Bizonyos támadók már december vége óta aktívan kihasználnak egy kritikus súlyosságú, React Native-et érintő sérülékenységet. A CVE-2025-11953 azonosítón nyomon követett sebezhetőség (CVSS pontszám: 9.8) a React Native Community CLI NPM csomagját érinti.

A Notepad++ további részleteket osztott meg arról az ellátásilánc támadásról, amely 2025 decemberében került nyilvánosságra. A projekt tájékoztatása szerint nagy valószínűséggel egy kínai, államilag támogatott APT csoport célzott támadást hajtott végre egyes felhasználók ellen egy tárhelyszolgáltató infrastruktúráján keresztül.

Újabb hullámmal tért vissza a GlassWorm kártevő-kampány, ezúttal három új Visual Studio Code (VS Code) kiterjesztésen keresztül. A támadások az OpenVSX és a Visual Studio Code Marketplace platformokat érintik, folytatva a múlt hónapban azonosított fertőzési láncot.

Tíz rosszindulatú csomagot töltöttek fel az npm csomagkezelőbe, amelyek legitim szoftverprojekteknek álcázzák magukat és egy információlopó kártevőt telepítenek Windows, Linux és macOS rendszerekre. A csomagokat július 4-én töltötték fel az npm-re, és hosszú ideig észrevétlenek maradtak, mivel többrétegű obfuszkációval kerülték meg a szokásos statikus elemzési eljárásokat.

A Socket biztonsági kutatócsapata egy újabb, kifejezetten aggasztó fenyegetésre hívta fel a figyelmet: egy imad213 nevű rosszindulatú Python-csomag jelent meg, amely Instagram felhasználók biztonságát veszélyezteti, miközben hamisan követőnövelő eszközként tünteti fel magát.

Álcázott veszélyforrás: mit rejt az „IMAD-213”?

Több mint 60 rosszindulatú npm csomagot fedeztek fel a csomagregiszterben, melyek olyan káros funkciókat tartalmaznak, amiknek célja a gazdagépek neveinek, IP-címeinek, DNS-szervereinek és felhasználói könyvtárainak begyűjtése, és ezek továbbítása egy Discord által vezérelt végpontra. A csomagokat három különböző fiók alatt tették közzé, és olyan szkripttel rendelkeznek, amely az npm install során aktiválódik – közölte Kirill Boychenko, a Socket biztonsági kutatója a múlt héten megjelent jelentésében.

Azáltal, hogy a generatív AI eszközöket egyre többen használják programozásra, valamint azáltal, hogy a modellek az általuk generált kódban gyakran nem létező csomagnevekre hivatkoznak, megjelent egy új típusú ellátási lánc támadási forma, a slopsquatting.

Egy "automslc" nevű rosszindulatú PyPI csomag több mint 100 000 letöltést ért el 2019 óta, miközben hardcode-olt hitelesítő adatokkal visszaélt a Deezer zenei streaming szolgáltatásával. A biztonsági kutatók szerint a csomag éveken át lehetővé tette a zeneletöltést a platformról, miközben a felhasználók tudta nélkül veszélybe sodorhatta őket.