Опрос
|
реклама
Быстрый переход
Хакеры начали заполонять GitHub проектами с «невидимым» вредоносным кодом
14.03.2026 [13:23],
Павел Котов
Исследователи в области кибербезопасности обнаружили крупномасштабную кампанию по публикации в популярных репозиториях проектов, содержащих вредоносный код, написанный невидимыми для человеческого глаза символами Unicode. При этом такой код в штатном режиме расшифровывается декодерами. 
Источник изображения: Luca Bravo / unsplash.com Только с 3 по 9 марта на GitHub был загружен 151 подготовленный таким образом вредоносный пакет, указали исследователи из компании Aikido Security. Обычно такие пакеты имеют имена, напоминающие названия крупных продуктов — бывает, что разработчики по недосмотру включают их в свои проекты, принимая вредоносы за известные и безопасные библиотеки. Теперь же злоумышленники сменили тактику на более изощрённую: основная часть кода в таких продуктах отображается в обычном, читаемом виде и на первый взгляд не содержит опасных фрагментов — вредоносные функции и полезные нагрузки включаются при помощи нечитаемых для человеческого глаза символов Unicode. В результате ручная проверка кода и другие традиционные методы защиты оказываются бесполезными. Работающие схожим образом вредоносы обнаружены также в репозиториях NPM, Open VSX и на маркетплейсе VS Code. Обнаружить злоумышленников, которых обозначили как Glassworm, по косвенным признакам тоже не получается: все текущие дополнения и изменения проектов выглядят правдоподобно. Это корректировки документации, повышение версий, рефакторинг и исправления ошибок — всё, что свойственно обычным проектам. Чтобы создать такую видимость добросовестной деятельности, злоумышленники, предполагают эксперты, пользуются большими языковыми моделями искусственного интеллекта, потому что проводить такие фальсификации для 151 проекта вручную было бы нецелесообразно. 
Источник изображения: Fotis Fotopoulos / unsplash.com Нечитаемые символы соответствуют буквам латинского алфавита: для человека они выглядят как пробелы или пустые строки, а интерпретатор JavaScript воспринимает их как исполняемый код. Эти знаки появились в составе Unicode несколько десятилетий назад, и только в 2024 году киберпреступники начали использовать их в своих целях, маскируя таким образом вредоносный код или вредоносные запросы к чат-ботам. Традиционные средства анализа кода на эти фрагменты не реагируют, но при выполнении JavaScript небольшой декодер извлекает из них реальные байты, которые передаются в функцию eval(), которая позволяет выполнять код из строки. Исследователи обнаружили 151 вредоносный проект, но есть основания предполагать, что это лишь верхушка айсберга: эти пакеты зачастую удаляются вскоре после публикации, стоит им набрать достаточное число загрузок. Лучший способ защититься от подобных атак, указывают эксперты, — тщательно проверять код и зависимости библиотек, прежде чем включать их в проекты. Но если предположения об использовании ИИ в этой схеме верны, то делать это будет всё труднее. Хакеры заявили о взломе Huawei и получении доступа к средствам разработки и исходному коду
07.10.2025 [18:31],
Павел Котов
Киберпреступники сообщили о взломе внутренних репозиториев Huawei, из которых они якобы похитили проприетарный исходный код и средства разработки. Подтвердить утечку пока не удалось, но если заявления хакеров окажутся правдой, это будет чревато значительными рисками для компании и её клиентов по всему миру.  В социальных сетях и на закрытых форумах начали появляться сообщения о взломе, в которых хакеры утверждают, что им удалось получить доступ к внутренним репозиториям кода Huawei, в том числе к ПО для управления сетевым оборудованием, прошивкам базовых станций и библиотекам безопасности. Исследователи в области кибербезопасности сейчас пытаются проверить достоверность этих заявлений, потому что злоумышленники могут фальсифицировать или преувеличивать масштабы инцидента, чтобы укрепить свою репутацию. Если информация подтвердится, в распоряжении хакеров может оказаться подробная информация об архитектуре ПО Huawei, процедуры шифрования, процессы аутентификации и возможные уязвимости. Эти уязвимости киберпреступники могут эксплуатировать в атаках против телекоммуникационного оборудования и ПО Huawei, поставив под угрозу безопасность сетей по всему миру. Инцидент также усиливает опасения по поводу присутствия продукции Huawei в критически важной инфраструктуре. Факт компрометации внутренних систем обострит дискуссии о безопасности оборудования Huawei, особенно в сфере развёртывания сетей 5G и государственных коммуникаций. Спецслужбы и службы безопасности корпораций, вероятно, пересмотрят оценки рисков, отложив или отозвав разрешения на продукты Huawei, пока не получат убедительных доказательств, что приняты меры по снижению рисков. Подорвать доверие способно просто раскрытие информации о проприетарных алгоритмах и реализациях в области безопасности. Конкуренты могут обнаружить скрытые уязвимости, проведя обратную разработку на основе открытых сегментов кода; хакерские группировки могут использовать утечку в подготовке сложных целевых кампаний. Официального подтверждения от Huawei о краже денных пока не последовало. Клиентам компании рекомендуется усилить мониторинг сетей, устройств и консолей управления на предмет аномалий. Организациям рекомендовано начать обмен данными для выявления возможных признаков компрометации систем. Следует убедиться, что на всём оборудовании используются последние версии ПО — в обновлениях могут быть закрыты выявленные в последнее время уязвимости. Не помешает также пересмотреть и усилить внутренние политики доступа, чтобы ограничить горизонтальное распространение угроз в случае взлома. Данные тысяч ставших частными репозиториев GitHub всё ещё доступны в Copilot, выяснили исследователи
26.02.2025 [18:08],
Владимир Мироненко
Согласно исследованию израильской компании по кибербезопасности Lasso, специализирующейся на возникающих угрозах генеративного ИИ, данные, которые были в открытом доступе в интернете хотя бы на мгновение, могут ещё продолжительное время оставаться у онлайн-чат-ботов генеративного ИИ, таких как Microsoft Copilot, после того, как доступ к ним был закрыт. 
Источник изображения: Windows/unsplash.com Эта проблема касается тысяч некогда открытых репозиториев GitHub ряда крупнейших компаний, включая Microsoft, которые с тех пор стали закрытыми, сообщили в Lasso ресурсу TechCrunch. По словам соучредителя Lasso Офира Дрора (Ophir Dror), компания обнаружила, что контент из её собственного репозитория GitHub появился в Copilot, поскольку он был проиндексирован и кеширован поисковой системой Bing от Microsoft. Этот репозиторий был ошибке открыт в течение короткого периода времени и сейчас является частным. При попытке получить к нему доступ на GitHub появляется сообщение «Страница не найдена». «На Copilot, как ни странно, мы нашли один из наших собственных закрытых репозиториев, — рассказал Дрор. — Если бы я просматривал веб-страницы, я бы не увидел этих данных. Но любой человек, задав Copilot правильный вопрос, может их получить». В связи с этим Lasso провела расследование, в ходе которого извлекла список репозиториев, бывших в открытом доступе какое-то время в 2024 году, и определила те, которые с тех пор были удалены или получили статус приватных. Используя механизм кеширования Bing, компания обнаружила, что более 20 тыс. частных репозиториев GitHub более 16 тыс. организаций по-прежнему доступны через Copilot. В частности, это касается Amazon Web Services, Google, IBM, PayPal, Tencent и Microsoft. Дрор рассказал, что Lasso связалась со всеми компаниями, которые «серьёзно пострадали» от утечки данных, и посоветовала им ротировать или отозвать все скомпрометированные ключи. Lasso уведомила Microsoft о своих выводах в ноябре 2024 года, но софтверный гигант сообщил ей, что относит проблему к «низкой степени серьезности», заявив, что такое поведение при кешировании «приемлемо». Microsoft отметила, что больше не включает ссылки на кеш Bing в результаты поиска с декабря 2024 года. Тем не менее Lasso утверждает, что, хотя функция кеширования была отключена, Copilot всё ещё имеет доступ к данным, несмотря на то, что они не отражались в результатах веб-поиска. Проект российского аналога GitHub отложен — на него до сих пор не перечислили средства
20.03.2024 [12:45],
Павел Котов
Из-за отсутствия финансирования эксперимент с созданием российского аналога GitHub отложен на неопределённый срок, хотя платформу планировали запустить уже в апреле 2024 года. В декабре 2022 года в Минцифры предлагали направить на финансирование проекта 1,2 млрд руб. из фонда «Росинфокоминвест», которые хранились на его счетах с 2007 года, но средства так и не были перечислены, пишут «Ведомости» со ссылкой на источники в двух компаниях. 
Источник изображений: StockSnap / pixabay.com Потребность в создании отечественной платформы для совместной разработки IT-проектов стала очевидной после блокировки крымских учётных записей на GitHub — глава правительства Михаил Мишустин выступил с соответствующим предложением в сентябре 2021 года. В октябре 2022 года было опубликовано постановление правительства, согласно которому разработка отечественной платформы должна была идти с ноября 2022 по конец апреля 2024 года. Единый репозиторий помог бы накопить кодовую базу внутри страны, обеспечив России цифровой суверенитет. В декабре Минцифры предложило направить на реализацию проекта средства «Росинфокоминвеста» — фонд был создан в 2007 году, при открытии он получил 1,5 млрд, но до 2019 года потратил лишь 75 млн руб. Средства должен был получить Российский фонд развития информационных технологий (РФРИТ) и перенаправить их в АНО «Открытый код», учреждённую VK, «Ростелекомом», университетом «Иннополис», группой T1 и другими структурами. Но в РФРИТ деньги так и не поступили. В конце мая 2023 года Минцифры был утверждён список из 82 участников эксперимента по созданию отечественного репозитория — в него вошли региональные и федеральные органы власти, «Тинькофф банк», «Мосбиржа», «Сбертех» (входит в «Сбер»), компании-разработчики и частные лица.  При этом с 2022 года было запущено несколько частных платформ совместной разработки и хостинга кода: «РТК-Феникс» и «Лукоморье» от «Ростелекома», «Сфера» от T1, GitFlame от «Иннополиса», «Мосхаб» правительства Москвы, Gitflic от ГК «Астра» и GitVerse от «Сбера». Об аналогичных планах сообщали VK и «Росатом», а также «Банк России» — для финсектора. С появлением частных площадок потребность в единой платформе отпала, считают опрошенные «Ведомостями» эксперты. Но эти проекты обозначили проблему разобщённости разработчиков, которую в АНО «Открытый код» предлагают решать, реализовав возможность использовать на них одну учётную запись и единый способ верификации — сегодня вход на разные платформы может производиться через личный кабинет на mos.ru, Sber ID, VK ID, ЕСИА, электронную почту и номер телефона. В проектах с открытым исходным кодом участвуют около 1 млн российских разработчиков — при этом на GitHub в 2023 году численность русскоязычного сообщества составляла 2,5 млн пользователей. Вклад российских разработчиков в проекты с открытым кодом в мировом масштабе составляет 7 % при численности 3 % от всей аудитории — то есть вклад оказывается выше численности, отметили в АНО «Открытый код». Расходы на работу единого репозитория с учётом аренды мощностей и обеспечения отказоустойчивости за три года составили бы около 300–500 млн руб., подсчитали эксперты. |
© 1997—2026 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
