Az Open VSX-t elárasztotta a kártevő – most kapkodhatnak
Több mint 550 titkos kulcs került nyilvánosságra két héttel ezelőtt az Open VSX és a Microsoft Visual Studio Code (VS Code) bővítménypiacán, miután fejlesztők véletlenül feltöltötték azokat nyilvános tárhelyekre. Ezek a kiszivárgott hozzáférési tokenek támadók kezére jutottak, akik hamis, kártékony bővítményeket töltöttek fel a fejlesztők számára, komoly ellátási lánc kockázatot okozva. Egyes kulcsok akár 150 ezer letöltést elérő projektekhez is hozzáférést adhattak.
Rejtett támadás és gyors válasz
Az Open VSX – az Eclipse Foundation nyílt forráskódú alternatívája a Visual Studio Marketplace-szel szemben – olyan közösségi regiszter, ahol főként MI-alapú, a Microsoft platformját megkerülő VS Code-bővítmények találhatók. A kiszivárgott tokenek közül többet is kihasználva, néhány nap múlva a GlassWorm néven ismert kártevőterjesztő csoport láthatatlan Unicode karakterekbe rejtett rosszindulatú kódot juttatott el bővítményeken keresztül, fejlesztői hozzáférések megszerzésére és további támadások indítására törekedve.
Kriptovaluta és végül tűzoltás
A támadások fő célpontjai kriptotárcák adatai voltak, 49 különböző bővítményt érintve, vagyis egyértelműen anyagi haszon volt a motiváció. Az Eclipse Foundation ugyanakkor pontosított: a GlassWorm nem volt önreplikáló, és a letöltési számok nagy része hamis letöltéseknek, illetve robotok tevékenységének volt köszönhető, ezért nőtt meg 15 ezerről közel 36 ezerre.
A támadást gyorsan sikerült lokalizálni, október 21-ig minden rosszindulatú bővítményt töröltek, a veszélyes tokeneket lecserélték vagy érvénytelenítették. Az Open VSX további lépéseket is bevezet: rövidülnek a tokenek érvényességi idejei, gyorsabb lesz a kompromittált kulcsok visszavonása, automatizált biztonsági vizsgálatok futnak, és az információmegosztás is javul.
A GlassWorm-csoport azonban már a GitHubra költözött, ahol továbbra is Unicode-szteganográfiával rejtik el a kártevőket JavaScript-projektek százainál, így a fenyegetés nem múlt el, csak más nyílt forráskódú platformokra vándorolt.
Ma olyan nap, amikor az óratorony 🕰️ London szívében életre kelt, a tengeri ütközet 🚢 a világ legnagyobbjaként dördült el az első világháborúban, és sötét fejezet nyílt az amerikai történelemben a tulsa-i erőszakkal...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Inkflow Plus Visual Notebook (iPhone/iPad) Between Dates Calendar Math (iPhone/iPad) FormatX – All Media Converter (iPhone/iPad) ICD-10 Dictionary (iPhone/iPad) ImgRef (iPhone/iPad) Monthly Dystopia (iPhone/iPad) Planetary Hours + Widget (iPhone/iPad) Lively Letters – Phonics (iPhone/iPad) War Mongrels (iPhone/iPad) ContactVault Pro (iPhone/iPad) Risp: Budget &...
🚫 A cégek általában úgy gondolják, hogy a hivatalos adatfeldolgozási szerződésük (DPA) garantálja, hogy partnereik megfelelően kezelik az ügyfeleik adatait...
🕵 A Római Birodalom közel négyszáz évig uralta Britanniát, mégis a legfrissebb ősi DNS-kutatások szerint szinte alig hagytak genetikai nyomokat maguk után az ott élőkben...
🎉 Nvidia legfrissebb, kifejezetten MI-következtetésre fejlesztett grafikus kártyája, a Rubin CPX idén már biztosan nem jelenik meg – és meglepő módon ennek örülhetnek a PC-s játékosok...
A Discord hamarosan bevezethet egy forradalmi újdonságot, amelynek segítségével a felhasználók a hívásokban részt vevőket térben is elhelyezhetik maguk körül...
🚀 Felmerül a kérdés, mitől lett Tajvan a mesterséges intelligencia világközpontja, és miért hajt végre ott az Nvidia soha nem látott ütemben beruházásokat...
📈 Mélységi hullámvasúton halad a kriptopiac: a Bitcoin az elmúlt 24 órában a 27,2 millió forintos (75 000 USD) támaszszint környékén ingadozott, miután kedden nem sikerült áttörnie a 28,3 millió forintos (78 000 USD) ellenállást...
💸 Egy különös jelenet játszódik Oakland egyik raktárában: Alice, a Kalapos és egy hatalmas nyúlfejet viselő férfi ül egy asztalnál egy fekete-fehér kockás padlón...
🧃 Például egy 23 éves floridai nő váratlanul élénkvörös, ostorcsapásra emlékeztető kiütéseket tapasztalt a hátán, amelyek két napon át makacsul viszkettek...
💰 Az elmúlt hetekben a kriptopiacon ismét megfigyelhető a legnagyobb kriptovaluta háttérbe szorulása – életre kel az a piaci dinamika, amely idén év elején is felerősödött a jelentős piaci esés során...
💰 Újabb fontos mérföldkőhöz érkezett a pénzügyi technológiai szektor: a SoFi pénzügyi alkalmazás egy amerikai nagybank támogatásával bevezette saját, dollárhoz kötött stabilcoinját, SoFiUSD néven...
Erre utal többek között az, hogy már jóval az Apollo–11 holdraszállása előtt, amikor még tartottak attól, hogy az első holdkompot elnyeli a Hold poróceánja, a rádiócsillagászat révén sikerült igazolni: a Hold szilárd felszínű, és ezzel megnyílt az űrkutatás aranykora...
Az MI radikális átalakulást hoz a munkahelyeken – a vállalatvezetők döntő többsége már most készül a dolgozók elbocsátására a következő néhány évben...
A RedMagic 11S Pro szemmel láthatóan a jelenleg egyik leggyorsabb telefon a piacon, különlegesen játékra szabott funkciókkal és kifejezetten erős hardverrel...
A Kraken újabb forradalmi megoldással állt elő a kriptovilágban: bemutatkozik a Bitcoin Vault, amely a hosszú távon gondolkodó bitcoin-tulajdonosoknak kínál a passzív jövedelem lehetőségét anélkül, hogy el kellene adniuk megtakarításaikat, vagy aktívan kezelniük kellene a decentralizált pénzügyi (DeFi) protokollokat...
Az Egyesült Királyságban egyre gyorsabban terjed a mesterséges intelligencia alkalmazása a közigazgatásban, ám hiányzik a világos elképzelés arról, hogy mit is akarnak ezzel valójában elérni...
💰 Ez a jelenség jól illusztrálja, hogy az utóbbi időben a befektetők látványosan elfordultak a Bitcointól, miközben az arany, az ezüst és a félvezetőipari cégek szárnyaltak...
