Una campagna collegata a PolinRider ha inserito pacchetti malevoli ed estensioni del browser in npm, Packagist, Go e Google Chrome, mostrando come un unico modello di distribuzione possa attraversare sistemi di fiducia molto diversi.
Una campagna supply chain legata a PolinRider mostra come gli ecosistemi di pacchetti possano trasformare il lavoro di sviluppo di routine in un percorso di esecuzione ad alto rischio.
Un takeover dell’account di un maintainer può fare più danni di un singolo file malevolo, soprattutto quando una sola pipeline di pubblicazione raggiunge più ecosistemi software contemporaneamente.
Una compromissione della catena di pacchetti può fare più che inserire codice dannoso - può trasformare gli stessi strumenti di sviluppo nel percorso di esecuzione per uno stealer di informazioni Python multipiattaforma.
L'ultima attività della supply chain legata a Miasma mostra come un singolo rilascio avvelenato possa mettere sotto pressione più livelli di fiducia contemporaneamente, dai registri dei pacchetti all'automazione delle build.
Una campagna legata alla supply chain e a più etichette di malware sta testando quanto a lungo gli strumenti per sviluppatori possano essere spinti prima che i normali aggiornamenti delle dipendenze diventino eventi di sicurezza.
Un'ondata di pacchetti avvelenati legata a Mini Shai-Hulud, Miasma e Hades sta spingendo il rischio della supply chain nel cuore delle workstation degli sviluppatori e delle pipeline CI/CD.
Una nuova compromissione del registro dei pacchetti in un ecosistema di streaming orientato ad AWS mostra quanto rapidamente un aggiornamento di dipendenza possa diventare un rischio per l'infrastruttura.
Un'esca nella supply chain nascosta nelle fasi di installazione e build dei pacchetti può trasformare il normale lavoro di sviluppo in una finestra di esecuzione per il furto di credenziali, soprattutto quando i team si fidano troppo in fretta dei metadati dei componenti nativi.
A deceptive package name can be enough to turn a routine JavaScript install into a staged Windows malware chain with browser-credential risk.
Un incidente di estorsione contenuto ricorda che controllo del codice sorgente, flussi di release e segreti del repository possono contare quanto i server di produzione.
Tre pacchetti npm dall'aspetto simile, rivolti agli sviluppatori frontend, evidenziano come la fiducia nel nome del pacchetto e l'esecuzione al momento dell'installazione possano scontrarsi su una postazione di sviluppo.
Un piccolo gruppo di pacchetti npm a tema PostCSS mostra come la confusione dei nomi e la fiducia al momento dell'installazione possano trasformare il normale lavoro sulle dipendenze in un rischio di malware per Windows.
Un pacchetto typosquatted nell'ecosistema npm mostra come un singolo nome fuorviante possa offrire agli aggressori un percorso dall'installazione di una dipendenza all'esecuzione nativa su Windows.
Una dipendenza malevola trovata in oltre 140 pacchetti Mastra mostra come un incidente della supply chain software possa spostarsi dagli strumenti di build alle superfici di criptovaluta rivolte al browser.
Un nome di pacchetto ingannevole nell'orbita di PostCSS mostra come la fiducia nell'open source possa essere abusata prima ancora che il codice raggiunga la produzione.
Un takeover dell'account di un maintainer legato a pacchetti Mastra compromessi mostra come i registry di pacchetti possano diventare sistemi di distribuzione di malware quando la fiducia nel pubblicatore viene infranta.
Un percorso di manutenzione dirottato, un pacchetto typosquat e due payload molto diversi mostrano come l'abuso della supply chain possa andare ben oltre un singolo namespace.
L’attribuzione da parte di Microsoft di una compromissione npm legata a Mastra AI a Sapphire Sleet mostra come un incidente nella supply chain software possa propagarsi negli strumenti per sviluppatori molto prima che qualcuno noti una build malevola.
Sono stati segnalati compromessi oltre 140 pacchetti npm legati all'ecosistema Mastra AI, a dimostrazione di come una singola dipendenza avvelenata possa diventare un canale di distribuzione per gli infostealer.