описали инцидент, произошедший 3 марта 2026 года...

Автоматизированный инструмент GitHub Dependabot, предназначенный для обновления зависимостей, стал объектом резкой критики со стороны разработчиков. Филиппо Вальсорда, сопровождающий криптографических библиотек Go, заявил, что Dependabot часто создаёт больше проблем, чем решает. После...

Масштабная вредоносная кампания FakeGit более года использовала GitHub для распространения заражённых архивов, маскирующихся под взломанные расширения, игровые читы и утилиты для разработчиков. Злоумышленники разместили более 600 уникальных ZIP-архивов через 47 аккаунтов, используя сложные...