FreeBuf早报 | 新供应链攻击波及npm仓库;GitHub为SSH访问增加抗量子加密保护
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
近期全球网络安全事件包括npm仓库遭受供应链攻击、GitHub推出抗量子SSH密钥、微软与Cloudflare联合打击钓鱼网络、LG智能电视漏洞、苹果修复高危漏洞、Spring框架安全漏洞、AISURU僵尸网络演变、AWSDoor持久化技术、MCP服务器数据窃取,以及CrowdStrike与Check Point收购AI安全公司。
🎯
关键要点
- npm仓库遭供应链攻击,40余个软件包被篡改,建议卸载受影响包并监控异常活动。
- GitHub推出抗量子SSH混合密钥,兼容现有系统以抵御未来量子攻击。
- 微软与Cloudflare联合查封338个钓鱼域名,打击RaccoonO365钓鱼网络,提升网络犯罪成本。
- LG智能电视WebOS系统曝高危漏洞,攻击者可完全控制设备,建议用户更新固件。
- 苹果修复高危漏洞CVE-2025-43300,已被用于复杂间谍软件攻击,建议用户立即更新系统。
- Spring框架曝出高危漏洞,可能导致授权绕过,建议升级至修复版本。
- AISURU僵尸网络从DDoS攻击转向多功能犯罪,威胁持续升级。
- 攻击者利用AWSDoor工具在AWS云中持久潜伏,需监控IAM变更和审计Lambda层。
- MCP协议被滥用进行供应链攻击,需加强审批和异常监控。
- CrowdStrike与Check Point收购AI安全公司,强化AI防护能力。
➡️
