密码管理器Bitwarden的CLI软件包在2026年4月23日遭到供应链攻击,黑客通过盗取开发者凭证发布了恶意代码。受影响用户需检查安装记录,立即卸载受影响版本,清除NPM缓存,并轮换所有可能暴露的机密信息。虽然被攻击的时间较早,受影响概率较低,但仍需谨慎应对。

密码管理器Bitwarden发布CLI软件包被黑公告 持续时间1小时33分钟
蓝点网
蓝点网 ·

Debian 发布 APT 3.2 稳定版,新增历史记录及撤销/回滚功能,用户可查看事务历史并撤销更改,类似于红帽的 DNF。APT 3.2 将在 2027 年的 Debian 14 中默认启用,当前用户可通过 Debian Sid 升级。

🎉Debian发布APT 3.2稳定版 终于带来历史记录和撤销/回滚软件包功能
蓝点网
蓝点网 ·
Node.js 22.22.0(长期支持版)

Node.js 22.22.0(长期支持版)
Node.js Blog
Node.js Blog ·

Snap 是一种自包含的 Linux 软件包格式,旨在简化软件分发和更新,解决依赖冲突和安全问题。它通过沙箱机制增强安全性,支持跨发行版使用,并提供自动更新和版本回滚功能。尽管体积较大且启动较慢,但其易用性使其受到用户和开发者的青睐。

什么是 Snap Linux?深入理解 Linux 通用包管理方案
极客技术博客’s Blog
极客技术博客’s Blog ·

本文介绍了Linux软件包管理的基本概念及主流发行版(如Debian/Ubuntu、RHEL/CentOS、Arch Linux)的升级流程,强调软件包升级的重要性,包括新功能、安全性和性能优化。提供了常见的升级命令、最佳实践和问题排查方法,帮助用户掌握系统维护技能。

Linux 系统软件包升级全攻略:从基础操作到最佳实践
极客技术博客’s Blog
极客技术博客’s Blog ·

Snap 是一种新型的 Linux 软件包格式,解决了兼容性和依赖冲突问题,支持跨发行版、自动更新和安全隔离。开发者可通过 Snapcraft 构建应用,用户可通过 Snap Store 安装和管理应用。尽管存在磁盘占用大和权限配置复杂等问题,Snap 仍为 Linux 应用管理提供了有效的解决方案。

Linux Snaps:一站式了解容器化软件包的设计、使用与最佳实践
极客技术博客’s Blog
极客技术博客’s Blog ·

掌握 Rocky Linux 的仓库管理是系统管理的关键。本文介绍了仓库类型(如 BaseOS、AppStream、CRB)、管理工具(如 dnf)、最佳实践及常见问题,旨在帮助用户高效、安全地管理软件包。

Rocky Linux 仓库详解:从基础到高级管理实践
极客技术博客’s Blog
极客技术博客’s Blog ·

近期全球网络安全事件包括虚假NPM包窃取GitHub凭证、Windows内核高危漏洞、AI企业泄露敏感信息及Chrome修复JavaScript漏洞。攻击者利用新工具进行钓鱼攻击,金融业面临隐性风险,企业需加强安全防护。

FreeBuf早报 | Windows内核0Day漏洞遭野外利用提权;虚假NPM软件包窃取GitHub凭证
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
Node.js 22.21.0(长期支持版)

Node.js 22.21.0(长期支持版)
Node.js Blog
Node.js Blog ·

网络安全研究人员发现,网络犯罪分子利用Discord webhook作为隐蔽的命令与控制通道,渗透npm、PyPI和RubyGems等平台,窃取开发者敏感文件。恶意软件包通过重写安装命令,悄然将数据发送至攻击者控制的webhook,从而规避检测,导致数据泄露。

攻击者利用Discord Webhook通过npm、PyPI和Ruby软件包构建隐蔽C2通道
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

美国CISA发布警报,称名为"Shai-Hulud"的自复制蠕虫已渗透500多个npm软件包,利用开发者凭证注入恶意代码,窃取GitHub和云服务API密钥,并通过npm CLI传播木马版本。CISA建议开发者检查依赖、轮换凭证并加强安全措施,以防止蠕虫扩散。

CISA警告:Shai-Hulud自复制蠕虫已入侵npm仓库500多个软件包
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
Bundlehunt 2025 夏季超值 Mac 软件包上线:44 款高质量应用自选,授权全部来自开发者

Bundlehunt 2025 夏季超值 Mac 软件包上线:44 款高质量应用自选,授权全部来自开发者
小众软件
小众软件 ·

本周「FreeBuf周报」总结了多个安全事件,包括npm仓库攻击、苹果修复ImageIO漏洞、Chrome更新V8引擎漏洞、FlowiseAI高危漏洞,以及朝鲜黑客利用AI伪造证件的攻击。此外,Windows截图工具Greenshot也存在高危漏洞。建议用户及时更新软件以降低风险。

FreeBuf周报 | 新供应链攻击波及40余npm软件包;苹果紧急修复ImageIO零日漏洞
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

安全研究团队Socket发现npm仓库遭遇新型供应链攻击,影响40多个软件包。攻击者篡改package.json文件,注入恶意脚本以窃取敏感信息。建议开发者卸载受影响的软件包,审计环境并监控异常活动。

新供应链攻击波及npm仓库,40余个软件包遭篡改
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

网络安全公司Aikido Security披露了npm生态系统中最大规模的供应链攻击,攻击者通过钓鱼邮件入侵维护者账户,篡改了18个流行软件包,影响每周超过20亿次下载。恶意代码主要针对加密货币交易,劫持用户交易。建议开发者回滚至安全版本并监控相关应用。

npm史上最大供应链攻击:每周下载量超20亿的软件包遭大规模攻击劫持
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

网络安全研究人员发现,攻击者通过Python包索引(PyPI)分发恶意软件包,利用拼写错误诱骗用户安装篡改的Bittensor软件,从而盗取用户钱包。攻击者发布多个变体软件包,针对质押用户注入恶意代码进行盗窃。

攻击者利用拼写错误的PyPI软件包窃取Bittensor钱包中的加密货币
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

近期网络安全事件包括恶意Go与npm软件包传播的跨平台恶意软件、微软Active Directory漏洞、'幽灵通话'攻击及Project Ire人工智能系统发布,企业需加强安全防护。

FreeBuf早报 | 恶意Go、npm软件包分发恶意软件;Active Directory渗透技术绕过认证
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

网络安全研究人员发现11个恶意Go软件包,能够从远程服务器下载并执行额外载荷,影响Windows和Linux系统。这些软件包通过混淆技术隐藏恶意代码,可能窃取敏感信息。此外,两个伪装成WhatsApp库的npm软件包也被发现,具备远程删除开发者系统的能力,显示开源仓库仍是恶意软件传播的主要渠道。

恶意Go与npm软件包分发跨平台恶意软件,可触发远程数据擦除
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

新泽西理工学院的研究揭示了Python生态系统中的安全隐患,称为“PyPitfall”。研究指出,复杂的依赖关系导致378,573个软件包中传播已知漏洞,其中4,655个软件包必然暴露,141,044个存在潜在暴露。建议开发审计工具以提高安全意识。

Python 隐藏漏洞通过超14.5万个软件包传播
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

轻量级 JavaScript 库 'is' 于 2025 年遭遇钓鱼攻击,导致恶意版本发布,含远程代码执行后门。攻击者通过伪装邮件获取开发者凭证,修改软件包并植入恶意代码。受影响版本为 v3.3.1 至 v5.0.0,建议开发者审计依赖项并升级至安全版本。

热门JavaScript库"is"等软件包遭npm供应链攻击植入后门
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
👤 个人中心
在公众号发送验证码完成验证