黑客团队TeamPCP在GitHub上开源了蠕虫病毒Shai-Hulud,该病毒能自动寻找敏感凭据并传播。分析确认其代码与之前的攻击相同。病毒需通过社会工程学入侵开发环境后才能部署,简单易用,可能引发更多攻击。有人为其贡献代码,增加了对FreeBSD的支持。微软未删除该仓库,显示出对开源病毒的态度。
现代软件供应链安全性面临严重问题,攻击者利用CI/CD系统的脆弱性传播恶意软件,盗取凭证发布恶意工具,影响数万开发者。解决方案包括消除静态凭证、实施短期身份验证和加强代码审查,必须将CI/CD系统视为生产系统以防止供应链攻击的扩大。
TeamPCP对Aqua Security的Trivy扫描器实施供应链攻击,导致npm、PyPI和GitHub Actions的凭证被盗,影响数百万次下载。攻击者通过篡改Trivy二进制文件和GitHub Actions窃取敏感信息,并利用这些凭证攻击其他开源项目,暴露了开源安全的脆弱性,提醒开发者加强安全措施。
完成下面两步后,将自动完成登录并继续当前操作。
