Red Hat npm: как воры чужими пакетами крадут ваши креды!
04.07.2026
Microsoft Security Blog
1
Масштабная атака на npm-пакеты Red Hat показала, как легко сломать цепочку поставок и добраться до сокровенного. Свыше 90 версий пакетов @redhat-cloud-services были заражены вредоносом, который не только незаметно пролезал в CI/CD и на машины разрабов, но и как червь распространялся, переиздавая «чистые» пакеты. Фишка в том, что малварь воровала креды от GitHub, облачных платформ и локалок. Чтобы не попасть в такую засаду, всегда используйте блокировку версий (lockfiles) в npm, делайте статический анализ кода зависимостей и сегментируйте сеть при работе со сборочными окружениями. Не дайте хакерам играть вашими пакетами!
Представьте: однажды с домашнего интернета можно положить топовые веб-серверы! Эксплойт «HTTP/2 Bomb» как раз про это. Он использует особенности HTTP/2 на Nginx, Apache, IIS, Envoy и Cloudflare...
Представьте: Microsoft забыла удалить один девелоперский флажок, и вуаля – любая Android-прога на вашем смартфоне могла тихо-мирно получить токены доступа к вашему аккаунту Microsoft 365! Это не...
Нашли новую бомбу, братцы! Уязвимость 'HTTP/2 Bomb' позволяет удалённо положить популярные веб-сервера типа NGINX, Apache, IIS, Envoy и даже Cloudflare. Прикол в том, что беда кроется прямо в...
Народ, тут свежая жесть: в Windows нашли новую уязвимость (привет, CVE-2026-33829!), которая через URI-обработчик search: позволяет сливать NTLMv2-хеши ваших паролей. Это как если бы ваш браузер сам...