Polymarket customers lose $3 million in supply-chain attack

LastPass confirms data breach in Klue supply chain attack

LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.

Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.

15 Malicious JetBrains Plugins Stole AI API Keys from 70,000 Developers

Trong 8 tháng, 15 plugin giả mạo trợ lý lập trình AI trên JetBrains Marketplace đã đánh cắp khóa API của khoảng 70.000 nhà phát triển thông qua mã độc lấy thông tin đăng nhập. Các plugin này ngụy trang dưới dạng công cụ hỗ trợ DeepSeek và OpenAI, gửi dữ liệu qua HTTP không mã hóa đến máy chủ C2 ở Bắc Kinh. JetBrains đã gỡ bỏ các plugin và vô hiệu hóa tài khoản, nhưng máy chủ C2 vẫn hoạt động 3 ngày sau đó. Người dùng cần thu hồi, xoay khóa API, chặn IP 39.107.60.51, kiểm tra hóa đơn thanh toán và quét kho lưu trữ.

Lập trình viên nên đọc bài này để hiểu cách các plugin giả mạo trên JetBrains có thể trộm lấy các chìa khóa API quan trọng của mình, từ đó bảo vệ dữ liệu và API của mình khỏi các cuộc tấn công mới tương tự trong tương lai.

Multiple @immobiliarelabs Backstage Plugins Compromised on npm

Multiple npm packages maintained by Immobiliare Labs — four Backstage plugins for GitLab integration and LDAP authentication — were found carrying a malicious payload on June 26, 2026. Compromised patch versions were published simultaneously across all supported release series within a 30-second window. The attack uses a binding.gyp node-gyp hook to execute a 5 MB obfuscated index.js at install time, bypassing tools that only monitor postinstall scripts. The payload employs three obfuscation layers (ROT-2 cipher, AES-128-GCM, obfuscator.io) and downloads the Bun runtime to evade Node.js security monitoring hooks. It harvests credentials from GitHub Actions, AWS, GCP, Azure, Kubernetes, HashiCorp Vault, package registries, password managers, and SSH keys. A function called infectHost attempts persistence by injecting into AI coding assistant configs including Claude Code, Cursor, GitHub Copilot, VS Code, and Aider. The payload also contains supply chain worm capabilities to republish modified packages using stolen registry tokens.

Miasma campaign poisons 20-plus npm packages, hunts for developer secrets

A supply chain attack campaign dubbed 'Miasma' has compromised over 20 npm packages, targeting Leo Platform and RStreams packages. The attack harvests developer credentials and attempts to spread by compromising additional package maintainers, according to Microsoft research.

France’s statistics department hit by cyberattack on staff directory

France's national statistics agency INSEE suffered a cyberattack exposing personal data of approximately 12,800 current and former staff. The breach, detected on June 19, compromised an internal staff directory (trombi.insee.fr) containing names, identity details, and professional contact information. Critically, passwords, bank details, social-security numbers, and public census data were not affected. A user under the alias 'Saturne' posted the database on a cybercriminal forum. The incident is part of a broader pattern of French government cyberattacks in 2026, with analysts citing chronic underinvestment in cybersecurity and social-engineering vulnerabilities. While the stolen data is low-value in isolation, it can serve as raw material for targeted phishing campaigns against staff.

From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach

FortiGuard Labs details a real-world attack chain where the Shai Hulud supply chain worm (attributed to TeamPCP, targeting npm/PyPI packages) compromised a Jenkins CI/CD runner in May 2026, leading to full AWS account takeover and Amazon Redshift data exfiltration. The attacker stole EC2 instance metadata credentials, used them externally to escalate IAM privileges by creating a rogue 'cloudops-monitor' admin user, manipulated Aurora RDS and Redshift security groups, enumerated Secrets Manager for warehouse credentials, and ran ~90 Redshift Data API query cycles to exfiltrate data. Exfiltration tradecraft included explicitly named IAM policies (exfil-s3-write, exfil-s3-full) and STS session names (exfil, exfil10, exfil12). FortiCNAPP generated 1,095 observations correlated under a single 'Potentially Compromised Keys' alert. Defenders are advised to treat CI/CD runners as tier-0 identities, alert on external instance credential use, guard datastore control planes, and hunt attacker-named IAM artifacts.

Cyberattacks pose a ‘threat to life’ in Australia

Australia's Security Intelligence Organization (ASIO) has revealed that state-sponsored hackers compromised a critical infrastructure operator's network and were preparing to sabotage it. ASIO director general Mike Burgess presented the annual threat assessment, classifying cyberattacks into 'threats to life' and 'threats to our way of life.' The attackers obtained login credentials for active network users, including IT security staff. Burgess noted that virtually every country in the region has been compromised by the same state actor's cyber apparatus, creating a persistent and compounding threat to how critical infrastructure is deployed and managed.