Știri
Știri din categoria Securitate cibernetică
O campanie de tip supply-chain care a compromis pachete populare din ecosistemele npm și PyPI poate expune credențiale de GitHub, cloud și CI/CD, ceea ce ridică riscul de acces neautorizat în infrastructura de dezvoltare și, implicit, de propagare a codului malițios prin actualizări legitime, potrivit Tom's Hardware.
Microsoft Threat Intelligence a transmis într-o postare pe X că investighează compromiterea pachetului PyPI „mistralai”, după ce atacatori ar fi injectat cod malițios care se executa automat la import și descărca un payload secundar deghizat ca „transformers.pyz”, lansând malware pe sisteme Linux. Conform Microsoft, versiunea compromisă ar fi „mistralai” 2.4.6, cu cod inserat în „mistralai/client/init.py”, care descărca un fișier într-un director temporar și îl executa în fundal.
Incidentul apare pe fondul unei „valuri” de compromiteri în lanțul de aprovizionare software (supply-chain), care afectează atât npm (JavaScript), cât și PyPI (Python). Firma de securitate Aikido a avertizat că versiuni malițioase asociate ecosistemului TanStack ar fi fost compromise în două valuri distincte, începând în jurul orei 19:20 UTC (22:20, ora României). Printre pachetele menționate se numără:
Aceste componente sunt descrise ca fiind descărcate „zeci de milioane de ori pe săptămână”, ceea ce amplifică riscul de răspândire rapidă în aplicații și medii de producție.
Aikido a mai spus că și mai multe pachete npm ale SDK-ului Mistral ar fi fost compromise în cadrul aceleiași campanii „Mini Shai-Hulud”, inclusiv:
În acest context, compania a recomandat dezvoltatorilor să rotească imediat (să înlocuiască) credențiale precum tokenuri GitHub, credențiale npm, chei API de cloud și secrete CI/CD, dacă au instalat pachetele afectate.
Deși Microsoft nu a atribuit public compromiterea din PyPI campaniei „Mini Shai-Hulud”, materialul notează că incidentele au trăsături comune: cod malițios introdus în pachete de încredere, descărcare în etape a payload-urilor, furt de credențiale și execuție automată la instalare sau import.
Riscul major este unul operațional: mediile moderne de dezvoltare și automatizare (workstation-uri de dezvoltatori, „CI runners” – mașini care rulează automat testele și livrările) conțin frecvent credențiale cu valoare ridicată, precum tokenuri de acces la GitHub, chei de implementare în cloud, credențiale SSH, tokenuri de publicare în npm și acces la sisteme CI/CD. Compromiterea lor poate oferi atacatorilor o cale de a publica actualizări malițioase prin canale legitime, cu efect de cascadă în ecosisteme întregi.
Microsoft a recomandat organizațiilor, între altele, să izoleze gazdele Linux afectate, să blocheze conexiunile către adresa IP malițioasă menționată în analiză, să caute indicatori precum „/tmp/transformers.pyz”, „pgmonitor.py” și „pgsql-monitor.service” și să rotească imediat credențialele potențial expuse.
Investigațiile sunt în desfășurare, iar articolul avertizează că ar putea apărea și alte pachete afectate pe măsură ce furnizorii și comunitatea audită infrastructura de publicare și credențialele compromise.
Recomandate
Microsoft accelerează trecerea la autentificarea fără parole , pe fondul creșterii eficienței atacurilor de tip phishing asistate de inteligență artificială, care pot ajunge la rate de accesare de până la 54%, potrivit WinFuture . Miza operațională este reducerea suprafeței de atac prin standardizarea „passkeys” (chei de acces) și eliminarea treptată a metodelor considerate vulnerabile, inclusiv întrebările de securitate. De ce contează: phishing-ul „cu IA” face parola tot mai ușor de compromis Microsoft argumentează că parolele au rămas una dintre cele mai slabe verigi ale securității online, iar atacatorii folosesc tot mai des campanii de phishing generate sau optimizate cu ajutorul inteligenței artificiale. În acest context, compania își poziționează strategia „passwordless” (fără parolă) ca răspuns direct la un risc operațional în creștere: compromiterea conturilor prin pagini de autentificare false și tehnici de inginerie socială mai convingătoare. Ce schimbă Microsoft în practică Din perspectiva utilizatorilor și a organizațiilor, schimbările descrise de publicație se traduc în câteva măsuri concrete: Conturile noi Microsoft sunt create, de la începutul lui 2026, fără parolă , autentificarea fiind făcută prin passkeys, metode biometrice sau chei de securitate (dispozitive hardware). Utilizatorii existenți își pot elimina manual parola din cont, dacă doresc să treacă complet pe passkeys. Windows 11 a extins integrarea passkeys , inclusiv suport nativ pentru chei de acces din administratori de parole terți, precum 1Password și Bitwarden. Microsoft a dezvoltat împreună cu acești furnizori o interfață de programare (API) dedicată passkeys , pentru integrare mai simplă. Sincronizarea passkeys din Microsoft Password Manager este posibilă prin browserul Edge cu iOS și Android. Ce sunt passkeys și de ce sunt mai greu de „furat” Passkeys sunt credențiale legate de dispozitiv și de o verificare locală (amprentă, recunoaștere facială sau PIN). Spre deosebire de parole, ele sunt concepute să fie rezistente la phishing , deoarece nu pot fi capturate printr-o pagină falsă de autentificare în același mod în care este „smulsă” o parolă introdusă de utilizator. Context de piață și adopție: miliarde de passkeys, sute de milioane la Microsoft Trecerea nu este doar o inițiativă izolată, arată WinFuture . Membrii FIDO Alliance împing adopția la nivel de industrie, iar alianța estimează că există cinci miliarde de passkeys în uz la nivel global. Conform unei „studii recente” citate în material, 90% dintre oameni cunosc passkeys, iar 75% au activat cel puțin una. La Microsoft, compania susține că „sute de milioane de utilizatori” folosesc zilnic passkeys pentru servicii precum OneDrive, Xbox și Copilot. Totodată, Microsoft afirmă că a eliminat intern metode mai slabe de autentificare și a implementat proceduri rezistente la phishing care acoperă 99,6% dintre utilizatorii și dispozitivele din mediul său. Următorul pas: dispar întrebările de securitate din Entra ID, din 2027 O schimbare cu impact direct pentru administrarea identităților în companii este planul Microsoft de a elimina o „portiță” folosită frecvent în atacuri: începând din ianuarie 2027, întrebările de securitate nu vor mai putea fi folosite pentru resetarea parolelor în Microsoft Entra ID . Compania motivează decizia prin reducerea riscurilor asociate recuperării conturilor, zonă exploatată adesea ca rută alternativă de compromitere. [...]
Un atac coordonat de inteligența artificială a scos la iveală o vulnerabilitate „zero-day ” în software-ul Google , ridicând miza operațională pentru companii: apărarea nu mai înseamnă doar patch-uri rapide, ci și capacitatea de a detecta exploatări pe care nici dezvoltatorii nu le cunosc, potrivit Mediafax . Atacul a fost respins, însă cazul evidențiază riscul ca IA să accelereze descoperirea și exploatarea breșelor. Publicația notează, citând Futurism, că atacul a folosit inteligența artificială pentru a identifica o eroare majoră în software-ul Google despre care dezvoltatorii nu aveau cunoștință. Reprezentanții companiei nu au precizat cine s-a aflat în spatele atacului. De ce contează: „zero-day” găsite cu IA pot depăși apărarea standard Google a indicat că atacatorii au identificat o „vulnerabilitate zero-day” – adică o eroare dintr-un software necunoscută până atunci celor care îl dezvoltă. În astfel de situații, apărătorii nu au, de regulă, soluții pregătite din timp, iar fereastra de risc poate fi critică. În cazul descris, vulnerabilitatea ar fi permis ocolirea autentificării cu doi factori pe un „instrument popular de administrare a sistemului, open-source, bazat pe web”. Instrumentul nu este numit în material. Potrivit informațiilor citate, accesul ar fi fost posibil dacă atacatorii ar fi avut numele de utilizator și parola unei persoane. Impact operațional: autentificarea cu doi factori nu mai e suficientă, singură Materialul subliniază că autentificarea cu doi factori este „ultima linie de apărare semnificativă” pentru majoritatea utilizatorilor, în condițiile în care parolele sunt adesea slabe. În acest context, o metodă de ocolire a autentificării cu doi factori ar fi putut avea „un efect catastrofal”, conform sursei. Experții citați au descris cazul drept primul exemplu de vulnerabilitate zero-day exploatată de hackeri cu ajutorul inteligenței artificiale și îl văd ca un semnal despre ce ar putea urma, pe fondul dezvoltării accelerate a produselor bazate pe IA. [...]
Rheinmetall și Deutsche Telekom își extind cooperarea pentru protecția infrastructurii critice, vizând un sistem integrat care să contracareze atât atacuri cibernetice, cât și amenințări fizice precum dronele , potrivit WinFuture . Înțelegerea a fost anunțată înaintea târgului de securitate AFCEA, care începe mâine la Bonn. De ce contează: „amenințări hibride” și presiune mai mare pe operatori și industrie Parteneriatul este justificat de creșterea îngrijorărilor legate de sabotaj și de așa-numitele amenințări hibride (combinații de atacuri digitale și acțiuni fizice). În contextul războiului declanșat de Rusia împotriva Ucrainei, statele europene și-au întărit măsurile de protecție pentru obiective precum rețele energetice, infrastructură de transport și comunicații, în timp ce utilizarea dronelor – civile și militare – s-a intensificat. Autoritățile avertizează tot mai des asupra survolurilor neautorizate deasupra unor obiective sensibile, inclusiv instalații industriale, porturi sau aeroporturi, ceea ce ridică miza pentru companii și instituții care operează sau securizează astfel de locații. Ce vor să construiască: un „Multi-Threat-Protection” fără detalii de produs Cele două companii vor să dezvolte un concept numit „Multi-Threat-Protection”, care să combine tehnologii diferite pentru: securitate cibernetică; monitorizarea și securizarea clădirilor, instalațiilor și altor amplasamente sensibile; un sistem de protecție împotriva dronelor. Deocamdată, partenerii nu au oferit detalii despre produse concrete sau proiecte specifice. Ce aduce fiecare: senzori pentru detectarea dronelor și experiență în apărare antiaeriană Telekom intră în colaborare cu experiența sa în detectarea dronelor, sisteme care au fost folosite și la evenimente mari, inclusiv la Campionatul European de fotbal 2024 din Germania. Conform informațiilor din articol, sunt utilizate mai multe tipuri de senzori: radiofrecvență, radar, video și audio. Metoda cea mai răspândită ar fi detecția RF, care identifică semnalele radio dintre dronă și telecomandă. O provocare nouă o reprezintă dronele controlate prin rețele mobile. Telekom cercetează, împreună cu Helmut-Schmidt-Universität/Universitatea Bundeswehr din Hamburg, metode prin care rețelele de telefonie mobilă ar putea fi folosite pentru a detecta astfel de drone, prin identificarea unor anomalii în traficul de date care ar putea indica o comandă de dronă. Rheinmetall contribuie cu experiență în apărare antiaeriană și cu dezvoltări în zona de senzori și recunoaștere. WinFuture amintește că, la finalul lui 2025, compania a convenit o cooperare cu Poliția din Hamburg și Hamburg Port Authority pentru protecția portului Hamburg împotriva dronelor. Ce urmează Anunțul vine înaintea AFCEA Bonn, însă, la acest moment, nu sunt comunicate termene, bugete sau livrabile. Relevanța practică a parteneriatului va depinde de transformarea „Multi-Threat-Protection” în proiecte operaționale și de modul în care vor aborda detectarea dronelor controlate prin rețele mobile, un scenariu mai greu de acoperit cu metodele clasice bazate pe radiofrecvență. [...]
O vulnerabilitate semnalată pe platforma online a DITL Sector 5 ar putea permite acces neautorizat la date personale , ceea ce ridică riscuri directe de conformare cu regulile de protecție a datelor și de încredere în serviciile digitale ale administrației locale, potrivit Mediafax . USR Sector 5 spune că a sesizat o posibilă scurgere de date pe platforma Direcției de Impozite și Taxe Locale (DITL) Sector 5, unde ar fi fost expuse date personale ale cetățenilor. Conform comunicatului citat, problema ar apărea în momentul în care utilizatorul introduce o adresă de e-mail folosită anterior pentru o programare în sistem: formularul s-ar completa automat cu datele personale asociate contului, „fără existența unui mecanism real de verificare a identității”. Ce date ar putea fi expuse și cum funcționează vulnerabilitatea, potrivit USR În sesizarea menționată, USR afirmă că, în aceste condiții, ar putea fi accesate neautorizat informații sensibile, între care: nume și prenume; CNP; număr de telefon; alte date personale introduse în platformă. Partidul susține că situația ar reprezenta o încălcare gravă a normelor privind protecția datelor personale și pune sub semnul întrebării modul în care Primăria Sectorului 5 „testează, verifică și implementează” sistemele informatice oferite cetățenilor. Context: un incident anterior invocat de USR În comunicat este amintit și un episod din 2024, când „alte date furate de la Primăria Sectorului 5” ar fi fost scoase la vânzare de hackeri, fiind afectate aproximativ 200.000 de persoane, alături de „alte sisteme conectate inclusiv la infrastructuri ale Ministerului Afacerilor Interne ”. USR îl citează pe Mihai Ionescu , consilier local USR Sector 5, care acuză administrația locală că tratează superficial securitatea datelor, în pofida incidentelor anterioare: „Este revoltător că, după scandalul uriaș de acum doi ani, Primăria Sectorului 5 continuă să trateze superficial securitatea datelor cetățenilor. Vorbim despre informații extrem de sensibile, iar administrația condusăm de primarul Piedone pare că nu a învățat nimic din incidentele anterioare. Cetățenii Sectorului 5 trebuie să știe că datele lor personale sunt din nou expuse din cauza unor vulnerabilități care puteau și trebuiau prevenite.” În materialul citat nu apar, deocamdată, detalii despre un răspuns al Primăriei Sectorului 5 sau despre măsuri tehnice luate pentru remedierea problemei semnalate. [...]
„Vibe coding” împinge în sus riscul de breșe și scurgeri de date în aplicațiile construite cu ajutorul inteligenței artificiale, pe fondul unei adoptări rapide a acestui mod de lucru, potrivit Android Headlines , care citează concluziile unui studiu. „Vibe coding” descrie, în esență, dezvoltarea de software în care utilizatorul se bazează puternic pe modele de inteligență artificială pentru a genera cod, pe baza unor instrucțiuni în limbaj natural, fără a mai trece prin același nivel de proiectare și verificare tehnică specific programării clasice. Miza pentru companii este operațională: viteza de livrare crește, dar crește și probabilitatea ca în produs să ajungă vulnerabilități. De ce contează pentru companii: viteză mai mare, control mai slab Din perspectivă de securitate cibernetică , riscul major semnalat este că aplicațiile și componentele generate „pe repede înainte” pot include erori de implementare sau configurații greșite care rămân nedetectate până când sunt exploatate. În practică, asta poate însemna: expunerea neintenționată a datelor (de exemplu, prin setări greșite sau acces neautorizat); introducerea de vulnerabilități în codul aplicației, care pot fi folosite pentru atacuri; dificultăți mai mari de auditare și întreținere, dacă echipele nu înțeleg în detaliu codul generat. Materialul indică faptul că fenomenul este alimentat de popularitatea în creștere a „vibe coding”, iar studiul citat leagă această tendință de o creștere a vulnerabilităților de securitate. Ce urmează: presiune pe procesele interne de securitate În termeni operaționali, concluzia implicită este că organizațiile care folosesc astfel de instrumente vor avea nevoie de controale mai stricte înainte de lansare (testare, revizuire de cod, politici de utilizare a AI în dezvoltare). Android Headlines nu oferă, în fragmentul disponibil, detalii despre metodologia studiului sau despre indicatori cantitativi, astfel că amploarea exactă a creșterii nu poate fi evaluată din informațiile furnizate. [...]
Arestarea în România pe baza unui mandat european arată cât de rapid poate funcționa cooperarea transfrontalieră în fraude cibernetice cu bani , după ce un român de 33 de ani, urmărit de autoritățile din Islanda, a fost prins și arestat preventiv în vederea extrădării, potrivit Digi24 . Bărbatul este cercetat de autoritățile islandeze după ce, în perioada 23–27 aprilie, ar fi exploatat o vulnerabilitate din sistemul informatic al unei instituții bancare din Islanda și ar fi transferat ilegal sume de bani. Prejudiciul este estimat la aproximativ 400.000 de euro (aprox. 2,0 milioane lei). Potrivit informațiilor transmise de Poliția Română, polițiștii Serviciului Urmăriri, sub coordonarea procurorului de caz de la Parchetul de pe lângă Curtea de Apel București , au pus în executare un mandat european de arestare emis de autoritățile judiciare din Islanda. Românul era urmărit internațional pentru fraudă și spălare de bani. Cooperare internațională și extrădare Cazul a fost gestionat prin mecanisme de cooperare polițienească internațională, cu schimb de date și informații între autoritățile din România și Islanda, inclusiv prin canale de cooperare europeană și prin Sistemul de Informații Schengen. După reținere, Curtea de Apel București a decis arestarea preventivă pentru 30 de zile, în vederea extrădării. Poliția Română a precizat că își continuă cooperarea cu partenerii internaționali pentru clarificarea tuturor aspectelor cauzei și pentru punerea în executare a măsurilor dispuse de autoritățile judiciare. [...]
