
A podcast episode featuring cybersecurity strategist Matthew Rosenquist discussing cybercrime trends for 2026, produced by Boston Consulting Group's BCG on Compliance series. Key themes include why traditional security playbooks are insufficient for emerging threats, the structural advantage attackers hold over defenders, and how nation-state actors are reshaping the cyber risk landscape for compliance leaders.
Nguồn: https://securityboulevard.com/2026/07/cybercrime-in-2026-what-compliance-leaders-need-to-see. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.
Trong 8 tháng, 15 plugin giả mạo trợ lý lập trình AI trên JetBrains Marketplace đã đánh cắp khóa API của khoảng 70.000 nhà phát triển thông qua mã độc lấy thông tin đăng nhập. Các plugin này ngụy trang dưới dạng công cụ hỗ trợ DeepSeek và OpenAI, gửi dữ liệu qua HTTP không mã hóa đến máy chủ C2 ở Bắc Kinh. JetBrains đã gỡ bỏ các plugin và vô hiệu hóa tài khoản, nhưng máy chủ C2 vẫn hoạt động 3 ngày sau đó. Người dùng cần thu hồi, xoay khóa API, chặn IP 39.107.60.51, kiểm tra hóa đơn thanh toán và quét kho lưu trữ.
Lập trình viên nên đọc bài này để hiểu cách các plugin giả mạo trên JetBrains có thể trộm lấy các chìa khóa API quan trọng của mình, từ đó bảo vệ dữ liệu và API của mình khỏi các cuộc tấn công mới tương tự trong tương lai.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
iqbusiness promotes TotalSecure and TotalSecure AI, two managed security services designed to help enterprises adopt AI without compromising data security or regulatory compliance. The piece highlights risks of uncontrolled AI use — such as employees uploading sensitive data to public AI platforms or shipping AI-generated code with hidden vulnerabilities. TotalSecure AI integrates with Microsoft Purview DSPM, Microsoft Sentinel, and Microsoft Defender XDR to provide continuous data classification, policy enforcement as code, real-time risk monitoring, and regulator-ready reporting. Claimed results include 30% faster AI adoption projects, 40% reduction in manual compliance reporting, and faster detection of data-leakage incidents.
ClickFix, a social engineering technique first observed in 2024, has become the dominant malware delivery method according to ReliaQuest research covering March–May 2026. The tactic tricks users into copying and pasting malicious commands into system dialogs, bypassing traditional file scanning and email defenses. Key findings include ClickFix expanding to macOS via applescript:// links that bypass Apple's Terminal paste warnings, attackers using AI-generated obfuscation in loaders like 'Deepload', and a notable shift toward targeting developers via malvertising campaigns impersonating tools like 'claude code install' and 'homebrew install'. In confirmed cases, exposed npm and Bitbucket tokens were found on compromised developer machines. ClickFix now accounts for nearly 28% of defense-evasion activity and is evolving into a modular post-exploitation launchpad. Defenders are advised to train users, simulate lures, and monitor for anomalous command sequences rather than blocking developer tools outright.
OpenClaw (formerly Clawdbot/Moltbot) is a fast-growing AI agent ecosystem that lets users automate tasks using natural-language 'skills' from a marketplace called ClawHub. Around 530 vulnerabilities have been discovered in under two years, many involving sensitive data storage and excessive privilege issues. Malicious skills pose a supply-chain-like threat — over 1,100 malicious accounts have been created since January 2026, distributing 600+ harmful skills before any security scanning was in place. OpenClaw has since partnered with VirusTotal and NVIDIA's SkillSpector for preliminary scanning, but attacks continue. Recommended mitigations include isolating the agent from critical infrastructure, scanning all incoming skills, monitoring network access, and enforcing a comprehensive AI usage policy.
Figma has achieved ISO/IEC 42001:2023 certification, the international standard for AI management systems, audited by ANAB-accredited firm Schellman. The certification covers Figma's AI governance policies, risk management processes, and development practices across all its products including Figma Design, FigJam, Dev Mode, and others. The audit evaluated 38 controls across nine Annex A control objectives including AI impact assessment, data governance, human oversight, and responsible AI use. This certification is positioned as verifiable third-party evidence of AI governance for enterprise customers in regulated industries such as banking, healthcare, and the public sector, and is relevant under the EU AI Act and emerging AI procurement standards.