14 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a dependencias.
CVE‑2025‑55182, apelidada React2Shell em algumas coberturas, é uma falha crítica no React cuja exploração em ambiente real é esperada, mas afeta apenas instâncias que adotaram um recurso novo; desenvolvedores devem revisar dependências e aplicar patches.
Pesquisadores encontraram um pacote malicioso no PyPI que imita o pyspellchecker e, via um índice codificado, baixa um RAT para extrair credenciais e dados de carteiras de criptomoedas; até o momento o artefato teve cerca de 950 downloads. Recomendações incluem auditoria de dependências e bloqueio de infraestrutura de C2.
Uma segunda onda da campanha Sha1‑Hulud comprometeu centenas de pacotes e alcançou mais de 25.000 repositórios npm, usando scripts de preinstall para roubo de credenciais e distribuição em cadeia de suprimentos. Fontes múltiplas apontam variações da ameaça e recomendam auditoria de dependências, isolamento de builds e rotação de segredos.
Pesquisa aponta dezenas de milhares de pacotes NPM maliciosos que distribuem um worm autorreplicante; sinais no código e nomes aleatórios sugerem um ator indonésio. A cobertura recomenda auditoria de dependências, uso de registries privados e restrições em pipelines CI/CD.