软件包 | CN-SEC 中文网

安全文章

利用空字节写入攻击Synology DiskStation在 DS1823xs+ NAS 上以 root 身份实现代码执行

10月，我们参加了2024年Pwn2Own爱尔兰站，并成功利用Synology DiskStation DS1823xs+以root身份远程执行代码。此漏洞已修复，编号为CVE-2024-10442。...

05月07日13 views评论

阅读全文

安全新闻

7 个恶意 PyPI 包滥用 Gmail 的 SMTP 协议执行恶意命令

关键词恶意命令一种复杂的软件供应链攻击，利用 Python 包索引（PyPI）存储库，使用 Google 的 SMTP 基础设施作为命令和控制机制来部署恶意软件。该活动涉及七个恶意包——Coffi...

05月05日16 views评论

阅读全文

安全漏洞

Spring Security CVE-2025-22234 引入用户名枚举向量

产品： Spring Security受影响的软件包： spring-security-crypto受影响的版本： =5.7.16、=5.8.18、=6.0.16、=6.1.14、=6.2.10、=6...

05月04日36 views评论

阅读全文

安全文章

利用空字节写入漏洞攻击 Synology DiskStation

【翻译】Exploiting the Synology DiskStation with Null-byte Writes 在 Synology DS1823xs+ NAS 上实现 root 权限的远...

04月24日12 views评论

阅读全文

安全新闻

恶意 npm 软件包攻击 Linux 开发人员以安装 SSH 后门

导读一种令人担忧的新型供应链攻击已经出现，其目标是与 Telegram 机器人生态系统合作的 Linux 开发人员。2025 年初发现，多个恶意 npm 包伪装成合法的Telegram 机器人库，以...

04月23日6 views评论

阅读全文

安全文章

第 3 部分：1 - 基于 Electron 的应用安全测试基础 - 提取和分析 .asar 文件

这是探讨基于 Electron 的应用程序安全测试基础知识的系列文章的第三部分。在本部分中，我们将探讨提取和分析 .asar 文件以收集有用信息的重要性。需要注意的是，我们将本部分分为两部分，以强调每...

04月21日9 views评论

阅读全文

安全新闻

恶意 npm 软件包模仿 Telegram Bot API 在 Linux 系统上植入 SSH 后门

关键词恶意软件恶意 npm 软件包模仿 Telegram Bot API 在 Linux 系统上植入 SSH 后门网络安全研究人员在 npm 注册表中发现了三个恶意包，它们伪装成流行的 Telegra...

04月21日5 views评论

阅读全文

安全文章

依赖混淆攻击

简介在不断演变的网络安全领域中，依赖混淆攻击（Dependency Confusion Attack）是一种较为隐蔽的攻击方式。这类攻击利用了开发者对第三方库和软件包的信任，可能导致严...

04月15日11 views评论

阅读全文

安全新闻

9年历史的NPM加密包被劫持用于窃取信息

软件供应链管理公司Sonatype报告称，多个用于区块链应用程序开发的NPM包已被劫持，用于传播信息窃取恶意软件。这些软件包为构建与区块链服务交互的应用程序的开发人员提供了合法功能，但其最新版本包含混...

04月09日15 views评论

阅读全文

供应链安全

PyPi 供应链攻击愈发猖獗，新型恶意包盗刷信用卡

点击上方蓝字关注我们据 ReversingLabs 称，其中两个名为 bitcoinlibdbfix 和 bitcoinlib-dev 的软件包，伪装成了对一个名为 bitcoinlib 的合法 Py...

04月06日13 views评论

阅读全文

安全新闻

新型 npm 恶意软件对热门以太坊库发动后门感染攻击

关键词恶意软件ReversingLabs 的安全研究人员在 npm 软件包存储库中发现了一场新的恶意软件攻击活动，揭示了一种感染开发人员系统的新手段。与典型的恶意软件不同，这次攻击不只是植入恶意代码，...

04月02日15 views评论

阅读全文

安全新闻

恶意 npm 包修改本地 ethers 库以发起反向 Shell 攻击

关键词恶意软件网络安全研究人员在 npm 注册表中发现了两个恶意软件包，旨在感染另一个本地安装的软件包，这凸显了针对开源生态系统的软件供应链攻击的持续演变。有问题的软件包是ethers-provide...

04月02日12 views评论

阅读全文

利用空字节写入攻击Synology DiskStation在 DS1823xs+ NAS 上以 root 身份实现代码执行

7 个恶意 PyPI 包滥用 Gmail 的 SMTP 协议执行恶意命令

Spring Security CVE-2025-22234 引入用户名枚举向量

利用空字节写入漏洞攻击 Synology DiskStation

恶意 npm 软件包攻击 Linux 开发人员以安装 SSH 后门

第 3 部分：1 - 基于 Electron 的应用安全测试基础 - 提取和分析 .asar 文件

恶意 npm 软件包模仿 Telegram Bot API 在 Linux 系统上植入 SSH 后门

依赖混淆攻击

9年历史的NPM加密包被劫持用于窃取信息

PyPi 供应链攻击愈发猖獗，新型恶意包盗刷信用卡

新型 npm 恶意软件对热门以太坊库发动后门感染攻击

恶意 npm 包修改本地 ethers 库以发起反向 Shell 攻击

在线咨询

微信