Balita

沃什 kauna-unahang pinangasiwaan ang pagpupulong ng Federal Reserve, na siyang umakit ng pansin ng buong merkado; Ang paghahanda para sa kasunduan sa pagitan ng US at Iran ay umuusad nang matatag.

格隆汇 Hunyo 17｜US Department of Commerce: Nakamit ang $500 milyon na kasunduan sa pagpopondo ng chip R&D kasama ang SandboxAQ. Ang US Department of Commerce ay magkakaroon ng non-voting minority stake sa SandboxAQ, isang kompanyang sinuportahan ng NVIDIA (NVDA.US).

Ayon sa Foresight News, iniulat ng SlowMist monitoring na may nagaganap na coordinated supply chain attack na nakatuon sa higit sa 140 npm packages. Ang mga apektadong package ay awtomatikong nagdadagdag ng dependency sa easy-day-js@^1.11.21 kapag ini-install, at ang dependency na ito ay awtomatikong nare-resolve bilang isang malisyosong bersyon, easy-day-js@1.11.22, na ginagamit ng attacker upang magpatakbo ng code na sila ang may kontrol sa pamamagitan ng installation hook.Kasama sa mga potensyal na kilos ng attacker ang: pagpapatakbo ng code habang nag-i-install, pagpapanatili ng persistency sa Windows/macOS/Linux, pagkolekta ng browser history, pag-lista ng mga crypto wallet extension, pag-expose ng credentials o CI keys sa mga susunod na aksyon, at pag-leak ng data.Para sa anumang sistema na naka-install ng apektadong bersyon, ituring itong posibleng compromised: tanggalin ang malisyosong bersyon at easy-day-js, burahin ang node_modules at package cache, i-install muli ang kilalang malinis na bersyon (gamit ang napagkakatiwalaang lock file), ihiwalay ang apektadong host, itago ang mga log, alisin ang mga persistency traces, at kung may posibleng pag-expose, palitan ang mga credential para sa npm, GitHub, cloud services, SSH/Git, CI/CD, pati na rin ang mga wallet-related credentials.