Barion Pixel

Fejlesztői környezetet célzott az új npm-támadás

Egy biztonsági kutató egy olyan ellátásilánc-támadást azonosított, amelyben kompromittált npm csomagok rejtett VS Code-taskokkal indítottak el egy többlépcsős fertőzési láncot, végül pedig egy Python-alapú infostealert juttattak a gépekre. A támadás különlegessége, hogy nem a megszokott npm lifecycle scripteket használta, hanem a fejlesztői környezetek automatikus működését használta ki: elég lehetett egy megbízhatónak jelölt workspace megnyitása. A […]

Egy licenckezelő hibája sodorhat veszélybe ipari rendszereket

A CVE-2024-2658 néven nyomot követett sérülékenység rávilágít arra, hogy egy első ránézésre mellékesnek tűnő komponens is komoly kiberbiztonsági kockázatokat rejthet magában. Az említett sérülékenység a Flexera FlexNet Publisher licenskezelő komponensét érinti, és több Schneider Electric megoldásban is fontos szerepet játszik. A Schneider értesítése alapján a sebezhetőség az EcoStruxure Control Expert, az EcoStruxure Process Expert és […]

Kritikus, javítás nélküli sebezhetőség az Argo CD-ben

A francia Synacktiv biztonsági cég egy olyan súlyos, jelenleg is javítás nélküli hibát tárt fel az Argo CD repo-server komponensében, amely lehetővé teheti egy hitelesítés nélküli támadó számára tetszőleges kód futtatását, és végső soron a teljes Kubernetes klaszter átvételét. Az Argo CD egy elterjedt GitOps eszköz, amelyet szoftverek Kubernetes klaszterekbe történő telepítésének automatizálására használnak. A […]

Az amerikai képviselőház elfogadta a gyerekek online biztonságát célzó törvényjavaslatot

Az amerikai képviselőház hétfőn elfogadta a Kids Internet and Digital Safety Act (KIDS Act) törvényjavaslatot, amely a gyermekek online védelmét hivatott erősíteni. Ugyanakkor számos jogvédő és befolyásos szenátor szerint a javaslat nem elég szigorú, és sértené a gyerekek magánszféráját is. Ez a törvényjavaslat többek között előírná, hogy az AI-chatbotok jelezzék, hogy nem emberek, kötelezővé tenné […]

A Mustang Panda az indiai kormányt és az energiaipart vette célba

A Mustang Panda egy Kínához köthető kiberkémkedési csoport, amelynek fő célja az információgyűjtés, nem pedig a klasszikus pénzügyi zsarolás. Az Acronis elemzése szerint két párhuzamos műveletet futtattak Indiában. Az egyik a kormányzati hálózatokat, a másik a vízenergetikai célpontokat érintette. A támadások illeszkednek a csoport korábbi mintájába, ahol geopolitikai és állami érdeklődésű témákat használnak csaliként. A […]

Aktívan kihasználják az Oracle E-Business Suite hibáját

Az Oracle E-Business Suite egyik súlyos hibáját, a CVE-2026-46817 azonosítót viselő sebezhetőséget már aktívan kihasználják a támadók. A májusi Oracle Critical Security Patch Update – amely 35 új javítást tartalmazott és az E-Business Suite esetében 12 új biztonsági javítást sorolt fel – szerint az Oracle E-Business Suite 12.2.3–12.2.15 verziói érintettek, és a konkrét CVE-2026-46817 az […]

Riasztás szabálysértési bírság befizetésére hivatkozó adathalász üzenetekkel kapcsolatban

A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet riasztást ad ki, szabálysértési bírság megfizetésére kötelező, megtévesztő adathalász e-mailekkel kapcsolatban.  Intézetünkhöz megnövekedett számú állampolgári bejelentés érkezett káros hivatkozást tartalmazó, valójában nem fennálló bírság befizetésére hivatkozó, megtévesztő e-mailekkel kapcsolatban. A korábban jellemző SMS-ben terjesztett káros hivatkozások helyett a csalók most e-mail üzenetekben próbálják megtéveszteni a címzetteket. Az új változat […]

Újabb hullám indult a Shai-Hulud ellátásilánc-támadási kampányban

A korábban már bemutatott Shai-Hulud ellátásilánc-támadási kampány újabb, jóval kiterjedtebb kompromittálási hullámmá nőtte ki magát. Az Aikido kutatói 373 rosszindulatú package-verziót azonosítottak 169 különböző npm-csomagnév alatt, miközben a támadás továbbra is fejlesztői munkaállomások és CI/CD-környezetek hitelesítő adatait célozza. A TanStack továbbra is a legnagyobb mértékben érintett csomagcsoportok közé tartozik, ugyanakkor az újonnan feltárt kör már […]

A Gamaredon új eszközökkel bővítette Ukrajna elleni kampányait

Az orosz Gamaredon APT csoport tavaly tovább bővítette kártevőeszköztárát az Ukrajna elleni kibertámadási kampányai során. A szlovák ESET kiberbiztonsági vállalat jelentése szerint a csoport 2025-ben 35 különálló spear-phishing kampányt indított, amelyek többsége az év második felére koncentrálódott. A célpontok jellemzően ukrán kormányzati és katonai szervezetek voltak. Az ESET szerint a csoport továbbra is kizárólag Ukrajnára […]

Közel 400 illegális vb-streamingoldalt kapcsoltak le az amerikai hatóságok

Az Egyesült Államok Igazságügyi Minisztériuma (Department of Justice, DOJ) bejelentette, hogy a labdarúgó-világbajnokság kieséses szakaszának kezdetével egy időben közel 400 olyan domaint foglalt le, amelyek jogosulatlanul közvetítették a mérkőzéseket. Az akció célja az illegális streamingszolgáltatások visszaszorítása, valamint a kapcsolódó kiberbiztonsági kockázatok csökkentése volt. Az illegális sportközvetítések jellemzően internetprotokoll-alapú televíziós szolgáltatásokon (IPTV, Internet Protocol Television) keresztül […]