.avif)
Vulnérabilités et menaces
Attaque de la chaîne d'approvisionnement XRP : Le paquet officiel du NPM est infecté par une porte dérobée qui vole de la crypto-monnaie.
Le paquet officiel XPRL (Ripple) NPM a été compromis par des attaquants sophistiqués qui ont introduit une porte dérobée pour voler les clés privées des crypto-monnaies et accéder aux portefeuilles de crypto-monnaies.
Une attaque active de NPM s'intensifie : 16 paquets React Native pour GlueStack ont été piratés du jour au lendemain
Une attaque sophistiquée de la chaîne d'approvisionnement compromet activement les paquets liés à react-native-aria sur NPM, déployant un cheval de Troie d'accès à distance (RAT) furtif caché par l'obscurcissement et se propageant à travers des modules avec plus d'un million de téléchargements hebdomadaires.
Vous êtes invités : Diffusion de logiciels malveillants via les invitations de Google Calendar et les PUA
L'acteur de la menace a utilisé des invitations Google malveillantes et des caractères Unicode cachés "Private Use Access" (PUA) pour obscurcir et cacher un paquet NPM malveillant.
RATatouille : Une recette malveillante cachée dans rand-user-agent (Compromission de la chaîne d'approvisionnement)
RATatouille : Une recette malveillante cachée dans rand-user-agent (Compromission de la chaîne d'approvisionnement)
Le guide de rencontre des logiciels malveillants : Comprendre les types de logiciels malveillants sur NPM
Une analyse des paquets npm malveillants du monde réel et des techniques qu'ils utilisent pour exploiter la chaîne d'approvisionnement JavaScript.
Se cacher et échouer : Logiciels malveillants obscurcis, charges utiles vides et manigances npm
Enquête sur une campagne de logiciels malveillants npm qui a échoué et qui utilise des charges utiles retardées, des astuces d'obscurcissement et des dépendances réutilisées.
Les logiciels malveillants se cachent à la vue de tous : Espionner les pirates nord-coréens
Lorsqu'un paquet NPMjs malveillant a été téléchargé, nous ne nous attendions pas à voir le groupe Lazarus nord-coréen le déboguer en temps réel. Mais nous l'avons fait/
Obtenez le TL;DR : tj-actions/changed-files Attaque de la chaîne d'approvisionnement
Nous allons parler de l'attaque de la chaîne d'approvisionnement de tj-actions/changed-files, de ce que vous devez faire, de ce qui s'est passé et de plus d'informations.
Prisma et PostgreSQL vulnérables aux injections NoSQL ? Un risque de sécurité surprenant expliqué
Découvrez comment Prisma ORM et PostgreSQL peuvent être vulnérables à l'injection d'opérateur, une forme d'injection NoSQL. Apprenez comment les attaquants exploitent ce risque et obtenez des conseils pratiques pour sécuriser vos applications JavaScript avec la validation des entrées et des pratiques de requête sûres.
Traversée de chemin en 2024 - L'année déballée
Ce rapport examine l'importance de la traversée de chemin en 2024 en analysant le nombre de vulnérabilités impliquant la traversée de chemin qui ont été découvertes dans des projets open-source et closed-source.
Injection de commande en 2024 non emballé
L'injection de commandes reste une vulnérabilité importante dans les applications. Ce rapport examine le nombre de vulnérabilités d'injection trouvées dans les projets fermés et open-source tout au long de l'année 2024.
Guides et bonnes pratiques
Des conseils pratiques, des flux de travail en matière de sécurité et des guides pratiques pour vous aider à produire plus rapidement un code plus sûr.
Outils DevSec et comparaisons
Des plongées en profondeur et des comparaisons des meilleurs outils dans le paysage de l'AppSec et du DevSecOps.
Obtenir la sécurité gratuitement
Sécurisez votre code, votre cloud et votre environnement d'exécution dans un système central.
Trouvez et corrigez rapidement et automatiquement les vulnérabilités.
.avif)
