Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Paquete PyPI malicioso Automslc: Operación de piratería musical de Deezer

2025-03-02
Paquete PyPI malicioso Automslc: Operación de piratería musical de Deezer

Los investigadores han descubierto un paquete PyPI malicioso, automslc, que permite descargas de música no autorizadas y coordinadas de Deezer. Descargado más de 100.000 veces, utiliza credenciales codificadas y un servidor C2 (54.39.49[.]17:8031) para eludir las restricciones de la API de Deezer y descargar pistas completas, violando los términos de servicio de Deezer. El actor de amenazas, utilizando varias cuentas y un perfil de GitHub, orquesta una operación de piratería distribuida, destacando la importancia de la seguridad de la cadena de suministro de software y la necesidad de que los desarrolladores y las organizaciones se protejan contra este tipo de ataques.

Leer más
(socket.dev)
Tecnología Seguridad de la cadena de suministro de software

Los equipos de seguridad de cURL y Go rechazan el sistema de puntuación CVSS defectuoso

2025-01-27
Los equipos de seguridad de cURL y Go rechazan el sistema de puntuación CVSS defectuoso

Los equipos de seguridad de cURL y Go han denunciado públicamente el Sistema Común de Puntuación de Vulnerabilidades (CVSS) como defectuoso para evaluar vulnerabilidades, abogando por enfoques más precisos y contextuales. El enfoque único para todos del CVSS a menudo lleva a puntuaciones engañosas, especialmente para proyectos como cURL, con miles de millones de instalaciones. Daniel Stenberg, creador de cURL, destacó el fracaso del CVSS para tener en cuenta los contextos específicos, lo que resulta en puntuaciones infladas o inexactas. El equipo de seguridad de Go se hizo eco de estos sentimientos, optando por evaluaciones de gravedad impulsadas por el contexto. Esto destaca la creciente insatisfacción con el CVSS e impulsa la búsqueda de alternativas mejores. Sin embargo, este enfoque impulsado por el contexto enfrenta desafíos, ya que los mantenedores luchan por evaluar con precisión todos los escenarios de uso. Un choque cultural entre investigadores de seguridad y mantenedores de código abierto complica aún más el problema, con investigadores buscando reconocimiento y mantenedores enfocándose en el impacto práctico. El problema de retraso del NVD exacerba la situación.

Leer más
(socket.dev)
Desarrollo Seguridad de código abierto Evaluación de vulnerabilidades