Știri
Știri din categoria Securitate cibernetică
GitHub a confirmat compromiterea a circa 3.800 de depozite interne, după ce un angajat a instalat o extensie malițioasă pentru Visual Studio Code, potrivit BleepingComputer. Incidentul readuce în prim-plan riscul operațional al extensiilor din lanțul de aprovizionare software (supply chain), într-un context în care GitHub este infrastructură critică pentru dezvoltarea de aplicații în milioane de organizații.
GitHub spune că a identificat și „izolat” compromiterea dispozitivului angajatului, a eliminat versiunea malițioasă a extensiei din marketplace și a început răspunsul la incident. Compania afirmă că evaluarea curentă indică „exfiltrarea doar a depozitelor interne GitHub”, iar afirmația atacatorului privind aproximativ 3.800 de depozite este „în linii mari” în acord cu investigația de până acum.
Într-un update public, GitHub a transmis că nu are dovezi că datele clienților stocate în afara depozitelor afectate ar fi fost compromise, conform relatării. Compania nu a atribuit oficial atacul unui actor anume.
Pe de altă parte, gruparea TeamPCP a revendicat acces la cod sursă GitHub și la „~4.000 de depozite de cod privat” pe un forum de criminalitate cibernetică, cerând cel puțin 50.000 de dolari (aprox. 230.000 lei) pentru datele furate, potrivit informațiilor din articol.
Extensiile VS Code sunt module instalabile din VS Code Marketplace (magazinul oficial de add-on-uri pentru editorul Microsoft) care adaugă funcții sau integrează instrumente în editor. Cazul de față nu este singular: în ultimii ani au fost identificate extensii troianizate folosite pentru furt de credențiale și date sensibile, iar unele au ajuns la milioane de instalări înainte de a fi eliminate, notează publicația.
Pentru companii, miza este direct operațională: un singur endpoint compromis în echipele de inginerie poate deveni poartă de acces către cod intern, secrete (chei, tokenuri) și procese de build/deploy, cu efecte în cascadă asupra produselor și livrărilor.
GitHub este folosit de peste 4 milioane de organizații (inclusiv 90% dintre companiile din Fortune 100) și de peste 180 de milioane de dezvoltatori, care contribuie la peste 420 de milioane de depozite de cod. În acest context, orice incident care implică instrumente uzuale ale dezvoltatorilor – precum extensiile din editor – ridică întrebări despre controalele interne și despre igiena de securitate a mediilor de dezvoltare.
Recomandate
OpenAI a început rotația certificatelor de semnare a codului după ce două dispozitive ale unor angajați au fost compromise în atacul asupra lanțului de aprovizionare TanStack , o măsură care poate obliga utilizatorii de macOS să își actualizeze aplicațiile înainte de 12 iunie 2026 pentru a evita blocaje la pornire sau la actualizări, potrivit Bleeping Computer . OpenAI spune că incidentul nu a afectat datele clienților, sistemele de producție, proprietatea intelectuală sau software-ul deja livrat. Compania leagă breșa de campania „Mini Shai-Hulud”, atribuită grupării de extorcare TeamPCP, care a vizat dezvoltatori prin actualizări malițioase introduse în pachete software populare și de încredere. Ce s-a întâmplat în OpenAI și ce măsuri a luat compania Într-un buletin de securitate publicat astăzi, OpenAI afirmă că a observat activitate compatibilă cu comportamentul public descris al malware-ului, inclusiv acces neautorizat și exfiltrare orientată pe credențiale, într-un subset limitat de depozite interne de cod sursă la care aveau acces cei doi angajați afectați. „Am observat activitate în linie cu comportamentul descris public al malware-ului, inclusiv acces neautorizat și exfiltrare orientată pe credențiale, într-un subset limitat de depozite interne de cod sursă la care aveau acces cei doi angajați afectați.” OpenAI susține că au fost furate doar credențiale limitate din aceste depozite și că nu există dovezi că ele au fost folosite în atacuri suplimentare. Ca răspuns, compania a izolat sistemele și conturile afectate, a revocat sesiunile, a rotit credențiale în depozitele vizate, a restricționat temporar fluxurile de implementare și a derulat o investigație criminalistică împreună cu o firmă terță de răspuns la incidente. Impact operațional: actualizări obligatorii pe macOS până la 12 iunie 2026 Un element cu impact direct pentru utilizatori este expunerea certificatelor de semnare a codului folosite pentru produse OpenAI pe macOS, Windows, iOS și Android. Deși compania spune că nu a detectat abuzarea acestor certificate pentru semnarea de software malițios, le rotește „din precauție”. Consecința practică: utilizatorii de macOS trebuie să își actualizeze aplicațiile desktop OpenAI înainte de 12 iunie 2026 , deoarece aplicațiile semnate cu certificatele vechi ar putea să nu mai pornească sau să nu mai primească actualizări, din cauza procesului de notarizare Apple (mecanismul prin care Apple verifică și autorizează aplicațiile distribuite în afara App Store). OpenAI precizează că utilizatorii de Windows și iOS nu sunt afectați și nu trebuie să facă nimic. Context: atacul TanStack și campania „Mini Shai-Hulud” Breșa OpenAI este prezentată ca parte a unei campanii mai ample care a compromis „sute” de pachete din ecosistemele npm și PyPI. Atacul a vizat inițial pachete TanStack și Mistral AI, apoi s-a extins către alte proiecte, inclusiv UiPath, Guardrails AI și OpenSearch, prin credențiale CI/CD (integrare și livrare continuă) furate și fluxuri legitime. Cercetători de la Socket și Aikido au urmărit ulterior distribuția a sute de pachete compromise prin depozite legitime. Potrivit post-mortem-ului TanStack, atacatorii au exploatat slăbiciuni în fluxurile GitHub Actions și în configurația CI/CD pentru a executa cod malițios, a extrage tokenuri din memorie și a publica pachete malițioase prin conducta normală de lansare, făcând versiunile compromise să pară legitime. Malware-ul din campanie a vizat furtul de credențiale de dezvoltare și cloud (tokenuri GitHub, tokenuri de publicare npm, credențiale AWS, secrete Kubernetes, chei SSH și fișiere.env). Cercetătorii mai spun că a încercat să își asigure persistența pe sistemele dezvoltatorilor prin modificarea unor mecanisme de automatizare din Claude Code și VS Code. Microsoft Threat Intelligence a raportat, la rândul său, că a fost lansat și un instrument de furt de informații pentru Linux, care a vizat sisteme ce rulează software în limba rusă, iar malware-ul ar fi inclus și o componentă distructivă care executa aleator o comandă de ștergere recursivă pe unele sisteme din Israel sau Iran. OpenAI încadrează incidentul într-o tendință mai largă: atacatorii vizează tot mai des lanțul de aprovizionare software pentru a obține impact extins, în loc să atace companii individuale. Pentru utilizatori, efectul imediat rămâne calendarul de actualizare pe macOS, iar pentru organizații, semnalul de risc este dependența de biblioteci open-source și de infrastructura CI/CD, unde o compromitere „în amonte” se poate propaga rapid. [...]
O campanie de tip supply-chain care a compromis pachete populare din ecosistemele npm și PyPI poate expune credențiale de GitHub, cloud și CI/CD , ceea ce ridică riscul de acces neautorizat în infrastructura de dezvoltare și, implicit, de propagare a codului malițios prin actualizări legitime, potrivit Tom's Hardware . Microsoft Threat Intelligence a transmis într-o postare pe X că investighează compromiterea pachetului PyPI „mistralai”, după ce atacatori ar fi injectat cod malițios care se executa automat la import și descărca un payload secundar deghizat ca „transformers.pyz”, lansând malware pe sisteme Linux. Conform Microsoft, versiunea compromisă ar fi „mistralai” 2.4.6, cu cod inserat în „mistralai/client/ init .py”, care descărca un fișier într-un director temporar și îl executa în fundal. Ce pachete sunt vizate și de ce contează operațional Incidentul apare pe fondul unei „valuri” de compromiteri în lanțul de aprovizionare software (supply-chain), care afectează atât npm (JavaScript), cât și PyPI (Python). Firma de securitate Aikido a avertizat că versiuni malițioase asociate ecosistemului TanStack ar fi fost compromise în două valuri distincte, începând în jurul orei 19:20 UTC (22:20, ora României). Printre pachetele menționate se numără: „@tanstack/react-router” „@tanstack/history” „@tanstack/router-core” Aceste componente sunt descrise ca fiind descărcate „zeci de milioane de ori pe săptămână”, ceea ce amplifică riscul de răspândire rapidă în aplicații și medii de producție. Aikido a mai spus că și mai multe pachete npm ale SDK-ului Mistral ar fi fost compromise în cadrul aceleiași campanii „ Mini Shai-Hulud ”, inclusiv: „@mistralai/mistralai” „@mistralai/mistralai-azure” „@mistralai/mistralai-gcp” În acest context, compania a recomandat dezvoltatorilor să rotească imediat (să înlocuiască) credențiale precum tokenuri GitHub, credențiale npm, chei API de cloud și secrete CI/CD, dacă au instalat pachetele afectate. Miza: credențiale furate din mediile de dezvoltare, nu atacuri la utilizatorul final Deși Microsoft nu a atribuit public compromiterea din PyPI campaniei „Mini Shai-Hulud”, materialul notează că incidentele au trăsături comune: cod malițios introdus în pachete de încredere, descărcare în etape a payload-urilor, furt de credențiale și execuție automată la instalare sau import. Riscul major este unul operațional: mediile moderne de dezvoltare și automatizare (workstation-uri de dezvoltatori, „CI runners” – mașini care rulează automat testele și livrările) conțin frecvent credențiale cu valoare ridicată, precum tokenuri de acces la GitHub, chei de implementare în cloud, credențiale SSH, tokenuri de publicare în npm și acces la sisteme CI/CD. Compromiterea lor poate oferi atacatorilor o cale de a publica actualizări malițioase prin canale legitime, cu efect de cascadă în ecosisteme întregi. Ce măsuri recomandă Microsoft Microsoft a recomandat organizațiilor, între altele, să izoleze gazdele Linux afectate, să blocheze conexiunile către adresa IP malițioasă menționată în analiză, să caute indicatori precum „/tmp/transformers.pyz”, „pgmonitor.py” și „pgsql-monitor.service” și să rotească imediat credențialele potențial expuse. Investigațiile sunt în desfășurare, iar articolul avertizează că ar putea apărea și alte pachete afectate pe măsură ce furnizorii și comunitatea audită infrastructura de publicare și credențialele compromise. [...]
Discord a activat criptarea end-to-end în mod implicit pentru toate apelurile vocale și video , o schimbare operațională care ridică nivelul de confidențialitate pentru utilizatori și reduce dependența de variante necriptate, potrivit Bleeping Computer . Implementarea a fost finalizată în martie, după care Discord a rulat testări „la scară” pentru a valida funcționarea înainte de anunțul oficial. În paralel, compania spune că începe să elimine din aplicații codul care permitea revenirea la apeluri fără criptare (fallback necriptat), ceea ce sugerează o tranziție către un model în care criptarea devine standard, nu opțiune. Ce acoperă criptarea și care este excepția Stratul de criptare end-to-end (E2EE) acoperă acum, conform informațiilor publicate, mai multe tipuri de comunicare din platformă: mesaje directe (DM) și mesaje directe de grup; canale vocale; apeluri vocale și video; transmisiuni „Go Live”. Singura excepție menționată sunt „stage channels” (canale de tip scenă), concepute pentru difuzări publice către audiențe mari, nu pentru conversații private. Discord rezumă schimbarea astfel: „Criptarea end-to-end este acum standard pentru fiecare apel vocal și video pe Discord, în afara canalelor de tip scenă. Nu este necesară activarea.” Cum a fost făcută migrarea: protocolul DAVE, extins pe toate platformele Migrarea la E2EE a fost realizată prin extinderea protocolului de criptare open-source DAVE, astfel încât să funcționeze pe toate platformele unde rulează clienții Discord: desktop, mobil, browser, PlayStation, Xbox și prin SDK-urile Discord (kituri pentru dezvoltatori). DAVE a fost introdus inițial în septembrie 2024 și a fost dezvoltat cu asistență și audit din partea Trail of Bits , pentru securizarea apelurilor audio/video, chat-urilor de grup, canalelor vocale și transmisiunilor Go Live. Din punct de vedere tehnic, protocolul folosește: WebRTC encoded transforms (mecanisme de criptare aplicate fluxurilor media în WebRTC); Messaging Layer Security (MLS), pentru schimburi de chei scalabile în grupuri; chei de identitate efemere, pentru protecție suplimentară a confidențialității. Discord afirmă că una dintre mizele principale a fost păstrarea latenței scăzute (întârzieri mici) și evitarea întreruperilor atunci când participanții intră sau ies din apel. Limitări: fără planuri pentru criptarea end-to-end a mesajelor text În ceea ce privește extinderea DAVE la comunicarea bazată pe text, Discord spune că nu are în prezent planuri pentru un astfel de pas. Motivul invocat este complexitatea tehnică: funcțiile de mesagerie text au fost construite „de la zero” pe presupuneri de funcționare fără criptare end-to-end, iar schimbarea ar implica obstacole majore de inginerie. Context de utilizare Platforma este folosită pentru chat text, apeluri, video, livestreaming și servere de comunitate, inclusiv de gameri, creatori și companii. Estimările citate indică 690 milioane de utilizatori înregistrați și peste 200 milioane de utilizatori activi lunar la nivel global. [...]
Cartelele SIM preplătite sunt folosite în 50–70% din investigațiile Poliției , ceea ce ridică costurile și complică identificarea suspecților, potrivit unui răspuns al instituției citat de Digi24 . Poliția Română spune că, în ultimii ani, a observat „o creștere semnificativă” a utilizării cartelelor preplătite pentru a evita identificarea și pentru a menține un grad ridicat de anonimat în comunicațiile electronice. Motivul principal invocat este „lipsa mecanismelor eficiente de asociere între utilizator și identitatea reală a acestuia”. Impact operațional: investigații mai lente și mai scumpe Autoritățile arată că această formă de anonimizare generează „vulnerabilități majore” în prevenirea și combaterea infracționalității. În practică, pentru a stabili cine se află în spatele unei cartele preplătite, anchetatorii au nevoie de investigații suplimentare, ceea ce înseamnă costuri mai mari — umane, financiare și logistice. „S-a evidențiat o creștere semnificativă a utilizării cartelelor telefonice preplătite în scopul evitării identificării și asigurării unui grad ridicat de anonimat în comunicațiile electronice.” Poliția mai precizează că persoanele vizate folosesc frecvent astfel de cartele nu doar pentru a comunica între ele, ci și cu victimele, precum și pentru „operarea sau gestionarea sistemelor tehnice” utilizate în comiterea faptelor. Unde apar cel mai des: de la fraudă informatică la criminalitate organizată În răspunsul transmis la o interpelare a senatoarei PNL Nicoleta Pauliuc, Poliția indică faptul că utilizarea cartelelor preplătite apare ca principală modalitate de comunicare între infractori în aproximativ 50–70% din investigații, „spectrul” fiind unul extins. Exemplele de infracțiuni menționate includ: înșelăciune și fraudă informatică, inclusiv fapte contra siguranței și integrității sistemelor informatice; infracțiuni cu violență, precum tâlhării; cauze de criminalitate organizată, inclusiv trafic de droguri și trafic de migranți; contrabandă, spălarea banilor, falsificare de monedă și evaziune fiscală; omor și tentativă de omor, precum și terorism. Poliția avertizează că, atunci când astfel de cartele sunt folosite sistematic, capacitatea autorităților de a documenta „în timp util” activitățile infracționale este diminuată semnificativ. [...]
Pwn2Own Berlin 2026 a scos la lumină 47 de vulnerabilități „zero-day” plătite cu 1.298.250 dolari (aprox. 5,9 milioane lei) , un semnal despre cât de rapid pot fi compromise produse enterprise și cât de mare este presiunea pe furnizori să livreze patch-uri, potrivit Bleeping Computer . Concursul s-a desfășurat între 14 și 16 mai, în cadrul conferinței OffensiveCon, și a vizat tehnologii pentru companii și inteligență artificială. Participanții au atacat produse complet actualizate (fully patched) din categorii precum browsere web, aplicații enterprise, escaladare locală de privilegii, servere, inferență locală, medii cloud-native/containere, virtualizare și modele lingvistice mari (LLM). Cum s-au împărțit premiile și ce arată ritmul descoperirilor Recompensele au fost acordate pe parcursul a trei zile, în funcție de numărul de „zero-day”-uri demonstrate: Ziua 1: 523.000 dolari pentru 24 de „zero-day”-uri unice Ziua 2: 385.750 dolari pentru 15 „zero-day”-uri Ziua 3: 389.500 dolari pentru încă 8 „zero-day”-uri În total, cercetătorii au obținut 1.298.250 dolari pentru 47 de vulnerabilități „zero-day” (defecte necunoscute public și, de regulă, nepătch-uite la momentul demonstrării). Cine a câștigat și ce produse au fost compromise Ediția din 2026 a fost câștigată de DEVCORE , cu 50,5 puncte „Master of Pwn” și 505.000 dolari, după ce a demonstrat atacuri asupra Microsoft SharePoint, Microsoft Exchange, Microsoft Edge și Windows 11. Pe locurile următoare s-au clasat STARLabs SG (242.500 dolari, 25 de puncte) și Out Of Bounds (95.750 dolari, 12,75 puncte). Cea mai mare recompensă individuală a fost de 200.000 dolari, acordată lui Cheng-Da Tsai („Orange Tsai”) din DEVCORE Research Team, după ce a combinat trei vulnerabilități pentru a obține execuție de cod la distanță cu privilegii SYSTEM pe Microsoft Exchange. În timpul competiției au mai fost demonstrate, între altele, atacuri asupra Windows 11 și vulnerabilități de escaladare a privilegiilor pe Red Hat Enterprise Linux for Workstations, precum și „zero-day”-uri în mai mulți agenți de programare bazați pe AI. În ultima zi, concurenții au exploatat și VMware ESXi folosind o vulnerabilitate de corupere a memoriei. Ce urmează pentru companii: fereastra de 90 de zile pentru patch-uri După încheierea Pwn2Own, furnizorii au la dispoziție 90 de zile pentru a lansa actualizări de securitate înainte ca Trend Micro Zero Day Initiative (ZDI) să facă publice detaliile tehnice. Pentru organizații, asta înseamnă că următoarele luni pot aduce un val de patch-uri critice, iar întârzierea aplicării lor crește riscul ca aceleași clase de vulnerabilități să fie transformate în atacuri reale. Ca reper, în 2025, Pwn2Own Berlin a acordat 1.078.750 dolari pentru 29 de „zero-day”-uri, plus unele „coliziuni” de bug-uri (situații în care echipe diferite găsesc aceeași vulnerabilitate). [...]
Un furt de telefon în vacanță s-a transformat în 14 transferuri neautorizate, iar un cuplu de pensionari a pierdut 30.000 de euro (aprox. 150.000 lei) în 36 de minute , potrivit Focus . Cazul ridică întrebări despre cât de repede pot fi golite conturile după compromiterea accesului de pe un smartphone și despre eficiența limitelor bancare de transfer în astfel de situații. Cuplul, din Portugalia, se afla în São Paulo, iar incidentul a avut loc pe Avenida Paulista , unde un hoț i-a smuls unuia dintre ei telefonul din mână, relatează postul portughez NOW Canal (citat de Focus). La scurt timp, au început tranzacțiile care au dus la dispariția economiilor. Cum s-au derulat tranzacțiile și ce nu se leagă, potrivit victimelor În intervalul de 36 de minute, banca ar fi înregistrat 14 tranzacții către conturi străine. Cei doi susțin că nu au autorizat niciunul dintre transferuri, conform NOW Canal. Un element care, potrivit relatării, rămâne neclar pentru victime este cum au putut fi procesate sume atât de mari în condițiile existenței unui plafon de transfer la banca lor. Cu toate acestea, tranzacțiile „au trecut” aparent fără întrerupere. După incident, cuplul a notificat poliția judiciară și banca centrală a Portugaliei . Banii nu au fost recuperați până acum, iar cei doi cer rambursarea integrală a sumelor pierdute. Ce recomandă autoritățile și un expert pentru debitări neautorizate Pentru situațiile în care apar debitări neautorizate, Focus indică drept pași imediat necesari informarea băncii și depunerea unei contestații. Publicația menționează că, în Germania, termenul pentru contestarea unor debitări neautorizate poate ajunge până la 13 luni, în timp ce pentru debitări greșite, dar autorizate, termenul este de opt săptămâni. Expertul în protecția consumatorilor Niels Nauhauser a declarat pentru „ Polizei Dein Partner ” că verificarea regulată a extraselor și raportarea rapidă a operațiunilor suspecte sunt esențiale. După furt sau fraudă, recomandarea este blocarea imediată a cardurilor și sesizarea poliției. În context mai larg, materialul notează că infractorii ajung frecvent la accesul în cont prin date bancare furate, bancomate manipulate sau programe malițioase (software dăunător). În multe cazuri, băncile acoperă prejudiciul, însă condițiile depind de circumstanțe și de evaluarea autorizării tranzacțiilor. [...]
