14 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a dependencias.
Nova ferramenta CLI da OWASP permite escanear projetos em segundos para identificar dependências vulneráveis, facilitando a segurança de cadeia de suprimentos de software.
Biblioteca Go fsnotify levanta alarmes de segurança na cadeia de suprimentos após mudanças de acesso dos mantenedores, exigindo monitoramento e mitigação de riscos.
Campanha PhantomRaven ataca repositório npm com 88 pacotes maliciosos, exfiltrando dados de desenvolvedores JavaScript.
Pesquisadores detectaram pacotes comprometidos no npm e PyPI que entregam wallet stealers e permitem execução remota. O feed cita versões comprometidas do @dydxprotocol/v4-client-js (3.4.1, 1.22.1, 1.15.2, 1.0.31); detalhes PyPI e IOCs não constam no resumo.
Um pacote malicioso identificado como "sympy-dev" no PyPI imitou a descrição do projeto SymPy para induzir à instalação e executou o minerador XMRig em hosts Linux. A técnica explora confiança em dependências públicas; recomenda-se verificação de origem, isolamento de pipelines e revisão de dependências em ambientes de produção.
CVE-2026-1245 afeta a biblioteca binary-parser (Node.js) em versões anteriores a 2.3.0: a geração dinâmica de código usando Function permite injeção de JavaScript quando definições de parser são construídas a partir de entradas não confiáveis. O vendor liberou a versão 2.3.0; auditoria de uso dinâmico e atualização imediata são recomendadas.
Pesquisadores encontraram uma nova variante do worm Shai‑Hulud dentro do pacote npm "@vietmoney/react-big-calendar". A atualização reativou comportamento malicioso, alertando para riscos de supply chain em projetos que não travam ou auditam dependências. Recomenda‑se auditoria de dependências e SCA em pipelines CI.
Pesquisadores no Black Hat Europe alertaram para o aumento de ataques que exploram GitHub Actions em 2025 e defenderam um modelo de responsabilidade compartilhada entre plataformas e desenvolvedores. A recomendação inclui revisão de workflows, restrição de permissões e auditoria contínua de pipelines.
A IBM publicou correções para mais de 100 vulnerabilidades na semana, a maioria em dependências de terceiros. O feed não lista CVEs ou produtos; equipes devem consultar o advisory oficial para priorizar patches.
Relatórios apontam aumento nas tentativas de exploração de CVE‑2025‑55182 (React2Shell). O resumo não detalha vetores, patches ou grupos atacantes; recomenda‑se auditar dependências JavaScript, checar comunicados oficiais e monitorar tentativas de exploração.