Cadena de Suministro de Software
Paquetes npm maliciosos entregan malware infostealer a desarrolladores
La firma de seguridad Socket ha descubierto diez paquetes maliciosos en el repositorio npm que atacan a desarrolladores en sistemas Windows, macOS y Linux. Estos paquetes, disponibles desde julio, utilizan typosquatting y ofuscación sofisticada para instalar malware infostealer. El malware roba credenciales de navegadores, claves SSH y archivos de configuración antes de exfiltrar datos a los atacantes.
Red Hat presenta Rekor Monitor para Artifact Signer
Reportado por IA
Red Hat ha habilitado Rekor Monitor para su Trusted Artifact Signer, mejorando la seguridad de la cadena de suministro de software mediante verificación continua. Esta actualización permite a los usuarios mejorar la integridad del registro de transparencia.
Puerta trasera en XZ Utils expone riesgos de seguridad en Linux
En primavera de 2024, se descubrió una puerta trasera sofisticada en la biblioteca de compresión de datos XZ Utils, versiones 5.6.0 y 5.6.1, que potencialmente permitía la ejecución remota de código a través de SSH en muchos sistemas Linux. El código malicioso, inyectado por un colaborador anónimo llamado Jia Tan, fue descubierto por el ingeniero de Microsoft Andres Freund el 29 de marzo de 2024, después de notar un uso inusual de la CPU durante pruebas. Este incidente resaltó vulnerabilidades en las cadenas de suministro de software de código abierto.