.avif)
Charlie Eriksen
Entradas de blog de Charlie Eriksen
G_Wagon: paquete npm que implementa un ladrón de Python dirigido a más de 100 carteras criptográficas
El paquete npm ansi-universal-ui distribuye el infostealer GWagon, que tiene como objetivo más de 100 carteras de criptomonedas, credenciales de navegador y claves en la nube. Analizamos las 10 versiones a medida que el atacante las iteraba en tiempo real.
Gone Phishin': paquetes npm que sirven páginas personalizadas para la recopilación de credenciales
Una campaña de spear phishing dirigida utilizó paquetes npm y jsDelivr como infraestructura de phishing gratuita, proporcionando recolectores de credenciales personalizados para cada víctima.
Los paquetes maliciosos PyPI spellcheckpy y spellcheckerpy distribuyen Python RAT.
Los atacantes publicaron paquetes falsos de corrector ortográfico en PyPI con malware oculto a plena vista. Analizamos el ataque y lo que los desarrolladores deben tener en cuenta.
Las habilidades de los agentes están propagando comandos npx alucinados
Las habilidades de los agentes de IA están propagando comandos npx alucinados, creando riesgos reales de seguridad y fiabilidad para desarrolladores y cadenas de suministro.
JavaScript, MSBuild y la Blockchain: Anatomía del ataque a la cadena de suministro npm de NeoShadow
Un análisis técnico profundo del ataque a la cadena de suministro npm NeoShadow, detallando cómo se combinaron técnicas de JavaScript, MSBuild y blockchain para comprometer a los desarrolladores.
Shai Hulud ataca de nuevo - El camino dorado
Una nueva cepa de Shai Hulud ha sido observada en la naturaleza.
Primer malware sofisticado descubierto en Maven Central a través de un ataque de typosquatting en Jackson
Descubrimos la primera campaña de malware sofisticada en Maven Central: un paquete Jackson con typosquatting que entrega cargas útiles de múltiples etapas y balizas de Cobalt Strike mediante la auto-ejecución de Spring Boot.
El Fork Despierta: Por qué las redes invisibles de GitHub rompen la seguridad de los paquetes
Un análisis en profundidad de un fallo de seguridad en GitHub donde los commits bifurcados permitían a los atacantes suplantar dependencias. Comprende el problema del SHA de los commits y por qué los gestores de paquetes necesitan protección a nivel de API.
Shai Hulud 2.0: Lo que el 'Unknown Wonderer' nos dice sobre el objetivo final de los atacantes.
Una nueva investigación sobre el malware Shai Hulud 2.0 sugiere que el nombre de usuario UnknownWonderer1 nos revela más sobre el objetivo final de los atacantes.
Shai Hulud lanza un segundo ataque a la cadena de suministro: Zapier, ENS, AsyncAPI, PostHog, Postman comprometidos.
El actor de amenazas detrás de “Shai Hulud 2.0” lanzó una nueva campaña de malware comprometiendo la cadena de suministro de Zapier, ENS Domains y más — exponiendo secretos, inyectando código malicioso y permitiendo una toma de control generalizada del entorno de desarrollo.
Asegúrate ahora.
Proteja su código, la nube y el entorno de ejecución en un único sistema central.
Encuentre y corrija vulnerabilidades de forma rápida y automática.
.avif)
