Una campagna supply chain legata a PolinRider mostra come gli ecosistemi di pacchetti possano trasformare il lavoro di sviluppo di routine in un percorso di esecuzione ad alto rischio.
Una vulnerabilità appena tracciata in uno strumento per sviluppatori AI è meno interessante come singolo bug che come segnale del fatto che la fiducia nel workspace, l'approvazione degli strumenti e l'esecuzione di comandi locali mancano ancora di un modello di sicurezza maturo.
Tre pacchetti npm dall'aspetto simile, rivolti agli sviluppatori frontend, evidenziano come la fiducia nel nome del pacchetto e l'esecuzione al momento dell'installazione possano scontrarsi su una postazione di sviluppo.
Una campagna malware basata su estensioni, segnalata, mette gli ecosistemi di VS Code sotto una luce impietosa: il vero bersaglio non è solo il software, ma la catena di fiducia che lo distribuisce.
La più recente proposta di sicurezza applicativa non consiste nello scegliere tra analisi statica e IA, ma nel collegarle in modo che una individui i problemi e l'altra aiuti gli sviluppatori a risolverli più rapidamente.
Gli assistenti di coding vengono discussi sempre meno come strumenti di chat e sempre più come sistemi in grado di operare con maggiore autonomia, il che sposta la questione della sicurezza dalla qualità dell'output al controllo, ai permessi e al contenimento.
Una campagna di avvelenamento su PyPI legata a Hades mostra come poche righe di avvio nascoste all'interno delle release di pacchetti possano trasformare normali installazioni in percorsi di esecuzione silenziosi.
Una campagna di phishing ha usato esche in stile recruiter e richieste di code review per indirizzare i bersagli verso repository controllati dagli aggressori, mostrando come flussi di lavoro familiari agli sviluppatori possano diventare un canale di distribuzione di malware.
Una rilettura dell'esperienza con un assistente di coding AI è diventata meno una questione di novità e più una domanda di sicurezza familiare: che cosa conta come sufficiente due diligence prima di fidarsi di codice generato dalla macchina?
Una campagna malevola su npm mostra come le normali installazioni di dipendenze possano trasformarsi in un canale segreto di raccolta di segreti nei sistemi degli sviluppatori, con workflow crypto e Web3 che comportano rischi sproporzionati.
Una campagna IronWorm segnalata mette pacchetti npm malevoli, accesso a GitHub e credenziali degli sviluppatori nello stesso percorso d'attacco, con i team crypto e web3 nel mirino.
Una falsa pagina che imita Claude Code e parte dalla ricerca mostra come il social engineering moderno possa trasformare la curiosità di configurazione in un percorso di esecuzione per un infostealer .NET segnalato.
Una proof-of-concept pubblicata di recente e collegata a VS Code ha spinto una familiare comodità per gli sviluppatori in un territorio scomodo: se un token di autenticazione può essere raggiunto tramite un flusso di lavoro dell'editor, il rischio pratico può essere serio quanto qualsiasi fuga di password.
Una vulnerabilità segnalata nel livello webview di Visual Studio Code solleva una domanda familiare ma pericolosa: cosa succede quando un confine dell'editor e un token di autorizzazione GitHub sono troppo vicini?
Un pacchetto npm malevolo ha esposto il token GitHub privato del suo operatore, sottolineando i rischi della supply chain e i pericoli delle credenziali esposte.
Una disruzione coordinata dell'infrastruttura di command-and-control collegata a GlassWorm evidenzia come il malware per la supply chain possa vivere più vicino a chi sviluppa software, non solo ai sistemi che lo eseguono.
Installatori contraffatti che si spacciano per Gemini CLI e Claude Code mostrano come la manipolazione delle ricerche possa diventare un canale di distribuzione di malware, anche quando i prodotti sottostanti non sono l’obiettivo.
Un nuovo modello di credenziali per OpenAI Codex mette in luce un cambiamento di sicurezza più ampio: gli agenti di coding dovrebbero prendere in prestito l’accesso per un’attività, non conservare i segreti nella loro memoria.
La codifica assistita dall'IA è passata dall'autocompletamento utile ad agenti software in grado di pianificare, modificare, testare e inviare cambiamenti - e questo trasforma la revisione del codice in un controllo di sicurezza, non in una formalità.
Un elenco di servizi di revisione del codice sicuro orientato agli sviluppatori mette in luce una verità più ampia: le vulnerabilità più difficili sono spesso quelle che gli scanner non individuano.