Az Open VSX-t elárasztotta a kártevő – most kapkodhatnak
Több mint 550 titkos kulcs került nyilvánosságra két héttel ezelőtt az Open VSX és a Microsoft Visual Studio Code (VS Code) bővítménypiacán, miután fejlesztők véletlenül feltöltötték azokat nyilvános tárhelyekre. Ezek a kiszivárgott hozzáférési tokenek támadók kezére jutottak, akik hamis, kártékony bővítményeket töltöttek fel a fejlesztők számára, komoly ellátási lánc kockázatot okozva. Egyes kulcsok akár 150 ezer letöltést elérő projektekhez is hozzáférést adhattak.
Rejtett támadás és gyors válasz
Az Open VSX – az Eclipse Foundation nyílt forráskódú alternatívája a Visual Studio Marketplace-szel szemben – olyan közösségi regiszter, ahol főként MI-alapú, a Microsoft platformját megkerülő VS Code-bővítmények találhatók. A kiszivárgott tokenek közül többet is kihasználva, néhány nap múlva a GlassWorm néven ismert kártevőterjesztő csoport láthatatlan Unicode karakterekbe rejtett rosszindulatú kódot juttatott el bővítményeken keresztül, fejlesztői hozzáférések megszerzésére és további támadások indítására törekedve.
Kriptovaluta és végül tűzoltás
A támadások fő célpontjai kriptotárcák adatai voltak, 49 különböző bővítményt érintve, vagyis egyértelműen anyagi haszon volt a motiváció. Az Eclipse Foundation ugyanakkor pontosított: a GlassWorm nem volt önreplikáló, és a letöltési számok nagy része hamis letöltéseknek, illetve robotok tevékenységének volt köszönhető, ezért nőtt meg 15 ezerről közel 36 ezerre.
A támadást gyorsan sikerült lokalizálni, október 21-ig minden rosszindulatú bővítményt töröltek, a veszélyes tokeneket lecserélték vagy érvénytelenítették. Az Open VSX további lépéseket is bevezet: rövidülnek a tokenek érvényességi idejei, gyorsabb lesz a kompromittált kulcsok visszavonása, automatizált biztonsági vizsgálatok futnak, és az információmegosztás is javul.
A GlassWorm-csoport azonban már a GitHubra költözött, ahol továbbra is Unicode-szteganográfiával rejtik el a kártevőket JavaScript-projektek százainál, így a fenyegetés nem múlt el, csak más nyílt forráskódú platformokra vándorolt.
Közel 2 900 sportoló méri össze tudását a 2026-os Milánó–Cortina téli olimpián, ahol nemcsak a dicsőség és az érem számít, hanem országtól függően elképesztő pénzdíjak és különféle tárgyi jutalmak is gazdára találnak...
⚡ A technológiai ipar éllovasai, köztük Elon Musk és Tim Cook, egyre hangosabban figyelmeztetnek: globális memóriachip-hiány van kialakulóban, amely ellehetetleníti a gyártást, visszafogja a profitot, és drágítja a termékeket – a laptopoktól és okostelefonoktól az autóktól az adatközpontokig mindenben megjelenik...
A Logitech legújabb gamer egere, a Superstrike, valóban forradalmi darab. Analóg szenzorainak és haptikus visszajelzéseinek köszönhetően egészen új szintre emeli a játékélményt...
📖 Érdekes felvetés, hogy meddig tarthatunk ki a klasszikus e-olvasók mellett, amikor a gyártók folyamatosan újabb funkciókkal és technológiai bravúrokkal próbálnak meggyőzni minket...
💸 A két amerikai technológiai óriás, az Amazon és az Alphabet idén rekordösszegű beruházással készül forradalmasítani a mesterséges intelligencia területét...
🐍 A kígyók gyakrabban lesznek kannibálok, mint gondolnánk – legalább tizenegy esetben fejlődött ki náluk önállóan ez a viselkedés, ami egyre több kutató szerint stratégiai előnyt jelent a faj túlélése szempontjából...
Az elmúlt évtizedekben az egészségügyi rendszerek és a tudomány komoly sikereket értek el a fertőző betegségek kezelése és megelőzése terén, mégis egyre gyengülnek a közegészségügyi intézkedések...
A kínai ByteDance új Seedance 2.0 videógenerátora felbolygatta a filmipart. A cég friss fejlesztése lehetővé teszi, hogy a felhasználók mindössze szöveges utasítások alapján 15 másodperces videókat hozhassanak létre, akár hírességek szerepeltetésével vagy ismert filmkarakterek megjelenítésével, teljesen szabadon...
💫 A James Webb űrteleszkóp és a Chandra röntgenobszervatórium lenyűgöző részletességű képeket készítettek egy formálódó galaxishalmazról, amely akkor létezett már, amikor az univerzum mindössze egymilliárd éves volt...
A legújabb kutatások szerint a Viagra és a Cialis hatóanyagai nemcsak a szexuális életben hoznak javulást, hanem komoly egészségügyi előnyöket is kínálnak a szív, az agy és a tüdő számára...
Fontos kérdés, hogy valójában mennyire veszélyesek a sztatinok, hiszen ezek a szív- és érrendszeri betegségek megelőzésére leggyakrabban alkalmazott gyógyszerek közé tartoznak...
Jellemző példa erre, hogy az OpenAI legújabb fejlesztése lehetővé teszi a felhasználók számára, hogy szinkronizálják a névjegyeiket a ChatGPT-vel – vagyis a mesterséges intelligencia most már könnyedén hozzáférhet ahhoz, hogy milyen telefonszámokat tárolnak az ismerőseid a telefonjukban...
Egy lényeges szempont, hogy a Geekom eddig főként miniszámítógépeiről volt ismert, amelyek a monitor mögé rejthetők vagy az asztal alá csúsztathatók...
🐧 Február 17-én különleges égi jelenség, úgynevezett „tűzgyűrű” napfogyatkozás következik, amelyet szinte kizárólag az Antarktisz lakatlan tájain lehet majd megfigyelni...
📦 Az internet páratlanul gazdag története veszélybe került, mivel olyan alapvető logfájlok tűnnek el, amelyek nélkül a jövő emberei talán soha nem érthetik meg, hogyan alakultak át a társadalmi és technikai rendszerek napjainkban...
🏠 Az elmúlt évek pandémiás fellendülése idején soha nem látott kereslet söpört végig az amerikai lakáspiacon, rekordalacsony szintre csökkentve az eladó ingatlanok és az építési telkek számát...
