Raul Barral Tamayo

[Ver vídeo en X]

Ver post completo: Liadita premium lanzando fuegos artificiales desde la terraza.

El país nórdico se ha mantenido al margen del resto de Europa. Pero las amenazas del presidente Trump a Groenlandia han provocado una reconsideración.

etiquetas: islandia, considera, sumarse, ue, amenazas, trump

» noticia original (www.nytimes.com)

Serrano y sus ex socios se enfrentan a una pena de hasta 8 años de cárcel, aunque la acusación popular de Rubén Sánchez eleva la petición a diez años.

etiquetas: fraude de subvenciones, vox, exjuez, delito de estafa

» noticia original (www.diariodesevilla.es)

El CEO de Conde Nast, Roger Lynch, ordena a todas sus marcas informativas que se manejen en un nuevo escenario de zero click total. Sus redacciones ya asumen que sobrevivirán sin tráfico de Google. Es la nueva estrategia presupuestaria de la editora propietaria de Vogue o The New Yorker.

etiquetas: google, tráfico, medios

» noticia original (www.reddeperiodistas.com)

Un estudio de una década de la Universidad de Birmingham descubrió que ciertas células inmunes guardan una "memoria molecular" de la obesidad mediante metilación del ADN, y esa memoria puede persistir entre 5 y 10 años después de perder peso. La inflamación que genera sigue activa incluso cuando la balanza ya no la refleja — y eso tiene implicancias directas para quienes usan Ozempic y otros fármacos de pérdida de peso.

etiquetas: bajar de peso, adelgazar, sistema inmune

» noticia original (es.gizmodo.com)

El activista Jotas Oses, quien fue atacado en Loiu, ofreció detalles de lo sucedido en la emisora NAIZ Radio. Vinculó a los Ertzaintza con el entrenamiento recibido por parte del sionismo y predijo que recurrirán a la desobediencia civil en el proceso que se emprenderá en su contra.

etiquetas: loiu, flotilla, zupiria, pnv

» noticia original (irratia.naiz.eus)

Una sola dosis de la terapia genética VERVE-102 logra reducir el colesterol LDL más de un 60% durante al menos un año, y podría hacerlo de por vida. El tratamiento edita el ADN de células hepáticas para bloquear la enzima PCSK9, responsable del colesterol “malo”. En un ensayo con 35 pacientes, mostró eficacia y seguridad, sin efectos adversos graves. Desarrollada por Verve Therapeutics y adquirida por Eli Lilly, la terapia busca ofrecer una alternativa permanente frente a tratamientos que muchos pacientes abandonan.

etiquetas: terapia, arn, reducir, colesterol, unidosis

» noticia original (www.lavanguardia.com)

Testimonios de profesionales recabados por la Cadena SER aseguran que sí existen ginecólogos dispuestos a practicar interrupciones voluntarias del embarazo en la red pública, pero denuncian que son las jefaturas de servicio o gerencias objetoras las que frenan cualquier intento de poner en marcha esta prestación

etiquetas: aborto, médicos, religión, laicismo

» noticia original (cadenaser.com)

Varias personas han muerto tras una colisión entre un tren de pasajeros y un minibús escolar en la localidad belga de Buggenhout, en el norte del país, después de que el vehículo escolar entrara en las vías del tren cuando el paso a nivel estaba cerrado, según detalan medios locales. La prensa flamenca informa de que el centenar de pasajeros del tren habrían salido ilesos. En el minibús viajaban siete estudiantes, un adulto responsable y el conductor.

etiquetas: bélgica, tren, autobus escolar, paso a nivel, mini bus, buggenhout

» noticia original (www.lasexta.com)

La justicia considera que se trataba de una relación laboral encubierta y carecía de independencia. Por ejemplo, no podía fijar sus precios y tenía que coordinar las vacaciones con la empresa.

etiquetas: correos, despido

» noticia original (noticiastrabajo.huffingtonpost.es)

El fallo viene de una BIOS distribuida mediante Windows Update, marcada como crítica por la propia HP y aplicada automáticamente, que está dejando a varios portátiles premium de la marca atrapados en bucles de arranque, con bloqueos, pantallazos azules y ventiladores comportándose de forma anómala. Lo peor es que la compañía parece no entender de dónde salió. Los usuarios están desolados, no entienden cómo un fallo de este calibre se puede dar en portátiles de esta gama profesional.

etiquetas: hp, rompe, portátiles, premium, bios, windows update

» noticia original (elchapuzasinformatico.com)

Un análisis exhaustivo del mercado laboral tecnológico actual, con datos exclusivos sobre empleos en ingeniería de software, el auge de la ingeniería de IA, si la ingeniería de IA está "reemplazando" la contratación de ingenieros de software y mucho más. [EN]

etiquetas: trabajo, software, tendencias

» noticia original (newsletter.pragmaticengineer.com)

Ni Llorente ni Bryan Johnson, el sentido común suele estar en un punto intermedio. @FITrebelde

[Ver vídeo en X]

Lord Draugr hizo un vídeo sobre este pirado.

Ver post completo: Bryan Johnson revela por qué usa un paraguas incluso cuando no llueve y los niveles de UV son bajos: “El 90% del envejecimiento físico de la piel es por el sol, así que este es un paraguas UV que me protege”

[Ver vídeo en X]

Ver post completo: La reacción de víctimas de Adamuz a la respuesta de Óscar Puente: “Al final de la reunión le dijimos (a Óscar Puente), usted debe dimitir. Nos dijo que él no había soldado el raíl. Nos quedamos estupefactos con la respuesta. Estupefactos”

Extra: Votad, por favor.

Ver post completo: Never forget.

“La IA puede costar más que los trabajadores humanos ahora mismo”.

[Ver vídeo en X]

Están sustituyendo a la IA por ingenieros porque salen más baratos…

[Ver vídeo en X]

What a time to be alive.

Ver post completo: Microsoft acaba de anunciar que prohibirá a sus propios ingenieros usar inteligencia artificial debido al coste que supone para la empresa: “Estamos gastando más en IA que en empleados”.

“Al menos este coche no lo copiarán los chinos”

[Ver vídeo en X]

Enviado por @365janeswf

Ver post completo: Di Montezemolo, rotundo contra el Ferrari Luce: “Si digo lo que pienso, le haré daño a Ferrari. Se arriesgan a destruir un mito y lo siento muchísimo. Espero que al menos quiten el Cavallino”.

La filósofa estadounidense Susan Neiman, directora del Einstein Institute y autora de ‘El mal en el pensamiento moderno’ (Debate, 2026), considera que el trumpismo es un nuevo fascismo. Sin embargo, observa que los estadounidenses ya están despertando y ve signos de esperanza en la oposición.

etiquetas: estados unidos, democracia, susan neiman

» noticia original (ethic.es)

El Tribunal de Apelaciones de París declaró culpables de homicidio involuntario a la empresa fabricante de aviones Airbus y a la aerolínea Air France, al reafirmar su responsabilidad en la caída del vuelo AF447 en el que murieron 228 personas en 2009.

etiquetas: airbus, air france, condenadas, homicidio, involuntario

» noticia original (www.france24.com)

A Yolanda González la asesinaron el 1 de febrero de 1980. Iba al instituto Vallecas I, tenía solo 19 años y militaba en el Partido Socialista de los Trabajadores. Su muerte no fue un accidente; fue un asesinato llevado a cabo por individuos pagados, instigados y amparados por las cloacas de un Estado que arrastraba las mismas inercias desde 1939.

Tras pasar un tiempo ridículo a la sombra, a alguien se le olvidó cerrar la puerta en 1987 para que su asesino, Hellín Moro, pudiera fugarse al Paraguay del dictador Stroessner, un régimen que no andaba con los disimulos democráticos que ya tocaban en España.

Pero lo que verdaderamente revuelve las entrañas es lo que pasó a su vuelta. Hellín se cambió el nombre a Luis Enrique y se reinventó como perito informático y forense. El Estado le dio trabajo, a él, un terrorista de extrema derecha. Este individuo se dedicó a impartir cursos de formación a la Policía y a la Guardia Civil bajo los gobiernos, teóricamente opuestos, del PSOE y del PP.

El pecado de Yolanda: ser vasca, de izquierdas y vivir en Vallecas

Yolanda González era una muchacha de clase obrera, nacida en la Ribera de Deusto (Bilbao), que se había mudado a Madrid con 18 años para estudiar electrónica en un centro de Formación Profesional de Vallecas. Para tener autonomía y no ser una carga para su familia, que tenía pocos recursos, se costeaba los estudios trabajando como empleada del hogar. Quienes la conocieron la recuerdan como una joven profundamente idealista, comprometida y con una madurez política inusual para su edad; de hecho, llegó a ser representante estudiantil en la Coordinadora de Enseñanza Media. Pero para sus verdugos, su verdadero crimen fue ser vasca y de izquierdas.

Para justificar el horror que estaban a punto de cometer, el comando de Fuerza Nueva se inventó la miserable excusa de que Yolanda formaba parte de un comando de información de ETA en Madrid. Bajo esa falsa premisa la secuestraron en su casa de Aluche, la torturaron y le metieron tres tiros en la cabeza en un descampado de San Martín de Valdeiglesias. La acusación era una repugnante mentira deshumanizadora que, a ojos de cualquier miserable de extrema derecha, servía de justificación. Yolanda militaba en el Partido Socialista de los Trabajadores (PST), una organización de matriz trotskista e internacionalista que no tenía absolutamente nada que ver con el nacionalismo abertzale. Pero en la España gris e inestable de la Transición, la etiqueta de vasca bastaba para deshumanizar a una estudiante y acabar con su vida. El nacionalismo español más rancio necesitaba fabricar un enemigo interno para legitimar su violencia parapolicial, y Yolanda pagó el precio más alto de esa paranoia xenófoba.

La impunidad llega hasta hoy. En los últimos años, este asesino confeso ha trabajado como perito de cabecera para líderes del PP salpicados por la corrupción (como en el caso del máster de Cristina Cifuentes o el caso Taula) e incluso para políticos del espacio posconvergente catalán, como Laura Borràs. Es la radiografía perfecta de un país donde los monstruos no se esconden, sino que el propio sistema los recicla y les paga la nómina.

De Fuerza Nueva a VOX: el odio cambia de traje

Hellín Moro no actuaba por libre, pertenecía al Batallón Vasco-Español y fue reclutado directamente desde la militancia de Fuerza Nueva, el partido abiertamente fascista de Blas Piñar. Si tiramos de hemeroteca, las ideas de Fuerza Nueva nunca desaparecieron; simplemente se quitaron la camisa azul y se pusieron traje y corbata.

Ese nacionalismo excluyente, la obsesión con purgar a los enemigos de España, el odio visceral a la izquierda y el discurso que criminaliza al diferente son exactamente los mismos pilares que hoy sostienen a VOX. La extrema derecha actual ya no necesita organizar comandos nocturnos para cazar estudiantes en los barrios; ahora tienen escaños en el Congreso, desde donde legitiman y normalizan a diario el mismo caldo de cultivo que en 1980 apretó el gatillo contra Yolanda.

Terrorismo de Estado

Para entender cómo hemos llegado hasta aquí, es imprescindible ver el documental Yolanda en el país de lxs Estudiantxs (dirigido por Isa Rodríguez y disponible en la web de Naiz). Dicho documental rescata una historia que a los grandes medios solo les sirve como una fría nota de sucesos, y a ciertos políticos les genera una incomodidad que despachan con la muletilla de que es cosa del pasado.

¿Cuánto ha cambiado realmente el Estado español?, nos plantea como pregunta el documental.

• En la Transición: El terror contra la izquierda lo sembraban grupos parapoliciales como la Triple A, los Guerrilleros de Cristo Rey o el propio Batallón Vasco-Español (antes de que en los 80 el listón pasara al GAL).
• En la actualidad: El miedo se ha institucionalizado, viste de uniforme y se ampara en los códigos penales.

Las cifras que recopila el tejido social son escalofriantes. Según la Coordinadora Estatal para la Prevención y Denuncia de la Tortura, en las primeras décadas de este siglo murieron más de 830 personas bajo custodia policial en España, acumulando miles de denuncias por abusos. Son historias que solo abren telediarios cuando hay un vecino grabando con el móvil —como Alfons Bayard, muerto tras una reducción de los Mossos en 2014— o cuando se filtra el vídeo de una comisaría.

Desde la vergüenza de Tarajal hasta los manifestantes y víctimas de desahucios que han perdido un ojo por las pelotas de goma de la UIP. ¿Cuál ha sido la respuesta del Ministerio del Interior ante esto? Sacarse de la manga la Ley Mordaza para que intentar registrar estos abusos en la calle te cueste una multa astronómica.

No ha cambiado nada

En la época de Yolanda, la militancia obrera y estudiantil exigía una solidez ideológica y organizativa inmensa porque sabían perfectamente a qué monstruo se enfrentaban. Esa misma combatividad en las calles contrasta radicalmente con la impunidad histórica de la que ha gozado el bando bueno, ese que ama y defiende a España por encima de todas las cosas. Mientras los movimientos sociales tienen que pelear cada palmo de terreno frente a las leyes que buscan silenciarlos, los herederos de quienes jalearon el crimen de Yolanda lo han tenido mucho más fácil, pues se han reestructurado, se han blindado y han asaltado las instituciones.

Esos mismos entornos que ampararon a los asesinos de los años 80 no desaparecieron; simplemente se han reciclado en esa extrema derecha que hoy se ha apropiado del color verde. Han cambiado el uniforme falangista y los comandos nocturnos por los trajes a medida y los escaños en el Congreso, pero el fondo sigue siendo el mismo. Es el nacionalismo más excluyente, el odio al diferente y el desprecio por la izquierda de siempre, pero ahora financiado con dinero público y normalizado en las tertulias y los telediarios.

Yolanda González peleaba por una sociedad más justa junto a miles de jóvenes y trabajadores que en aquellos años no se quedaron de brazos cruzados. Su asesinato provocó huelgas masivas y manifestaciones brutales que plantaron cara al terror en la calle. Por eso, hacer memoria es vital para poner sobre la mesa la incómoda verdad de que, si esta estructura arrastra casi noventa años de inercias autoritarias desde 1939, es porque las élites políticas, judiciales y mediáticas permitieron que el espacio ideológico de Fuerza Nueva se mudara cómodamente a los escaños de VOX.

• Enlace al documental Yolanda en el país de lxs estudiantes

etiquetas: art?culo

» noticia original ()

Se prevé que la altas temperaturas continúen, con el termómetro entre 35 °C y 36 °C en algunas zonas de Inglaterra y Gales.El suroeste de Francia podría alcanzar los 40 °C, algo sin precedentes para esta época del año. El clima sin precedentes provocó un caos en el transporte ferroviario inglés, después de que South Western Rail (SWR) cancelara servicios en todo el sur del país.

etiquetas: ola de calor, récord, francia, tren, europa, clima, cambio climático, récord

» noticia original (www.clarin.com)

La policía localizó al dramaturgo (...) en el paseo del Prado, junto a la menor, de quien es profesor de teatro, y se excusó diciendo que estaban "dando una vuelta" y que la estaba "consolando" después de que la joven le llamara por un supuesto caso de acoso que había recibido por parte de un compañero de clase. Los padres de la menor (...) no sabían que ésta se encontraba con su profesor, sino que creían que se encontraba en el cumpleaños de una amiga...

etiquetas: menores, abusos

» noticia original (www.20minutos.es)

La mal llamada "popcorn beach" ha sido saqueada en los últimos años por la presión de los visitantes. El uso decorativo en casas de La Oliva es anterior al fenómeno viral. Tradicionalmente, muchos vecinos utilizaron en el pasado estos elementos para decorar sus jardines, pero el verdadero impacto, hasta el punto de vaciarla, ocurrió a partir de que se hizo viral. Una iniciativa de Medio Ambiente del Ayuntamiento ha permitido devolver a la costa una tonelada que estaban en las casas de los vecinos y que los devolvieron por iniciativa propia.

etiquetas: fuerteventura, la oliva, rodolitos

» noticia original (www.fuerteventuradigital.com)

La portavoz de Vox en la Asamblea de Madrid, Isabel Pérez Moñino, ha apelado a la prudencia "No somos como la izquierda"

etiquetas: vox, prudencia, alcalá de henares, acoso

» noticia original (www.europapress.es)

"Hay una ofensiva contra los medios y los periodistas que no compran sin reservas la tesis policial", ha asegurado, apelando al derecho a dudar con ejemplos de "montajes policiales" del pasado que no debiéramos olvidar: "Hemos visto una falsa cuenta en Granadinas a Podemos que destrozó al partido o una falsa carga de 40 kilos de cocaína al diputado Miguel Urbán (Podemos), para afirmar después que el caso Plus Ultra "está sirviendo para tapar y sepultar otros casos", como la Kitchen (PP).

etiquetas: javier ruiz, tve, ofensiva, dardo, competencia

» noticia original (eltelevisero.huffingtonpost.es)

El diseñador valenciano ha criticado la situación en sus redes sociales y ante la posibilidad de presentar una denuncia asegura: “Soy socio del VEGAP y lo dejaré en sus manos”

etiquetas: paco roca, plagio, san martin de la vega, cartel

» noticia original (www.eldiario.es)

Se acerca el verano, las ganas de disfrutar al aire libre y las horas acumuladas de exposición solar.

There have been multiple notable supply chain attacks using the npm Registry since September: Shai-Hulud, Chalk/Debug, one abusing tea.xyz tokens, and recently axios. Thanks to community efforts involving the Amazon Inspector team, the Open Source Security Foundation, and others, the affected packages were quickly flagged, which reduced the impact of these incidents.

Supply chain attacks like Shai-Hulud exploit vulnerabilities on two fronts: compromised maintainer accounts that publish malicious packages, and consumer environments that download and execute those packages. The Shai-Hulud attack, shown in Figure 1, succeeded because maintainer credentials were compromised through phishing, enabling threat actors to publish malicious versions of popular packages. Incidents like these highlight the need for strong security practices within the software supply chain, and effective defense requires addressing both sides. Package maintainers need protections that prevent account compromise and limit sprawl when credentials are stolen. Package consumers need layered defenses that detect malicious packages, prevent their deployment, and limit damage when compromise occurs.

In this post, we explore best practices for package consumers. These practices are aligned with the AWS Well-Architected Framework – Security Pillar and you can use them to reduce exposure to similar threats and limit their impact if they occur.

When Shai-Hulud executed in developer environments and continuous integration and delivery (CI/CD) pipelines, it scanned for secrets such as npm tokens, GitHub tokens, and AWS Identity and Access Management (IAM) access keys. Long-term credentials exposed in this way enabled threat actors to propagate the malware further and access cloud resources. Recent incidents have shown organizations discovering multiple leaked IAM credential pairs, with concerns about additional exposed credentials and potential compromise of CI/CD pipelines.

Removing long-lived credentials from your developer environments and CI/CD pipelines reduces the scope of exposure in the event a system is compromised. For developers working locally, the new AWS CLI login command (aws login) simplifies the process of acquiring short-lived CLI credentials and removes the need to store long-lived credentials in configuration files. AWS IAM Identity Center also provides a straightforward way to acquire temporary credentials that expire automatically. For CI/CD pipelines, OpenID Connect (OIDC) federation with GitHub Actions, GitLab CI, or other platforms provide temporary credentials for each job without storing long-lived tokens. IAM can also federate AWS Identities to external services, allowing your AWS workloads to securely access external services without using long-term credentials. Temporary credentials expire automatically, limiting the window of exposure if a pipeline is compromised.

If you’re interacting with a third-party service that doesn’t support temporary credentials, consider storing the credentials to centralized storage using AWS Secrets Manager. Limit access to these secrets, require the use of temporary credentials, and apply automatic rotation and audit logging to reduce the risk of exposure of these credentials.

To reduce risk from credential exposure:

• Use temporary credentials: Federate users from a central identity provider into AWS and use IAM roles for access. SEC02-BP02: Use temporary credentials.
• Grant least privilege: Assign only the minimum permissions necessary and use temporary elevated permissions where higher privilege is occasionally required. SEC03-BP02: Grant least privilege access.
• Audit and rotate long-term credentials if they are required for specific use cases. SEC02-BP05: Audit and rotate credentials periodically.

In the event of a security incident where credentials might be exposed, immediately rotate all long-term credentials to limit the scope of impact. Use Amazon GuardDuty and AWS CloudTrail to detect abnormal IAM activity and identify which credentials might have been compromised.

Even with temporary credentials and least privilege, a single compromised account can enable threat actors to publish malicious packages or access sensitive resources. Defense in depth creates multiple layers of protection that work together to prevent sprawl after initial compromise. While adding approval workflows to every operation would dramatically decrease deployment speed, implementing them strategically for sensitive workloads provides balanced security.

The key principle is to ensure that if one credential or account is compromised, additional controls prevent that compromise from spreading across your organization. This includes multi-factor authentication (MFA) for access combined with different IAM roles for sensitive workloads. For single-developer open source projects, MFA becomes even more critical because there’s no separation of duties through multiple maintainers.

For package maintainers working in team environments, requiring multiple approvers to release packages to production creates separation of duties. However, developers can still trigger merge requests that initiate deployment pipelines, so multi-party approval should be implemented within the pipeline itself for sensitive deployments. This ensures that even if a developer’s credentials are compromised and they trigger a deployment, the pipeline requires additional approval before releasing to production.

For package consumers, multi-approval workflows in deployment pipelines help ensure that if a malicious package passes initial scanning, human review can catch suspicious changes before production deployment. Artifact signing provides a complementary cryptographic layer that works alongside these process controls.

The Shai-Hulud attack succeeded because compromised maintainer credentials allowed threat actors to publish malicious packages directly to the public npm registry. For package consumers, the defense is ensuring that packages pulled from public registries cannot reach production without verification. Artifact signing is one concrete implementation of this layered approach. By cryptographically binding a package or container image to the identity that produced it, signing creates a verification layer that is independent of the credential used to trigger the build—meaning a compromised developer credential alone isn’t sufficient to introduce an unverified artifact into your deployment pipeline.

AWS Signer provides cryptographic signing for packages, creating an additional verification layer within your defense in depth strategy. The signing authorization model separates concerns: developer credentials shouldn’t have signing permissions. Only CI/CD pipeline roles should have signing permissions through the signer:StartSigningJob API. Signer uses FIPS 140-3 Level 3 validated hardware security modules (HSMs) to store signing keys, providing strong cryptographic protection.

The container image signing workflow, shown in Figure 2, demonstrates how signing integrates seamlessly into existing processes:

• The developer or CI/CD pipeline builds a container image and pushes it to Amazon Elastic Container Registry (Amazon ECR)
• With Amazon ECR managed signing (new capability), Amazon ECR automatically triggers signing when the image is pushed
• Amazon ECR calls Signer with the image digest and signing profile
• Signer verifies the signing profile permissions and signs the image digest using keys stored in FIPS 140-3 Level 3 validated HSMs
• The signature is stored alongside the image in Amazon ECR using Open Container Initiative (OCI) artifact format
• At deployment time, admission controllers (Kyverno for Amazon Elastic Kubernetes Service (Amazon EKS)), lifecycle hooks for Amazon Elastic Container Service (Amazon ECS)) verify signatures before allowing deployment

The benefits of Signer compared to building custom signing infrastructure include:

• Fully managed: No need to build custom signing infrastructure or manage certificate lifecycle
• Automated: Amazon ECR managed signing happens automatically on image push without manual steps
• Centralized governance: Single signing profile can be used across multiple accounts and pipelines
• Native integration: Built-in integration with Notation and Kyverno for signature verification in Amazon EKS
• FIPS 140-3 Level 3 compliance: Meets stringent regulatory requirements for cryptographic operations

Audit logging for all signing operations enables detection of unusual patterns such as signing from new IP addresses, unusual times, or rapid succession of signing jobs. For every credential in your system, consider who can access what, how they prove their identity, and what second layer prevents sprawl if that credential is compromised. Artifact signing, combined with centralized storage and Software Bills of Materials (SBOMs), provides layered protection against tampering and malicious packages.

By centralizing package and dependency management, you can validate and approve dependencies before they’re used in applications and quickly audit dependencies in the event of a supply chain security incident. Recent incidents have shown organizations discovering compromised npm packages in their internal artifact repositories, requiring rapid assessment of which applications might be affected.

On AWS, you can use AWS CodeArtifact to host and manage your organization’s software packages. You can use the package group configuration to define an approved list of upstream sources and block access to all others—a direct control against typosquatting attacks, where malicious packages are published under names that closely resemble legitimate ones. Rather than relying on developers to identify suspicious package names at install time, package group configuration enforces the boundary at the repository level. Centralization also helps you pin versions of dependencies to prevent automatic updates from pulling in malicious versions and quickly remove compromised dependencies across your software portfolio when an incident occurs.

For container images, Amazon ECR provides centralized image storage with AWS Key Management Service (AWS KMS) encryption and lifecycle policies. Combine Amazon ECR with Amazon Inspector scanning to continuously validate image integrity.

For additional guidance see SEC11-BP05: Centralize services for packages and dependencies.

For npm packages specifically, provenance attestations provide a complementary control on the consumer side. Available since npm 9.5, npm provenance links a published package to the specific source repository and CI/CD workflow that produced it, using Sigstore as the underlying signing infrastructure. When a package is installed, the npm CLI can verify that the published artifact matches the attested build provenance—providing confidence that the package wasn’t tampered with between build and publication. For organizations consuming open source npm packages, checking for provenance attestations before adding a new dependency is a low-friction signal of supply chain integrity. Package maintainers publishing to npm can enable provenance by running npm publish with the –provenance flag from a supported CI/CD environment such as GitHub Actions.

For additional guidance see SEC11-BP06: Deploy software programatically and, from the DevOps Lens of the AWS Well-Architected Framework, DL.CS.2: Sign code artifacts after each build

AWS provides services to help you scan dependencies continuously, from development through deployment:

• In development: Kiro can perform software composition analysis during code reviews to identify vulnerable third-party code.
• In code repositories and pipelines: Amazon Inspector scans first-party code, third-party dependencies, and Infrastructure as Code for vulnerabilities.
• For container images: Amazon Inspector provides continuous vulnerability scanning of Amazon ECR images. Amazon Inspector can also be integrated directly into CI/CD pipelines to scan images before they are pushed to Amazon ECR or deployed, helping you block compromised dependencies earlier in the release cycle.

Traditional vulnerability scanners focus on known CVEs—publicly disclosed vulnerabilities with assigned identifiers. Supply chain attacks like Shai-Hulud involve malicious packages that function as zero-days: they’re intentionally crafted by threat actors and actively exploited before a CVE is assigned. Traditional vulnerability scanners that rely on CVE databases won’t detect these packages until they’ve been formally identified and catalogued, which can take days or weeks.

Detecting these requires behavioral analysis at scale and community collaboration, not just static signature matching. The operational scale of AWS—with threat intelligence from sources like MadPot and incident response data across millions of customers—enables detection of suspicious package behavior across multiple environments simultaneously. When a newly published package exhibits credential-harvesting behavior in multiple customer accounts within hours of publication, that cross-account signal enables rapid identification. These findings are contributed to community-maintained databases like the OpenSSF Malicious Packages Repository (github.com/ossf/malicious-packages), which assigns a formal identifier (MAL-ID) and shares it across the security community. For the tea.xyz token farming campaign, the average time from submission to formal identification was approximately 30 minutes. AWS services like Amazon Inspector participate in this community loop, contributing findings and ingesting newly assigned MAL-IDs to surface threats in your environment.

A related threat model worth understanding is the sleeper package: a package that appears benign at publication and activates malicious behavior only after a delay or trigger condition. Static analysis alone is insufficient to catch these packages because the malicious payload isn’t present or active at install time. Amazon Inspector behavioral analysis is specifically designed to detect this class of threat, complementing static vulnerability scanning.

Software Bills of Materials (SBOMs) in SPDX or CycloneDX format enable you to quickly assess exposure during incidents. When responding to supply chain incidents, use SBOMs to identify which applications contain compromised packages, prioritize remediation, and assess blast radius. In the Shai-Hulud incident, the compromised packages (MAL-2025-46974 and CVE-2025-59144) were identified early, providing actionable findings that customers could remediate quickly. Organizations that had scanning enabled but experienced alert fatigue may have missed critical alerts, highlighting the importance of proper alert routing and prioritization.

For additional guidance see SEC11-BP02: Automate testing throughout the development and release lifecycle.

Visibility into activity is essential to detect anomalous behavior early. Configure logging and centralize those logs for analysis:

• Enable application and service logging
• Centralize and monitor logs across accounts
• Use GuardDuty to continuously monitor for malicious activity and anomalous API calls
• Aggregate findings with AWS Security Hub and enforce configuration best practices with AWS Config

CloudTrail logging provides audit trails for credential access and API activity. When responding to supply chain incidents, review CloudTrail logs for specific events that indicate credential compromise or malicious activity: sts:AssumeRole calls from unexpected IP addresses or regions, secretsmanager:GetSecretValue or ssm:GetParameter calls from unfamiliar sources, ecr:PutImage from developer workstations bypassing CI/CD pipelines, lambda:UpdateFunctionCode outside normal deployment windows, iam:CreateAccessKey followed by immediate API activity, and codecommit:GitPush or codebuild:StartBuild from unusual IP addresses. When combined with Amazon EventBridge rules, you can trigger automated responses when Amazon Inspector detects malicious packages or when these unusual credential access patterns occur.

Organizations affected by recent supply chain attacks have used CloudTrail analysis to determine the scope of credential exposure and identify which resources might have been accessed by compromised credentials. This forensic capability is essential for understanding blast radius and ensuring complete remediation.

For additional guidance see the best practices in SEC04: Detection.

These components of a defense in depth strategy work together to prevent sprawl after initial compromise and help you to detect and respond to the event. Figure 4. shows how these fit together.

The Security pillar of the Well-Architected Framework also provides organizational best practices that are applicable to improving security processes across all dimensions of your organization. Relevant best practices include SEC11-BP01: Train for application security; SEC11-BP08: Build a program that embeds security ownership in workload teams; and SEC10: Incident Response.

Recent incidents including Shai-Hulud, Chalk/Debug, and tea.xyz reflect ongoing efforts by threat actors to target the the package registries, CI/CD pipelines, and developer credentials for increased attack surface and propagation. A single compromised maintainer account or malicious package can propagate across thousands of consumer environments simultaneously. The controls described in this post are designed with that threat model in mind. Temporary credentials limit the value of stolen tokens, centralized dependency management and upstream blocking reduce the attack surface at the registry level, artifact signing ensures that even if a build pipeline is compromised, unsigned artifacts cannot reach production, and dependency scanning throughout your software lifecycle helps you identify compromised packages early, before they can impact you. Each layer narrows the window of opportunity for a threat actor.

See the following blogs and workshops to dive deeper on this topic:

• Defending against supply chain attacks like Chalk/Debug and the Shai-Hulud worm
• Amazon Inspector detects over 150,000 malicious packages linked to token farming campaign
• What AWS Security learned from responding to recent npm supply chain threat campaigns
• Improve the security of your software supply chain with Amazon CodeArtifact package group configuration
• Hands-on Workshop: Enhancing Supply Chain Security

If you have feedback about this post, submit comments in the Comments section below.

Connecting with Google CEO Sundar Pichai at I/O every year is one of our favorite Decoder traditions. This was our fifth year doing it, and there’s always a whole slew of new things to talk about. This year, in addition to the news, we talked about Google Zero; picking fights with YouTube creators and publishers; and what being at “the foothills of the singularity" even means. #google #ai #agi #tech

0:00 – Intro
0:41 – Introduction & episode overview
3:44 – How Google is structured today
8:53 – How Sundar restructured Google in response to ChatGPT
11:55 – Decision-making framework
15:23 – Could AI replace the CEO?
17:06 – AI agents, Gemini Spark & Antigravity explained
22:55 – Live search demo: AI Overview vs. organic results
26:51 – Public anxiety around AI — can Google close the gap?
33:21 – Google Zero & the health of the open web
33:53 – Condé Nast CEO says "assume zero search traffic"
37:56 – Should publishers & YouTube creators opt out of AI training?
41:57 – "Foothills of the singularity" — what does it mean?
43:28 – Can LLMs get us to AGI?
45:21 – Sundar's AGI timeline

Follow Decoder on TikTok: @decoderpod
Follow Decoder on Instagram: @decoderpod

Subscribe: http://goo.gl/G5RXGs
Like The Verge on Facebook: https://goo.gl/2P1aGc
Follow on Twitter: https://goo.gl/XTWX61
Follow on Instagram: https://goo.gl/7ZeLvX
Follow on TikTok: http://bit.ly/42VeCVU

Watch The Vergecast on YouTube: https://bit.ly/40RFRkg
The Vergecast Podcast: https://bit.ly/3WQDexZ
Decoder with Nilay Patel: http://apple.co/3v29nDc
More about our podcasts: https://www.theverge.com/podcasts

Read More: http://www.theverge.com
Community guidelines: http://bit.ly/2D0hlAv
Wallpapers from The Verge: https://bit.ly/2xQXYJr
Shop our Verge merch store here: https://bit.ly/4kPCmEc

[Ver vídeo en X]

Ver post completo: La ley de la oferta y la demanda se ha terminado porque lo dice Tamayo. A partir de ahora regirá la LEY DE LA MORAL Y LA FANTASÍA.