Five package versions, including specs at roughly 2 million weekly downloads, shipped an obfuscated dropper on 2026-07-14. Here is what we have confirmed so far.
Nguồn: https://www.aikido.dev/blog/asyncapi-npm-packages-compromised-with-miasma-variant. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đọc tin ở đây, luyện code, học theo lộ trình và luyện IELTS trên các sản phẩm anh em — tất cả kết nối với nhau trong hệ sinh thái 8 Sync Dev.
Cổng chính của hệ sinh thái: giới thiệu sản phẩm, blog và bảng giá trọn bộ.
Khám pháHọc theo lộ trình với video, quiz chấm tự động, certificate và mentor đang làm nghề.
Xem khóa họcLuyện thuật toán chấm tự động 7 ngôn ngữ, chạy code ngay trên trình duyệt.
Vào ngày 11/7/2026, hai nhà nghiên cứu từ Đại học Missouri-Kansas City đã công bố kỹ thuật tấn công Ghostcommit, cho phép đánh cắp toàn bộ nội dung file .env của mục tiêu bằng cách lợi dụng hình ảnh (images) chứa mã độc.
Lập trình viên nên đọc bài này để hiểu cách Ghostcommit exploit lỗ hổng trong GitHub Actions, khi sử dụng ảnh để trích xuất thông tin nhạy cảm từ file .env—một kỹ thuật mới gây lo ngại về bảo mật trong các pipeline CI/CD.
AI cho doanh nghiệp B2B: chat đa kênh AI phản hồi, gom lead tiềm năng, phân loại khách hàng.
Sắp ra mắtSlint 1.17 khắc phục tình trạng lãng phí CPU và độ trễ đầu vào bằng cách thay thế cơ chế polling 16ms bằng cách tích hợp hook libuv prepare và theo dõi file descriptor I/O, giúp đồng bộ hai vòng lặp sự kiện (Node.js libuv và Slint winit) trên cùng một thread. Giải pháp này hiệu quả trên Linux/macOS, nhưng Windows vẫn giữ polling 16ms do hạn chế API, còn Deno/Bun chưa hỗ trợ hook tương ứng.
Nếu bạn làm việc với ứng dụng cross-platform sử dụng Node.js và UI tích hợp, bài viết này giúp bạn hiểu cách tối ưu hóa hiệu suất của hệ thống bằng cách khắc phục lỗi CPU idle và lag nhập liệu trong Slint, đặc biệt quan trọng khi phát triển ứng dụng trên Linux/macOS.
Vào ngày 14/7/2026, ba package npm (@asyncapi/generator@3.3.1, @asyncapi/generator-helpers@1.1.1, @asyncapi/generator-components@0.7.1) bị tấn công, chứa mã độc ẩn dưới dạng dropper, kích hoạt khi package được tải chứ không phải lúc cài đặt. Kẻ tấn công lợi dụng quyền truy cập nhánh next trong GitHub Actions để đẩy mã độc thông qua quy trình CI/CD hợp pháp, tạo ra chứng chỉ provenance OIDC hợp lệ.
Lập trình viên nên đọc bài này để hiểu cách tấn công CI/CD lây nhiễm thông qua quyền truy cập vào nhánh tiếp theo của dự án, khiến các package bị nhiễm malware vẫn được công bố hợp pháp trên npm mà không cần sử dụng token nhầm.
Node.js 26.5.0 bổ sung các tính năng mới như blob.textStream() trên buffer API, cờ …
Các hacker nhắm vào Hiệp hội bóng đá Argentina có thể đã xâm nhập thông qua nhiễm mã độc infostealer từ khoảng một năm trước, có liên quan đến động cơ thù địch từ World Cup. Sự cố cho thấy cách dữ liệu đăng nhập bị đánh cắp từ malware có thể bị khai thác muộn để truy cập trái phép vào hệ thống.
Là lập trình viên bảo mật, đừng bỏ qua cách kẻ tấn công lợi dụng lỗ hổng từ mã độc thu thập thông tin lâu năm để xâm nhập hệ thống, vì điều này cho thấy sự nhạy cảm của ứng dụng và cơ sở hạ tầng trong thời gian dài mà bạn chưa phát hiện.
Các nhà nghiên cứu phát hiện kỹ thuật tấn công "HalluSquatting" lợi dụng ảo giác (hallucination) của AI coding agent (như GitHub Copilot, Cursor) để ép chúng tải về gói/mã độc ẩn danh. Kỹ thuật này đạt tỷ lệ ảo giác 85% cho tên repository và 100% cho cài đặt kỹ năng, cho phép kẻ tấn công thực thi mã từ xa và tạo botnet mà không cần tiếp cận trực tiếp nạn nhân.
Lập trình viên nên đọc bài này để hiểu cách kẻ tấn công lợi dụng sai sót trong AI hỗ trợ lập trình để tránh phát hiện, lây nhiễm mã độc vào dự án của mình mà không cần tương tác trực tiếp với người dùng.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Electron 43 vừa ra mắt với Chromium 150.0.7871.46, Node.js v24.17.0 và V8 15.0, cải thiện hiệu suất khởi động ứng dụng nhờ snapshot và bytecode caching, hỗ trợ cửa sổ không viền có góc bo tròn trên Linux, API quản lý thông báo mới trên macOS, và tải xuống mặc định vào thư mục Downloads. Phiên bản này cũng đánh dấu chấm dứt hỗ trợ binary 32-bit (Windows x86, Linux ARM) và có một số thay đổi phá vỡ (breaking changes) như chuẩn hóa pixel nativeImage sang SRGB.
Lập trình viên cần đọc bài này để cập nhật kiến thức về các cải tiến hiệu suất khởi động ứng dụng và tính năng mới như cửa sổ không khung trên Linux, quản lý thông báo macOS, và các thay đổi quan trọng về API như loại bỏ showHiddenFiles trên Linux để tránh rủi ro về tính bảo mật và tương thích.