避免AI生成代码中的风险依赖

避免AI生成代码中的风险依赖
DEV Community
DEV Community ·
你的依赖有依赖:评估风险的新功能

你的依赖有依赖:评估风险的新功能
DEV Community
DEV Community ·
Stacklok将Minder安全项目捐赠给开源安全基金会(OpenSSF)

Stacklok将Minder安全项目捐赠给开源安全基金会(OpenSSF)
The New Stack
The New Stack ·

2024年9月的《This Month in Minder》介绍了项目更新和社区贡献,Stacklok欢迎@vyomyadav成为首位外部维护者。

《Minder月刊:2024年9月》
DEV Community
DEV Community ·

Stacklok发现了一个名为invokehttp的PyPI软件包中的恶意代码。该软件包的元数据存在不一致性,并且与其声称的GitHub仓库没有验证的连接。该软件包看起来是一个用于Python的合法的HTTP请求库,但实际上它从requests库中复制了代码并添加了恶意内容。代码包括一个exec()调用,用于执行从解码的Base64脚本中获取的内容,该脚本根据操作系统下载并执行第二阶段的载荷。该载荷具有远程命令执行、系统控制、数据泄露和检测逃避的功能。该软件包已向PyPI维护人员报告,并迅速从注册表中删除。

跨平台RAT通过武器化的'requests'克隆部署
DEV Community
DEV Community ·
👤 个人中心
在公众号发送验证码完成验证