3 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a package.
Pesquisadores encontraram uma nova variante do worm Shai‑Hulud dentro do pacote npm "@vietmoney/react-big-calendar". A atualização reativou comportamento malicioso, alertando para riscos de supply chain em projetos que não travam ou auditam dependências. Recomenda‑se auditoria de dependências e SCA em pipelines CI.
A Amazon detectou a publicação automatizada de cerca de 150.000 pacotes NPM em uma campanha coordenada associada a token farming ligada ao domínio tea.xyz. O SecurityWeek reporta que o ator financeiro automatizou o pipeline de publicação, mas não há detalhes públicos sobre conteúdo malicioso nos pacotes nem sobre remoções em massa no registry.
Pesquisadores identificaram uma campanha prolongada que adicionou dezenas de milhares de pacotes falsos ao npm desde 2024 — mais de 67.000 pacotes foram detectados — em operação descrita como spam provavelmente motivado financeiramente. Isso aumenta riscos na cadeia de suprimentos de software.