Nguồn: calpaterson.com Tóm tắt Bài viết của Cal Paterson phản biện “dependency cooldown” — thực hành đang trở nên phổ biến trong cộng đồng bảo mật phần mềm, theo đó các project chờ N ngày sau khi một package mới được release trước khi cập nhật, nhằm tránh supply chain attacks. Lý luận là: nếu có package độc hại, những người khác (không dùng cooldown) sẽ bị tấn công trước, package sẽ bị “yank”, và người dùng cooldown sẽ an toàn....
Nguồn: Anchor.host Tóm tắt Một supply chain attack quy mô lớn đã được phát hiện trên WordPress ecosystem: một tác nhân xấu đã mua lại 30 WordPress plugins hợp lệ từ các developers ban đầu, sau đó inject backdoor code vào tất cả chúng trước khi publish updates. Các plugins này đã có user base sẵn có, nên backdoor nhanh chóng được distribute đến hàng nghìn websites. Attack vector này đặc biệt nguy hiểm vì nó bypass các trust mechanisms thông thường: plugins đến từ các tài khoản developer có lịch sử tốt, vượt qua basic code review, và được install như “legitimate updates” bởi site owners....
Nguồn: Anchor.host Tóm tắt Một sự cố bảo mật nghiêm trọng được ghi nhận: một tác nhân ẩn danh đã mua lại quyền sở hữu khoảng 30 WordPress plugin hợp pháp từ các tác giả gốc, sau đó cài backdoor vào toàn bộ và phát tán qua cơ chế update thông thường. Vì các plugin này đã có uy tín và lượng cài đặt lớn, người dùng không có lý do để nghi ngờ khi nhận update....