保护GitHub上的开源供应链安全

保护GitHub上的开源供应链安全
The GitHub Blog
The GitHub Blog ·
crates.io:恶意包 evm-units 和 uniswap-utils

crates.io:恶意包 evm-units 和 uniswap-utils
Rust Blog
Rust Blog ·
Cloudflare的客户端安全如何使npm供应链攻击成为无事发生

Cloudflare的客户端安全如何使npm供应链攻击成为无事发生
The Cloudflare Blog
The Cloudflare Blog ·
NPM生态系统遭遇两起AI驱动的凭证盗窃供应链攻击

NPM生态系统遭遇两起AI驱动的凭证盗窃供应链攻击
InfoQ
InfoQ ·
crates.io:恶意包faster_log和async_println

crates.io:恶意包faster_log和async_println
Rust Blog
Rust Blog ·

Socket威胁研究团队发现恶意Python包psslib,伪装成密码安全工具,实际上会强制关闭Windows系统。该包通过输入错误密码执行关机命令,影响开发者工作,导致数据丢失和服务中断。

恶意Python包"psslib"实施拼写错误攻击,可强制关闭Windows系统
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

近期全球网络安全事件包括恶意PyPI包数据窃取、谷歌应用商店钓鱼应用、AI技术栈安全风险、IBM和Blink路由器漏洞、阿努比斯勒索软件及虚拟绑架诈骗,提醒用户提高警惕并及时更新系统。

FreeBuf早报 | 恶意PyPI包伪装成Chimera模块;新型钓鱼应用绕过谷歌应用商店审核
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

近年来,攻击者通过伪造开源软件包,尤其是恶意AI框架和机器学习模型,针对开发者发起攻击。最近,黑客在PyPI上传伪装成阿里云AI SDK的恶意包,利用Pickle格式窃取代码。尽管Hugging Face等平台尝试检测此类威胁,但安全工具仍不够成熟,开发者的计算机面临安全风险。

伪造阿里云AI SDK中的投毒模型凸显AI供应链安全挑战
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
恶意npm包伪装成流行的Express Cookie Parser

恶意npm包伪装成流行的Express Cookie Parser
DEV Community
DEV Community ·
谷歌Go模块镜像存在后门超过3年

谷歌Go模块镜像存在后门超过3年
InfoQ
InfoQ ·
JFrog警告加密货币窃取的Python包

JFrog警告加密货币窃取的Python包
The New Stack
The New Stack ·

网络安全研究人员警告,Python包索引(PyPI)用户面临恶意攻击,攻击者伪装成“时间”相关工具包以窃取敏感数据。ReversingLabs发现20个恶意包,下载量超过1.41万次,现已从PyPI移除。Fortinet指出,数千个可疑包可能含有恶意代码,审查外部URL至关重要。

恶意PyPI包窃取云令牌,移除前下载量超1.4万次
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

网络安全研究人员发现Go生态系统中的软件供应链攻击,攻击者通过伪装成合法BoltDB模块的恶意包实现远程访问。该包利用Go Module Mirror的缓存机制传播,攻击者修改源代码库以掩盖恶意行为,开发者需加强监控以防类似攻击。

恶意Go包利用模块镜像缓存实现持久远程访问
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
检测和缓解针对AI爱好者的PyPI攻击:深入分析JarkaStealer活动

检测和缓解针对AI爱好者的PyPI攻击:深入分析JarkaStealer活动
DEV Community
DEV Community ·
👤 个人中心
在公众号发送验证码完成验证