标签
LastPass 正在通知用户一起由第三方供应商 Klue 遭到入侵导致的数据泄露事件,泄露了客户姓名、电子邮件地址和支持案例数据,但未涉及密码库。
Arch 用户软件仓库(AUR)持续遭受攻击,攻击者通过创建新账户来接管被遗弃的软件包并推送恶意更新。该项目已暂时禁用新用户注册,但长期安全解决方案仍不明确。
一位安全研究人员发现超过1万个GitHub仓库通过复制合法仓库并定期更新readme文件附带恶意zip压缩包来传播特洛伊木马。该研究人员开发了一种检测模式,并分享了该恶意软件如何逃避检测的细节。
一位安全研究员详细描述了如何通过伪装成真实开发者的虚假LinkedIn招聘人员发送一个GitHub仓库,该仓库包含一个后门,在执行npm install时触发,从而诱使目标运行恶意代码。
数百个Arch用户仓库(AUR)软件包被信息窃取恶意软件入侵。软件包维护者正在移除恶意提交并封禁相关账户。
微软在GitHub上的开源项目遭黑客攻击,被植入窃取密码的恶意软件,目标指向使用Claude Code和Gemini CLI等工具的AI开发者。该公司暂时移除了数十个代码仓库,并正在调查这一入侵事件。
数周内第二次,微软已验证的开源软件包被植入了凭据窃取恶意软件,影响GitHub上的73个软件包。该攻击与威胁行为者TeamPCP有关,利用被盗的OIDC令牌,并通过云基础设施横向传播。
本文探讨了当像Claude这样的AI能够控制浏览器并编排其他AI系统时所面临的安全风险,强调无论多少红队测试都无法完全抵御语义攻击和供应链操纵。
一条推文建议将 SSH 密钥使用硬件安全密钥(如 Yubikey)进行保护,并提及 npm、PyPI 和 Crates.io 上正在活跃的跨生态系统供应链攻击(TrapDoor),该攻击涉及恶意包和窃取加密货币的恶意软件。
一个名为TeamPCP的黑客组织正在发起前所未有的软件供应链攻击浪潮,危害数百个开源工具,并入侵包括GitHub、Anthropic和Mercor在内的公司。
Grafana Labs披露,一个网络犯罪团伙通过TanStack npm供应链攻击非法访问了其GitHub仓库,下载了代码库和内部数据,但未涉及客户生产系统。
今天全国都在应急响应,因为蚂蚁集团的开源前端库AntV遭到供应链攻击,被植入蠕虫病毒。用户需紧急排查和升级。
npm账户'atool'被入侵,导致317个包中发布了637个恶意版本。该载荷窃取凭据,通过AI编码工具和系统服务建立持久化,并通过GitHub外泄数据。
本文详细介绍了针对 NPM 上 TanStack 库的供应链攻击,并提供了一份全面的指南,通过锁定依赖项发布年龄、固定版本以及对 CI/CD 流水线和 IDE 扩展进行审计,来保护开发环境的安全。
本文警告了正在爆发的Mini Shai-Hulud供应链攻击,攻击已从TanStack扩散到UiPath、Mistral AI等,共205个制品被毒化。攻击者通过CI/CD缓存投毒,恶意包拥有合法签名和provenance,传统安全手段失效,且AI加速了攻击速度,开发者的AI工具成为寄生目标。
一次高危供应链攻击影响了 42 个 TanStack npm 包,导致云凭证和 SSH 密钥被窃取。建议用户在攻击时间窗口内安装过相关包的,立即轮换凭证并从干净的 lockfile 重新安装。
一个冒充 OpenAI 隐私过滤器的虚假仓库在 Hugging Face 上曾位列第一,在被移除前下载次数超过 24 万次。该恶意包分发了一款基于 Rust 的信息窃取器,专门针对开发人员凭据、加密货币钱包和浏览器数据。
一份讽刺性的事故报告描述了一场灾难性的多阶段供应链攻击,该攻击始于一个被篡改的 JavaScript 依赖项,并在 Rust 和 Python 生态系统中蔓延,最终因一只挖矿蠕虫的“意外介入”而得以解决。
本文认为,GNU IFUNC 以及将 OpenSSH 链接到 SystemD 的设计决策,才是 CVE-2024-3094 xz-utils 后门漏洞得以实施的主要促成因素,而非恶意代码本身。
一名 Context.ai 员工因下载 Roblox 外挂感染了 Lumma Stealer 恶意软件,导致其 OAuth 凭证被盗,攻击者随即利用这些凭证入侵了 Vercel 的内部系统,致使部分非敏感环境变量遭到泄露。此次事件也凸显了 AI 工具 OAuth 权限过于宽泛所带来的安全风险。