程序包 - 第 2 | CN-SEC 中文网

安全新闻

朝鲜黑客利用恶意npm包攻击开发者

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士Phylum 公司提到，和朝鲜存在关联的威胁行动者在npm注册表中发布恶意包，以“协同方式、坚持不懈地”通过恶意软件感染开发人员并窃取密币资产。这起事...

09月26日84 views评论

阅读全文

供应链安全

新型供应链攻击手法 — Revival Hijack

JFrog 的网络安全研究人员发现了一种名为“Revival Hijack”的新型 PyPI 攻击技术，该技术利用包删除策略绕过安全检查。据统计，超过 22,000 个程序包处于风险之中，可能会影响数...

09月22日28 views评论

阅读全文

安全新闻

Google Cloud 依赖混淆漏洞影响数百万台服务器

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士Tenable 公司分享了一种依赖混淆攻击方法，本可将 Google Cloud Platform (GCP) 客户暴露到远程代码执行攻击中。该问题被...

09月19日40 views评论

阅读全文

安全新闻

恶意 PyPI 包伪装成答案，滥用StackExchange 进行传播

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士威胁行动者将恶意 Python 包上传至 PyPI 仓库，并通过在线问答平台 StackExchange 推广。这些Python 恶意包为 “spl-...

08月02日8 views评论

阅读全文

安全新闻

NuGet供应链攻击中出现60个新恶意包

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士威胁行动者们正在向 NuGet 程序包管理器发布新一轮恶意包，延续2023年8月开始的攻击活动，同时提升了躲避检测的隐蔽性。ReversingLabs...

07月12日10 views评论

阅读全文

安全文章

小程序解密反编译获取源码实现RCE

01文章前言小程序除了抓包测试功能外，我们可以尝试解密并反编译，最后获取其源代码包，从中查看其源代码文件，运气好的话我们可以获取到其配置信息，以此深度控制小程序。当然，也可能是另外一种...

05月18日13 views评论

阅读全文

人工智能安全

普遍存在的LLM幻觉扩大了软件开发的攻击面

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士大语言模型 (LLMs) 安全厂商 Lasso Security 指出，软件开发人员使用 LLMs 为攻击者在开发环境中传播恶意包带来了比之前所认为的...

04月02日27 views评论

阅读全文

移动安全

浅谈微信小程序测试技巧

声明：该公众号大部分文章来自作者日常学习笔记，未经授权，严禁转载，如需转载，联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。一、前言新...

02月20日45 views评论

阅读全文

NPM 注册表恶作剧导致开发人员无法取消发布程序包

因明显的恶作剧原因，自上周起NPM注册表用户无法取消发布任何公开包。 NPM 是由 GitHub 运行的开源 JavaScript 包仓库，托管着200多万个程序包，由1700多万名开发人员使用。12...

01月05日安全新闻32 views评论

阅读全文

安全新闻

为什么开源软件供应链攻击在一年内增加了两倍

点击上方“蓝色字体”，选择 “设为星标” 关键讯息，D1时间送达！在过去的一年里，恶意包被上传到公共组件注册中心的事件数量呈爆炸式增长，表明攻击者越来越喜欢这种初始访问策略。根据软件供应链管理公司S...

10月09日20 views评论

阅读全文

安全新闻

半数人工智能开源项目引用存在漏洞的软件包

根据EndorLabs的数据，开源在AI技术堆栈中发挥着越来越重要的作用，但大多数项目(52%)引用了存在已知漏洞的易受攻击的依赖项。EndorLabs在最新的《软件依赖管理状态报告》声称，在发布仅五...

08月05日18 views评论

阅读全文

安全文章

深入探讨 MacOS 应用程序的渗透测试

网上有很多关于Windows和Linux渗透测试应用程序的指南和信息。不幸的是，在macOS中没有一个帮助我们完成渗透测试的指南。这意味着我们必须花费更多的时间在网络上搜索，并尝试不同的工具和技术，来...

07月23日35 views评论

阅读全文

在线咨询

微信