2 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a dependency-management.
Um pacote malicioso publicado no Maven Central usou typosquatting de namespace para imitar Jackson e executava código malicioso em aplicações Spring Boot. O artefato baixava payloads (Cobalt Strike) e usava ofuscação e nomes typosquat para persistência e evasão.
CVE-2025-12735 afeta a biblioteca NPM expr-eval, permitindo execução remota de comandos via funções injetadas no contexto do parser. O patch está disponível em expr-eval-fork v3.0.0, que adiciona allowlist e registro obrigatório de funções. Desenvolvedores de apps AI/NLP devem auditar dependências e atualizar imediatamente.