Huntress researchers detail an ongoing automated password spray attack against Microsoft Azure CLI originating from IPv6 ranges controlled by LSHIY LLC (AS32167). Between June 12–26, attackers made over 81 million login attempts and compromised 78 Microsoft accounts across 64 organizations. The attack exploited the deprecated OAuth ROPC (Resource Owner Password Credentials) flow, which bypasses MFA prompts entirely. Many affected organizations had Conditional Access Policies (CAPs) in place, but misconfiguration gaps — such as MFA scoped only to specific apps, user groups, or trusted locations — allowed attackers to slip through. Mitigation guidance includes requiring MFA for All Users, All Cloud Apps, and All Client App types unconditionally, and blocking legacy auth flows like ROPC. LSHIY subsequently suspended the responsible user after Huntress reported the abuse, and attacks ceased.
Nguồn: https://www.huntress.com/blog/lshiy-password-spray-attack. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Neon bổ sung lệnh api vào CLI, cho phép truy cập trực tiếp toàn bộ REST API thông qua xác thực tự động. Lệnh này giúp giải quyết vấn đề chậm cập nhật tính năng (do CLI thân thiện chỉ hỗ trợ một phần endpoints) và rủi ro quản lý secret (token) khi agent gọi API trực tiếp.
Lập trình viên cần đọc bài này để khám phá cách Neon cải thiện hiệu quả quản lý và sử dụng API REST thông qua một giao diện CLI an toàn, giúp tiết kiệm thời gian và tránh rủi ro khi xử lý token trong các ứng dụng AI.
XAA là khung danh tính của Okta thay thế API keys tĩnh và OAuth rải rác bằng cơ chế truyền token dựa trên danh tính giữa các ứng dụng. Để tích hợp XAA vào OIN, ISV phải hỗ trợ OIDC/SAML SSO, triển khai ID-JAG token exchange flows, vượt qua bài test xác minh rồi gửi form chi tiết qua email tới Okta OIN team.
Lập trình viên phát triển ứng dụng cần đọc để hiểu cách xây dựng kết nối bảo mật Cross App Access (XAA) trên Okta, tránh rủi ro bảo mật và tối ưu hóa tính liên kết giữa các ứng dụng theo tiêu chuẩn hiện đại.
Bài viết hướng dẫn toàn diện về bảo mật xác thực trong ứng dụng web hiện đại, từ lưu trữ JWT trong localStorage (dễ bị XSS đánh cắp) đến giải pháp an toàn hơn như token trong bộ nhớ, cookie httpOnly kết hợp bảo vệ CSRF, phiên server-side so với JWT, xoay vòng refresh token OAuth, và mô hình Backend for Frontend (BFF). Khuyến nghị chính là lưu phiên trong cookie httpOnly kèm server-side session store, sử dụng CSRF token cùng SameSite/Origin header, và đẩy toàn bộ xử lý token OAuth vào BFF để trình duyệt không bao giờ tiếp xúc trực tiếp. Ngoài ra, bài viết cũng đề cập đến mối đe dọa mới nổi là infostealer/pass-the-cookie và giải pháp bảo vệ cấp phần cứng DBSC của Chrome, kèm theo ví dụ code React để xử lý yêu cầu refresh token đồng thời.
Là người phát triển cần hiểu cách bảo mật xác thực hiện hiệu nhất để tránh các lỗ hổng như XSS, CSRF, và tấn công mới như pass-the-cookie, đồng thời tối ưu hóa hiệu suất và bảo mật cho ứng dụng hiện đại.
LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.
Hai cuộc tấn công social engineering là ConsentFix và ClickFix lợi dụng các thao tác quen thuộc của người dùng để chiếm quyền tài khoản Microsoft 365 chỉ trong vài giây. ClickFix dụ nạn nhân thực thi lệnh do kẻ tấn công cung cấp thông qua phím tắt bàn phím, trong khi ConsentFix khai thác lỗ hổng OAuth bằng cách lôi kéo người dùng kéo liên kết callback localhost vào trình duyệt, chiếm lấy token phiên làm việc mà không cần mật khẩu hay vượt qua MFA. Đến đầu năm 2026, các hướng dẫn kỹ thuật chi tiết cùng mã nguồn và video hướng dẫn của ConsentFix đã được đăng công khai trên diễn đàn tội phạm mạng Nga, giúp giảm đáng kể rào cản thực hiện tấn công. Để phòng thủ, cần kết hợp nâng cao nhận thức người dùng và triển khai các biện pháp phát hiện kỹ thuật như giám sát hoạt động PowerShell bất thường hay đăng nhập phiên lạ.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công xã hội kỹ thuật số như ConsentFix và ClickFix exploit các quy trình làm việc thông thường của người dùng trong Microsoft 365, giúp họ phát triển các giải pháp bảo mật hiệu quả hơn, từ đó bảo vệ hệ thống và ứng dụng của mình trước các cuộc tấn công mới.
AWS API Gateway thiếu quy trình đăng ký ứng dụng hay luồng OAuth tự phục vụ công khai, khiến nó không tương thích với mô hình onboarding tự động. Người viết so sánh AWS với mô hình lý tưởng như SoundCloud, nơi script có thể đăng ký ứng dụng và nhận credentials theo chương trình. Do AWS yêu cầu credentials phải xuất phát từ ranh giới tin cậy của chủ tài khoản, giải pháp khả thi nhất là tạo API key và gắn vào usage plan thông qua yêu cầu SigV4-signed tới control plane. Bài viết cung cấp script Node.js (không phụ thuộc, chỉ dùng thư viện chuẩn) triển khai ký SigV4 thủ công và gọi CreateApiKey, CreateUsagePlanKey. Tác giả cho rằng đây là hạn chế về triết lý, không phải kỹ thuật, và kêu gọi AWS cung cấp endpoint đăng ký có phạm vi, có thể thu hồi cho agent.
Lập trình viên cần đọc bài này để hiểu cách tự động hóa đăng ký và quản lý API trên AWS API Gateway bằng cách sử dụng API keys và SigV4, giúp tiết kiệm thời gian và tránh rủi ro liên quan đến OAuth thủ công.

Khi phân phối các cuộc gọi LLM trên các worker PySpark bằng mapInPandas, MLflow's openai.autolog() không ghi lại traces do ba vấn đề: worker không kế thừa URI theo dõi và tên experiment từ driver, xuất traces bất đồng bộ gây xung đột thread khi kết thúc process, và không hỗ trợ liên kết trace cha-con. Giải pháp là thiết lập tracking URI, experiment name và tắt MLFLOW_ENABLE_ASYNC_TRACE_LOGGING=false trong hàm worker. Sau khi hoạt động, việc theo dõi từng cuộc gọi phát hiện chi phí ẩn do Spark lazy evaluation thực thi lại nhiều lần các cuộc gọi LLM.
Lập trình viên muốn tối ưu hóa và theo dõi hiệu suất mô hình ML trên Spark với OpenAI, đặc biệt khi sử dụng mapInPandas, nên đọc bài này để khắc phục lỗi trace không hoạt động và khám phá cách khắc phục vấn đề tái thực hiện LLM nhiều lần do tính chất lazy evaluation của Spark.

Bản phát hành LTS mới Red Hat build of Quarkus 3.33 mang đến nhiều cải tiến quan trọng như nâng cấp Hibernate ORM 7.2, Reactive 3.2, Search 8.2, hỗ trợ Java 25 đầy đủ, kiểm soát bảo mật OIDC chi tiết hơn, cùng công nghệ AOT caching (dưới dạng preview) để giảm thời gian khởi động JVM. Ngoài ra, phiên bản này còn bổ sung tích hợp Jakarta Data, mặc định TLS 1.3, băm credential SHA-512, và cải thiện trải nghiệm nhà phát triển với nhiều backend cache, vòng đời đóng gói Maven mới, cũng như hỗ trợ Kafka request-reply (dưới dạng preview).
Lập trình viên phát triển ứng dụng Java doanh nghiệp nên đọc để cập nhật về Quarkus 3.33 LTS, từ đó tối ưu hiệu suất, ổn định và tính bảo mật cho dự án với các tính năng mới như Java 25, TLS 1.3, và cải tiến ORM/Hibernate, đồng thời khám phá các công nghệ tiên tiến như AOT và Kafka SmallRye để nâng cao hiệu suất và kinh nghiệm phát triển.