Az új NuGet-csapda: időzített bombák élesednek 2027-től
Több kártékony NuGet-csomag jelent meg, amelyek veszélyes, időzített szabotázskódot rejtenek magukban, és 2027-ben, illetve 2028-ban aktiválódhatnak. Ezek a csomagok különösen adatbázis-alkalmazásokat és Siemens S7 ipari vezérlőket céloznak.
Káros kódok a láthatáron
A NuGet egy népszerű, nyílt forráskódú csomagkezelő rendszer, amelynek segítségével a fejlesztők könnyen integrálhatnak kész .NET-könyvtárakat. Egy biztonsági cég, a Socket kilenc olyan csomagot talált, amelyek ártalmatlannak tűnnek, de rejtett kártékony kódot tartalmaznak. Ezeket egy „shanhai666” nevű fejlesztő töltötte fel. Az elhelyezett rosszindulatú kód főleg SQL Server-, PostgreSQL- és SQLite-adatbázisokat, illetve a Siemens S7 PLC-k vezérlésére használt Sharp7 könyvtárat támadja. Különösen veszélyes a „Sharp7Extend” nevű csomag, amely a népszerű Sharp7 nevét kihasználva állít csapdát a fejlesztőknek.
Veszélyes meglepetés 2028-ig
A kilenc csomag mindegyike csaknem teljes egészében (99%) legitim kódot tartalmaz, ám körülbelül 20 sornyi rejtett szabotázsfunkcióval. A káros kód minden adatbázis- vagy vezérlési műveletnél aktiválódhat, de csak akkor lép életbe, ha a rendszer dátuma egy előre beállított időpont utáni (2027. augusztus 8. és 2028. november 29. közötti) időpontra esik. Ha az időzítés egyezik, egy véletlenszerűség alapján a rendszer 20% eséllyel leállítja az érintett folyamatot.
A „Sharp7Extend” esetében még veszélyesebb a helyzet: a csomag vagy azonnal leállítja a vezérlést, vagy hosszabb késleltetés után veszi át az irányítást. A rendszer így akár 30–90 perces késleltetéssel tudja szabotálni a folyamatokat, tömeges hibákat és adatvesztést okozva – a vezérlők leállnak, a biztonsági rendszerek nem indulnak el, a gyártási paraméterek módosíthatatlanná válnak.
A káros csomagokat első körben már eltávolították, de közel 9500 letöltésük volt. A leghatékonyabb védekezés, ha minden fejlesztő és ipari üzem gyorsan ellenőrzi, hogy használták-e a felsorolt kilenc csomag bármelyikét. A kritikus ipari rendszerekben külön ellenőrizni kell a PLC-műveletek épségét, és naplózni minden szokatlan folyamatleállást vagy parancskimaradást.
Ha bármelyik veszélyes csomag jelen van, a kompromittálódás valószínű, és sürgős auditot igényel.
📱 Végre egy apró, de elég menő újítás: mostantól pillanatok alatt olvasottnak jelölheted a Google Messages-üzeneteidet közvetlenül a Wear OS-es okosórád értesítéseiből...
Az Apple idén tavasszal teljes gőzzel rákapcsol a videós podcastekre. Mostantól az Apple Podcasts alkalmazás megújult, így a felhasználók végre könnyedén válthatnak nézés és hallgatás között ugyanabban a lejátszási listában, és ami a legjobb: a picture-in-picture módnak hála közben még csetelni is lehet a haverokkal...
⚠️ A KPMG ausztráliai részlegénél egy partner szépen besétált a tiltott AI-zónába: hogy simán átmenjen egy belső, mesterséges intelligenciáról szóló vizsgán, mesterséges intelligenciát hívott segítségül a kérdésekhez – erre viszont 2,6 millió forint (10 000 ausztrál dollár) bírság lett a vége...
Nem hiszem el, de végre rájöttek a Rode-nál, hogy mikrofonjainkat nem kell mindenáron drótokkal, kütyükkel, műanyag herékkel összebilincselni, csak hogy szóljon a hangunk az iPhone-ba vagy iPadbe...
A Super Bowl alatt bemutatott Ring Search Party funkció sokakat meglepett: a kedves reklám, amelyben a kütyü a házi kedvenc megtalálásában segít, komoly adatvédelmi aggályokat vetett fel...
Na most figyelj: az OpenClaw AI‑asszisztens elképesztő gyorsasággal lett népszerű, szinte mindent kezel a gépeden – beleértve az e-maileket, chatalkalmazásokat, helyi fájlokat, sőt, belép még mindenféle online szolgáltatásba is...
📚 Az oktatás évszázadokon át szinte változatlan maradt: a tanítási módszerek, az osztálytermi rend és a személytelen, egységes oktatás makacsul kitartanak, miközben az élet minden területét gyökeresen átalakítják a technológiai újítások...
🔥 Hongkong végre megint mozgolódik kriptófronton: a Victory Fintech (VDX) megkapta a hivatalos engedélyt a helyi pénzügyi hatóságtól, így mostantól digitális eszközkereskedési platformként működhet, és egyből felkerült az elitlistára a többi 11 jóváhagyott platform mellé...
Különösen igaz ez akkor, ha az internet hirtelen felkap egy új technológiát, majd szinte azonnal kiderül, hogy a háttérben jóval kevesebb valós újítás rejlik, mint azt elsőre gondoltuk...
Az informatikai világban alapvető változás zajlik: a hagyományos jelszavas hitelesítés ideje leáldozóban van, helyét egyre inkább a passkey technológia veszi át...
💰 Az Egyesült Államokban egyre több helyen vezetik be azokat a programokat, amelyek során közvetlenül juttatnak pénzt az embereknek, ám ezek a kezdeményezések rendszeresen kiváltják a szkeptikusok kritikáját...
Ugyanúgy, ahogy a Ferrari padlógázt nyom az egyenesben, az Apple sem vacakol: a Formula–1 mostantól saját csatornát kapott az Apple TV alkalmazásban...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Earplug (iPhone/iPad)Az Earplug egy minimalista relaxációs alkalmazás, amelyet alvásproblémák esetén használhatsz...
💻 Na, végre megérkezett a PCIe 6.0 SSD, amit most először tényleg lehet venni – persze, hogy tiszta legyen: te úgysem fogsz hozzájutni, mert ezt csak az óriási AI-adatközpontoknak dobják oda...
⛪ Na, képzeld el, ott ülsz a Szent Péter-bazilika padjában, zsibbasztod a térded, és halvány fogalmad sincs, miről beszél a pap olaszul vagy latinul...
🔥 A ’90-es évek végén, amikor a számítógépes hardver még messze nem volt ilyen gyors, a játékfejlesztőknek a lehető leghatékonyabb kódokat kellett írniuk, hogy a legmodernebb grafikát és élményt hozzák ki a gépeikből...
🚧 Az Android mindig is a szabadság szinonimája volt: a felhasználók szabadon telepíthettek alkalmazásokat külső forrásból, függetlenül a Play Áruháztól...
