6 noticias
Se ha documentado el incidente CVE-2024-YIKES, una ataque a la cadena de suministro de software que afectó a aproximadamente 4 millones de desarrolladores. El ataque comenzó cuando el mantenedor del paquete left-justify (847 millones de descargas semanales) robó sus credenciales via phishing. El paq
La popular biblioteca JavaScript para HTTP, Axios, ha sido objeto de un sofisticado ataque a la cadena de suministro, según StepSecurity. El 30 de marzo de 2024, se identificaron dos versiones maliciosas de Axios (versiones 1.14.1 y 0.30.4) publicadas en npm. Estas versiones fueron subidas utilizand
Un fallo de seguridad crítico ha sido descubierto en la versión 1.82.8 del paquete Python `litellm` disponible en PyPI. El paquete contiene un archivo malicioso (`litellm_init.pth`) que, al instalarse, ejecuta automáticamente un script para robar credenciales sin necesidad de importar la librería `l
Un ataque a la cadena de suministro ha comprometido las acciones de GitHub de Trivy, una herramienta de escaneo de vulnerabilidades, exponiendo potencialmente miles de flujos de trabajo de CI/CD a malware. El ataque, detectado el 20 de marzo de 2026, involucró a un atacante que forzó la actualizació
Un actor de amenazas conocido como Glassworm ha reactivado una campaña de malware que compromete repositorios de código abierto, afectando a plataformas como GitHub, npm y VS Code. La técnica, que ya había sido detectada anteriormente, utiliza caracteres Unicode invisibles para ocultar código malici
Investigadores de la firma Aikido Security han descubierto un sofisticado ataque a la cadena de suministro que ha afectado a repositorios de GitHub, NPM y Open VSX. El ataque, que comenzó el 3 de marzo y continuó hasta el 9 de marzo, involucró la subida de 151 paquetes maliciosos que contienen códig