🔵 عنوان مقاله
PyPI urges users to reset credentials after new phishing attacks (2 minute read)
🟢 خلاصه مقاله:
کاربران PyPI هدف حملات فیشینگ تازهای قرار گرفتهاند که بهکمک دامنههای جعلی مانند pypi-mirror.org و پیشتر pypj.org خود را بهجای PyPI جا میزنند. ایمیلها با ادعای "account maintenance and security procedures" قربانی را به صفحههای ورود تقلبی هدایت میکنند تا اطلاعات ورود را سرقت کنند. مهاجمان سپس با این اطلاعات حسابهای توسعهدهندگان را تصاحب کرده و با آلودهکردن نسخههای منتشرشده یا انتشار پکیجهای جدید مخرب در PyPI، زنجیره تأمین نرمافزار را تهدید میکنند. Python Software Foundation توصیه کرده است رمزعبور و سایر اعتبارات (از جمله API tokens) را فوراً بازنشانی/گردش دهید، 2FA را فعال کنید، توکنهای مشکوک را لغو کرده و تاریخچه انتشار پکیجها را بررسی کنید. همچنین قبل از واردکردن اطلاعات، حتماً دامنه واقعی pypi.org را تأیید کرده و نسبت به ایمیلهای ناخواسته با مضامین امنیت و نگهداری حساب محتاط باشید و موارد مشکوک را گزارش دهید.
#PyPI #Python #Phishing #Cybersecurity #OpenSourceSecurity #SoftwareSupplyChain #PSF #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/pypi-urges-users-to-reset-credentials-after-new-phishing-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
PyPI urges users to reset credentials after new phishing attacks (2 minute read)
🟢 خلاصه مقاله:
کاربران PyPI هدف حملات فیشینگ تازهای قرار گرفتهاند که بهکمک دامنههای جعلی مانند pypi-mirror.org و پیشتر pypj.org خود را بهجای PyPI جا میزنند. ایمیلها با ادعای "account maintenance and security procedures" قربانی را به صفحههای ورود تقلبی هدایت میکنند تا اطلاعات ورود را سرقت کنند. مهاجمان سپس با این اطلاعات حسابهای توسعهدهندگان را تصاحب کرده و با آلودهکردن نسخههای منتشرشده یا انتشار پکیجهای جدید مخرب در PyPI، زنجیره تأمین نرمافزار را تهدید میکنند. Python Software Foundation توصیه کرده است رمزعبور و سایر اعتبارات (از جمله API tokens) را فوراً بازنشانی/گردش دهید، 2FA را فعال کنید، توکنهای مشکوک را لغو کرده و تاریخچه انتشار پکیجها را بررسی کنید. همچنین قبل از واردکردن اطلاعات، حتماً دامنه واقعی pypi.org را تأیید کرده و نسبت به ایمیلهای ناخواسته با مضامین امنیت و نگهداری حساب محتاط باشید و موارد مشکوک را گزارش دهید.
#PyPI #Python #Phishing #Cybersecurity #OpenSourceSecurity #SoftwareSupplyChain #PSF #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/pypi-urges-users-to-reset-credentials-after-new-phishing-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
PyPI urges users to reset credentials after new phishing attacks
The Python Software Foundation has warned victims of a new wave of phishing attacks using a fake Python Package Index (PyPI) website to reset credentials.
❤1
🔵 عنوان مقاله
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
pnpm.io
Mitigating supply chain attacks | pnpm
Sometimes npm packages are compromised and published with malware. Luckily, there are companies like [Socket], [Snyk], and [Aikido] that detect these compromised packages early. The npm registry usually removes the affected versions within hours. However…
🔵 عنوان مقاله
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
wiz.io
Supply Chain Risk in VSCode Extension Marketplaces | Wiz Blog
Wiz Research uncovered 500+ leaked secrets in VSCode and Open VSX extensions, exposing 150K installs to risk. Learn what happened and how it was fixed.