Un nuevo ataque a la cadena de suministro está dirigiéndose al ecosistema de desarrolladores de SAP mediante paquetes npm envenenados. La campaña utiliza un gusano malicioso llamado “Mini Shai-Hulud”, que se ejecuta en silencio antes de que finalice cualquier instalación de npm y roba credenciales de máquinas de desarrolladores, plataformas en la nube y herramientas de codificación con IA. El ataque afectó a cuatro paquetes oficiales publicados por SAP: mbt, @cap-js/sqlite, @cap-js/postgres y otros.

Filtración en Claude revela un fallo interno que expuso su código, permitiendo descubrir una función oculta tipo Tamagotchi hasta ahora desconocida.

Un nuevo gusano de cadena de suministro está atacando activamente el ecosistema npm, con un equipo de investigación identificando al menos 19 paquetes maliciosos diseñados para robar secretos de desarrolladores y CI/CD, y propagarse automáticamente a través de repositorios y flujos de trabajo. La campaña, rastreada como SANDWORMMODE, utiliza paquetes npm con typosquatting y GitHub Actions envenenadas para infectar tanto máquinas de desarrolladores.

Un huevo de Pascua oculto en Office 97 ha sido descubierto tras 29 años escondido en el código del software, revelando un mensaje dejado por los desarrolladores que permaneció sin detectar hasta ahora.

Los chats secretos de Telegram permiten conversar con otra persona con un grado de seguridad adicional. Estos mensajes están cifrados de punto a punto y, además, se pueden borrar automáticamente tanto del emisor como del receptor transcurrido un periodo de tiempo determinado. El investigador de seguridad Dhiraj Mishra descubrió que esto no era lo que estaba ocurriendo en la versión 7.3 de la aplicación de Telegram para macOS. Un error en dicha app permitía recuperar los mensajes de audio y vídeo enviados o recibidos a través de chat.