Notizie

沃什 presiede per la prima volta una riunione della Federal Reserve, attirando l'attenzione di tutto il mercato; I preparativi dell'accordo tra Stati Uniti e Iran procedono stabilmente.

Gelonghui, 17 giugno | Il Dipartimento del Commercio degli Stati Uniti ha annunciato di aver raggiunto un accordo di finanziamento per la ricerca e sviluppo di chip da 500 milioni di dollari con SandboxAQ. Il Dipartimento del Commercio degli Stati Uniti deterrà una partecipazione di minoranza senza diritto di voto in SandboxAQ, una società che in passato ha ricevuto il supporto di NVIDIA (NVDA.US).

Secondo Foresight News, monitoraggi di SlowMist indicano che è in corso un attacco coordinato alla supply chain che coinvolge oltre 140 pacchetti npm. I pacchetti colpiti aggiungono automaticamente una dipendenza a easy-day-js@^1.11.21 durante l'installazione; questa dipendenza viene automaticamente risolta nella versione dannosa easy-day-js@1.11.22, attivando il codice controllato dagli aggressori tramite hook di installazione. I comportamenti potenziali degli aggressori includono: esecuzione di codice durante l'installazione, mantenimento della persistenza su Windows/macOS/Linux, raccolta della cronologia del browser, inventario delle estensioni di wallet di criptovalute, esposizione di credenziali o chiavi CI attraverso azioni successive e fuga di dati. Per qualsiasi sistema che abbia installato versioni interessate, si consiglia di considerarlo potenzialmente compromesso: rimuovere la versione dannosa e easy-day-js, eliminare node_modules e la cache dei pacchetti, reinstallare una versione nota e pulita (utilizzando un file di lock verificato), isolare gli host colpiti, conservare i log, rimuovere eventuali tracce di persistenza e, in caso di possibile esposizione, sostituire le credenziali relative a npm, GitHub, servizi cloud, SSH/Git, CI/CD e wallet.