FreeBuf早报 | npm史上最大供应链攻击;macOS存严重漏洞
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
近期网络安全事件频发,包括npm供应链攻击、macOS漏洞和Adobe Magento漏洞。攻击者利用钓鱼和注入等手段窃取数据,建议用户及时更新和修复系统以降低风险。
🎯
关键要点
- npm遭遇史上最大供应链攻击,18个流行包被篡改,建议回滚版本并审计依赖。
- macOS存在高危漏洞CVE-2025-24204,攻击者可窃取用户隐私数据,建议用户立即升级。
- Adobe修复Magento高危漏洞CVE-2025-54236,商家需立即打补丁以防自动化攻击。
- 研究人员利用JS注入与参数污染技术成功绕过Web应用防火墙,需增强框架解析能力。
- Salesloft GitHub账户被入侵,导致700余家企业数据泄露,凸显SaaS供应链风险。
- Windows Defender更新机制存在高危漏洞,攻击者可利用符号链接劫持服务,禁用安全防护。
- Spring Cloud Gateway WebFlux存在CVSS 10分高危漏洞,建议用户升级至修复版本。
- LunaLock勒索软件针对艺术家群体实施数据窃取与加密攻击,威胁严重。
- pREST框架曝高危SQL注入漏洞CVE-2025-58450,攻击者可读取敏感文件,建议使用参数化查询。
- 新型Go语言恶意软件Salat Stealer窃取浏览器与加密货币钱包数据,体现网络犯罪产业化趋势。
❓
延伸问答
npm供应链攻击的影响是什么?
npm遭遇史上最大供应链攻击,18个流行包被篡改,影响下载量超过20亿次,建议用户回滚版本并审计依赖。
macOS的高危漏洞是什么?
macOS存在高危漏洞CVE-2025-24204,攻击者可窃取用户隐私数据,建议用户立即升级至macOS 15.3。
Adobe Magento的漏洞如何修复?
Adobe已修复Magento高危漏洞CVE-2025-54236,商家需立即打补丁以防止自动化攻击。
Salesloft的网络攻击事件有什么影响?
Salesloft的GitHub账户被入侵,导致700余家企业数据泄露,凸显SaaS供应链风险。
Windows Defender的漏洞是什么?
Windows Defender更新机制存在高危漏洞,攻击者可利用符号链接劫持服务,禁用安全防护。
LunaLock勒索软件的攻击目标是什么?
LunaLock勒索软件主要针对艺术家群体,通过钓鱼攻击窃取和加密PSD/AI文件,要求赎金。
➡️
