Notícias

A estreia de Waller como presidente na reunião do Federal Reserve movimenta todo o mercado; Preparativos para o acordo entre EUA e Irã avançam de forma estável

Gelonghui em 17 de junho｜Departamento de Comércio dos EUA: acordo de financiamento de US$ 500 milhões para pesquisa e desenvolvimento de chips com a SandboxAQ. O Departamento de Comércio dos EUA terá uma participação minoritária sem direito a voto na SandboxAQ, que já recebeu apoio da NVIDIA (NVDA.US).

De acordo com Foresight News, segundo monitoramento da SlowMist, está ocorrendo um ataque coordenado à cadeia de suprimentos envolvendo mais de 140 pacotes npm. Os pacotes afetados adicionam automaticamente a dependência easy-day-js@^1.11.21 durante a instalação, que é resolvida automaticamente para a versão maliciosa easy-day-js@1.11.22, permitindo a execução de código controlado pelo atacante por meio de hooks de instalação.Possíveis ações dos atacantes incluem: execução de código no momento da instalação, persistência em Windows/macOS/Linux, coleta do histórico do navegador, identificação de extensões de carteiras de criptomoedas, exposição de credenciais ou chaves CI durante operações subsequentes e exfiltração de dados.Para qualquer sistema que tenha instalado versões afetadas, deve-se considerar o estado como potencialmente comprometido: remova as versões maliciosas e o easy-day-js, exclua node_modules e o cache dos pacotes, reinstale versões conhecidas como limpas (utilizando arquivos de lock verificados), isole as máquinas afetadas, mantenha registros de log, elimine vestígios de persistência e, caso haja possibilidade de exposição, troque as credenciais relacionadas ao npm, GitHub, serviços em nuvem, SSH/Git, CI/CD e carteiras.