今年 7 月 7 日,npm 开发者存储库的昵称“nagasiren978”的用户发布了两个恶意软件包:“harthat-hash”和“harthat-api”,其中包含从攻击者的C2服务器安装其他恶...
恶意 PyPI 软件包瞄准 macOS 以窃取 Google Cloud 凭证
导 读 安全研究人员在 Python 软件包存储库 (PyPI) 中发现了一个恶意软件,该恶意软件针对 Apple macOS 系统,目的是从少数受害者那里窃取用户的 Google Cloud 凭据。...
SBOM主流格式SPDX介绍
“SPDX(System Package Data Exchange)格式是一种用于描述软件组件(如源代码)的规范,它提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项和其他属性。SP...
开源再爆雷,NPM JavaScript存储库暗藏后门
近日,Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码,一旦执行,就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了...
恶意 AWS 软件包通过 JPEG 传播恶意软件
Phylum 研究团队最近发现了一次针对使用 npm 软件包注册表的开发人员的复杂网络攻击。2024 年 7 月 13 日,研究人员发现了两个看似合法的软件包,它们是现有库的克隆,隐藏在 JPEG 图...
CVE-2024-6345(8.8),Setuptools存在安全漏洞可导致 Python 项目遭受 RCE [PoC]
Setuptools 是一个广泛使用的用于打包、分发和安装 Python 项目的库,现已发现一个严重的安全漏洞。该漏洞被指定为CVE-2024-6345,CVSS 评分为8.8,由于 package_...
GitHub 令牌泄漏, Python 核心资源库面临潜在攻击
关键词数据泄露TheHackerNews网站消息,软件供应链安全公司 JFrog 的网络安全研究人员称,他们发现了一个意外泄露的 GitHub 令牌,可授予 Python 语言 GitHub 存储库、...
NPM JavaScript存储库暗藏后门
近日,Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码,一旦执行,就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了...
熟悉威胁的新战术
一年多来,Phylum 一直在揭露朝鲜威胁行为者攻击开源供应链中的软件开发人员。这篇博文重点介绍了朝鲜从 2023 年 9 月开始的攻击活动中不断演变的策略,该攻击活动于 2024 年 7 月 4 日...
影响 300 万款苹果 iOS / macOS 应用,CocoaPods 平台漏洞披露
最近,Objective-C 和 Swift 的著名依赖管理器 CocoaPods 的关键漏洞被曝光,使数百万 macOS 和 iOS 设备上的应用程序面临供应链攻击风险,可能会对一些苹果用户造成伤害...
CocoaPods 曝关键漏洞,数百万 macOS 和 iOS 应用程序面临供应链攻击风险
关键词安全漏洞最近,Objective-C 和 Swift 的著名依赖管理器 CocoaPods 的关键漏洞被曝光,使数百万 macOS 和 iOS 设备上的应用程序面临供应链攻击风险,可能会对一些苹...
严重 CocoaPods 漏洞使 macOS 和 iOS 应用程序易受供应链攻击
导 读开源依赖项管理器 CocoaPods 中的安全漏洞暴露了数千个软件包,为针对数百万 iOS 和 macOS 应用程序的供应链攻击创造了机会。CocoaPods(Objective-C 和 Swi...
21