Los investigadores de ciberseguridad han señalado otra evolución del ataque a la cadena de suministro vinculado a la familia de malware Mini Shai-Hulud, Miasma y Hades que ha comprometido un nuevo conjunto de paquetes npm, incluso cuando se ha propagado al ecosistema Go. «La última actividad incluye lanzamientos maliciosos deSeguir leyendo

Ravie Lakshmanan24 de junio de 2026Código abierto/seguridad de la cadena de suministro Los investigadores de ciberseguridad han señalado una nueva clase de debilidad en el flujo de trabajo de CI/CD que permite a los atacantes secuestrar flujos de trabajo y comprometer las cadenas de suministro de código abierto. El «patrónSeguir leyendo

Ravie Lakshmanan23 de junio de 2026Seguridad del flujo de trabajo/Cadena de suministro de software GitHub está tomando medidas para fortalecer la seguridad de la cadena de suministro de software actualizando «acciones/pago«bloquear ataques de solicitud pwn que explotan el uso riesgoso del activador «pull_request_target flowflow» para ejecutar código malicioso con todosSeguir leyendo

Ravie Lakshmanan11 de junio de 2026Seguridad del desarrollador/Cadena de suministro de software GitHub tiene anunciado lo que dijo son «cambios importantes» que llegarán a la versión 12 de npm, uno de los cuales desactiva los scripts de instalación de forma predeterminada para combatir las amenazas a la cadena de suministroSeguir leyendo

Ravie Lakshmanan09 de junio de 2026Cadena de suministro de software/seguridad de IA Microsoft confirmó el lunes que eliminó temporalmente algunos repositorios de GitHub en respuesta a un reciente incidente de seguridad que llevó a que 73 de sus proyectos de código abierto se vieran comprometidos para inyectar un ladrón deSeguir leyendo

Ravie Lakshmanan6 de junio de 2026Ataque a la cadena de suministro/malware Los repositorios GitHub de Microsoft se han convertido en los últimos en ser víctimas de la actual Miasma Campaña de ataque autorreplicante a la cadena de suministro. El incidente afectó a 73 repositorios de Microsoft en cuatro de susSeguir leyendo

Swati Khandelwal04 de junio de 2026Vulnerabilidad / Seguridad de la IA Un investigador de seguridad encontró una falla en Claude Code GitHub Action de Anthropic que permitía a un atacante hacerse cargo de los repositorios públicos vulnerables que lo ejecutaban, con nada más que un único problema de GitHub abierto.Seguir leyendo

Ravie Lakshmanan03 de junio de 2026Vulnerabilidad / Desarrollo de software Investigadores de ciberseguridad han revelado un ataque con un solo clic a través de Microsoft Visual Studio Code (VS Code) que permite robar el token de GitHub de un usuario. «Con solo hacer clic en un enlace, es posible queSeguir leyendo

Ravie Lakshmanan28 de mayo de 2026Divulgación de vulnerabilidad/día cero Microsoft se ha pronunciado firmemente a favor de la Divulgación Coordinada de Vulnerabilidades (CVD), instando a la comunidad de investigación a compartir sus hallazgos y brindar a los proveedores afectados la oportunidad de comprender mejor el impacto y abordarlos antes deSeguir leyendo