Barion Pixel

Fejlesztői környezetet célzott az új npm-támadás

Egy biztonsági kutató egy olyan ellátásilánc-támadást azonosított, amelyben kompromittált npm csomagok rejtett VS Code-taskokkal indítottak el egy többlépcsős fertőzési láncot, végül pedig egy Python-alapú infostealert juttattak a gépekre. A támadás különlegessége, hogy nem a megszokott npm lifecycle scripteket használta, hanem a fejlesztői környezetek automatikus működését használta ki: elég lehetett egy megbízhatónak jelölt workspace megnyitása. A […]

Egy licenckezelő hibája sodorhat veszélybe ipari rendszereket

A CVE-2024-2658 néven nyomot követett sérülékenység rávilágít arra, hogy egy első ránézésre mellékesnek tűnő komponens is komoly kiberbiztonsági kockázatokat rejthet magában. Az említett sérülékenység a Flexera FlexNet Publisher licenskezelő komponensét érinti, és több Schneider Electric megoldásban is fontos szerepet játszik. A Schneider értesítése alapján a sebezhetőség az EcoStruxure Control Expert, az EcoStruxure Process Expert és […]

Kritikus, javítás nélküli sebezhetőség az Argo CD-ben

A francia Synacktiv biztonsági cég egy olyan súlyos, jelenleg is javítás nélküli hibát tárt fel az Argo CD repo-server komponensében, amely lehetővé teheti egy hitelesítés nélküli támadó számára tetszőleges kód futtatását, és végső soron a teljes Kubernetes klaszter átvételét. Az Argo CD egy elterjedt GitOps eszköz, amelyet szoftverek Kubernetes klaszterekbe történő telepítésének automatizálására használnak. A […]

Újabb fejezet a transzferár-korrekciók áfa kezelésében – a Stellantis Portugal ügy tanulságai ​

Újabb mérföldkövet jelent a komoly adózási kockázatokat rejtő transzferár-kiigazítások általános forgalmi adó szempontú kezelésében az Európai Unió Bíróságának legfrissebb, C–603/24. számú Stellantis Portugal ügyben hozott ítélete. Míg egy korábbi uniós döntés a szerződéses mechanizmusokra épülő, szolgáltatáshoz kapcsolódó kiigazítások áfakötelességét emelte ki, a Stellantis Portugal ítélet arra mutat rá, hogy a pusztán nyereségszint-kiigazítások önmagukban nem feltétlenül minősülnek adóköteles ügyletnek. A döntés ezzel tovább finomítja a transzferár-korrekciók áfakezelésének értelmezési keretét, és egyúttal megerősíti, hogy a cégcsoporton belüli tranzakciók folyamatos figyelmet és fokozott körültekintést igényelnek. Az Áfa kalauz cikkében rövid bevezetőt követően ezt a jogesetet mutatjuk be részletesen azzal a céllal, hogy az áfa hatálya alá, és azon kívül eső transzferár-kiigazítások elhatárolásához nyújtsunk támpontokat az olvasó számára.

Az amerikai képviselőház elfogadta a gyerekek online biztonságát célzó törvényjavaslatot

Az amerikai képviselőház hétfőn elfogadta a Kids Internet and Digital Safety Act (KIDS Act) törvényjavaslatot, amely a gyermekek online védelmét hivatott erősíteni. Ugyanakkor számos jogvédő és befolyásos szenátor szerint a javaslat nem elég szigorú, és sértené a gyerekek magánszféráját is. Ez a törvényjavaslat többek között előírná, hogy az AI-chatbotok jelezzék, hogy nem emberek, kötelezővé tenné […]

A Mustang Panda az indiai kormányt és az energiaipart vette célba

A Mustang Panda egy Kínához köthető kiberkémkedési csoport, amelynek fő célja az információgyűjtés, nem pedig a klasszikus pénzügyi zsarolás. Az Acronis elemzése szerint két párhuzamos műveletet futtattak Indiában. Az egyik a kormányzati hálózatokat, a másik a vízenergetikai célpontokat érintette. A támadások illeszkednek a csoport korábbi mintájába, ahol geopolitikai és állami érdeklődésű témákat használnak csaliként. A […]

Aktívan kihasználják az Oracle E-Business Suite hibáját

Az Oracle E-Business Suite egyik súlyos hibáját, a CVE-2026-46817 azonosítót viselő sebezhetőséget már aktívan kihasználják a támadók. A májusi Oracle Critical Security Patch Update – amely 35 új javítást tartalmazott és az E-Business Suite esetében 12 új biztonsági javítást sorolt fel – szerint az Oracle E-Business Suite 12.2.3–12.2.15 verziói érintettek, és a konkrét CVE-2026-46817 az […]

Riasztás szabálysértési bírság befizetésére hivatkozó adathalász üzenetekkel kapcsolatban

A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet riasztást ad ki, szabálysértési bírság megfizetésére kötelező, megtévesztő adathalász e-mailekkel kapcsolatban.  Intézetünkhöz megnövekedett számú állampolgári bejelentés érkezett káros hivatkozást tartalmazó, valójában nem fennálló bírság befizetésére hivatkozó, megtévesztő e-mailekkel kapcsolatban. A korábban jellemző SMS-ben terjesztett káros hivatkozások helyett a csalók most e-mail üzenetekben próbálják megtéveszteni a címzetteket. Az új változat […]