Mjukvaruförsörjningskedja
Red Hat introducerar Rekor Monitor för Artifact Signer
Rapporterad av AI
Red Hat har aktiverat Rekor Monitor för sin Trusted Artifact Signer, vilket förbättrar säkerheten i mjukvaruförsörjningskedjan genom kontinuerlig verifiering. Denna uppdatering gör det möjligt för användare att förbättra integriteten i transparensloggen.
Maliciösa npm-paket levererar infostealer-malware till utvecklare
Säkerhetsföretaget Socket har upptäckt tio skadliga paket i npm-repositoriet som riktar sig mot utvecklare på Windows, macOS och Linux-system. Dessa paket, som varit tillgängliga sedan juli, använder sig av typosquatting och sofistikerad obfuskering för att installera infostealer-malware. Malware stjäl uppgifter från webbläsare, SSH-nycklar och konfigurationsfiler innan data exfiltreras till angripare.
Bakdörr i XZ Utils exponerar Linux-säkerhetsrisker
På våren 2024 upptäcktes en sofistikerad bakdörr i datakomprimeringsbiblioteket XZ Utils, versioner 5.6.0 och 5.6.1, som potentiellt tillät fjärrkörning av kod via SSH på många Linux-system. Den skadliga koden, injicerad av en pseudonym bidragsgivare vid namn Jia Tan, avslöjades av Microsoft-ingenjören Andres Freund den 29 mars 2024, efter att ha noterat ovanlig CPU-användning under tester. Denna händelse belyste sårbarheter i open source-programvarans försörjningskedjor.