.avif)
Charlie Eriksen
Posts do blog de Charlie Eriksen
Alguém publicou quatro versões de um pacote falso chamado «tanstack» em 27 minutos para roubar os seus ficheiros .env
Um pacote npm falso chamado «tanstack» publicou hoje quatro versões maliciosas em 27 minutos, extraindo ficheiros .env através de um gancho de pós-instalação. Eis o que aconteceu, quem foi afetado e como atualizar as suas credenciais.
Pacote popular telnyx comprometido no PyPI pelo TeamPCP
O popular pacote telnyx no PyPI, utilizado por grandes empresas de IA, foi comprometido pelo TeamPCP
CanisterWorm Ganha Dentes: Wiper de Kubernetes do TeamPCP Ataca o Irã
CanisterWorm Ganha Dentes: Wiper de Kubernetes do TeamPCP Ataca o Irã
TeamPCP implanta CanisterWorm no NPM após o comprometimento do Trivy
TeamPCP implanta CanisterWorm no NPM após o comprometimento do Trivy
Confusão com npx: Pacotes que Esqueceram de Reivindicar Seus Próprios Nomes
Reivindicamos 128 nomes de pacotes npm não reivindicados que documentações oficiais instruíam os desenvolvedores a usar npx. Sete meses depois: 121.000 downloads. Todos teriam executado código arbitrário.
Extensão Falsa do Clawdbot para VS Code Instala ScreenConnect RAT
Uma extensão maliciosa do VS Code, personificando o Clawdbot, está instalando o ScreenConnect RAT em máquinas de desenvolvedores.
G_Wagon: Pacote npm Implanta Stealer Python Visando Mais de 100 Carteiras de Criptomoedas
O pacote npm ansi-universal-ui entrega o infostealer GWagon, visando mais de 100 carteiras de criptomoedas, credenciais de navegador e chaves de Cloud. Analisamos todas as 10 versões enquanto o atacante iterava em tempo real.
Caindo no Phishing: Pacotes npm Servindo Páginas Personalizadas de Coleta de Credenciais
Uma campanha de spear-phishing direcionada usou npm packages e jsDelivr como infraestrutura de phishing gratuita, servindo coletores de credenciais personalizados por vítima.
Pacotes PyPI Maliciosos spellcheckpy e spellcheckerpy Entregam RAT Python
Atacantes publicaram pacotes falsos de verificador ortográfico no PyPI com malware escondido à vista. Analisamos o ataque e o que os desenvolvedores precisam observar.
Habilidades de Agente Estão Espalhando Comandos npx Alucinados
As habilidades de agentes de IA estão propagando comandos npx alucinados, criando riscos reais de segurança e confiabilidade para desenvolvedores e cadeias de suprimentos.
Fique seguro agora
Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.
