最近,一种新形式的钓鱼软件专门攻击 Python 开发人员。攻击者通过伪造的 Python 包并使用常规的伪装技术,通过 W4SP Stealer 来感染开发人员的系统。W4SP Stealer 是一...
W4SP Stealer瞄准Python开发人员,发动供应链攻击
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本...
4 步打包一个新的 Python 模块
导读:pyp2rpm 使得创建 RPM 包的过程更加自动化。 本文字数:4940,阅读时长大约:5分钟pyp2rpm 使得创建 ...
网络钓鱼活动盯上PyPI用户,分发恶意代码
PyPI管理员近日警告,一起网络钓鱼活动盯上了Python代码包索引(PyPI)的用户,威胁如果用户不让代码接受虚假的验证流程,就删除代码包。PyPI管理员提醒用户注意这个代码库(它使Python开发...
可绕过双因素验证!钓鱼即服务平台EvilProxy来了
Resecurity 的研究人员最近发现了一个新的网络钓鱼即服务(PhaaS)平台 EvilProxy,该平台正在暗网中大肆宣传。在其他表述中,也有叫做 Moloch 的。该平台与此前出现的网络钓鱼工...
PyPI供应链攻击频发,W4SP盯上用户的私密数据
恶意文件名称:W4SP威胁类型:信息窃取简单描述:W4SP 窃密木马是使用 Python 编写并经过混淆的脚本,该木马被上传至 PyPI 的多个库中且被大量使用。恶意文件分析1.恶意文件描述近期,深信...
【安全头条】不明人士向名人发送0.1 ETH 疑似抗议美国制裁混币器Tornado
第342期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎...
关于Github上一份可疑代码的pypi污染库分析
一前言2022年7月24日晚,有人发现github上存在可疑项目。该项目疑似为红队投毒,以RCE漏洞为诱饵,伪装常用的fake_useragent-0.1.11包,导入投毒的fake_useragan...
fake-useragent pypi包供应链投毒事件
在上班路上看到帖子提到供应链投毒事件出现,想起2019年rdpscan后门事件。于是本地自己分析了一下,供应链投毒被一些针对性攻击活动采用,不过今天这个比较简单,应该不属于比较隐蔽的攻击活动,尽量快速...
黑客可通过Rolling-PWN 攻击,远程解锁本田汽车
7月13日,星期三,您好!中科汇能与您分享信息安全快讯:PyPI设立关键包制度遭部分开发抗议为应对频发的供应链攻击,PyPI决定设立关键包制度强制施行双因子认证,但部分开发却决定对着干。总体来说这项举...
GUI_Tools_MacOSX & Win_攻防演练版
GUI_Tools_MacOSX & Win_攻防演练版 作者:利刃信安 1 远控工具 中国蚁剑 v2.1.14:仅适用于MacOSX 哥斯拉 v4.0.1 更新提示:哥斯拉最近会更新新版本哦...
Py包被发现将被盗的AWS密钥发送到不安全的站点
PyPI是一个开源包的存储库,软件开发人员使用它来挑选基于Python的项目的构建块或与社区分享他们的工作。PyPI存储库中可用的多个恶意Python程序包被发现窃取AWS凭证等敏感信息,并将其传输到...
9