Cadeia de Suprimentos de Software
Red Hat Introduz Rekor Monitor para Artifact Signer
Reportado por IA
A Red Hat habilitou o Rekor Monitor para seu Trusted Artifact Signer, aprimorando a segurança da cadeia de suprimentos de software por meio de verificação contínua. Esta atualização permite que os usuários melhorem a integridade do registro de transparência.
Pacotes npm maliciosos entregam malware infostealer a desenvolvedores
A empresa de segurança Socket descobriu dez pacotes maliciosos no repositório npm que visam desenvolvedores em sistemas Windows, macOS e Linux. Esses pacotes, disponíveis desde julho, usam typosquatting e ofuscação sofisticada para instalar malware infostealer. O malware rouba credenciais de navegadores, chaves SSH e arquivos de configuração antes de exfiltrar dados para os atacantes.
Porta dos fundos no XZ Utils expõe riscos de segurança no Linux
Na primavera de 2024, uma porta dos fundos sofisticada foi descoberta na biblioteca de compressão de dados XZ Utils, versões 5.6.0 e 5.6.1, potencialmente permitindo a execução remota de código via SSH em muitos sistemas Linux. O código malicioso, injetado por um colaborador pseudônimo chamado Jia Tan, foi descoberto pelo engenheiro da Microsoft Andres Freund em 29 de março de 2024, após notar uso incomum de CPU durante testes. Este incidente destacou vulnerabilidades nas cadeias de suprimento de software open-source.