Economist Columnists Say U.S. Quantum Investments Show Promise — But Need Clearer Rules

LastPass confirms data breach in Klue supply chain attack

LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.

Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.

15 Malicious JetBrains Plugins Stole AI API Keys from 70,000 Developers

Trong 8 tháng, 15 plugin giả mạo trợ lý lập trình AI trên JetBrains Marketplace đã đánh cắp khóa API của khoảng 70.000 nhà phát triển thông qua mã độc lấy thông tin đăng nhập. Các plugin này ngụy trang dưới dạng công cụ hỗ trợ DeepSeek và OpenAI, gửi dữ liệu qua HTTP không mã hóa đến máy chủ C2 ở Bắc Kinh. JetBrains đã gỡ bỏ các plugin và vô hiệu hóa tài khoản, nhưng máy chủ C2 vẫn hoạt động 3 ngày sau đó. Người dùng cần thu hồi, xoay khóa API, chặn IP 39.107.60.51, kiểm tra hóa đơn thanh toán và quét kho lưu trữ.

Lập trình viên nên đọc bài này để hiểu cách các plugin giả mạo trên JetBrains có thể trộm lấy các chìa khóa API quan trọng của mình, từ đó bảo vệ dữ liệu và API của mình khỏi các cuộc tấn công mới tương tự trong tương lai.

The post-quantum EO is an important milestone. Now it’s time to get to work

Sắc lệnh hành pháp 14409 của Mỹ yêu cầu các cơ quan liên bang và nhà thầu phải chuyển sang mã hóa hậu lượng tử (PQC) vào năm 2030 và xác thực hậu lượng tử vào năm 2031, nhằm ngăn chặn các cuộc tấn công "thu thập giờ đây giải mã sau". Cloudflare khuyến nghị cần làm rõ tiêu chuẩn "chuyển đổi", ưu tiên khả năng thích ứng mật mã (crypto agility) và thúc đẩy sự thống nhất toàn cầu về thuật toán NIST để tránh phân mảnh.

Lập trình viên nên đọc bài này để hiểu cách chuyển đổi sang các giải pháp mã hóa chống lượng tử (post-quantum) không chỉ là một yêu cầu pháp lý mà là một chiến lược bảo mật cấp hệ thống, giúp bảo vệ ứng dụng của bạn trước các mối đe dọa tương lai từ máy tính lượng tử trong thời gian ngắn nhất.

WISeKey and SEALSQ Plan Nasdaq Listing for Quantisimo Through GigCapital8

WISeKey and SEALSQ have established Quantisimo Corp., a joint venture special purpose vehicle, and signed a non-binding letter of intent with GigCapital8 (a SPAC) to pursue a Nasdaq listing. The proposed business combination values Quantisimo at approximately $575 million pre-money, with ambitions to grow to $2 billion through acquisitions of up to five additional quantum companies. Quantisimo aims to become a publicly traded platform focused on trusted quantum technologies, drawing on WISeKey's cybersecurity expertise and SEALSQ's semiconductor and post-quantum security portfolio. The transaction is expected to close in Q1 2027, pending regulatory and shareholder approvals.

The Conversation: A New Quantum Computer Sets a High Watermark For Accuracy – Are We on The Verge of a Big Breakthrough?

Quantinuum has launched Helios, a 98-qubit trapped-ion quantum computer published in Nature, notable for its high accuracy rather than just qubit count. Single-qubit gate error rates average 2.5 in 100,000, while two-qubit gate errors average 7.9 in 10,000 — competitive with the best demonstrated results. Helios uses a quantum charge-coupled device (QCCD) architecture with all-to-all qubit connectivity, allowing any qubit to interact with any other without routing through intermediate steps. The machine separates storage, movement, and computation zones, and includes real-time software for routing and control decisions. While Helios can run random quantum circuits beyond easy classical simulation, this benchmark does not yet equate to solving real-world problems — but the combination of scale, accuracy, connectivity, and programmability marks a meaningful step forward.

Klue says the hackers who stole its customer data are deleting it, but a second group has emerged with extortion demands

Klue, the market intelligence firm whose breach exposed customer data at LastPass, HackerOne, and others, says the original hacking group Icarus is now deleting the stolen data. However, a second unnamed hacker group claims to have obtained the data from Icarus and is extorting affected companies directly, demanding payment or threatening to leak everything. Icarus reportedly told Klue the second group only has data samples for a subset of customers, not the full dataset, and instructed Klue to tell customers not to pay the second group. The breach stemmed from a compromised third-party credential from 2022 that was never revoked, granting OAuth access to customers' Salesforce environments. Over a dozen companies including Gong, Jamf, HackerOne, and LastPass have confirmed they were affected.

simonecorsi/mawesome GitHub Action has been compromised

Vào ngày 24/6/2026, repository simonecorsi/mawesome trên GitHub bị tấn công thông qua phương pháp force-push, khiến các version tags trỏ tới các commit độc hại. Các workflow sử dụng những tags này sẽ thực thi mã do kẻ tấn công kiểm soát trên GitHub Actions runners, tương tự vụ tấn công vào codfish/semantic-release-action cùng ngày.

Lập trình viên nên đọc bài này để hiểu cách bảo vệ các GitHub Actions của mình khỏi các tấn công force-push và code injection, đặc biệt khi sử dụng các repository công cộng có thể bị lừa đảo.