Știri
Știri din categoria Securitate cibernetică
Un atac de tip „supply chain” pe GitHub poate ajunge rapid la utilizatori prin pachete npm, după ce o campanie numită Megalodon a infectat peste 5.500 de depozite cu commit-uri malițioase, potrivit TechRadar. Miza operațională pentru companii este expunerea secretelor din fluxurile CI/CD (integrare și livrare continuă), care pot deschide acces la infrastructură cloud și la medii de producție.
Cercetătorii SafeDep descriu Megalodon ca o campanie „inspirată” de TeamPCP, care pornește de la un commit malițios trimis de un actor ce se prezintă drept un „build-bot” (un cont care mimează un robot de build ce face modificări automate). Dacă un maintainer acceptă commit-ul, codul introduce un infostealer (malware care fură date) și începe să se propage către alte depozite „în stil vierme”, adică prin replicare automată.
Ținta principală sunt secretele din pipeline-urile DevOps, adică acele chei și tokenuri care permit automatizărilor să acceseze servicii critice.
În observațiile SafeDep, Megalodon a urmărit să colecteze, între altele:
Pentru organizații, compromiterea acestor date poate însemna acces neautorizat la resurse cloud, modificări în infrastructură și risc de extindere laterală în rețea.
În etapa inițială, expuși sunt în primul rând maintainerii de pe GitHub. Riscul se extinde însă către utilizatori dacă proiectele compromise sunt publicate mai departe în npm (registrul de pachete folosit frecvent în ecosistemul JavaScript), deoarece pachetele pot ajunge în aplicații ale terților.
SafeDep oferă exemplul Tiledesk, unde versiunile 2.18.6 (19 mai) până la 2.18.12 (21 mai) „conțin backdoor-ul”, iar publicarea s-a făcut din aceeași cont npm ca și versiunea curată 2.18.5, fără ca atacatorul să fi preluat contul npm. Concluzia cercetătorilor: depozitul GitHub a fost compromis, iar maintainerul a publicat din sursa „otrăvită” fără să își dea seama.
„Atacatorul nu a atins niciodată contul npm. Au compromis depozitul GitHub, iar maintainerul a publicat din sursa infectată fără să realizeze.”
TechRadar notează că Megalodon pare a fi un actor separat, de tip „copycat”, nu neapărat parte din inițiativa TeamPCP menționată de The Register, care a scris despre o „competiție” de atacuri asupra lanțului de aprovizionare (supply chain) pe Breach Forums. Lista completă a depozitelor compromise este publicată de SafeDep în raportul său (linkul indicat în articol).
Recomandate
GitHub a confirmat compromiterea a circa 3.800 de depozite interne , după ce un angajat a instalat o extensie malițioasă pentru Visual Studio Code, potrivit BleepingComputer . Incidentul readuce în prim-plan riscul operațional al extensiilor din lanțul de aprovizionare software (supply chain), într-un context în care GitHub este infrastructură critică pentru dezvoltarea de aplicații în milioane de organizații. GitHub spune că a identificat și „izolat” compromiterea dispozitivului angajatului, a eliminat versiunea malițioasă a extensiei din marketplace și a început răspunsul la incident. Compania afirmă că evaluarea curentă indică „exfiltrarea doar a depozitelor interne GitHub”, iar afirmația atacatorului privind aproximativ 3.800 de depozite este „în linii mari” în acord cu investigația de până acum. Ce se știe despre impact și ce nu este confirmat Într-un update public, GitHub a transmis că nu are dovezi că datele clienților stocate în afara depozitelor afectate ar fi fost compromise, conform relatării. Compania nu a atribuit oficial atacul unui actor anume. Pe de altă parte, gruparea TeamPCP a revendicat acces la cod sursă GitHub și la „~4.000 de depozite de cod privat” pe un forum de criminalitate cibernetică, cerând cel puțin 50.000 de dolari (aprox. 230.000 lei) pentru datele furate, potrivit informațiilor din articol. De ce contează: extensiile VS Code, o suprafață de atac recurentă Extensiile VS Code sunt module instalabile din VS Code Marketplace (magazinul oficial de add-on-uri pentru editorul Microsoft) care adaugă funcții sau integrează instrumente în editor. Cazul de față nu este singular: în ultimii ani au fost identificate extensii troianizate folosite pentru furt de credențiale și date sensibile, iar unele au ajuns la milioane de instalări înainte de a fi eliminate, notează publicația. Pentru companii, miza este direct operațională: un singur endpoint compromis în echipele de inginerie poate deveni poartă de acces către cod intern, secrete (chei, tokenuri) și procese de build/deploy, cu efecte în cascadă asupra produselor și livrărilor. Context: amploarea platformei GitHub amplifică riscul GitHub este folosit de peste 4 milioane de organizații (inclusiv 90% dintre companiile din Fortune 100) și de peste 180 de milioane de dezvoltatori, care contribuie la peste 420 de milioane de depozite de cod. În acest context, orice incident care implică instrumente uzuale ale dezvoltatorilor – precum extensiile din editor – ridică întrebări despre controalele interne și despre igiena de securitate a mediilor de dezvoltare. [...]
OpenAI a început rotația certificatelor de semnare a codului după ce două dispozitive ale unor angajați au fost compromise în atacul asupra lanțului de aprovizionare TanStack , o măsură care poate obliga utilizatorii de macOS să își actualizeze aplicațiile înainte de 12 iunie 2026 pentru a evita blocaje la pornire sau la actualizări, potrivit Bleeping Computer . OpenAI spune că incidentul nu a afectat datele clienților, sistemele de producție, proprietatea intelectuală sau software-ul deja livrat. Compania leagă breșa de campania „Mini Shai-Hulud”, atribuită grupării de extorcare TeamPCP, care a vizat dezvoltatori prin actualizări malițioase introduse în pachete software populare și de încredere. Ce s-a întâmplat în OpenAI și ce măsuri a luat compania Într-un buletin de securitate publicat astăzi, OpenAI afirmă că a observat activitate compatibilă cu comportamentul public descris al malware-ului, inclusiv acces neautorizat și exfiltrare orientată pe credențiale, într-un subset limitat de depozite interne de cod sursă la care aveau acces cei doi angajați afectați. „Am observat activitate în linie cu comportamentul descris public al malware-ului, inclusiv acces neautorizat și exfiltrare orientată pe credențiale, într-un subset limitat de depozite interne de cod sursă la care aveau acces cei doi angajați afectați.” OpenAI susține că au fost furate doar credențiale limitate din aceste depozite și că nu există dovezi că ele au fost folosite în atacuri suplimentare. Ca răspuns, compania a izolat sistemele și conturile afectate, a revocat sesiunile, a rotit credențiale în depozitele vizate, a restricționat temporar fluxurile de implementare și a derulat o investigație criminalistică împreună cu o firmă terță de răspuns la incidente. Impact operațional: actualizări obligatorii pe macOS până la 12 iunie 2026 Un element cu impact direct pentru utilizatori este expunerea certificatelor de semnare a codului folosite pentru produse OpenAI pe macOS, Windows, iOS și Android. Deși compania spune că nu a detectat abuzarea acestor certificate pentru semnarea de software malițios, le rotește „din precauție”. Consecința practică: utilizatorii de macOS trebuie să își actualizeze aplicațiile desktop OpenAI înainte de 12 iunie 2026 , deoarece aplicațiile semnate cu certificatele vechi ar putea să nu mai pornească sau să nu mai primească actualizări, din cauza procesului de notarizare Apple (mecanismul prin care Apple verifică și autorizează aplicațiile distribuite în afara App Store). OpenAI precizează că utilizatorii de Windows și iOS nu sunt afectați și nu trebuie să facă nimic. Context: atacul TanStack și campania „Mini Shai-Hulud” Breșa OpenAI este prezentată ca parte a unei campanii mai ample care a compromis „sute” de pachete din ecosistemele npm și PyPI. Atacul a vizat inițial pachete TanStack și Mistral AI, apoi s-a extins către alte proiecte, inclusiv UiPath, Guardrails AI și OpenSearch, prin credențiale CI/CD (integrare și livrare continuă) furate și fluxuri legitime. Cercetători de la Socket și Aikido au urmărit ulterior distribuția a sute de pachete compromise prin depozite legitime. Potrivit post-mortem-ului TanStack, atacatorii au exploatat slăbiciuni în fluxurile GitHub Actions și în configurația CI/CD pentru a executa cod malițios, a extrage tokenuri din memorie și a publica pachete malițioase prin conducta normală de lansare, făcând versiunile compromise să pară legitime. Malware-ul din campanie a vizat furtul de credențiale de dezvoltare și cloud (tokenuri GitHub, tokenuri de publicare npm, credențiale AWS, secrete Kubernetes, chei SSH și fișiere.env). Cercetătorii mai spun că a încercat să își asigure persistența pe sistemele dezvoltatorilor prin modificarea unor mecanisme de automatizare din Claude Code și VS Code. Microsoft Threat Intelligence a raportat, la rândul său, că a fost lansat și un instrument de furt de informații pentru Linux, care a vizat sisteme ce rulează software în limba rusă, iar malware-ul ar fi inclus și o componentă distructivă care executa aleator o comandă de ștergere recursivă pe unele sisteme din Israel sau Iran. OpenAI încadrează incidentul într-o tendință mai largă: atacatorii vizează tot mai des lanțul de aprovizionare software pentru a obține impact extins, în loc să atace companii individuale. Pentru utilizatori, efectul imediat rămâne calendarul de actualizare pe macOS, iar pentru organizații, semnalul de risc este dependența de biblioteci open-source și de infrastructura CI/CD, unde o compromitere „în amonte” se poate propaga rapid. [...]
O vulnerabilitate de design în Beamforming poate transforma routerele Wi‑Fi în instrumente de supraveghere , inclusiv fără compromiterea directă a echipamentului, potrivit unei demonstrații prezentate de Zonait . Miza pentru utilizatori și companii este operațională: aceeași infrastructură care îmbunătățește acoperirea wireless poate fi folosită pentru localizarea și urmărirea persoanelor aflate în raza rețelei. Cercetători de la Institutul de Tehnologie din Karlsruhe (Germania) arată că routere Wi‑Fi obișnuite pot fi „sparte” și echipate cu software clandestin, astfel încât să determine și să transmită în timp real locația relativă a utilizatorilor din aria de acoperire. Cum ajunge Beamforming să fie folosit pentru monitorizare Beamforming este un mecanism întâlnit pe majoritatea routerelor wireless recente, conceput pentru a crește stabilitatea și viteza conexiunii prin direcționarea selectivă a semnalului către dispozitivele conectate. Pentru a funcționa, routerul trebuie să estimeze poziția relativă a dispozitivului, folosind semnalizarea specifică acestui mecanism. Dincolo de dispozitive, demonstrația indică faptul că și corpul uman influențează undele radio din mediu, producând distorsiuni detectabile. În plus, caracteristici precum înălțimea, greutatea și compoziția corporală ar putea genera o „amprentă” distinctă în modul în care sunt absorbite undele radio, ceea ce ar permite diferențierea persoanelor și urmărirea mișcărilor în interiorul clădirilor, printr-o adaptare software la firmware-ul echipamentului. De ce contează: poate funcționa și fără „spargerea” routerului Un element cu impact direct asupra riscului este că monitorizarea ar putea funcționa și fără compromiterea prealabilă a routerului. Conform articolului, semnalele asociate Beamforming sunt necriptate, iar un dispozitiv de monitorizare aflat în același spațiu fizic (de exemplu, un Raspberry Pi cu software și conexiune radio) ar putea capta datele necesare, dacă este plasat discret. Ce au obținut cercetătorii în teste În testele descrise, echipa a lucrat cu 197 de voluntari și a raportat o precizie de identificare de 99,5%. Pentru asocierea „amprentei” radio cu identitatea reală (nume și alte detalii) ar fi necesare date suplimentare, cum ar fi un „ping” de la un telefon asociat anterior cu persoana respectivă. „Această tehnologie transformă fiecare router într-un potențial mijloc de supraveghere”, spune Julian Todt, unul dintre cercetători. „Dacă treceți în mod regulat pe lângă o cafenea care operează o rețea Wi‑Fi, ați putea fi identificat acolo fără să observați și să fiți recunoscut ulterior – de exemplu de către autoritățile publice sau companii.” Articolul nu indică măsuri concrete de remediere sau un calendar pentru criptarea semnalizării Beamforming; în lipsa acestor detalii, rămâne neclar în ce măsură riscul poate fi redus rapid prin actualizări de firmware sau schimbări de standard. [...]
Trump Mobile a confirmat expunerea datelor personale ale clienților , inclusiv nume, numere de telefon și adrese, într-un incident care ridică întrebări despre obligațiile de notificare și despre controlul furnizorilor terți în operațiunile unui operator, potrivit GSMArena . Compania a confirmat pentru TechCrunch că pe site-ul său au fost expuse informații ale clienților: nume, numere de telefon, adrese de domiciliu și adrese de e-mail. Trump Mobile spune că investighează situația și că, până acum, nu a găsit dovezi privind o utilizare malițioasă a datelor. Ce spune compania despre cauză și responsabilitate Potrivit unui purtător de cuvânt al Trump Mobile, Chris Walker, expunerea ar fi fost legată de un furnizor de platformă terț care susține „anumite operațiuni Trump Mobile”. Furnizorul nu este numit în informațiile publicate. În același timp, compania susține că nu a existat o „breșă” (intrare neautorizată) în rețeaua, sistemele sau infrastructura sa. Contextul relatat indică însă că datele erau accesibile direct pe site, fără a fi nevoie de o compromitere tehnică a sistemelor. Ce urmează: posibilă notificare a clienților Walker afirmă că Trump Mobile „evaluează dacă trebuie să notifice clienții” în legătură cu expunerea datelor personale. Materialul nu precizează câți clienți ar fi fost afectați și nici perioada exactă în care datele au fost accesibile. Context: probleme în derulare în jurul Trump Mobile GSMArena notează că „saga” Trump Mobile continuă, inclusiv pe partea de hardware: primul smartphone al companiei, descris ca un HTC U24 Pro rebranduit (model lansat în 2024), ar fi trebuit inițial să înceapă livrările în august sau septembrie anul trecut, lucru care nu s-a întâmplat, iar acum livrările sunt prezentate ca fiind „iminente”. (Detaliile despre telefon apar în materiale separate ale publicației.) [...]
Companiile din România riscă blocaje operaționale totale din cauza atacurilor cibernetice frecvente , într-un context în care „cele mai multe” nu sunt pregătite să gestioneze astfel de incidente, potrivit Știrile Pro TV . Miza nu este doar financiară: un atac poate opri complet activitatea unei afaceri. Publicația indică o statistică potrivit căreia în România au loc zilnic între 20.000 și 30.000 de atacuri cibernetice , iar țintele nu sunt limitate la companii: sunt vizate atât persoane juridice , cât și persoane fizice. Din perspectiva impactului asupra mediului de afaceri, vulnerabilitatea principală evidențiată este lipsa de pregătire pentru un incident: pe lângă pierderi de bani, consecința imediată poate fi blocarea completă a operațiunilor , ceea ce se traduce în întreruperea activității, întârzieri și imposibilitatea de a livra servicii sau produse. Materialul nu oferă detalii despre sectoarele cele mai afectate, tipurile de atacuri sau sursa exactă a statisticii menționate, însă semnalul de risc este legat de frecvența ridicată a incidentelor și de nivelul insuficient de pregătire în rândul companiilor. [...]
O vulnerabilitate „zero-day” din echipamente Huawei a scos din funcțiune rețeaua operatorului de stat din Luxemburg timp de circa trei ore , un incident care ridică semne de întrebare despre cât de expuși sunt operatorii care folosesc aceeași infrastructură și despre lipsa de transparență în raportarea breșelor, potrivit WinFuture . În urma investigațiilor de după întreruperea din 2025, operatorul de stat POST (Post Luxembourg) a concluzionat că atacatori au exploatat o problemă de securitate „nedocumentată” din hardware de rețea Huawei, pentru a declanșa căderea rețelelor fixe și a celor mobile 4G și 5G. Ce s-a întâmplat tehnic și de ce a căzut rețeaua Publicația germană relatează, citând informații apărute în The Record, că atacatorii ar fi introdus în rețeaua POST date special pregătite, care au declanșat comportamentul vulnerabil în anumite sisteme de tip router enterprise (echipamente de rutare folosite în infrastructuri mari). Efectul ar fi fost trimiterea unor componente ale infrastructurii într-un „restart-loop” (reporniri repetate), ceea ce a dus la indisponibilitatea unor părți importante din rețeaua mobilă. Șeful de comunicare al Post Luxembourg a confirmat că incidentul a fost cauzat de exploatarea unei „comportări nepublice, nedocumentate” a routerelor și că, la momentul respectiv, nu exista niciun patch (actualizare de securitate) disponibil — ceea ce încadrează cazul ca atac de tip „zero-day” (exploatarea unei vulnerabilități necunoscute public și fără remediere). Implicația pentru operatori: risc sistemic și vizibilitate redusă asupra breșelor Miza, dincolo de incidentul punctual din Luxemburg, este că „numeroși operatori” la nivel global ar putea fi vulnerabili la întreruperi similare dacă folosesc hardware Huawei afectat de aceeași problemă, notează WinFuture. În plus, rămân neclare două aspecte esențiale pentru industrie: Huawei nu ar fi oferit până acum o poziție publică pe acest subiect și nu a publicat detalii despre problema care a stat la baza incidentului; nu este cunoscut dacă vulnerabilitatea a fost între timp remediată. Totuși, conform materialului, nu sunt cunoscute alte cazuri în care aceeași breșă să fi fost exploatată. Context european: raportarea către parteneri vs. obligația furnizorului Autoritățile din Luxemburg și-ar fi informat ulterior partenerii din Europa și din alte țări despre cauzele probabile ale întreruperii totale din iulie 2025, însă, în practică, informarea completă despre problemele din echipamente rămâne la latitudinea furnizorului, subliniază publicația. WinFuture mai arată că Huawei ar furniza în ultimii ani mai rar notificări standardizate la nivel internațional despre vulnerabilități (CVE — identificatori publici folosiți pentru a urmări și gestiona breșele), ceea ce complică evaluarea riscului și reacția coordonată a operatorilor. În Germania, tehnologia Huawei este folosită pe scară largă, inclusiv de Deutsche Telekom și Telefonica/O2, iar unele companii au început să reducă utilizarea echipamentelor Huawei, în special în zone considerate critice ale infrastructurii, pe fondul preocupărilor legate de securitate. [...]
