Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Paquet PyPI malveillant Automslc : Opération de piratage musical Deezer

2025-03-02
Paquet PyPI malveillant Automslc : Opération de piratage musical Deezer

Des chercheurs ont découvert un paquet PyPI malveillant, automslc, permettant des téléchargements de musique non autorisés et coordonnés depuis Deezer. Téléchargé plus de 100 000 fois, il utilise des identifiants codés en dur et un serveur C2 (54.39.49[.]17:8031) pour contourner les restrictions de l’API Deezer et télécharger des pistes complètes, violant ainsi les conditions d’utilisation de Deezer. L’acteur de la menace, utilisant plusieurs comptes et un profil GitHub, orchestre une opération de piratage distribué, soulignant l’importance de la sécurité de la chaîne d’approvisionnement logicielle et la nécessité pour les développeurs et les organisations de se protéger contre de telles attaques.

Lire plus
(socket.dev)
Technologie Sécurité de la chaîne d’approvisionnement logicielle Abus d’API

Les équipes de sécurité de cURL et Go rejettent le système de notation CVSS défaillant

2025-01-27
Les équipes de sécurité de cURL et Go rejettent le système de notation CVSS défaillant

Les équipes de sécurité de cURL et Go ont publiquement dénoncé le système commun de notation des vulnérabilités (CVSS) comme étant défaillant pour l'évaluation des vulnérabilités, préconisant des approches plus précises et contextuelles. L'approche unique du CVSS conduit souvent à des scores trompeurs, notamment pour des projets comme cURL, avec des milliards d'installations. Daniel Stenberg, le créateur de cURL, a souligné l'échec du CVSS à prendre en compte les contextes spécifiques, ce qui entraîne des scores gonflés ou inexacts. L'équipe de sécurité de Go a fait écho à ces sentiments, optant pour des évaluations de gravité basées sur le contexte. Cela met en évidence la mécontentement croissant envers le CVSS et encourage la recherche de meilleures alternatives. Cependant, cette approche contextuelle est confrontée à des défis, car les mainteneurs luttent pour évaluer avec précision tous les scénarios d'utilisation. Un choc culturel entre les chercheurs en sécurité et les mainteneurs de logiciels open source complique encore le problème, les chercheurs cherchant la reconnaissance et les mainteneurs se concentrant sur l'impact pratique. Le problème de backlog de la NVD exacerbe la situation.

Lire plus
(socket.dev)
Développement Sécurité open source Évaluation des vulnérabilités