Un posible desastre de la cadena de suministro de NPM se evitó en un tiempo récord después de que los atacantes se hicieron cargo de las credenciales de un desarrollador verificado. El 8 de septiembre, Josh Junon, un desarrollador con más de 1800 contribuciones de Github en el último año, confirmó en Bluesky su cuenta de NPM se vio comprometida. Junon había sido alertado por otros usuarios de que su cuenta había comenzado a publicar paquetes con puertas traseras en todos los paquetes populares en los que estaba involucrado el desarrollador. El desarrollador, comúnmente conocido como ‘Qix’, dijo que recibió un correo electrónico para restablecer su autenticación de dos factores (2FA) que parecía «muy legítima», pero que era maliciosa. Agregó que solo involucraba su cuenta de NPM y que estaba en contacto con NPM para resolver el problema. Paquetes de NPM comprometidos La cuenta de NPM ‘Qix’ comprometida publicó versiones maliciosas publicadas para docenas de paquetes Junon. Descargas) Error-EX (aproximadamente 47 millones de descargas semanales) Simple-swizzle aproximadamente 26 millones de descargas semanales) HA-ANSI (aproximadamente 12 millones de descargas semanales) La carga útil implantada en los paquetes maliciosos es una cortina criptográfica que roba fondos al intercambiar las direcciones de las billeteras en las solicitudes de redes de redes y directamente las transacciones cripto. La cadena de ataque de criptográfico explicó que este sofisticado malware se dirige a los usuarios de criptomonedas a través de dos vectores de ataque principales. Primero, verifica si hay una extensión de billetera (como Metamask) presente. Si no es así, lanza un ataque pasivo de intercambio de direcciones, interceptando todo el tráfico web secuestrando las funciones de Fetch y XMLHTTPREQUEST del navegador. El malware luego reemplaza las direcciones de criptografía legítimas con las controladas por los atacantes, utilizando el algoritmo de distancia de Levenshtein para elegir la dirección más visualmente similar, lo que hace que el intercambio sea casi indetectable a simple vista. Si se detecta una billetera, el malware aumenta al secuestro de transacciones activas. Intercepe las transacciones salientes (por ejemplo, ETH_SENDTRANSACTION) y modifica la dirección del destinatario en la memoria antes de que el usuario lo firme. La víctima ve una pantalla de confirmación de aspecto legítimo, pero si no verifican la dirección cuidadosamente, sus fondos se envían directamente al atacante. La cadena de ataque es sigilosa y automatizada, explotando tanto la percepción humana (a través de la falsificación de las direcciones) como las vulnerabilidades técnicas (a través de la manipulación de la API de la billetera). Al comprometer un paquete NPM confiable, el malware se propaga en silencio, infectando sitios web y robando fondos sin aumentar las sospechas inmediatas. Una de las direcciones de Ethereum primarias utilizadas en el ataque es 0xFC4A4858BAFEF54D1B1D7697BFB5C52F4C1666976. Las personas pueden ver su actividad en vivo en el sitio web de Ethereum-scanning Etherscan a Traxksome de los fondos robados. También se ha creado un listado de Github Gist. Todas las billeteras afectadas. Una crisis evitada que debería «celebrarse» cuatro horas después de que Junon confirmó el compromiso, compartió un mensaje de NPM diciendo que se habían eliminado todas las versiones de paquetes afectados. Si bien muchas personas comenzaron a llamar a este hack como el «mayor ataque de la cadena de suministro en la historia» en las redes sociales, muchas voces han desafiado esta narrativa. Josh Bressers, vicepresidente de Security At Anchore, dijo en LinkedIn: «Esto es lo que nadie parece estar hablando. Todo esto duró solo unas pocas horas. Es sorprendente cuán rápido puede responder el código abierto a cosas como esta. Todos trabajan juntos. La información se puede compartir. La cantidad de personas que ahora trabajan en esto no es solo más grande que su equipo de seguridad, es más grande que su compañía». Katie Paxton-Fear, una hacker ética que recientemente comenzó a trabajar como defensora de la seguridad del personal en Semgrep, publicó un video sobre LinkedIn enfatizando que se ha evitado una crisis importante. «Obviamente, cualquier violación de seguridad es mala, pero esta no es la principal violación de seguridad que las personas están haciendo que sea», dijo. Destacó que la pérdida total estimada solo ascendió a $ 20, gracias principalmente a la respuesta rápida de la comunidad de código abierto. «El malware se notó y la gente comenzó a hablar de ello en Github a solo los 15 minutos de los paquetes maliciosos en vivo. Algunos de los paquetes fueron retirados por los mantenedores solo una hora después del compromiso, y el resto de ellos por NPM en dos horas», explicó. Según Arda Büyükkaya, un analista senior de inteligencia de amenazas cibernéticas en ECLECTICIQ, la dirección de cripto de atacante muestra $ 66.52. Sin embargo, Paxton-Fear argumentó que este incidente es «una victoria que muestra que el modelo de código abierto funciona y que debería celebrarse». En otra publicación de LinkedIn, Melissa Biscoping, la directora de la investigación de seguridad de punto final en Tanium, fue más allá: «Si está en pánico sobre ese asunto de NPM, no lo hace. Existe una posibilidad prácticamente 0 de posibilidades de que se vea afectado por esto, y no debe quemar a sus equipos al elegir cada esquina de su infraestructura para la evidencia de estos paquetes comprometidos». Descargado y enviado a su software en esa ventana de tiempo son muy, muy pequeñas, casi 0. De todas las cosas que creo que deberías hacer que tu equipo se agote tarde, esta no es una de ellas «. Sin embargo, cómo mitigar esta amenaza, aquellos que aún piensan que pueden verse afectados pueden tomar medidas inmediatas para bloquear las dependencias vulnerables. Según Jan-David Stärk, ingeniero de software y líder del equipo en Hansalog, para versiones seguras a prueba de fuerza en un proyecto completo, los desarrolladores pueden usar anulaciones en su paquete.json, agregando lo siguiente a las versiones confiables de los paquetes comprometidos: {«nombre»: «su proyecto», «Versión»: «1.0.0», «anulada»:: «» CHALK «:» 5..3.0 «. «7.1.0», «Color-Convert»: «2.0.1», «Nombre de color»: «1.1.4», «IS-Core-Module»: «2.13.1», «Error-EX»: «1.3.2», «Has-Ansi»: «5.0.1»}} luego, los desarrolladores deberían limpiar su proyecto al deletear Node_Modules y Package-Lock.json, luego, Instal Archivo de bloqueo. Esto asegurará que no queden versiones maliciosas en su árbol de dependencia.
Mes: septiembre 2025 Página 13 de 101
por riesgo calculado el 9/08/2025 08:09:00 PM de Matthew Graham en Mortgage News Daily: Otro mínimo de 11 meses para las tarifas, pero apenas a su crédito, la mayoría de los prestamistas hipotecarios hicieron un trabajo admirable de precios agresivamente en el concurso del mercado de bonos después del informe de empleos del viernes pasado. Muchos profesionales del mercado hipotecario repiten la frase «escaleras hacia abajo, escalera mecánica» cuando se trata del ritmo al que los prestamistas cambian las tasas. La idea es que los prestamistas son más rápidos para aumentar las tasas que cortarlas, pero este claramente no fue el caso esta vez … pero las ganancias son ganancias, y la pequeña mejora lleva la tasa fija promedio de 30 años a otro mínimo de 11 meses. [30 year fixed 6.28%]énfasis agregado el martes: • A las 6:00 a.m. ET, Índice de optimismo de pequeñas empresas NFIB para agosto.
Un niño de tres años en Jiangsu, China, fue quemado después de que un teléfono inteligente Xiaomi 13 explotó mientras lo usaba. El caso fue filmado en casa, y el clip ha circulado en línea desde el 7 de septiembre. En el video corto, el niño está sentado en un sofá. El teléfono está en sus manos un momento, luego estalla en llamas al siguiente. Cae de su regazo mientras llora. Más tarde, la familia dijo que sufrió quemaduras en la mano y las piernas. Las ampollas son visibles. Según los familiares, el dispositivo había sido comprado nuevo y usado normalmente. Eran claros: sin reparaciones, sin modificaciones, nada inusual. Destacaron este punto más de una vez cuando hablaron con los periodistas. Xiaomi Responds 8 de septiembre, Dafeng News de Huashang Daily contactó a Xiaomi. La respuesta de la compañía fue cautelosa. Dijo que encontrar la causa de tal falla requiere tiempo y pruebas técnicas. Un portavoz también recordó a la salida que estos casos son raros. Xiaomi ha hablado directamente con la familia. El teléfono dañado se recopilará y enviará al Centro de Investigación y Desarrollo de la Compañía. Los ingenieros allí mirarán de cerca la batería y los componentes. El objetivo: averiguar qué sucedió y evitar repeticiones. Bigger Batteries de iones de imagen PictureLithium, la fuente de alimentación para casi todos los teléfonos inteligentes, son seguras la mayor parte del tiempo. Pero no son perfectos. El calor, la presión o un defecto oculto pueden conducir a la falla. La mayoría de las personas nunca lo experimentarán, aunque historias como esta siempre plantean preguntas. Esta no es la primera vez que una marca telefónica se enfrenta al escrutinio. Muchos todavía recuerdan el recuerdo del Galaxy Note 7 de Samsung en 2016. Ese fue un problema a gran escala. Lo que sucedió en Jiangsu se ve diferente, un solo caso hasta ahora. Aún así, es difícil para los padres no imaginar a su propio hijo en la misma situación. Para Xiaomi, la confianza está en juego. La compañía ha construido su nombre en dispositivos asequibles que llegan a millones de hogares. Una investigación clara y abierta será importante, no solo para esta familia, sino por su reputación más amplia. Lo que los clientes pueden hacer que la compañía aconseje a los clientes que usen canales de servicio oficiales si surgen problemas. Eso significa las propias páginas de soporte y centros de servicio de Xiaomi. Como señalan muchos expertos, las piezas y reparaciones de terceros pueden crear riesgos propios. El caso de Jiangsu aún se está revisando. Hasta que los ingenieros de Xiaomi lanzan sus hallazgos, sigue siendo una historia aislada pero inquietante.
La Nación del Golfo Persa tiene tecnología «de origen abierto» destinada a competir con Operai y Deepseek de China.
A menudo se supone que los juegos en PC son más caros que en las consolas. Pero aparte de algunas exclusivas y optimizaciones de rendimiento, los juegos de PC pueden ser bastante versátiles y ofrecer mucha más libertad y funcionalidad. Pero la gente señala la falta de opciones de portabilidad o el espacio que toma un gabinete de escritorio. Esas personas ahora pueden ver esta PC MAC Mini de $ 500 que incluso puede ejecutar títulos AAA en velocidades de cuadro de tres dígitos. La mini PC de juego RTX 4050 es de forma pequeña, no en marcos en un video reciente de YouTube de Eta Prime (a través de NotebookCheck), la PC de juegos Mini Yohris flexionó sus músculos en los juegos a pesar de tener una pequeña huella. Debajo del capó, la pequeña computadora de Windows empacó la CPU Intel Core i7-13620H junto con la GPU Nvidia GeForce RTX 4050. Esto se combinó con 16 GB de RAM DDR5 y 512 GB de almacenamiento SSFD. Incluso se puede configurarlo con hasta 64 GB de RAM y 2TB de almacenamiento. Yohris Mini Gaming PC El Tech YouTuber puso esta mini PC para juegos a través de una serie de puntos de referencia y juegos, viendo un rendimiento impresionante en todos los ámbitos. Uno de los aspectos más destacados fue Forza Horizon 5, que funcionó a más de 100 fps a una resolución de 1440p en el alto preajuste de gráficos. Del mismo modo, incluso Cyberpunk 2077 alcanzó las velocidades de cuadro de triple dígitos en configuraciones altas en alta con DLSS establecido en calidad. Habilitar la generación de cuadros llevó el FPS promedio a más de 120. Los exigentes rivales de Marvel del juego multijugador también rondaron los 108 fps con DLS en calidad y resolución a 1080p. Sin embargo, lo más notable, esta mini PC para juegos solo cuesta alrededor de $ 510. Si bien el precio puede fluctuar, este sigue siendo todo el trato, ya que coincide con la portabilidad de Mac Mini con el rendimiento de los juegos a nivel de consola. Para obtener más actualizaciones diarias, visite nuestra sección de noticias. Entusiasta de la tecnología? ¡Obtenga las últimas noticias primero! ¡Siga nuestro canal Telegram y suscríbase a nuestro boletín gratuito para su solución de tecnología diaria! ⚡
Seguridad empresarial La capacidad de su empresa para abordar la amenaza de ransomware de frente puede ser una ventaja competitiva 31 de marzo de 2025 •, 3 min. Lea «Todo el mundo tiene un plan hasta que se ponen perforados en la boca». El adagio de Mike Tyson (juego de palabras) suena demasiado para las organizaciones que se recuperan de un ataque de ransomware. En los últimos años, el ransomware ha demostrado ser capaz de poner de rodillas incluso un negocio próspero en cuestión de horas, y es seguro decir que continuará con organizaciones de chupas de todas las rayas, probando sus planes de ciber-come y contingencia de manera que pocas otras amenazas puedan igualar. No hay escasez de datos e incidentes reales para soportar esto. Según el Informe de Investigaciones de Investigaciones de Datos 2024 de Verizon, un tercio de todas las violaciones de datos involucran ransomware u otra técnica de extorsión. «El ransomware fue una amenaza principal entre el 92% de las industrias», dice el informe. Si esto suena desconcertante, es porque lo es. Las apuestas también son altas porque el ransomware también puede llegar a la parte posterior de un ataque de la cadena de suministro, como fue el caso del incidente de Kaseya en 2021 que explotó una vulnerabilidad en la plataforma de gestión de TI de la compañía para amplificar enormemente el alcance del ransomware en un número incalculable de organizaciones en todo el mundo. Malimas y maltratadas cuando se rompe la noticia de un ataque de ransomware, los titulares a menudo se centran en las dramáticas demandas de rescate y los acertijos éticos y legales sobre el pago. Sin embargo, lo que a menudo no capturan es el trauma organizacional y humano sufrido por las víctimas, doblemente cuando el incidente se ve agravado por la exfiltración de datos y las amenazas para hacer públicos los datos robados. Cuando los sistemas se oscurecen, las empresas no se detienen simplemente: hemorragen el dinero mientras observan las nuevas oportunidades escapar y la reputación de la marca sufre. Las heridas se profundizan exponencialmente a medida que los esfuerzos de recuperación frenética se extienden de horas a días, semanas y posiblemente incluso meses. La premisa brutalmente simple de ransomware, cifrado, los datos comerciales críticos y el pago de la demanda de su liberación, en realidad desmiente una compleja cascada de daño operativo, financiero y reputacional que se desarrolla a raíz del ataque. Una vez más, hay amplios datos para mostrar que un incidente exitoso de ransomware cuesta caro a las víctimas. El costo de IBM de un informe de violación de datos 2024, por ejemplo, pone el costo promedio de recuperación de tal ataque a cerca de US $ 5 millones. El ransomware de escarabajo también tiene como objetivo obstaculizar los esfuerzos de restauración que arrojan una organizaciones de línea de vida golpeadas por ransomware generalmente dependen de tres rutas de escape: restauración de copias de seguridad, recibir una herramienta de descifrado de investigadores de seguridad (como aquellos involucrados con la iniciativa de no más rescatado, que incluye ESET como miembro) o pagar el Ransom a cambio de un descryptor. Pero, ¿qué pasa si ninguna de estas opciones resulta ser viable? Primero, los atacantes a menudo apretan el tornillo de las víctimas al atacar también a sus sistemas de respaldo, corrompiéndelas o encriptándolas antes de desplegar ransomware en entornos de producción. En segundo lugar, las herramientas de descifrado de los investigadores se consideran mejor como una opción de último resort, ya que a menudo no puede igualar la urgencia de las necesidades de recuperación del negocio. ¿Qué hay de tirar la toalla y pagar el rescate? Dejando de lado las posibles dificultades legales y regulatorias, el pago garantiza exactamente nada y, a menudo, solo agrega insulto a las lesiones. Colonial Pipeline aprendió esto de la manera difícil cuando las herramientas de descifrado que se le proporcionaban a cambio de un pago de rescate de US $ 4.4 millones eran tan de mala calidad que los sistemas de restauración de las copias de seguridad resultó ser la única opción viable de todos modos. (Nota: El Departamento de Justicia de los Estados Unidos luego recuperó la mayor parte del rescate). La remediación de ransomware ESET trae un nuevo enfoque a este enigma, combinando efectivamente la prevención y la remediación en uno. Crea copias de seguridad de archivos específicos que están fuera del alcance de los malos actores durante un proceso que se activa cuando el riesgo está recto; es decir, una vez que se detecta un posible intento de ransomware. Dado que los atacantes también apuntan a las copias de seguridad de datos, este enfoque aborda el riesgo de confiar sin saberlo en copias de seguridad comprometidas. El refuerzo para el ransomware de impacto es un disruptor completo capaz de desentrañar las operaciones comerciales de subproceso por hilo y con velocidad alarmante. Dicho esto, las organizaciones con capacidades de prevención y recuperación probada y verdadera no solo sobrevivirán frente a los ataques de ransomware y otras amenazas, su capacidad para evitar tales golpes puede convertirse en su ventaja competitiva final. En el panorama digital siempre cambiante, el cambio es la única constante y la resiliencia depende de anticipar lo inesperado. El plan para lo desconocido como su negocio depende de ello, porque lo hace.
New York Times: Nvidia se opone agresivamente a las propuestas lideradas por republicanos para limitar las ventas de chips de IA a China, etiquetando a los partidarios como «doomers de IA», un bombardeo de cabildeo no convencional: los rancillados expertos en seguridad nacional, el fabricante de chips ha intensificado los ataques contra los legisladores que están impulsando restricciones.
LG ha estado en racha con su plataforma WebOS para sus televisores y monitores inteligentes, lo que permite a los usuarios acceder a diferentes servicios de contenido y entretenimiento desde sus pantallas. Más recientemente, la compañía reveló que está expandiendo la plataforma para el entretenimiento en el vehículo a través de su plataforma de contenido automotriz (ACP), asociando con Xbox y Zoom. LEA: Polestar se une a Geoguessr para una experiencia de entretenimiento bastante única anunciada durante la Mobility 2025 de IAA en Munich, LG dice que está trayendo el soporte para Xbox Game Pass Ultimate Subscriptions, lo que permite a los pasajeros jugar cientos de juegos basados en la nube a través de la pantalla de información de información de su vehículo. Este nuevo desarrollo también incluye compatibilidad con la aplicación Zoom, que permite a los usuarios realizar reuniones y administrar el trabajo mientras está en marcha, mientras mantiene un enfoque en la seguridad y la distracción mínima. LG dice que el ACP ya admite los principales servicios de transmisión como Netflix, Disney+y YouTube, con planes de agregar más socios en el futuro. Además, la compañía está dirigida a convertir a ACP en 20 millones de vehículos para 2030.
Nebius Group NV, un spin -off del gigante tecnológico ruso Yandex que proporciona potencia informática, firmó un acuerdo con Microsoft por valor de hasta $ 19.4 mil millones para proporcionar capacidad de centro de datos. Nebius entregará la capacidad de infraestructura de GPU dedicada a Microsoft desde su nuevo centro de datos en Nueva Jersey a partir de este año, según un comunicado de prensa y presentación de la SEC. El acuerdo, informado por primera vez por Bloomberg, dura hasta 2031. Microsoft está gastando mucho para ayudar a expandir su capacidad de nube y IA. La compañía dijo en julio que planeaba invertir más de $ 30 mil millones en gastos de capital en el trimestre actual, un récord.
Buscar llaves puede ser una de las cosas más molestas en la vida cotidiana, especialmente en la mañana cuando las cosas son agitadas. Yale quiere resolver este problema y ha lanzado un bloqueo inteligente compacto y asequible en el mercado con el Linus L2 Lite. En este artículo, revelamos lo que la cerradura de la puerta electrónica tiene para ofrecer y con qué captura viene. Rápido, compacto y rico en funciones El L2 Lite tiene un concepto operativo ingenioso: una prensa corta desbloquea desde el interior, una prensa larga bloquea la puerta automáticamente después de un retraso preestablecido que se puede ajustar. Cualquiera que ingrese desde afuera puede confiar en la función de auto-Undoh. Esto significa que la puerta se abre automáticamente tan pronto como el teléfono inteligente está dentro del rango Bluetooth. Esta fue una función de la que me entusiasmó con el Nuki Smart Lock Pro (revisión). La característica es realmente conveniente, especialmente cuando lleva algunas compras o niños en sus brazos. El Lock Smart de Yale tiene similitudes con un bloqueo de Nuki. / © Yale Digital Keys para todo el acceso familiar se administra a través de la aplicación Yale Home. Los miembros de la familia o los invitados pueden ingresar a la casa, ya sea por invitación o mediante un teclado inteligente opcional con su propio código. Los usuarios reciben notificaciones push en tiempo real sobre quién ha abierto la puerta. Esto es útil para averiguar si los niños han regresado a casa de manera segura. Instalación sin estrés Yale diseñó el L2 Lite para que sea compatible con la mayoría de las puertas de Europa, por lo que aquellos que viven en el estanque pueden querer realizar su diligencia debida. No hay necesidad de perforar, ni la instalación es un proceso complicado, incluso se admiten cilindros de perfil redondo suizo. Si desea controlar el bloqueo de forma remota, necesitará un puente WLAN. El control de palabras clave también está disponible gracias a la presencia de materia sobre hilo, lo que permite que el bloqueo inteligente de Yale se integre fácilmente en Alexa, Google Home, Apple Home y Samsung Smartthings. La única desventaja del bloqueo inteligente es la fuente de alimentación. Yale no confía en una batería recargable integrada, sino en baterías reales. Para usted como usuario, esto significa tener que comprar baterías nuevas cada seis meses. Es una pena, porque el precio del bloqueo inteligente es de solo 139 €, sin saber en los precios en los EE. UU. Sin embargo, el precio aumenta con el tiempo a medida que reemplaza sus baterías. El Aqara U200 Lite (revisión), que se vende a un precio similar, lo hace mejor. El Yale Linus Smart Lock L2 Lite estará disponible en las tiendas a partir del 3 de diciembre.