News

La primera vez que Waller preside la reunión de la Reserva Federal cautiva a todo el mercado; los preparativos del acuerdo entre Estados Unidos e Irán avanzan con estabilidad

Gelonghui, 17 de junio ┃ El Departamento de Comercio de Estados Unidos ha alcanzado un acuerdo de financiación de 500 millones de dólares para el desarrollo de chips con SandboxAQ. El Departamento de Comercio de Estados Unidos tendrá una participación minoritaria sin derecho a voto en SandboxAQ, una empresa que anteriormente recibió apoyo de Nvidia (NVDA.US).

Foresight News informa, según el monitoreo de SlowMist, que se está llevando a cabo un ataque coordinado a la cadena de suministro que afecta a más de 140 paquetes de npm. Los paquetes afectados añaden automáticamente una dependencia a easy-day-js@^1.11.21 durante la instalación; esta dependencia se resuelve automáticamente en la versión maliciosa easy-day-js@1.11.22, lo que permite ejecutar código controlado por el atacante a través de hooks en el proceso de instalación. Las acciones potenciales del atacante incluyen: ejecución de código durante la instalación, mantenimiento de persistencia en Windows/macOS/Linux, recopilación del historial del navegador, inventario de extensiones de monederos de criptomonedas, exposición de credenciales o claves CI mediante acciones posteriores, y exfiltración de datos. Para cualquier sistema que haya instalado las versiones afectadas, debe considerarse potencialmente comprometido: elimine la versión maliciosa y easy-day-js, borre node_modules y la caché de paquetes, reinstale versiones limpias conocidas (utilizando archivos de bloqueo verificados), aísle los hosts afectados, conserve los registros, elimine huellas de persistencia y, en caso de posible exposición, cambie las credenciales relacionadas con npm, GitHub, servicios en la nube, SSH/Git, CI/CD y también las de monederos.