D’après la surveillance de Beating, le 12 mai à 3:20–3:26 (UTC+8), des attaquants affiliés à TeamPCP ont détourné les pipelines de publication officiels de TanStack, d’Amazon OpenSearch et de Mistral, en poussant 84 versions de paquets malveillants sur npm et PyPI. Les paquets concernés incluent @tanstack/react-router (10M+ téléchargements hebdomadaires), @opensearch-project/opensearch (1,3M téléchargements hebdomadaires) et le client mistralai de Mistral. Les paquets malveillants ont contourné les mécanismes de confiance de sécurité en exploitant des failles de configuration des GitHub Actions pour obtenir des identifiants temporaires de publication valides, leur permettant d’acquérir des signatures de provenance de build SLSA authentiques.
L’analyse inverse de Socket.dev révèle que le ver persiste même après la suppression du paquet en injectant du code dans les hooks d’exécution de Claude Code (.claude/settings.json) et dans les configurations de tâches de VS Code (.vscode/tasks.json). Sur les paquets Python, le logiciel malveillant s’active silencieusement lors de l’import, sans nécessiter d’appels de fonctions. Les machines concernées doivent être considérées comme compromises ; les utilisateurs doivent immédiatement faire pivoter les identifiants AWS, GitHub, npm et SSH et réinstaller à partir de lockfiles propres.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
TT Chain intègre le système de sécurité AegisAI pour la protection des RWA le 11 mai
D’après l’annonce de TT Chain du 11 mai, le réseau blockchain de couche 2 a intégré l’infrastructure de sécurité pilotée par l’IA d’AegisAI dans son écosystème d’actifs du monde réel. La collaboration améliore la protection des transactions d’actifs tokenisés et des opérations inter-chaînes grâce à des capacités avancées de détection des menaces et d’audit des smart contracts. Les agents autonomes d’IA d’AegisAI détectent les attaques de phishing, empêchent les tentatives d’accès non autorisé et
GateNewsIl y a 26m
La startup d’IA Wispr discute d’un tour de financement à une valorisation de $2B le 12 mai
Selon PANews, la startup d’IA Wispr est en négociations de levée de fonds le 12 mai, avec une valorisation de 2 milliards de dollars.
GateNewsIl y a 32m
Sam Altman doit témoigner aujourd’hui dans le procès OpenAI de Musk $38M
Selon BlockBeats, Sam Altman est programmé pour témoigner aujourd'hui (12 mai) devant un tribunal fédéral à Oakland, en Californie, au sujet du procès d'Elon Musk contre OpenAI. Altman prendra la barre après que Bret Taylor, président du conseil d'administration d'OpenAI, aura terminé son témoignage. Musk a déposé ce recours en 2024, affirmant qu'OpenAI, Altman et le président Greg Brockman ont enfreint la mission initiale à but non lucratif et d'intérêt public de l'entreprise. Musk affirme que
GateNewsIl y a 59m
Depthfirst découvre des failles critiques d’Internet à un dixième du coût de la mythologie d’Anthropic
D'après BlockBeats, le 12 mai, la startup de cybersécurité IA Depthfirst a annoncé que son modèle de découverte de vulnérabilités d'IA développé en interne avait identifié plusieurs failles de sécurité critiques, manquées par le Mythos d'Anthropic, en affirmant que le coût total ne représentait qu'un dixième de celui de ce dernier. Le PDG de Depthfirst, Qasim Mithani, a déclaré que l'entreprise peut « accomplir des travaux pour 1 000 $ que Mythos exigerait 10 000 $ pour réaliser » en optimisant
GateNewsIl y a 1h
Les introductions en bourse de Cerebras cette semaine à une valorisation de 55 milliards de dollars, offrant à OpenAI une participation potentielle de 11%
D’après Odaily, le fabricant de puces d’intelligence artificielle Cerebras va entrer en bourse cette semaine avec une valorisation de 55 milliards de dollars lors d’une introduction en bourse (IPO). L’engagement d’investissement de 200 milliards de dollars d’OpenAI pourrait lui donner une participation de 11% dans l’entreprise.
GateNewsIl y a 1h
Cerebras entre en bourse cette semaine à une valorisation de 5,5 milliards de dollars ; la participation de 11 % d’OpenAI pourrait rapporter plus de 5 milliards de dollars
D’après The Information, le fabricant de puces d’IA Cerebras va entrer en Bourse cette semaine avec une valorisation de 5,5 milliards de dollars lors de son introduction en Bourse (IPO). L’engagement d’investissement de 20 milliards de dollars d’OpenAI pourrait lui conférer une participation de 11% dans la société, ce qui pourrait générer plus de 5 milliards de dollars de produit.
GateNewsIl y a 1h
