Dzisiejsze informacje mają wspólny mianownik: atakujący podchodzą coraz bliżej narzędzi, którym inżynierowie już ufają. Pakiety npm, wtyczki IDE, treści społecznościowe i lokalne sekrety tworzą jedną powierzchnię ryzyka.

Ilustracja cyberbezpieczeństwa z paczkami open source i stanowiskiem developera

Mastra pokazuje, jak szybko namespace npm staje się groźny

Endor Labs, JFrog, Socket, StepSecurity i The Hacker News opisały incydent obejmujący do 144 pakietów @mastra. easy-day-js wykorzystywał złośliwe zależności i masowe publikacje po przejęciu konta. Orca Security wskazała ok. 918 tys. tygodniowych pobrań @mastra/core. Instalacje po 16 czerwca wymagają sprawdzenia.

Złośliwe wtyczki IDE celują w klucze API AI

JetBrains usunął 15 wtyczek Marketplace stworzonych do kradzieży kluczy dostawców AI i wyłączył zainstalowane kopie. Narzędzia AI coding działają w IDE blisko kodu, promptów i płatnych credentiali, więc przegląd wtyczek to element zarządzania sekretami.

Wallpaper Engine przypomina o ryzyku aktywnych treści

Kaspersky i BleepingComputer opisały malware rozprowadzany przez Steam Workshop i Wallpaper Engine. Każdy ekosystem aktywnych treści użytkowników może stać się kanałem dostawy, także na prywatnym komputerze używanym do pracy.

Sekrety trzeba widzieć na maszynach developerów

Help Net Security opisał GitGuardian Developer Endpoint Protection. Trend jest jasny: sekrety żyją nie tylko w repozytoriach, ale też w tymczasowych skryptach, notebookach i workflow AI na endpointach.

Co zrobić teraz

Sprawdzić lockfile i CI, rotować tokeny, audytować wtyczki IDE i rozszerzenia przeglądarki, ograniczyć uprawnienia i skanować developerskie endpointy. Źródła: Endor Labs, JFrog, Socket, StepSecurity, The Hacker News, Orca Security, JetBrains, Kaspersky, BleepingComputer i Help Net Security.