52 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a devsecops.
A Prime Security levantou US$20 milhões para desenvolver uma plataforma agentic que conduz revisões de design de segurança de forma autônoma. A solução pretende automatizar a identificação proativa de falhas em artefatos de desenvolvimento, segundo a cobertura.
Aikido Security descreve "PromptPwnd", uma classe de prompt injection que afeta GitHub Actions/GitLab CI integrados a agentes de IA (Gemini CLI, Claude Code, OpenAI Codex) e já comprometeu pelo menos cinco empresas da Fortune 500; mitigação inclui sanitização de inputs e limitação de privilégios.
Shai‑Hulud 2.0, identificado pela Wiz.io, comprometeu mais de 30.000 repositórios via pacotes NPM envenenados (notadamente @postman/tunnel-agent v0.6.7 e @asyncapi/specs v6.8.3), roubando ~500 tokens GitHub e até 400.000 segredos detectados por Trufflehog (2,5% verificados).
A variante “The Second Coming” do Sha1‑Hulud comprometeu 800+ pacotes npm e criou ~26.300 repositórios GitHub para armazenar segredos exfiltrados; a campanha usa o runtime Bun para evasão e inclui um wiper que apaga o diretório home se não conseguir exfiltrar dados.
Campanha "Shai Hulud: The Second Coming" comprometeu contas NPM do Zapier e do ENS, injetando código self‑propagador em pacotes centrais; mais de 19.000 repositórios públicos com credenciais roubadas foram criados, requerendo rotação imediata de tokens e auditoria de dependências.
A Amazon detectou a publicação automatizada de cerca de 150.000 pacotes NPM em uma campanha coordenada associada a token farming ligada ao domínio tea.xyz. O SecurityWeek reporta que o ator financeiro automatizou o pipeline de publicação, mas não há detalhes públicos sobre conteúdo malicioso nos pacotes nem sobre remoções em massa no registry.
Pesquisa aponta dezenas de milhares de pacotes NPM maliciosos que distribuem um worm autorreplicante; sinais no código e nomes aleatórios sugerem um ator indonésio. A cobertura recomenda auditoria de dependências, uso de registries privados e restrições em pipelines CI/CD.
Microsoft divulgou dois CVEs (CVE-2025-62449 no Visual Studio e CVE-2025-62453 no GitHub Copilot) que permitem bypass de controles de segurança em ambientes de desenvolvimento; patches foram publicados e devem ser aplicados imediatamente.
SecureVibes é um scanner open‑source baseado em agentes Claude (Anthropic) que automatiza análise de segurança em 11 linguagens. O fluxo de cinco agentes gera modelo de ameaça, revisão de código e relatórios; DAST é opcional. A ferramenta reporta encontrar mais vulnerabilidades que scanners single‑agent em testes internos e está disponível via pip/GitHub sob AGPL.
A atualização do Top 10 da OWASP destaca avanço de riscos ligados à supply chain e a subida de security misconfiguration para a segunda posição, enquanto injection perde espaço — sinal de maturação nas defesas contra falhas clássicas de código. O resumo disponível não traz métricas detalhadas nem CVEs.