De acordo com o monitoramento da Beating, em 12 de maio, das 3:20 às 3:26 (UTC+8), atacantes ligados ao TeamPCP sequestraram os pipelines oficiais de publicação de TanStack, Amazon OpenSearch e Mistral, enviando 84 versões de pacotes maliciosos para npm e PyPI. Os pacotes afetados incluem @tanstack/react-router (10 milhões+ de downloads semanais), @opensearch-project/opensearch (1,3 milhão de downloads semanais) e o cliente mistralai da Mistral. Os pacotes maliciosos contornaram mecanismos de confiança de segurança explorando falhas de configuração no GitHub Actions para obter credenciais temporárias legítimas de publicação, permitindo que adquirissem assinaturas válidas de procedência de build SLSA.
A análise reversa da Socket.dev revela que o worm persiste mesmo após a remoção do pacote ao injetar código em hooks de execução do Claude Code (.claude/settings.json) e em configurações de tarefas do VS Code (.vscode/tasks.json). Em pacotes Python, o malware é ativado silenciosamente na importação, sem exigir chamadas de função. As máquinas afetadas devem ser tratadas como comprometidas; os usuários precisam imediatamente rotacionar credenciais da AWS, GitHub, npm e SSH e reinstalar a partir de lockfiles limpos.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Meta testa o @meta.ai Assistant no Threads em cinco países
A Meta está testando um novo recurso do Threads que permite que usuários com contas públicas mencionem @meta.ai em posts e respostas para receber respostas e contexto, de acordo com a TechCrunch. O rollout em beta está atualmente ativo na Malásia, Arábia Saudita, México, Argentina e Singapura. Funcionalidade do recurso A ferramenta @meta.ai foi criada para fornecer informações em tempo real sobre tendências e notícias em desenvolvimento. Quando é mencionada, a conta publica respostas públicas no
CryptoFrontier11m atrás
A Anthropic Lança 12 Plugins Jurídicos para o Claude em 12 de Maio
De acordo com a Bloomberg, a Anthropic lançou 12 plugins legais para o Claude em 12 de maio, com revisão de contratos, preparação para a prova da ordem dos advogados (bar exam) e integrações com DocuSign, Thomson Reuters e Harvey. Os plugins ficarão disponíveis para clientes pagantes via Claude Cowork, produto de IA corporativa da Anthropic, e via serviços de terceiros desenvolvidos sobre o Claude.
GateNews32m atrás
Google Lança o Googlebook, Nova Categoria de Caderno com IA que Encerra a Era de 15 Anos do Chromebook
De acordo com Beating, o Google lançou oficialmente o Googlebook, uma nova categoria de notebooks que marca o fim da era de nuvem-first do Chromebook de 15 anos. O dispositivo combina as pilhas de tecnologia do ChromeOS e do Android, com funcionamento nativo alimentado pelo Gemini, com os primeiros aparelhos chegando neste outono. O Googlebook será fabricado pela Acer, Asus, Dell, HP e Lenovo, e cada um contará com a faixa de luz Glowbar distintiva do Google como um identificador visual para a n
GateNews34m atrás
Altman revela que Musk exigiu controle da OpenAI e queria passá-la para seus filhos na terça-feira
De acordo com o depoimento de Altman em tribunal federal na terça-feira, Sam Altman revelou que Elon Musk havia exigido o controle da OpenAI e sugeriu transformá-la em uma subsidiária da Tesla em 2018. Quando outros fundadores questionaram o que aconteceria com a empresa após a morte dele, Musk respondeu: "Talvez eu devesse passá-la para meus filhos." Altman descreveu a proposta como "arrepiadora". A equipe fundadora rejeitou o plano de tomada de controle de Musk, citando um consenso de que "nen
GateNews34m atrás
Isomorphic Labs levanta US$ 2,1 bilhões na Série B liderada pela Thrive Capital
De acordo com a Bloomberg, a Isomorphic Labs, uma empresa de descoberta de medicamentos criada como spin-out da Google DeepMind em 2021, levantou US$ 2,1 bilhões em uma rodada de financiamento da Série B liderada pela Thrive Capital em 12 de maio. A Alphabet, a MGX, a Temasek, a CapitalG, a GV e o UK Sovereign AI Fund também participaram da rodada. A empresa usará o financiamento para expandir seu motor de design de drogas com IA, o IsoDDE, e contratar em equipes de IA, engenharia, design de med
GateNews42m atrás
A SoftBank investe $457M na empresa de chips de IA do Reino Unido Graphcore em 10 de abril
De acordo com a CNBC, a SoftBank investiu US$ 457 milhões na empresa britânica de chips de IA Graphcore por meio de uma única emissão de ações registrada em 10 de abril. Um porta-voz da Graphcore confirmou que o aporte veio da SoftBank. A startup britânica, que desenvolve chips e sistemas de IA, foi adquirida pela SoftBank em 2024.
GateNews1h atrás
