软件包 - 第 6 | CN-SEC 中文网

安全新闻

PyPI 攻击：ChatGPT、Claude 模仿通过 Python 库传播 JarkaStealer

网络安全研究人员发现上传到 Python 软件包索引 (PyPI) 存储库的两个恶意软件包，它们模仿 OpenAI ChatGPT 和 Anthropic Claude 等流行的人工智能 (AI) 模...

12月03日42 views评论

阅读全文

安全开发

Python 包管理器 pip 完全指南

Pip🔫 pip 是 Python 的包安装程序。可以使用 pip 从 Python 包索引仓库和其他索引仓库安装包。项目地址 https://github.com/pypa/pip安装安装pytho...

11月23日7 views评论

阅读全文

安全新闻

下载量达 37,000 次的恶意 PyPI 软件包窃取 AWS 密钥

自 2021 年以来，名为“fabrice”的恶意 Python 包就出现在 Python 包索引 (PyPI) 中，从毫无戒心的开发人员那里窃取了 Amazon Web Services 凭据。据应...

11月21日27 views评论

阅读全文

安全新闻

Ubuntu Needrestart 软件包中发现存在十年之久的安全漏洞，可以获得Root权限

导读Ubuntu Server（自 21.04 版起）默认安装的 needrestart 包中被发现存在多个已有十年历史的安全漏洞，这些漏洞可能允许本地攻击者在无需用户交互的情况下获得 root 权...

11月21日22 views评论

阅读全文

安全新闻

小心 Python 开发人员：恶意 fabrice 软件包从 37,000 多次下载中窃取 AWS 凭据

关键词恶意软件对于 Python 开发人员和云管理员来说，一个令人担忧的进展是，Socket 研究团队发现了一个名为 fabrice 的恶意软件包，它伪装成合法且广泛使用的 Fabric SSH 自动...

11月09日6 views评论

阅读全文

安全闲碎

CVE不受控制地扩散的原因是什么？

常见漏洞和暴露 (CVE)的数量已达到惊人的水平，给组织的网络防御带来巨大压力。根据SecurityScorecard的数据，2023 年记录了 29,000 个漏洞，到 2024 年中期，已发现近 ...

11月06日17 views评论

阅读全文

供应链安全

天问 | 新型供应链攻击：利用以太坊智能合约隐蔽C2的npm恶意包分析

一、前言2024年10月31日至11月3日期间，天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。在此次攻击中，攻击者利用了以太坊智能合约对恶意C2地址进行了隐蔽，并且通过多阶段复杂...

11月06日11 views评论

阅读全文

安全闲碎

【Kali Linux】使用apt-get update更新，遇到没有数字签名的解决办法。

问题：获取:1 http://kali.download/kali kali-rolling InRelease [41.5 kB]错误:1 http://kali.download/kali kal...

10月30日121 views评论

阅读全文

供应链安全

软件供应链安全级别定义SLSA介绍

SLSA （Supply-chain Levels for Software Artifacts，软件工件的供应链级别）是一套可逐步采用的供应链安全指南，由行业共识制定。SLSA 制定的规范对软件生产...

10月22日68 views评论

阅读全文

供应链安全

这种新的供应链攻击技术可以木马化所有 CLI 命令

由于开源生态系统被广泛采用，它已成为供应链攻击的主要目标。恶意行为者经常利用开源软件包的内置功能自动分发和执行有害代码。他们特别喜欢两种技术：在软件包安装时执行的自动预安装脚本，以及导入恶意依赖项的看...

10月16日16 views评论

阅读全文

了解文件扩展名：Linux 综合指南

文件扩展名是 Windows 和 Linux 等操作系统管理和识别不同类型文件的重要组成部分。本指南将引导您了解 Linux 中一些最常见的文件扩展名，并以简单易懂的方式解释它们是什么以及它们如何运作...

10月07日安全闲碎13 views评论

阅读全文

安全文章

使用 Joern 查找用于利用 Java 中 Unsafe Reflection 漏洞的类

在一次渗透测试中，我们发现一个 Java 应用程序存在不安全反射漏洞 [1]。此应用程序允许我们实例化任意类，并将受控字符串作为参数传递给其构造函数。当我们意识到应用程序使用的依赖项时，我们提出了以下...

10月04日46 views评论

阅读全文

PyPI 攻击：ChatGPT、Claude 模仿通过 Python 库传播 JarkaStealer

Python 包管理器 pip 完全指南

下载量达 37,000 次的恶意 PyPI 软件包窃取 AWS 密钥

Ubuntu Needrestart 软件包中发现存在十年之久的安全漏洞，可以获得Root权限

小心 Python 开发人员：恶意 fabrice 软件包从 37,000 多次下载中窃取 AWS 凭据

CVE不受控制地扩散的原因是什么？

天问 | 新型供应链攻击：利用以太坊智能合约隐蔽C2的npm恶意包分析

【Kali Linux】使用apt-get update更新，遇到没有数字签名的解决办法。

软件供应链安全级别定义SLSA介绍

这种新的供应链攻击技术可以木马化所有 CLI 命令

了解文件扩展名：Linux 综合指南

使用 Joern 查找用于利用 Java 中 Unsafe Reflection 漏洞的类

在线咨询

微信