Google hôm thứ Hai đã giới thiệu một chương trình tiền thưởng lỗi mới cho các dự án mã nguồn mở của mình, cung cấp các khoản thanh toán từ $ 100 đến $ 31,337 (tham chiếu đến eleet hoặc leet) để bảo vệ hệ sinh thái khỏi các cuộc …
Read More »GitHub Dependabot hiện cảnh báo các nhà phát triển về các hành động GitHub dễ bị tổn thương
Nền tảng lưu trữ mã dựa trên đám mây GitHub đã thông báo rằng bây giờ họ sẽ bắt đầu gửi cảnh báo Dependabot về các Hành động GitHub dễ bị tấn công để giúp các nhà phát triển khắc phục các vấn đề bảo mật trong quy trình làm …
Read More »Hơn 1200 Gói NPM được Tìm thấy Tham gia
Các nhà nghiên cứu đã tiết lộ một chiến dịch khai thác tiền điện tử quy mô lớn mới nhắm mục tiêu vào kho lưu trữ gói NPM JavaScript. Hoạt động độc hại, do một kẻ đe dọa chuỗi cung ứng phần mềm có tên là CuteBoi, liên quan đến …
Read More »Các nhà nghiên cứu phát hiện ra các gói NPM độc hại ăn cắp dữ liệu từ các ứng dụng và biểu mẫu web
Một cuộc tấn công chuỗi cung ứng phần mềm trên diện rộng đã nhắm mục tiêu vào trình quản lý gói NPM ít nhất kể từ tháng 12 năm 2021 với các mô-đun giả mạo được thiết kế để lấy cắp dữ liệu do người dùng nhập vào các biểu …
Read More »Nhiều thư viện Python được làm ngược đã bị bắt trộm các bí mật và khóa AWS
Các nhà nghiên cứu đã phát hiện ra một số gói Python độc hại trong kho lưu trữ phần mềm chính thức của bên thứ ba được thiết kế để lọc thông tin đăng nhập AWS và các biến môi trường tới một điểm cuối bị lộ công khai. Theo …
Read More »Làm thế nào những bí mật ẩn trong mã nguồn dẫn đến những vi phạm lớn
Nếu một từ có thể tổng kết năm an ninh thông tin 2021 (tốt, thực tế là ba), thì đó sẽ là: “cuộc tấn công chuỗi cung ứng”. Một cuộc tấn công chuỗi cung ứng phần mềm xảy ra khi tin tặc thao túng mã trong các thành phần phần …
Read More »Gói PyPI phổ biến ‘ctx’ và ‘phpass’ Thư viện PHP bị xâm nhập để lấy cắp khóa AWS
Hai gói Python và PHP bị trojanized đã được phát hiện trong một trường hợp khác của cuộc tấn công chuỗi cung ứng phần mềm nhắm vào hệ sinh thái nguồn mở. Một trong những gói được đề cập là “ctx”, một mô-đun Python có sẵn trong kho lưu trữ …
Read More »Các nhà nghiên cứu khám phá các đường ống nhắm mục tiêu theo chuỗi cung ứng bị gỉ sét trên nền tảng đám mây CI
Một trường hợp tấn công chuỗi cung ứng phần mềm đã được quan sát thấy trong sổ đăng ký thùng của ngôn ngữ lập trình Rust đã tận dụng kỹ thuật đánh máy để xuất bản một thư viện giả mạo có chứa phần mềm độc hại. Công ty bảo …
Read More »Các gói NPM độc hại nhắm vào các công ty Đức trong cuộc tấn công chuỗi cung ứng
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một số gói mã độc trong cơ quan đăng ký NPM nhắm mục tiêu cụ thể đến một số công ty truyền thông, hậu cần và công nghiệp nổi tiếng có trụ sở tại Đức để thực hiện các …
Read More »NIST phát hành Hướng dẫn cập nhật về an ninh mạng để quản lý rủi ro chuỗi cung ứng
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) hôm thứ Năm đã công bố hướng dẫn cập nhật về an ninh mạng để quản lý rủi ro trong chuỗi cung ứng, vì nó ngày càng nổi lên như một phương tiện tấn công béo bở. “Nó khuyến khích các …
Read More »