软件包 - 第 3 | CN-SEC 中文网

安全闲碎

别让更新变麻烦：Python脚本助你一键获取修复操作系统漏洞补丁包！

字数 1430，阅读大约需 8 分钟在日常工作中，服务器安全是企业运营的关键。我们专业的安全团队会用工具对所有服务器进行扫描，找出潜在的安全问题，并生成详细的报告，里面不仅有漏洞信息，还有修复建议。如...

03月02日16 views评论

阅读全文

安全文章

2,500 美元漏洞报告-通过未认领的 Node 包进行远程代码执行 (RCE)

什么是依赖混淆？依赖混淆是一种软件供应链漏洞，当公司的内部软件包被错误地从公共存储库（例如 npm）而不是其私有注册表下载时，就会发生这种情况。如果软件包管理器（如 npm、pip 或其他）默认从公共...

02月27日19 views评论

阅读全文

安全新闻

200+开发者中招！冒充DeepSeek供应链攻击：PyPI 平台恶意软件包事件警示

一、事件概述2025 年 2 月 3 日，Positive Technologies 的研究人员发现，在 Python 软件包索引（PyPI）中出现了两个恶意软件包 “deepsekai” 和 “de...

02月23日78 views评论

阅读全文

安全文章

通过供应链发起的RCE攻击

前言依赖项混乱是一种软件供应链漏洞，当公司的内部软件包从公共存储库（例如NPM）而非私有注册中心时，就会发生这种漏洞。如果软件包管理器（例如NPM，PIP或其它）默认为从公共源中拉出和具有相同名称...

02月18日8 views评论

阅读全文

安全新闻

Golang 供应链攻击新手法：利用模块缓存实现恶意代码持久化

摘要安全团队发现新型 Golang 供应链攻击：恶意包通过模块代理缓存机制实现永久驻留，伪装成主流数据库组件植入远程控制后门，数千项目面临"傀儡化"风险。要点总结精准钓鱼：攻击者注册高仿包名boltd...

02月17日29 views评论

阅读全文

安全文章

【$2500】通过无人认领的Node包实施RCE攻击

前言依赖项混乱是一种软件供应链漏洞，当公司的内部软件包从公共存储库（例如NPM）而非私有注册中心时，就会发生这种漏洞。如果软件包管理器（例如NPM，PIP或其它）默认为从公共源中拉出...

02月15日11 views评论

阅读全文

供应链安全

【天问】警惕针对deepseek的开源软件供应链攻击

自从2024年12月26日deepseek V3发布之后，开源生态中出现了大量与其相关的软件包，大多数为工具类软件包。但天问监测模块发现了其中潜藏的部分恶意攻击包，通过包名伪造来诱导用户下载，窃取用户...

02月13日18 views评论

阅读全文

安全新闻

警惕传播恶意软件的假DeepSeek PyPI软件包

威胁行为者正利用DeepSeek日益增长的知名度，在Python包索引（PyPI）上推广两个恶意信息窃取软件包，这些软件包冒充了该AI平台的开发者工具。这两个软件包分别命名为“deepseeek”和“...

02月09日50 views评论

阅读全文

安全新闻

开源情报 | 关于恶意的DeepSeek AI工具的PyPI信息窃取组件包

免责声明文章内容仅限授权测试或学习使用请勿进行非法的测试或攻击，利用本账号所发文章进行直接或间接的非法行为，均由操作者本人负全责，犀利猪安全及文章对应作者将不为此承担任何责任。文章...

02月08日18 views评论

阅读全文

安全新闻

DeepSeek 相关安全事件分析报告

一、引言近期，DeepSeek 作为一家迅速崛起的中国 AI 公司，凭借其先进的 AI 模型吸引了全球关注。然而，随着其知名度的提升，各类安全问题也接踵而至。网络犯罪分子纷纷利用 DeepSeek 的...

02月08日359 views评论

阅读全文

安全新闻

恶意 Go 软件包利用模块镜像缓存实现持久远程访问

关键词恶意软件网络安全研究人员呼吁关注针对 Go 生态系统的软件供应链攻击，该攻击涉及一个恶意软件，可让对手远程访问受感染系统。根据 Socket 的说法，该软件包名为github.com/boltd...

02月07日17 views评论

阅读全文

安全新闻

PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具

关键词恶意软件威胁行为者利用 DeepSeek 的日益流行，在 Python 包索引 (PyPI) 上推广两个恶意信息窃取程序包，他们在其中冒充 AI 平台的开发工具。这两个软件包被命名为“deeps...

02月06日48 views评论

阅读全文

别让更新变麻烦：Python脚本助你一键获取修复操作系统漏洞补丁包！

2,500 美元漏洞报告-通过未认领的 Node 包进行远程代码执行 (RCE)

200+开发者中招！冒充DeepSeek供应链攻击：PyPI 平台恶意软件包事件警示

通过供应链发起的RCE攻击

Golang 供应链攻击新手法：利用模块缓存实现恶意代码持久化

【$2500】通过无人认领的Node包实施RCE攻击

【天问】警惕针对deepseek的开源软件供应链攻击

警惕传播恶意软件的假DeepSeek PyPI软件包

开源情报 | 关于恶意的DeepSeek AI工具的PyPI信息窃取组件包

DeepSeek 相关安全事件分析报告

恶意 Go 软件包利用模块镜像缓存实现持久远程访问

PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具

在线咨询

微信