tấn công chuỗi cung ứng phần mềm

Một sự cố an ninh đáng chú ý vừa được nền tảng điện toán đám mây Vercel công bố, sau khi xuất hiện thông tin tin tặc rao bán dữ liệu nội bộ trên các diễn đàn ngầm. Theo xác nhận ban đầu, hệ thống nội bộ của Vercel đã bị truy cập trái phép. Phân tích bước đầu cho thấy đây có dấu hiệu của một cuộc...

Chiến dịch phát tán mã độc GlassWorm đã xâm nhập vào hơn 400 kho mã nguồn và tiện ích phần mềm trên nhiều nền tảng lập trình phổ biến như GitHub, npm, VSCode/OpenVSX… Các chuyên gia Bkav ước tính hiện có khoảng hàng chục nghìn máy lập trình viên đã nhiễm GlassWorm. Cuộc tấn công tạo ra phản ứng...

Một chiến dịch tấn công chuỗi cung ứng mới đang khiến cộng đồng an ninh mạng lo ngại khi lợi dụng công cụ quét lỗ hổng Trivy trong môi trường CI/CD. Điểm mấu chốt không nằm Trivy mà do các pipeline tích hợp công cụ này thường chứa nhiều token và quyền truy cập quan trọng. Theo các báo cáo ban...

Các chuyên gia an ninh mạng vừa công bố một lỗ hổng nghiêm trọng mang tên RoguePilot ảnh hưởng trực tiếp đến GitHub Codespaces và trợ lý lập trình AI GitHub Copilot. Lỗ hổng này đã được Microsoft khắc phục sau khi nhận được báo cáo theo quy trình công bố có trách nhiệm. Theo phân tích kỹ...

Các nhà nghiên cứu bảo mật vừa phát hiện một biến thể nguy hiểm của sâu máy tính (worm) tự sao chép mang tên Shai-hulud. Phiên bản 2.0 này không chỉ đầu độc kho lưu trữ npm mà còn tấn công trực tiếp vào hệ sinh thái Cloud với khả năng đánh cắp thông tin xác thực và phá hủy dữ liệu. Shai-hulud...