At least 17 malicious packages impersonating Paysafe, Skrill, and Neteller payment SDKs were published across npm and PyPI. The packages appeared functional by exposing expected APIs and returning fake success responses, while secretly exfiltrating credentials including Paysafe API keys, AWS keys, GitHub tokens, npm tokens, and system metadata to an AWS-hosted C2 server. The npm packages activate only when a Paysafe API key is detected, while PyPI packages run the theft routine immediately on initialization. Basic anti-analysis checks (CPU core count, hostname/username patterns) are included. Developers who installed any of the 17 listed packages are advised to immediately rotate all secrets, audit dependency trees, and check CI logs for signs of compromise.
Nguồn: https://www.bleepingcomputer.com/news/security/fake-paysafe-skrill-sdks-on-npm-and-pypi-steal-credentials. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng …
Hướng dẫn chi tiết cách xây dựng một AI agent chạy cục bộ bằng LangChain v1, Ollama, Qwen và Python, hỗ trợ tool calling (gọi hàm Python) và bộ nhớ ngắn hạn (InMemorySaver). Toàn bộ hệ thống hoạt động trên máy cá nhân mà không tốn phí API, kèm code mẫu, demo so sánh trước/sau khi tích hợp tools và memory, cùng gợi ý mở rộng bộ nhớ dài hạn.
Là lập trình viên muốn tự động hóa công việc hoặc xây dựng hệ thống thông minh trên máy tính cá nhân mà không phụ thuộc vào các dịch vụ cloud, bài này sẽ hướng dẫn cách tạo một AI thông minh bản địa với khả năng gọi công cụ và nhớ ngắn hạn—từ đó tiết kiệm chi phí và tăng hiệu suất.
Phiên bản pnpm 11.10 bổ sung tính năng _auth ràng buộc credential vào host URL, ngăn chặn việc chuyển hướng token tới registry độc hại. Bản cập nhật cũng khắc phục lỗi hồi quy từ tháng 6 liên quan đến biến môi trường trong registry private, đồng thời tăng cường bảo mật cho pnpm deploy và pnpm pack-app cùng nhiều cải tiến khác. Ngoài ra, người dùng có thể trải nghiệm pnpm v12 (viết bằng Rust) thông qua lệnh pnpm self-update next-12.
Lập trình viên nên đọc vì pnpm 11.10 nâng cấp bảo mật và hiệu suất bằng cách khóa xác thực đăng nhập registry theo URL, khắc phục lỗi bảo mật và hiệu suất trong các dự án sử dụng registry riêng, đồng thời giới thiệu tính năng chuẩn bị cho phiên bản Rust (v12) với tốc độ cao hơn.
Các nhà nghiên cứu phát hiện lỗ hổng tấn công "HalluSquatting" dựa trên kỹ thuật prompt injection, lợi dụng khả năng "ảo giác" (hallucination) của các mô hình ngôn ngữ lớn (LLMs) trong trợ lý lập trình AI để lây nhiễm hàng loạt máy thông qua các gói giả mạo. Chín công cụ lập trình AI phổ biến, bao gồm Cursor, Gemini CLI, GitHub Copilot, đang bị khai thác để xây dựng botnet quy mô lớn.
Lập trình viên nên đọc bài này để hiểu cách bảo mật mã nguồn của mình chống lại những cuộc tấn công mới như HalluSquatting, có thể lây lan rộng rãi qua các công cụ AI hỗ trợ lập trình mà họ đang sử dụng hàng ngày.
GitHub triển khai tính năng public monitoring cho Secret Scanning, giám sát toàn bộ bề mặt công khai của github.com (bao gồm nội dung git, pull request, issues) để phát hiện các bí mật doanh nghiệp bị rò rỉ theo thời gian thực, nhưng vẫn tồn tại những hạn chế như không phát hiện được bí mật bị đánh cắp tới hạ tầng kiểm soát của kẻ tấn công, không quét logs workflow, và chỉ phát hiện sau khi xảy ra sự cố. Doanh nghiệp nên kết hợp tính năng này với các biện pháp kiểm soát egress runtime (như Harden-Runner) để ngăn chặn rò rỉ bí mật ngay từ lớp mạng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật các mã nguồn công khai trên GitHub bị lộ thông qua các công cụ mới và hạn chế của chúng, giúp họ xây dựng chiến lược phòng thủ đa lớp (layered defense) hiệu quả hơn.
Bài viết giới thiệu quy trình RAG nâng cấp cho xử lý tài liệu PDF doanh nghiệp với bốn thành phần chính: phân tích tài liệu, phân tích câu hỏi, truy xuất thông tin và sinh câu trả lời. Các cải tiến bao gồm cấu trúc dữ liệu quan hệ thay vì danh sách phẳng, sửa lỗi chính tả và mở rộng từ khóa bằng từ vựng chuyên ngành, sử dụng bộ định tuyến TOC dựa trên LLM để truy xuất theo ngữ nghĩa, và trả về câu trả lời có cấu trúc kèm trích dẫn nguyên văn cùng bốn chỉ số chất lượng.
Những người lập trình viên xây dựng hệ thống xử lý thông tin doanh nghiệp sẽ tìm hiểu cách nâng cấp pipeline RAG với PDF bằng cách chuyển từ giải pháp đơn giản sang mô hình quan hệ dữ liệu, tăng hiệu quả tìm kiếm và trả lời thông tin chuyên sâu.
Ngân hàng trung ương châu Âu (ECB) yêu cầu các ngân hàng trong khu vực đồng euro phải nộp kế hoạch hành động đối phó các mối đe dọa an ninh mạng từ AI tiên tiến trước cuối tháng 10/2026. ECB lo ngại các mô hình AI như Anthropic's Claude Mythos có thể phát hiện lỗ hổng phần mềm và tạo ra exploit với tốc độ chưa từng có, đồng thời cảnh báo rủi ro hệ thống từ phụ thuộc vào nhà cung cấp AI ngoài EU.
Những lập trình viên làm việc trong lĩnh vực bảo mật mạng hoặc phát triển hệ thống quan trọng nên đọc bài này để hiểu rõ cách AI đang thay đổi cách tấn công và bảo vệ hệ thống, giúp họ chuẩn bị sớm ứng phó với các mối đe dọa mới từ các mô hình AI tiên tiến.