10月,我们参加了2024年Pwn2Own爱尔兰站,并成功利用Synology DiskStation DS1823xs+以root身份远程执行代码。此漏洞已修复,编号为CVE-2024-10442。...
7 个恶意 PyPI 包滥用 Gmail 的 SMTP 协议执行恶意命令
关键词恶意命令一种复杂的软件供应链攻击,利用 Python 包索引 (PyPI) 存储库,使用 Google 的 SMTP 基础设施作为命令和控制机制来部署恶意软件。该活动涉及七个恶意包——Coffi...
Spring Security CVE-2025-22234 引入用户名枚举向量
产品: Spring Security受影响的软件包: spring-security-crypto受影响的版本: =5.7.16、=5.8.18、=6.0.16、=6.1.14、=6.2.10、=6...
利用空字节写入漏洞攻击 Synology DiskStation
【翻译】Exploiting the Synology DiskStation with Null-byte Writes 在 Synology DS1823xs+ NAS 上实现 root 权限的远...
恶意 npm 软件包攻击 Linux 开发人员以安装 SSH 后门
导 读一种令人担忧的新型供应链攻击已经出现,其目标是与 Telegram 机器人生态系统合作的 Linux 开发人员。2025 年初发现,多个恶意 npm 包伪装成合法的Telegram 机器人库,以...
第 3 部分:1 - 基于 Electron 的应用安全测试基础 - 提取和分析 .asar 文件
这是探讨基于 Electron 的应用程序安全测试基础知识的系列文章的第三部分。在本部分中,我们将探讨提取和分析 .asar 文件以收集有用信息的重要性。需要注意的是,我们将本部分分为两部分,以强调每...
恶意 npm 软件包模仿 Telegram Bot API 在 Linux 系统上植入 SSH 后门
关键词恶意软件恶意 npm 软件包模仿 Telegram Bot API 在 Linux 系统上植入 SSH 后门网络安全研究人员在 npm 注册表中发现了三个恶意包,它们伪装成流行的 Telegra...
依赖混淆攻击
简介 在不断演变的网络安全领域中,依赖混淆攻击(Dependency Confusion Attack)是一种较为隐蔽的攻击方式。这类攻击利用了开发者对第三方库和软件包的信任,可能导致严...
9年历史的NPM加密包被劫持用于窃取信息
软件供应链管理公司Sonatype报告称,多个用于区块链应用程序开发的NPM包已被劫持,用于传播信息窃取恶意软件。这些软件包为构建与区块链服务交互的应用程序的开发人员提供了合法功能,但其最新版本包含混...
PyPi 供应链攻击愈发猖獗,新型恶意包盗刷信用卡
点击上方蓝字关注我们据 ReversingLabs 称,其中两个名为 bitcoinlibdbfix 和 bitcoinlib-dev 的软件包,伪装成了对一个名为 bitcoinlib 的合法 Py...
新型 npm 恶意软件对热门以太坊库发动后门感染攻击
关键词恶意软件ReversingLabs 的安全研究人员在 npm 软件包存储库中发现了一场新的恶意软件攻击活动,揭示了一种感染开发人员系统的新手段。与典型的恶意软件不同,这次攻击不只是植入恶意代码,...
恶意 npm 包修改本地 ethers 库以发起反向 Shell 攻击
关键词恶意软件网络安全研究人员在 npm 注册表中发现了两个恶意软件包,旨在感染另一个本地安装的软件包,这凸显了针对开源生态系统的软件供应链攻击的持续演变。有问题的软件包是ethers-provide...