Nguồn: Socket Security Tóm tắt Socket phát hiện Bitwarden CLI — trình quản lý mật khẩu phục vụ hơn 10 triệu người dùng và 50.000 doanh nghiệp — đã bị xâm phạm trong chiến dịch tấn công chuỗi cung ứng đang diễn ra của Checkmarx. Phiên bản bị ảnh hưởng là @bitwarden/cli2026.4.0, với mã độc nằm trong file bw1.js. Cuộc tấn công khai thác một GitHub Action bị xâm phạm trong CI/CD pipeline của Bitwarden....
Nguồn: Trend Micro Research Tóm tắt Khoảng tháng 6/2024, kẻ tấn công đã xâm phạm OAuth application của Context.ai trên Google Workspace, một bên thứ ba có tích hợp với Vercel. OAuth token được cấp không yêu cầu password, không bị hủy khi đổi password, và thường có scope rộng — đây là đặc điểm khiến OAuth-based intrusion duy trì được tới 22 tháng trước khi Vercel công bố vào tháng 4/2026....
Nguồn: NVIDIA Developer Blog Tóm tắt Khi các AI coding agent như OpenAI Codex được tích hợp vào workflow phát triển phần mềm, chúng tạo ra một attack surface mới: các file instruction như AGENTS.md có thể bị khai thác qua indirect injection. NVIDIA AI Red Team phát hiện một lỗ hổng trong Codex cho phép attacker nhúng instruction độc hại vào file AGENTS.md thông qua các malicious dependency trong supply chain....
Nguồn: Hacker News Tóm tắt Cuộc chiến Mỹ-Israel với Iran đã làm lộ ra một điểm nghẽn nguy hiểm trong chuỗi cung ứng chip nhớ toàn cầu: bromine. Trong khi dư luận tập trung vào vấn đề thiếu hụt helium từ Qatar, mối đe dọa từ bromine - nguyên liệu thô để sản xuất hydrogen bromide cấp độ bán dẫn - lại ít được chú ý hơn nhưng có thể gây hậu quả nghiêm trọng hơn....
Nguồn: calpaterson.com Tóm tắt Bài viết của Cal Paterson phản biện “dependency cooldown” — thực hành đang trở nên phổ biến trong cộng đồng bảo mật phần mềm, theo đó các project chờ N ngày sau khi một package mới được release trước khi cập nhật, nhằm tránh supply chain attacks. Lý luận là: nếu có package độc hại, những người khác (không dùng cooldown) sẽ bị tấn công trước, package sẽ bị “yank”, và người dùng cooldown sẽ an toàn....
Nguồn: Anchor.host Tóm tắt Một supply chain attack quy mô lớn đã được phát hiện trên WordPress ecosystem: một tác nhân xấu đã mua lại 30 WordPress plugins hợp lệ từ các developers ban đầu, sau đó inject backdoor code vào tất cả chúng trước khi publish updates. Các plugins này đã có user base sẵn có, nên backdoor nhanh chóng được distribute đến hàng nghìn websites. Attack vector này đặc biệt nguy hiểm vì nó bypass các trust mechanisms thông thường: plugins đến từ các tài khoản developer có lịch sử tốt, vượt qua basic code review, và được install như “legitimate updates” bởi site owners....
Nguồn: Anchor.host Tóm tắt Một sự cố bảo mật nghiêm trọng được ghi nhận: một tác nhân ẩn danh đã mua lại quyền sở hữu khoảng 30 WordPress plugin hợp pháp từ các tác giả gốc, sau đó cài backdoor vào toàn bộ và phát tán qua cơ chế update thông thường. Vì các plugin này đã có uy tín và lượng cài đặt lớn, người dùng không có lý do để nghi ngờ khi nhận update....