Researchers at Novee Security disclosed a CI/CD vulnerability class called Cordyceps, found in 300+ high-impact repositories including projects from Microsoft, Google, and Apache. The attack exploits how GitHub Actions workflows compose together — using pull_request_target and workflow_run triggers to escalate privileges across workflow boundaries — rather than any single malicious file. Traditional SAST/DAST scanners miss this because each individual workflow file is valid YAML; the exploit lives in the cross-workflow composition. Concrete mitigations include preferring pull_request over pull_request_target, pinning actions to commit SHAs, defaulting to read-only permissions, and passing event data through quoted env variables. The piece also warns that AI-generated CI/CD configs are accelerating the spread of these insecure patterns at a scale that manual review cannot keep up with.
Nguồn: https://www.bleepingcomputer.com/news/security/the-github-actions-attack-pattern-your-ci-security-scanners-miss. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Ngân hàng trung ương châu Âu (ECB) yêu cầu các ngân hàng trong khu vực đồng euro phải nộp kế hoạch hành động đối phó các mối đe dọa an ninh mạng từ AI tiên tiến trước cuối tháng 10/2026. ECB lo ngại các mô hình AI như Anthropic's Claude Mythos có thể phát hiện lỗ hổng phần mềm và tạo ra exploit với tốc độ chưa từng có, đồng thời cảnh báo rủi ro hệ thống từ phụ thuộc vào nhà cung cấp AI ngoài EU.
Những lập trình viên làm việc trong lĩnh vực bảo mật mạng hoặc phát triển hệ thống quan trọng nên đọc bài này để hiểu rõ cách AI đang thay đổi cách tấn công và bảo vệ hệ thống, giúp họ chuẩn bị sớm ứng phó với các mối đe dọa mới từ các mô hình AI tiên tiến.
Lỗ hổng bảo mật chưa được vá trong Argo CD cho phép kẻ tấn công thực thi mã từ xa không cần xác thực và chiếm quyền kiểm soát toàn bộ cụm Kubernetes. Lỗ hổng nằm ở giao diện gRPC không có cơ chế xác thực của thành phần repo-server, cho phép kẻ tấn công tiêm mã độc KustomizeOptions nếu đã xâm nhập vào cụm.
Lập trình viên cần đọc bài này để hiểu cách bảo mật Kubernetes bị lỗ hổng nghiêm trọng trong Argo CD, từ đó cập nhật kiến thức về các rủi ro mới và cách phòng ngừa, đặc biệt khi sử dụng công cụ GitOps trong môi trường sản xuất.
Heroku từng thành công nhờ "cognitive zero" – tức hạ tầng trở thành vấn đề không đáng quan tâm nhờ tích hợp liền mạch. Các nền tảng thay thế sau này (Render, Railway, Fly.io) chỉ cải thiện bước triển khai nhưng vẫn chia cắt dịch vụ, gây tốn kém ẩn (egress cost) và phức tạp quản lý. Giải pháp thực sự là sở hữu phần cứng, kết nối toàn bộ dịch vụ (compute, database, storage, queues) ở cấp mạng dưới cùng một hóa đơn, dù vẫn thiếu sản phẩm đã được chứng minh ngoài đời thực.
Lập trình viên nên đọc bài này để hiểu cách xây dựng hệ thống thực sự đơn giản và hiệu quả không chỉ là tự động hóa deploy mà là tối ưu hóa toàn bộ kiến trúc hạ tầng dưới một góc nhìn thống nhất, tránh rắc rối về chi phí và quản lý dịch vụ phân tán.
Hướng dẫn chi tiết cách publish package .NET lên NuGet.org, bao gồm tạo tài khoản, sinh API key có quyền hạn, cấu hình nuget.config cho môi trường đơn/đa feed, sử dụng lệnh dotnet nuget push với các flag quan trọng như --skip-duplicate, quy trình xác thực sau khi đẩy, cách unlist hoặc xóa package, và bảo vệ namespace bằng prefix reservation.
Lập trình viên cần đọc bài này để học cách chia sẻ và quản lý các gói NuGet của riêng mình trên NuGet.org, giúp mở rộng khả năng tái sử dụng code và tăng hiệu quả phát triển trong cộng đồng .NET.
Một chiến dịch phishing giả mạo hơn 30 thương hiệu lớn như Adobe, Netflix, Coca-Cola và OpenAI nhằm nhắm vào chuyên gia marketing qua email phỏng vấn việc làm giả. Kẻ tấn công lợi dụng các nền tảng hợp pháp như PeopleForce và Salesforce Marketing Cloud để tạo chuỗi redirect lồng nhau, dẫn nạn nhân đến trang landing độc hại, nơi sử dụng kỹ thuật browser-in-the-browser (BitB) để hiển thị popup đăng nhập Google giả mạo, đánh cắp thông tin tài khoản. Chiến dịch đã hoạt động ít nhất 5 tháng, sử dụng tên và ảnh thật của nhà tuyển dụng để tăng độ tin cậy.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công phishing hiện đại sử dụng kỹ thuật browser-in-the-browser và chaining redirect để trộm mật khẩu Google, từ đó nâng cao kiến thức bảo mật cho ứng dụng web và hệ thống của mình.
Đội bảo mật nội bộ Databricks triển khai 17 tác nhân AI chuyên biệt để xử lý 100% cảnh báo bảo mật mức độ thấp theo thời gian thực bằng Spark Structured Streaming, lọc sớm các tín hiệu vô hại, sử dụng prompt chuyên biệt theo nguồn, tích hợp Threat Intelligence và theo dõi quyết định qua MLflow. Hệ thống tiết kiệm 6.500 giờ phân tích trong 30 ngày và nâng tỷ lệ cảnh báo thật (true positives) gấp 10 lần so với phương pháp cũ, đồng thời rút ra bài học về việc ưu tiên ngữ cảnh hành vi lịch sử và hạn chế phạm vi hướng dẫn của tác nhân để giảm false positives.
Để tối ưu hóa hiệu quả triệt để trong việc xử lý cảnh báo an ninh với chi phí nhân lực thấp và độ chính xác cao, lập trình viên nên tham khảo cách xây dựng hệ thống triệt giác thông minh bằng các agent chuyên biệt và streaming dữ liệu để tự động hóa phân loại cảnh báo an ninh từ thấp đến trung bình.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng …