Пресс-релизы //

Взлом через NPM: как защититься от критической уязвимости?

В популярном пакете Node.js Systeminformation обнаружена критическая уязвимость (RCE — удалённое выполнение кода), что ставит под угрозу безопасность систем, использующих эту библиотеку. Киберэксперт компании «Газинформсервис» Сергей Полунин рекомендует компаниям пересмотреть свои стратегии информационной безопасности и внедрить системы мониторинга безопасности, такие как Security Operations Center (SOC), для обнаружения угроз и реагирования на них в реальном времени.
«Уязвимость в популярном NPM-пакете — это всегда серьёзная проблема. Дело в том, что сегодня почти ничего не пишется с нуля, а разработчики используют огромное количество сторонних библиотек и модулей, зачастую даже не задумываясь об их безопасности. Их тоже можно понять: их в большей степени интересует функционал. Поэтому, когда появляется информация об уязвимости, особенно класса RCE, в библиотеке, которую вы используете, то это повод задуматься о том, как вы вообще проектируете своё программное обеспечение. Я не говорю, что всё нужно делать самому. Это как раз, скорее всего, сделает ваше ПО ещё более уязвимым, а вот использовать наложенные средства при тестировании и развёртывании ваших приложений — это хорошая идея. Подключив своё приложение к тому же SOC, выявлять атаки на эксплуатацию уязвимостей будет довольно просто. А ещё правильнее не допускать их в принципе. Для этого существует методология DevSecOps, которая позволяет на каждом этапе разработки ПО контролировать различные аспекты безопасности», — комментирует руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Напомним, в мае этого года «Газинформсервис» запустил коммерческий SOC, предоставляющий круглосуточный мониторинг и реагирование на инциденты безопасности. В основе решения лежат SIEM-, VM-, XDR- и UEBA-системы, позволяющие эффективно выявлять и нейтрализовывать угрозы, подобные внедрению команд в популярном пакете NPM Systeminformation. Состав решения может быть адаптирован под потребности конкретного заказчика.

Контактное лицо: Татьяна Манько
Компания: ООО "Газинформсервис"
Добавлен: 23:38, 27.12.2024 Количество просмотров: 282
Страна: Россия

Навикон: в 2026 году более 80% ключевых российских BI-решений будут применять элементы ИИ, Navicon, 21:53, 16.03.2026, Россия113
Эксперты системного интегратора и разработчика Навикон обозначили основные тренды, которые будут формировать российский рынок бизнес-аналитики в 2026 году.

Команда “Андагар” внедрила ИИ-агента для QA-тестирования, Андагар, 21:48, 16.03.2026, Россия108

Команда компании “Андагар”, специализирующаяся на разработке ПО, создала и внедрила в собственные проекты ИИ-агента, который анализирует внесенные изменения в код и автоматически формирует QA-сводку. Новый ИИ-агент качественно анализирует изменения, указывает на возможные риски, рекомендует проверки и делает QA-экспертизу в несколько раз быстрее.

Российские разработчики создают систему для проектирования сверхвысокочастотных интегральных схем на Astra Linux, "Группа Астра", 21:47, 16.03.2026, Россия120

Первая версия системы появится в конце 2026 года. Она должна будет заменить ушедшие с отечественного рынка зарубежные решения и стать новым национальным стандартом для проектирования микроэлектроники.

UDV Group: как злоумышленники скрываются в инфраструктуре, UDV Group, 21:34, 16.03.2026, Россия121

Backdoor-механизмы сегодня это тонкие, адаптивные скрытые входы, которые могут прятаться в облачных сервисах, CI/CD-процессах и даже в штатных инструментах ОС. Cyber Media разбирает, как эволюционируют бэкдоры, какие техники используют злоумышленники и почему их обнаружение становится все сложнее.

ОКТРОН совместно с партнерами представит новые решения для автоматизации работы склада на выставке TransRussia 2026, ОКТРОН, 21:32, 16.03.2026, Россия109

На стенде компании ОКТРОН посетители выставки TransRussia смогут ознакомиться с новинками оборудования для автоматизации складских операций от ведущих мировых производителей и специализированными решениями партнеров – лидеров в области интеграции технологий Auto-ID

ActiveCloud и веб-студия CSF стабилизировали и ускорили работу интернет-магазина UPS-MAG.ru на 1С-Битрикс, ActiveCloud, 21:32, 16.03.2026, Россия118

Ведущий поставщик облачной инфраструктуры ActiveCloud и веб-студия CSF реализовали проект по миграции и комплексной оптимизации интернет-магазина UPS-MAG.ru группы компаний «Спектр».

Группа компаний «КрашМаш» – лидер демонтажной отрасли, Группа компаний «КрашМаш», 21:30, 16.03.2026, Россия111

Всероссийский бизнес‑рейтинг подвёл итоги и объявил «Лидеров отрасли 2025». В сегменте демонтажа первое место заняла ГК «КрашМаш», получив статус «Лидер отрасли 2025» за совокупность финансовых показателей и устойчивое развитие бизнеса.

ГК «Юнайт» вступила в Тульскую ТПП: региональный бизнес получит прикладные инструменты для роста капитализации и получения кредитов, ГК "Юнайт", 21:29, 16.03.2026, Россия49

Группа компаний «Юнайт», специализирующаяся на капитализации нематериальных активов, официально стала членом Тульской Торгово-промышленной палаты (ТПП). Цель партнерства — предоставить предприятиям региона рабочие механизмы, которые помогут усилить финансовый профиль компаний и упростить работу с банками и инвесторами

Серверы «Гравитон» С2242АА и С2122АА на базе AMD EPYC внесены в реестр Минпромторга России, Гравитон, 21:29, 16.03.2026, Россия55

Компания «Гравитон», разработчик и производитель российской вычислительной техники, внесла серверы «Гравитон» моделей С2242АА и С2122АА в реестр Минпромторга России. Это подтверждает статус продукции российского происхождения и позволяет использовать оборудование в реализации программ импортозамещения и проектах по защите критической информационной инфраструктуры.

«1С‑Рарус» представил практики проведения стажерских программ на семинаре партнеров 1С, 1С-Рарус, 21:29, 16.03.2026, Россия136

Казанский офис «1С‑Рарус» поделился с партнерами 1С опытом подготовки кадров. Системная работа со студентами помогает компании формировать кадровый резерв. Опытные специалисты передают методики работы через стажерские программы, внутреннее обучение и наставничество.

Innostage и UDV Group на КВО 2026: экспертиза в инфраструктурных проектах для защиты АСУ ТП, UDV Group, 17:36, 16.03.2026, Россия70

Компания Innostage, первый кибериспытанный интегратор России в области цифровой безопасности, и UDV Group, российский разработчик решений для эффективного и безопасного использования современных технологий, подвели итоги участия в XIV ежегодной конференции «Информационная безопасность АСУ ТП КВО».

RODINA Hotels повысила уровень обученности сотрудников до 73% с помощью iSpring LMS, iSpring, 21:46, 12.03.2026, Россия466
Компания RODINA Hotels внедрила платформу корпоративного обучения iSpring LMS для развития более 2 тыс. сотрудников по всей России. Это позволило сделать обучение централизованным и повысить уровень обученности.

Innostage и UDV Group на КВО 2026: экспертиза в инфраструктурных проектах для защиты АСУ ТП, Innostage, 21:46, 12.03.2026, Россия532

Индид расширила возможности облачного сервиса Indeed MFA, Индид, 21:46, 12.03.2026, Россия461

Компания «Индид», российский разработчик комплекса решений в области защиты айдентити, представила обновление облачного сервиса многофакторной аутентификации Indeed MFA. Среди ключевых изменений — гибкое управление правилами предварительной аутентификации, расширенная поддержка RADIUS-атрибутов, улучшенный контроль синхронизации каталога пользователей и возможность назначения приоритетного токена.

MIG представляет S6 Gen. 2: промышленный смартфон с ресурсом 5+ лет для автоматизации мобильного персонала, Mobile Inform Group, 21:46, 12.03.2026, Россия467

Компания Mobile Inform Group, российский разработчик и производитель защищенных мобильных устройств, объявляет о выходе MIG S6 Gen. 2 – промышленного смартфона нового поколения.