.avif)
Charlie Eriksen
Posts do blog de Charlie Eriksen
G_Wagon: Pacote npm implanta Python Stealer visando mais de 100 carteiras criptográficas
O pacote npm ansi-universal-ui fornece o infostealer GWagon, que tem como alvo mais de 100 carteiras de criptomoedas, credenciais de navegador e chaves de nuvem. Analisámos todas as 10 versões à medida que o invasor iterava em tempo real.
Gone Phishin': pacotes npm que servem páginas personalizadas para recolha de credenciais
Uma campanha direcionada de spear phishing utilizou pacotes npm e jsDelivr como infraestrutura gratuita de phishing, fornecendo coletores de credenciais personalizados para cada vítima.
Pacotes PyPI maliciosos spellcheckpy e spellcheckerpy entregam Python RAT
Os atacantes publicaram pacotes falsos de verificadores ortográficos no PyPI com malware escondido à vista de todos. Analisamos o ataque e o que os programadores precisam de estar atentos.
Habilidades de Agente Estão Espalhando Comandos npx Alucinados
As habilidades de agentes de IA estão propagando comandos npx alucinados, criando riscos reais de segurança e confiabilidade para desenvolvedores e cadeias de suprimentos.
JavaScript, MSBuild e Blockchain: Anatomia do Ataque à Cadeia de Suprimentos npm NeoShadow
Uma análise técnica aprofundada do ataque à cadeia de suprimentos npm NeoShadow, detalhando como as técnicas de JavaScript, MSBuild e blockchain foram combinadas para comprometer desenvolvedores.
Shai Hulud ataca novamente - O caminho dourado
Uma nova cepa de Shai Hulud foi observada em ambiente real.
Primeiro Malware Sofisticado Descoberto no Maven Central via Ataque de Typosquatting em Jackson
Descobrimos a primeira campanha de malware sofisticada no Maven Central: um pacote Jackson com typosquatting entregando payloads multiestágio e beacons Cobalt Strike via autoexecução do Spring Boot.
O Fork Desperta: Por que as Redes Invisíveis do GitHub Quebram a Segurança de Pacotes
Uma análise aprofundada de uma falha de segurança no GitHub onde commits bifurcados permitiam que invasores falsificassem dependências. Entenda o problema do commit SHA e por que os gerenciadores de pacotes precisam de proteção em nível de API.
Shai Hulud 2.0: O que o Observador Desconhecido nos Revela sobre o Objetivo Final dos Atacantes
Novas pesquisas sobre o malware Shai Hulud 2.0 sugerem que o nome de usuário UnknownWonderer1 nos diz mais sobre o objetivo final dos atacantes.
Shai Hulud Lança Segundo Ataque à Cadeia de Suprimentos: Zapier, ENS, AsyncAPI, PostHog, Postman Comprometidos
O ator de ameaça por trás de "Shai Hulud 2.0" lançou uma nova campanha de malware comprometendo a cadeia de suprimentos de Zapier, ENS Domains e outros — expondo Secrets, injetando código malicioso e possibilitando a tomada generalizada de ambientes de desenvolvedor.
Fique seguro agora
Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.
.avif)
