Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3895
)
-
▼
mayo
(Total:
592
)
-
Grafana Labs reconoce que atacantes descargaron su...
-
Vulnerabilidades críticas de n8n exponen nodos a R...
-
Microsoft confirma error 0x800f0922 en actualizaci...
-
Atacantes de NGINX Rift actúan rápido contra servi...
-
Google Maps Lite: la versión ligera de 20 MB
-
TanStack evalúa restringir las solicitudes de pull...
-
Nuevo Zero-Day 'MiniPlasma' de Windows permite acc...
-
Robot supera a mecánicos cambiando neumáticos
-
Creador de OpenClaw gastó 1,3 millones de dólares ...
-
Malware Fast16, precursor de Stuxnet, alteró simul...
-
Forza Horizon 6 carga en 4 segundos gracias a Adva...
-
Siri borrará tus conversaciones automáticamente
-
Guitarra con IA que crea música al tocar
-
Cuatro paquetes maliciosos de npm roban claves SSH...
-
Mozilla advierte al Reino Unido: anular las VPN no...
-
ChatGPT vs apps financieras: así funciona su asesor
-
Resident Evil 3.5 en Unreal Engine 5
-
Google Project Zero revela exploit zero-click para...
-
Un millón de sitios de WordPress afectados por fal...
-
Debian 13.5: actualización de Trixie
-
Intel Panther Lake-R, así será versión de CPU más ...
-
EEUU rechaza centros de IA y nucleares cerca de casa
-
Primer exploit de memoria del Apple M5 hallado con...
-
Los fabricantes chinos como CXMT (DDR5 a 8.000 MT/...
-
Feliz cumpleaños, láser: la luz coherente, digna d...
-
Rivales del MacBook Neo: hardware potente y dudas ...
-
Cisco revela una nueva vulnerabilidad 0-day de esc...
-
Dentistas usan IA para encarecer tratamientos
-
Apagón urbano para alimentar la IA
-
Imágenes JPEG maliciosas podrían causar vulnerabil...
-
IA vs Médicos: ¿Quién diagnostica mejor?
-
Fallo de RCE en Claude Code permite ejecutar coman...
-
Operadores de 2FA usan phishing de OAuth para salt...
-
Usan rootkit OrBit para robar credenciales SSH y S...
-
Crean una NVIDIA RTX 3070 con hardware de AMD y ad...
-
Linus Torvalds afirma que los detectores de errore...
-
Vulnerabilidades de OpenClaw Chain exponen 245.000...
-
Análisis de REMUS Infostealer: Robo de Sesiones, M...
-
Gunra Ransomware expande operaciones RaaS tras dej...
-
Nuevo fallo en actualización de Windows 11
-
Turla transforma el backdoor Kazuar en una botnet ...
-
OpenAI acusa a Apple de sabotear ChatGPT en los iP...
-
El Intel Core i9-14900KF bate un récord mundial al...
-
Codex llega a ChatGPT móvil
-
La huelga de Samsung se hace realidad, más de 45.0...
-
Gemini solo para Android premium con 12 GB de RAM
-
Filtran nuevos mandos de Xbox
-
Tycoon2FA vulnera cuentas de Microsoft 365 mediant...
-
ChatGPT ahora gestiona tu dinero
-
Acelera internet desactivando este ajuste de Windows
-
Google Live Translate llegaría al modo offline
-
Claude Code revisa el código antes de entregarlo
-
Crackean Pragmata sin hipervisor
-
Samsung lanza One UI 9 Beta
-
Microsoft advierte que atacantes usan agente de HP...
-
Todo sobre el Galaxy S27
-
Intel prepara su APU más bestia con Razor Lake-AX:...
-
Cuatro vulnerabilidades en OpenClaw permiten el ro...
-
Project Helix: uniendo Windows y Xbox desde 2016
-
Filtración de token de GitHub en Grafana permitió ...
-
ASUS entra al mercado de la memoria RAM con su pri...
-
Intel prepara una tercera subida del 20% en sus Xe...
-
Xbox Series X superaría a PS5 en FSR 4.1
-
Apple planea AirPods con IA y cámaras
-
Programadores advierten que la IA atrofia el cerebro
-
Microsoft detalla la arquitectura modular y botnet...
-
ASUS ROG Crosshair 2006: llamativa placa base que ...
-
Explotan vulnerabilidad 0-day en Cisco Catalyst SD...
-
Expertos en seguridad dudan que los atacantes de C...
-
OpenAI confirma brecha de seguridad por ataque de ...
-
Windows 11 y Microsoft Edge, hackeados en Pwn2Own ...
-
Privacidad de tus archivos en NotebookLM
-
Windows 11 mantiene una app de Windows 95
-
ChatGPT busca gestionar tus finanzas
-
Ninguna IA vence al ajedrez
-
Gmail reduce espacio de 15 a 5 GB en cuentas nuevas
-
Vulnerabilidad crítica de Next.js expone credencia...
-
Google presenta la función Puntero mágico para tra...
-
Explotan vulnerabilidad CVE-2026-42897 en Microsof...
-
Meta agota agua en Georgia y apunta a Talavera
-
Vulnerabilidad crítica en el plugin Funnel Builder...
-
CISA incluye la vulnerabilidad CVE-2026-20182 de C...
-
Aprovechan vulnerabilidad de bypass de autenticaci...
-
ChatGPT ahora es tu gestor financiero
-
Explotados Zero-Days de Microsoft Exchange, Window...
-
Grupo Sandworm pasan de sistemas IT a activos OT c...
-
Grupos chinos vulneran sector energético vía Micro...
-
ClickFix evoluciona con proxy SOCKS5 de Python de ...
-
Fallo crítico de Linux ‘ssh-keysign-pwn’ expone cl...
-
PSN: Cuentas vulnerables pese a seguridad avanzada
-
Bienvenidos al vulnpocalipsis, donde la IA acelera...
-
Apple critica la normativa de IA de la UE
-
Subnautica 2 triunfa pese a conflictos internos
-
Explotan 0-day en PAN-OS de Palo Alto para ejecuta...
-
OpenAI amenazaría con demandar a Apple
-
Vulnerabilidad crítica en plugin de WordPress ➡️ F...
-
Cisco alerta sobre vulnerabilidad crítica de SD-WA...
-
Todo sobre el iPhone 18 Pro
-
CNMV advierte riesgos de la IA como asesor financiero
-
La NASA sube a Internet más de 11.000 imágenes tom...
-
-
▼
mayo
(Total:
592
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
TanStack evalúa restringir las solicitudes de pull request tras un ataque a la cadena de suministro
El equipo de TanStack implementó nuevas medidas de seguridad tras sufrir un ataque de envenenamiento de caché mediante un PR malicioso. Para evitar futuros incidentes, eliminaron funciones vulnerables de GitHub Actions y adoptaron el uso de hashes y restricciones de edad en dependencias. Además, evalúan la drástica posibilidad de permitir pull requests solo bajo invitación, lo que generaría un debate sobre la seguridad frente a la apertura de las contribuciones.
El equipo de TanStack ha documentado medidas de seguridad y propuestas tras una brecha perjudicial la semana pasada, incluida la posibilidad de hacer que las solicitudes de extracción (PR) sean solo por invitación, lo que supondría una ruptura con el modelo de contribución abierta que define a la mayoría de los proyectos de código abierto.
El ataque utilizó código del gusano Shai-Hulud, publicado por el grupo de malware TeamPCP, que puede extraer secretos de la memoria utilizada por GitHub Actions. Comenzó con una PR que activó un flujo de trabajo automático mediante el uso de la función pull_request_target de TanStack, lo que provocó que el código malicioso fuera compilado y ejecutado por una GitHub Action, envenenando una caché utilizada en todo el repositorio.
El equipo de TanStack afirmó en su blog que su flujo de trabajo utilizaba un patrón contra el que GitHub advierte en su laboratorio de seguridad: el id pull_request_target destinado a PR que "no requieren un procesamiento peligroso, como compilar o ejecutar el contenido de la PR".
Desde el ataque, TanStack ha eliminado todo uso de pull_request_target de su canal de integración continua (CI), ha desactivado las cachés utilizadas por pnpm (un gestor de paquetes de Node.js) y GitHub Actions, ha anclado las acciones a hashes de commit SHA en lugar de etiquetas reorientables, y ha desactivado el uso de mensajes de texto para la autenticación de dos factores.
El repositorio de TanStack también utiliza ahora una función de pnpm 11 llamada minimumReleaseAge, que requiere que las dependencias hayan sido publicadas durante un periodo determinado antes de que puedan ser instaladas. La idea es que los paquetes comprometidos suelen detectarse y eliminarse antes de que finalice dicho periodo.
Una propuesta más drástica es cerrar la capacidad de los colaboradores externos para abrir solicitudes de extracción por completo. "No vamos a pasar a código cerrado en absoluto", afirmó el equipo, pero podría implementar un mecanismo donde las contribuciones comiencen con un problema o discusión, y una PR pueda ser enviada solo por invitación.
TanStack reconoció que sería un paso radical ya que "las PR abiertas son parte de cómo muchos de nosotros llegamos a ser mantenedores en primer lugar". Podría no ser necesario si el repositorio puede reforzarse lo suficiente como para que las PR maliciosas no puedan causar daños.
Es un debate que los mantenedores de otros proyectos de código abierto seguirán con interés. La seguridad de la cadena de suministro es un problema enorme, pero hacer que las solicitudes de extracción sean solo por invitación podría perjudicar a los proyectos al disuadir las contribuciones.
Otro aspecto de esto es hasta qué punto el propio GitHub es el culpable. "El alcance de la caché en GitHub Actions no debería conectar silenciosamente las PR de forks y las ramas del repositorio base", afirmó el equipo de TanStack.
Fuente:
TheRegister
Etiquetas:
ciberseguridad
,
github
,
malware
,
npm
,
opensource
,
supply-chain
,
tanstack
,
vulnerabilidad
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.