Glitch SPY RAT Distributed Via Fake Polish Rental App

Mass npm Supply Chain Attack: 20 Leo Platform Packages Compromised

Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.

Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.

Clean GitHub repo tricks AI coding agents into running malware

Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.

Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.

jetc.dev Newsletter Issue #319

Bản tin jetc.dev số 319 cập nhật các phiên bản mới nhất của Jetpack Compose gồm bản vá 1.11.3, beta 1.12 đầu tiên và Compose Multiplatform 1.12.0-alpha02. Nội dung nổi bật bao gồm hỗ trợ iOS cho Jetpack Ink, các BOM mới, lifecycle/viewmodel-compose 2.11.0 mở rộng đa nền tảng, thư viện locationbutton Compose mới, cùng nhiều chủ đề như scoping ViewModel, Coil 3 cho tải ảnh đa nền tảng, kiểm thử screenshot theo locale, và các thư viện mã nguồn mở mới.

Những tiến bộ mới trong Jetpack Compose và Compose Multiplatform từ phiên bản 1.12 beta sẽ giúp bạn tối ưu hóa ứng dụng Android/iOS/native với các tính năng mới như ink iOS, viewmodel scoping và Coil 3, từ đó nâng cao hiệu suất và tính đa nền tảng cho dự án.

Google earthquake alerts warned 11.4M in Venezuela

Hệ thống Google Earthquake Alerts đã cảnh báo 11,4 triệu người dùng Android tại Venezuela vài giây trước hai trận động đất mạnh 7,2 và 7,5 độ Richter. Hệ thống này sử dụng cảm biến gia tốc trong điện thoại để phát hiện sóng sơ cấp và gửi cảnh báo trước khi sóng thứ cấp gây phá hủy ập đến, đóng vai trò quan trọng khi Venezuela không có hệ thống cảnh báo động đất quốc gia.

Nếu bạn đang tìm hiểu về công nghệ cảnh báo động đất hiệu quả và ứng dụng của AI trong bảo vệ an toàn công cộng, bài viết này cho thấy cách một hệ thống dựa trên thiết bị di động có thể thay thế các hệ thống truyền thống đắt tiền, mang lại hiệu quả cao trong các khu vực thiếu nguồn lực.

Google Finance gets a dedicated app for Android

Google has launched a dedicated Android app for Google Finance, offering watchlists, real-time market data, live financial news, and an AI-powered 'Key Moments' feature that explains stock movements. An iOS version is planned for later. The move puts Google in direct competition with Yahoo Finance and Robinhood. Alongside the app, Google is rolling out portfolio tracking globally on the web, letting users view holdings in a single dashboard and interact with an AI research tool using natural-language queries. New AI task features allow users to set up automated briefings and performance summaries based on their watchlists or portfolios.

Mustang Panda Uses Zoho WorkDrive in India-Focused Espionage Campaigns

China-linked threat actor Mustang Panda has been running two concurrent espionage campaigns targeting Indian government entities and the hydropower sector. The campaigns deploy new malware implants — SHARDLOADER, MINIRECON, and ZOHOMURK — with ZOHOMURK abusing Zoho WorkDrive as a command-and-control channel to blend malicious traffic with legitimate cloud activity. Attack chains use hydropower- and government-themed lure documents delivered via compressed archives, leveraging DLL side-loading. Attribution is high-confidence based on code overlaps with prior Mustang Panda tooling. CISOs are advised to monitor cloud service traffic for anomalies, hunt for DLL side-loading behavior, and model threats around geopolitical and infrastructure-themed lures.

The Latest Addition to Turla’s Intelligence Gathering Apparatus

Google Threat Intelligence Group (GTIG) has published a detailed analysis of STOCKSTAY, a multi-component .NET backdoor attributed to the Russian state-linked threat actor Turla (FSB Center 16). Active since at least December 2022, STOCKSTAY targets Ukrainian government and military organizations as well as European entities with foreign affairs interests. The backdoor uses a modular architecture (STOCKBROKER for C2 tunneling, STOCKMARKET for orchestration, STOCKTRADER for execution) communicating over encrypted WebSockets. It masquerades as benign applications like stock market tools, PDF viewers, and calculators. STOCKSTAY shares significant code overlaps with Turla's established KAZUAR toolkit, including a shared string obfuscation mechanism called K1MORPHER based on the Squirrel3 PRNG. Deployment methods include malicious RDP files, HTA files, WinRAR CVE-2025-8088 exploitation, and GitHub-hosted MSI installers. The post includes a detailed operational timeline from 2022–2025, YARA detection rules, and indicators of compromise.