TanStack系列包遭黑客攻击,黑客在NPM发布了87个恶意安装包,窃取开发者的GitHub令牌等凭证。恶意代码包含“死人开关”,一旦令牌被撤销,便会执行rm -rf ~/命令删除所有文件。开发者需在撤销令牌前备份重要文件,以防环境被破坏。

用心极其险恶!TanStack攻击中黑客预留死人开关 检测到凭据撤销就执行rm -rf ~/
蓝点网
蓝点网 ·

TanStack系列包遭黑客攻击,黑客在NPM注册表发布87个恶意包,窃取开发者的GitHub令牌等凭证。恶意代码包含“死人开关”,在检测到令牌被撤销后会执行rm -rf ~/命令,删除开发者所有文件。开发者需在撤销令牌前备份重要文件,以防环境被破坏。

用心极其险恶!TanStack攻击中黑客预留死人开关 检测到凭据撤销就执行rm -rf ~/
蓝点网
蓝点网 ·

H3C团队的灵犀AI助手在配置文件中泄露了多个云端AI模型的API凭据,涉及智谱、百度千帆和字节跳动等。尽管网友反馈后,H3C直到5月才完成凭据吊销,可能因内部使用相同凭据导致沟通延误。此事件提醒开发者不要将敏感凭据直接嵌入配置文件,以防安全风险。

[已吊销] H3C灵犀AI助手直接在配置文件中暴露大量API凭据 3个月后才完成吊销
蓝点网
蓝点网 ·

文章讨论了通过SQL注入攻击登录框获取凭据的过程,分析了不同payload的结果。作者尝试了多种方法,包括爆破和联合查询,最终成功登录并提权。总结了常用密码和SQL注入的有效性,强调源码分析的重要性。

OSCP靶场81--Cockpit(PG)
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

Cymulate 研究实验室发现新漏洞(CVE-2025-50154),可在无用户交互的情况下泄露 NTLM 凭据,绕过微软补丁。该漏洞允许攻击者提取 NTLM 哈希,可能导致权限提升和远程代码执行。尽管微软已发布补丁,但漏洞仍未完全修复,企业面临更大风险。建议进行全面的补丁验证和持续的安全测试。

0click漏洞重现:新型LNK文件绕过补丁导致NTLM凭据泄露(CVE-2025-50154)
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
周下载量超过20亿次的NPM包被投毒 开发者被钓鱼泄露凭据 黑客篡改网页盗取加密货币

周下载量超过20亿次的NPM包被投毒 开发者被钓鱼泄露凭据 黑客篡改网页盗取加密货币
蓝点网
蓝点网 ·
如何迁移PMM(Grafana)用户

如何迁移PMM(Grafana)用户
Planet MySQL
Planet MySQL ·
奇葩问题解决 Windows 共享错误 0x80004005

奇葩问题解决 Windows 共享错误 0x80004005
老胡的博客
老胡的博客 ·

Kerberos认证机制面临黄金票据、白银票据、钻石票据和蓝宝石票据等攻击,这些攻击利用关键Hash和KDC信任链,允许攻击者伪造身份和权限,威胁Windows域安全。理解Kerberos流程、定期更换凭据和监控异常行为是提升安全性的关键。

Kerberos 票据攻击:黄金、白银、钻石、蓝宝石票据的攻防全解析
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
使用Python测试SMTP凭据

使用Python测试SMTP凭据
DEV Community
DEV Community ·
如何在Android中使用凭据管理器实现Google登录?

如何在Android中使用凭据管理器实现Google登录?
DEV Community
DEV Community ·
k8s 配置访问私有镜像仓库

k8s 配置访问私有镜像仓库
Frytea's Blog
Frytea's Blog ·
🔐 安全密码管理器:基于Tkinter的现代解决方案,保护您的凭据

🔐 安全密码管理器:基于Tkinter的现代解决方案,保护您的凭据
DEV Community
DEV Community ·
RunAs凭据窃取工具

RunAs凭据窃取工具
DEV Community
DEV Community ·

本文介绍了通过IP地址进行信息收集的方法,包括开放端口扫描和命令注入技术。使用nmap和masscan工具检测目标主机的开放端口,并展示了如何利用漏洞进行特权提升。同时强调了网络安全的法律责任和技术适用性。

[Meachines] [Easy] Photobomb Js凭据泄露RCE+SETENV路径劫持+built-in(内建命令)劫持
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
安全公告:影响Percona监控与管理(PMM)的CVE

安全公告:影响Percona监控与管理(PMM)的CVE
Percona Database Performance Blog
Percona Database Performance Blog ·

中泰联合声明强调对跨境犯罪的零容忍,教育部修订学籍管理办法以确保数据安全。特朗普表示DeepSeek不会威胁国家安全,加拿大推出网络安全战略。黑客攻击频发,OpenAI用户数据被盗,Meta遭指控侵权,医疗系统泄露患者信息。

FreeBuf早报 | DeepSeek受到的限制禁用及理由;黑客叫卖2000万OpenAI用户凭据
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
在GitHub中使用SSH认证

在GitHub中使用SSH认证
DEV Community
DEV Community ·

网络安全研究人员发现一起针对Google Ads用户的恶意广告活动,攻击者通过虚假广告窃取用户凭据并重定向至钓鱼网站。该活动自2024年11月中旬开始,利用Google Ads的漏洞在合法广告中插入欺诈性URL,且恶意软件通过流行平台传播,增加了检测难度。

Google Ads用户成恶意广告诈骗新目标,凭据及双因素认证码被盗
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
利用 Azure 密钥库进行秘密管理和加密

利用 Azure 密钥库进行秘密管理和加密
DEV Community
DEV Community ·
👤 个人中心
在公众号发送验证码完成验证