Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics

Злоумышленники смогли выполнить код с правами обработчика GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз. https://www.opennet.ru/opennews/art.shtml?num=62365

December 7, 2024 · ihadtoinstalllinux

Инициатива GitHub по финансированию повышения безопасности открытых проектов

GitHub анонсировал инициативу “GitHub Secure Open Source Fund”, нацеленную на финансирование работы по усилению безопасного открытых проектов. На первом этапе планируется выбрать 125 проектов и в сумме инвестировать в них 1.25 млн долларов. Заявки от сопровождающих на получения финансирования будут приниматься до 7 января. https://www.opennet.ru/opennews/art.shtml?num=62270

November 21, 2024 · ihadtoinstalllinux

Python сместил JavaScript с 1 места в рейтинге GitHub. Статистика GitHub за 2024 год

GitHub опубликовал отчёт с анализом статистики за 2024 год. Основные тенденции. https://www.opennet.ru/opennews/art.shtml?num=62166

November 3, 2024 · ihadtoinstalllinux

Репозиторий с кодом WinAmp удалён с GitHub

Компания Llama Group, которая в сентябре опубликовала исходный код мультимедийного проигрывателя Winamp, удалила репозиторий проекта с GitHub. Причины удаления не поясняются, но ранее в репозитории было выявлено множество утечек и нарушений копилефт лицензий. В частности, после публикации в репозитории WinAmp был обнаружен код проданного другой компании коммерческого сервера SHOUTcast, чужой проприетарный код и сертификат для формирования цифровых подписей, а также несколько изменённых файлов из других проектов, распространяемых под лицензией GPL (Winamp не может использовать в своём составе GPL-код без перевода собственного кода на лицензию, совместимую с GPL)....

October 17, 2024 · ihadtoinstalllinux

Манипуляция с рассылкой уведомлений через GitHub для распространения вредоносного ПО

Распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности в GitHub. Рассылка нацелена на стимулирование сопровождающих и разработчиков, пользующихся платформой Windows, к совершению действий, приводящих к установке вредоносного ПО на их системы. Метод интересен тем, что письма приходят с реальных почтовых серверов GitHub и, если не обратить внимание на мелочи, напоминают реальные уведомления. https://www.opennet.ru/opennews/art.shtml?num=61895

September 20, 2024 · ihadtoinstalllinux