CyberVeille.ch2h ago

📢 Campagne Mini Shai-Hulud : TanStack, UiPath, Mistral AI et d'autres packages npm/PyPI compromis
📝 ## 🗓️ Contexte

Le 11 mai 2026, Wiz publie une analyse technique détaillant une **attaque...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-12-campagne-mini-shai-hulud-tanstack-uipath-mistral-ai-et-d-autres-packages-npm-pypi-compromis/
🌐 source : https://www.wiz.io/blog/mini-shai-hulud-strikes-again-tanstack-more-npm-packages-compromised
#GitHub_Actions #IOC #Cyberveille

Campagne Mini Shai-Hulud : TanStack, UiPath, Mistral AI et d'autres packages npm/PyPI compromis

🗓️ Contexte Le 11 mai 2026, Wiz publie une analyse technique détaillant une attaque coordonnée de supply chain menée par le groupe TeamPCP contre les écosystèmes npm et PyPI. Cette campagne, désignée Mini Shai-Hulud, représente une évolution des opérations précédentes du même acteur (SAP, Checkmarx, Bitwarden, Lightning, Intercom, Trivy). 🎯 Packages compromis Les namespaces et packages impactés incluent : @tanstack : dont @tanstack/react-router (~12 millions de téléchargements hebdomadaires) @uipath : outils d’automatisation enterprise (apollo-core, CLI, agent SDKs) @mistralai/mistralai : client TypeScript officiel de Mistral AI guardrails-ai (PyPI) : package Python de guardrails LLM mistralai (PyPI) Plusieurs dizaines d’autres packages npm (voir liste complète) 🔓 Vecteur d’infection TanStack (chaîne de 3 vulnérabilités GitHub Actions) L’attaquant crée un fork renommé du dépôt TanStack/router (zblgg/configuration) pour échapper aux recherches de forks Ouverture d’une pull request déclenchant un workflow pull_request_target qui exécute le code du fork et empoisonne le cache GitHub Actions (pnpm store) Lors de la fusion de PRs légitimes, le workflow de release restaure le cache empoisonné ; des binaires contrôlés par l’attaquant extraient des tokens OIDC directement depuis la mémoire du runner (/proc/<pid>/mem) Publication de versions malveillantes sans vol de credentials npm 🐛 Vecteurs d’infection dans les packages @tanstack : entrée optionalDependencies pointant vers un commit orphelin + fichier obfusqué router_init.js (~2,3 Mo) dans le tarball @uipath : script preinstall (node setup.mjs) téléchargeant le runtime Bun pour exécuter le payload — même mécanisme que le compromis SAP précédent PyPI : 13 lignes de code téléchargeant et exécutant git-tanstack[.]com/tmp/transformers.pyz 💀 Comportement du payload Le payload est un credential stealer auto-propagant (worm) ciblant :

CyberVeille
Habr1d ago

Без рук: автоматизируем нагрузочное тестирование изменений в CI

Нагрузочное тестирование — одна из самых избегаемых тем, когда речь заходит о контроле качества ПО. Корпорации, конечно, не обходят его стороной, но если говорить о продуктах меньшего масштаба, то нагрузочное тестирование часто пропускается. Команда (и, в целом, справедливо) полагает, что продукт справится с нагрузкой — на малых объёмах это обычно прокатывает. А потом внезапно наступает день, когда пользователей стало больше, а система не готова. Почему команды не тащат нагрузку в релизный цикл? Потому что это чаще всего просто не окупается: нужно выбрать движок, описать сценарий, гонять тесты вручную или тратить время на создание собственной обвязки для встраивания в CI, придумать критерии качества и анализировать результаты. Всё это занимает значительное время, а на короткой дистанции часто оказывается оверинжинирингом. Но если формирование требований упростить концептуально невозможно, то всё остальное вполне можно собрать в переиспользуемый инструмент, позволяющий командам легко интегрировать нагрузочное тестирование и регрессионный анализ в свой процесс доставки. В CI/CD мы хотели простую штуку: на каждый PR запускать короткий перф‑смоук и получать ответ уровня «PASS / WARNING / DEGRADATION», а не 15 минут медитировать над CSV и тратить ценное время на анализ, который, вероятно, не пригодится в ближайшей перспективе. Посмотрим, к чему мы в итоге пришли.

https://habr.com/ru/articles/1033590/

#нагрузочное_тестирование #регрессионное_тестирование #locust #devops #locomotive #python #github_actions #performance_testing #cicd #производительность

Без рук: автоматизируем нагрузочное тестирование изменений в CI

Нагрузочное тестирование — одна из самых избегаемых тем, когда речь заходит о контроле качества ПО. Корпорации, конечно, не обходят его стороной, но если говорить о продуктах меньшего масштаба, то...

Хабр
botMay 4

Claude Code와 GitHub Actions를 활용한 저비용 비대면 에이전트 코딩 워크플로우

GitHub 이슈에 특정 레이블을 지정하는 것만으로 Claude Code가 기존 코드를 분석하고 구현 계획을 세우며 PR까지 자동으로 생성하는 워크플로우를 구축할 수 있다.

🔗 원문 보기

Claude Code와 GitHub Actions를 활용한 저비용 비대면 에이전트 코딩 워크플로우

GitHub 이슈에 특정 레이블을 지정하는 것만으로 Claude Code가 기존 코드를 분석하고 구현 계획을 세우며 PR까지 자동으로 생성하는 워크플로우를 구축할 수 있다.

Ruby-News | 루비 AI 뉴스
HabrApr 30

Мини-пайплайн на страже синтаксиса и секретов в Ansible

Представим, что у нас есть репозиторий, где хранятся плейбуки и роли Ansible. Делался он долго, старательно и по правилам. И даже если мы перед коммитами проверяем его через линтер, чтобы не сломать хрупкую YAML красоту, и перепроверяем не забыли ли мы подчистить секреты с которыми проводили тесты, то рано или поздно подобную ошибку совершит кто-то другой. И вот, чтобы снизить такую вероятность и лишний раз не заниматься правками в Git, чтобы вычистить пароли или поправить форматирование, можно немного обезопасить репозиторий заранее.

https://habr.com/ru/articles/1029976/

#ansible #linter #dockerfile #docker_compose #github_actions #git

Мини-пайплайн на страже синтаксиса и секретов в Ansible

Представим, что у нас есть репозиторий, где хранятся плейбуки и роли Ansible. Делался он долго, старательно и по правилам. И даже если мы перед коммитами проверяем его через линтер, чтобы не сломать...

Хабр
HabrApr 28

Как использовать GitHub Actions и настроить интеграцию с PyPI для Python-проектов

Когда я создавал свой первый Python-пакет, dataclass-sqlalchemy-mixins( github или pypi ), я столкнулся с интересной задачей:как настроить CI/CD в GitHub так, чтобы при отправке новых изменений ничего не ломалось, а код автоматически публиковался в PyPI . Обычно, чтобы проверить любой коммит, попадающий в master-ветку через pull request, необходимо запускать тесты. Кроме того, полезно использовать линтеры для проверки стиля кода, особенно если над проектом работают несколько разработчиков. В этой статье я расскажу как все это настроить в Github, чтоб оно выполнялось автоматически.

https://habr.com/ru/articles/1029354/

#python #github #github_actions #ci #cd #deployment #pypi #poetry #tutorial

Как использовать GitHub Actions и настроить интеграцию с PyPI для Python-проектов

Github actions Введение Когда я создавал свой первый Python-пакет, dataclass-sqlalchemy-mixins( Github  или  pypi ), я столкнулся с интересной задачей:как настроить  CI/CD...

Хабр
CyberVeille.chApr 26

📢 elementary-data 0.23.3 compromis : injection GitHub Actions publie un stealer sur PyPI et GHCR
📝 ## 🎯 Contexte

L'article est publié le 25 avril...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-26-elementary-data-0-23-3-compromis-injection-github-actions-publie-un-stealer-sur-pypi-et-ghcr/
🌐 source : https://www.stepsecurity.io/blog/elementary-data-compromised-on-pypi-and-ghcr-forged-release-pushed-via-github-actions-script-injection
#GitHub_Actions #IOC #Cyberveille

elementary-data 0.23.3 compromis : injection GitHub Actions publie un stealer sur PyPI et GHCR

🎯 Contexte L’article est publié le 25 avril 2026 par StepSecurity, société spécialisée en sécurité de la chaîne d’approvisionnement logicielle. Il documente la compromission du package Python elementary-data (outil de data observability pour dbt) via une attaque de supply chain ciblant l’infrastructure CI/CD du projet. 🔓 Vecteur d’attaque : injection de script GitHub Actions L’attaquant, opérant depuis le compte GitHub realtungtungtungsahur (créé le 22 avril 2026), a exploité une vulnérabilité d’injection de script dans le workflow .github/workflows/update_pylon_issue.yml. Ce workflow interpolait directement ${{ github.event.comment.body }} dans un bloc run:, permettant l’exécution de code arbitraire via un simple commentaire sur la PR #2147.

CyberVeille
CyberVeille.chApr 19

📢 Les éditeurs d'IA refusent d'assumer la responsabilité des failles de sécurité dans leurs produits
📝 ## 🗞️ Contexte

Article d'opinion publié le 19 avril 2026 par Jessica Lyons sur *The Register...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-19-les-editeurs-d-ia-refusent-d-assumer-la-responsabilite-des-failles-de-securite-dans-leurs-produits/
🌐 source : https://www.theregister.com/2026/04/19/ai_vendors_response_to_security/
#AI_security #GitHub_Actions #Cyberveille

Les éditeurs d'IA refusent d'assumer la responsabilité des failles de sécurité dans leurs produits

🗞️ Contexte Article d’opinion publié le 19 avril 2026 par Jessica Lyons sur The Register, portant sur la posture des grands éditeurs d’IA face aux vulnérabilités découvertes dans leurs produits. 🔍 Faits principaux Des chercheurs ont démontré que trois agents IA populaires intégrés à GitHub Actions peuvent être détournés pour voler des clés API et des jetons d’accès : Anthropic Claude Code Security Review Google Gemini CLI Action Microsoft GitHub Copilot Les trois éditeurs ont versé des bug bounties :

CyberVeille
botApr 17

Baymax: Rails 앱을 위한 LLM 기반 운영 장애 자동 대응 에이전트

AppSignal 및 Rollbar의 에러 알림을 수신하여 LLM으로 분석하고, GitHub Issue 생성 및 AI 에이전트를 통한 자동 수정을 지원한다.

🔗 원문 보기

Baymax: Rails 앱을 위한 LLM 기반 운영 장애 자동 대응 에이전트

AppSignal 및 Rollbar의 에러 알림을 수신하여 LLM으로 분석하고, GitHub Issue 생성 및 AI 에이전트를 통한 자동 수정을 지원한다.

Ruby-News | 루비 AI 뉴스
HabrApr 9

QA в CI/CD: как перестать гонять тесты руками и настроить это один раз

Разбираю как выглядит нормальный QA-пайплайн в GitHub Actions: от линтинга до E2E тестов на Playwright. С рабочими конфигами, кэшированием и уведомлениями о падениях.

https://habr.com/ru/articles/1021592/

#GitHub_Actions #QA #автотесты #Playwright #Jest #DevOps #пайплайн #тестирование

QA в CI/CD: как перестать гонять тесты руками и настроить это один раз

Большинство команд тестируют примерно так: разработчик что-то поправил, QA вручную прошёлся по основным сценариям, выглядит нормально — деплоим. Проблема в том, что это не масштабируется. Чем больше...

Хабр
botApr 9

Dependabot-Core: 자동 의존성 업데이트를 위한 핵심 라이브러리 분석

Dependabot-Core는 GitHub의 자동 의존성 업데이트 기능을 구동하는 핵심 Ruby 라이브러리로, 다양한 언어와 패키지 매니저의 업데이트 로직을 포함한다.

🔗 원문 보기

Dependabot-Core: 자동 의존성 업데이트를 위한 핵심 라이브러리 분석

Dependabot-Core는 GitHub의 자동 의존성 업데이트 기능을 구동하는 핵심 Ruby 라이브러리로, 다양한 언어와 패키지 매니저의 업데이트 로직을 포함한다.

Ruby-News | 루비 AI 뉴스