Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

Pacote Malicioso PyPI Automslc: Operação de Pirataria Musical Deezer

2025-03-02
Pacote Malicioso PyPI Automslc: Operação de Pirataria Musical Deezer

Pesquisadores descobriram um pacote PyPI malicioso, automslc, que permite downloads de música não autorizados e coordenados do Deezer. Baixado mais de 100.000 vezes, ele usa credenciais codificadas e um servidor C2 (54.39.49[.]17:8031) para ignorar as restrições da API do Deezer e baixar faixas completas, violando os termos de serviço do Deezer. O agente de ameaças, usando várias contas e um perfil do GitHub, orquestra uma operação de pirataria distribuída, destacando a importância da segurança da cadeia de suprimentos de software e a necessidade de desenvolvedores e organizações se protegerem contra tais ataques.

Leia mais
(socket.dev)
Tecnologia Segurança da Cadeia de Suprimentos de Software Abuso de API

Equipes de segurança do cURL e Go rejeitam o sistema de pontuação CVSS com falhas

2025-01-27
Equipes de segurança do cURL e Go rejeitam o sistema de pontuação CVSS com falhas

As equipes de segurança do cURL e Go denunciaram publicamente o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) como falho na avaliação de vulnerabilidades, defendendo abordagens mais precisas e contextuais. A abordagem única do CVSS muitas vezes leva a pontuações enganosas, especialmente para projetos como o cURL, com bilhões de instalações. Daniel Stenberg, criador do cURL, destacou a falha do CVSS em levar em conta contextos específicos, resultando em pontuações infladas ou imprecisas. A equipe de segurança do Go fez coro com esses sentimentos, optando por avaliações de gravidade orientadas por contexto. Isso destaca a crescente insatisfação com o CVSS e impulsiona a busca por alternativas melhores. No entanto, essa abordagem orientada por contexto enfrenta desafios, pois os mantenedores lutam para avaliar com precisão todos os cenários de uso. Um choque de cultura entre pesquisadores de segurança e mantenedores de código aberto complica ainda mais o problema, com pesquisadores buscando reconhecimento e mantenedores focando no impacto prático. O problema de backlog do NVD exacerba a situação.

Leia mais
(socket.dev)
Desenvolvimento Segurança de código aberto Avaliação de vulnerabilidades