4 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a dependency.
Uma falha crítica no vm2 (CVE-2026-22709, CVSS 9.8) permite escape da sandbox e potencial execução arbitrária no sistema hospedeiro. A versão citada pela fonte é a 3.10.0. Não há indicação pública de exploração em larga escala na matéria; equipes devem identificar usos do vm2, buscar atualizações do mantenedor e aplicar controles de isolamento.
Relatos técnicos indicam que as defesas do npm introduzidas após os ataques Shai‑Hulud podem ser contornadas por dependências referenciadas via Git. A lacuna permite entrega de código fora das proteções aplicadas a pacotes do registro, exigindo revisão de uso de dependências Git e validação de proveniência.
A variante “The Second Coming” do Sha1‑Hulud comprometeu 800+ pacotes npm e criou ~26.300 repositórios GitHub para armazenar segredos exfiltrados; a campanha usa o runtime Bun para evasão e inclui um wiper que apaga o diretório home se não conseguir exfiltrar dados.
Pesquisadores identificaram uma campanha prolongada que adicionou dezenas de milhares de pacotes falsos ao npm desde 2024 — mais de 67.000 pacotes foram detectados — em operação descrita como spam provavelmente motivado financeiramente. Isso aumenta riscos na cadeia de suprimentos de software.