Dă-ne un telefon
Pune o întrebare

Întreabă-ne (aproape) orice

Cine spune că știe să răspundă la orice întrebare, sigur exagerează… Și noi avem limite, ca oricine 🙂

Îți putem răspunde totuși la destul de multe întrebări despre website-uri, campanii de promovare, online marketing, aplicații și tehnologii web, găzduire, ce viruși sau malware mai bântuie pe internet și alte câteva. Pune mai jos ce te frământă, și lasă-ne unde vrei să îți răspundem. Suntem prompți!

RO

EN

Google remediază o vulnerabilitate critică în Gemini CLI în timp ce versiuni false răspândesc malware

Interfața în linie de comandă Gemini a Google a devenit o țintă dublă pentru atacatori: unitatea de informații despre amenințări a NordVPN a dezvăluit săptămâna aceasta că mai multe campanii active imită instrumentul pentru a distribui malware, în timp ce, separat, o vulnerabilitate de severitate maximă din Gemini CLI legitim a fost remediată după ce cercetătorii au descoperit că putea permite execuția de cod de la distanță în pipeline-urile de dezvoltare.

Site-uri false, repositorii clonate și shell-uri inverse

NordVPN a dezvăluit pe 29 aprilie că a descoperit campanii care vizează dezvoltatori și utilizatori pasionați de tehnologie prin intermediul unor site-uri false, repositorii clonate și postări înșelătoare pe rețelele sociale, concepute pentru a imita CLI-ul oficial Gemini. În loc să livreze software legitim, aceste campanii distribuie un shell invers care oferă atacatorilor control total de la distanță asupra mașinilor compromise.

Pe macOS, atacul începe cu o clonă convingătoare a paginii oficiale Gemini CLI, care îi îndeamnă pe utilizatori să ruleze o comandă de terminal codificată în Base64. Odată decodificată, comanda descarcă un script malițios și îl execută cu cele mai înalte privilegii administrative, permițând atacatorului să citească, să modifice sau să șteargă orice fișier de pe dispozitiv. Varianta pentru Windows folosește o comandă PowerShell deghizată cu nume de variabile precum „$Install=’GeminiCLI'” pentru a executa cod malițios direct în memorie — o tehnică „fără fișiere”, concepută special pentru a eluda software-ul antivirus tradițional.

Cercetătorii NordVPN au identificat, de asemenea, o operațiune de typosquatting care vizează registrul de pachete npm, unde au fost înregistrate nume false de pachete, printre care „gemini/cli” și „gemini-cli”, pentru a imita pachetul oficial „google/gemini-cli”. Deși pachetele false nu apăruseră încă în registrul npm la momentul analizei, pregătirea lor semnalează o amenințare iminentă.

Un instrument legitim ascunde și o vulnerabilitate critică

Într-o problemă separată, dar conexă, Google a corectat o vulnerabilitate cu scor CVSS 10.0 în Gemini CLI, care permitea atacatorilor fără privilegii să execute comenzi arbitrare pe sistemele gazdă. Descoperită de Novee Security, defecțiunea provenea din modul în care modul headless al instrumentului — utilizat frecvent în pipeline-urile CI/CD și fluxurile de lucru GitHub Actions — acorda automat încredere folderelor de lucru pentru încărcarea fișierelor de configurare, fără nicio verificare sau izolare (sandboxing).

„Executarea de cod pe gazda care rulează agentul oferea unui atacator extern fără privilegii acces la orice secrete, credențiale și cod sursă la care putea ajunge fluxul de lucru”, a explicat echipa Novee. „Suficient pentru furtul de token-uri, deturnarea lanțului de aprovizionare și mișcare laterală în sistemele din aval.”

Remedierea a fost inclusă în versiunile Gemini CLI 0.39.1 și 0.40.0-preview.3, însă Google a avertizat că organizațiile care folosesc acțiunea GitHub run-gemini-cli fără a fixa o versiune specifică ar putea fi nevoite să-și actualizeze fluxurile de lucru, deoarece patch-ul modifică modul în care funcționează mecanismul de încredere pentru spații de lucru și modul „–yolo”.

Amenințări convergente asupra lanțurilor de instrumente pentru dezvoltatori

Cele două evoluții evidențiază riscurile tot mai mari din ecosistemul instrumentelor de dezvoltare bazate pe inteligență artificială. NordVPN le-a recomandat dezvoltatorilor să descarce instrumente exclusiv din surse oficiale și să nu execute niciodată comenzi de terminal copiate de pe site-uri necunoscute.

Google, la rândul său, a sfătuit echipele să valideze datele de intrare, să aplice principiul privilegiului minim și să își actualizeze configurațiile CI/CD pentru a utiliza mecanisme explicite de încredere. „Agenții de programare bazați pe IA sunt integrați acum în conductele CI/CD, deținând privilegiile de execuție ale unui contribuitor de încredere”, au avertizat cercetătorii Novee. „Acest nivel de acces poate duce la atacuri critice asupra lanțului de aprovizionare — atacuri care pornesc chiar din fluxul de lucru al dezvoltatorului.”

 

Surse: https://theimagingchannel.com/nordvpns-threat-intelligence-uncovers-malware-campaigns-riding-the-google-gemini-ai-wave/

https://www.theregister.com/2026/04/30/googles_fix_for_critical_gemini/

https://www.securityweek.com/critical-gemini-cli-flaw-enabled-host-code-execution-supply-chain-attacks/

  • Denisa Grecu
  • 02/05/2026
  • 08:51
  • 0 comments