Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

Alerta Crítica: Ataque em Massa à Cadeia de Suprimentos atinge o Ecossistema NPM

2025-09-16
Alerta Crítica: Ataque em Massa à Cadeia de Suprimentos atinge o Ecossistema NPM

Mais de 40 pacotes npm, incluindo o popular pacote @ctrl/tinycolor (mais de 2 milhões de downloads semanais), foram comprometidos em um sofisticado ataque à cadeia de suprimentos. O atacante usou um mecanismo de autopropagação para infectar dependências a jusante, causando um comprometimento em cascata. A carga útil é um script empacotado pelo Webpack que rouba credenciais em nuvem AWS, GCP, GitHub e outras, estabelecendo persistência por meio do GitHub Actions. O ataque resultou em roubo generalizado de credenciais; ação imediata é necessária para verificar os pacotes afetados e girar todas as credenciais.

Leia mais
(www.stepsecurity.io)
Desenvolvimento

Compromisso do GitHub Action: tj-actions/changed-files injetando código malicioso

2025-03-15
Compromisso do GitHub Action: tj-actions/changed-files injetando código malicioso

Um incidente de segurança crítico comprometeu a ação do GitHub tj-actions/changed-files, afetando mais de 23.000 repositórios. Os atacantes modificaram retroativamente várias tags de versão para apontar para um commit malicioso, expondo segredos de CI/CD em logs de compilação públicos. O StepSecurity Harden-Runner detectou essa anomalia. A ação comprometida executa um script Python malicioso que descarrega segredos do processo Runner Worker. É necessária ação imediata: pare de usar a ação afetada e revise os logs de compilação em busca de segredos vazados.

Leia mais
(www.stepsecurity.io)
Desenvolvimento Código Malicioso