Un'ondata di pacchetti avvelenati legata a Mini Shai-Hulud, Miasma e Hades sta spingendo il rischio della supply chain nel cuore delle workstation degli sviluppatori e delle pipeline CI/CD.
La gestione dei segreti riguarda meno il bloccare le credenziali in un unico luogo e più il ridurne durata, diffusione e riutilizzo tra sistemi cloud e SaaS.
Un riepilogo di sicurezza che descrive repository Microsoft Azure disabilitati insieme a un sospetto compromesso di pacchetto ricorda che il malware moderno spesso prende di mira l'infrastruttura di fiducia prima di colpire gli utenti.
Un avviso di GitHub Actions mostra come uno strumento di lettura file all'interno di un flusso di lavoro agentico possa diventare una via silenziosa ai dati dell'ambiente CI/CD.
Un evento relativo a un pacchetto legato al namespace @redhat-cloud-services mostra perché un nome di registry familiare può essere un canale di consegna per codice malevolo, non una garanzia di integrità.
Lookalike package names aimed at developers using OpenSearch, Elasticsearch, and DevOps tooling have put cloud credentials and CI/CD secrets back in the crosshairs.
Un editore di pacchetti compromesso nell’ecosistema JavaScript può trasformare le installazioni di routine in una via per il furto di segreti, con i sistemi CI/CD esposti al rischio maggiore.
Un reset dei token a livello di registry mostra quanto rapidamente la sicurezza dei pacchetti possa cambiare quando i segreti di pubblicazione a lunga durata diventano un obiettivo.
Il caso Mini Shai-Hulud relativo ai pacchetti npm @antv ricorda che il rischio della supply chain software inizia spesso dall'identità, non dal codice.
Un'GitHub Action ritaggata mostra come una sola etichetta di versione mutabile possa trasformare una normale automazione CI in un percorso di esposizione delle credenziali.
La decisione di Grafana Labs di non pagare dopo che gli aggressori hanno avuto accesso ai suoi sistemi e scaricato l’intero codice sorgente evidenzia come il furto di sorgenti possa trasformarsi in un problema di sicurezza a lungo termine.
Secondo quanto riferito, una base di codice malware rilasciata di recente è stata riutilizzata in attacchi collegati all’ecosistema npm, aumentando la probabilità che un singolo worm possa rapidamente trasformarsi in molte varianti.
Una compromissione riportata di npm e PyPI mostra come un attacco alle dipendenze possa contare meno per il numero di pacchetti che per le credenziali nascoste nei sistemi di build e di rilascio.