Novedades

沃什 presidió por primera vez la reunión de la Reserva Federal, lo que afectó a todo el mercado; el acuerdo entre Estados Unidos e Irán avanza de manera constante.

Golden Ten Data, 17 de junio: El Departamento de Comercio de EE.UU. ha llegado a un acuerdo de financiación para la investigación y desarrollo de chips por 500 millones de dólares con SandboxAQ. El Departamento de Comercio de EE.UU. poseerá una participación minoritaria sin derecho a voto en SandboxAQ, empresa que anteriormente recibió apoyo de NVIDIA (NVDA.US).

Según Foresight News y el monitoreo de SlowMist, está ocurriendo un ataque coordinado a la cadena de suministro dirigido a más de 140 paquetes npm. Los paquetes afectados agregan automáticamente la dependencia easy-day-js@^1.11.21 durante la instalación, lo que se resuelve automáticamente en la versión maliciosa easy-day-js@1.11.22, permitiendo que se active código controlado por los atacantes a través de hooks de instalación. Las posibles acciones de los atacantes incluyen: ejecución de código en el momento de la instalación, persistencia en Windows/macOS/Linux, recolección del historial del navegador, inventariado de extensiones de billeteras de criptomonedas, exposición de credenciales o llaves de CI mediante acciones posteriores, y exfiltración de datos. Para cualquier sistema que haya instalado una versión afectada, considérelo potencialmente comprometido: elimine la versión maliciosa y easy-day-js, borre node_modules y el caché de los paquetes, reinstale versiones verificadamente limpias (utilizando archivos de bloqueo validados), aisle los hosts afectados, conserve los registros, elimine rastros de persistencia, y realice rotación de credenciales npm, GitHub, servicios en la nube, SSH/Git, CI/CD y credenciales vinculadas a billeteras si hay posibilidades de exposición.