Ngày 22 tháng 2 năm 2023Ravie Lakshmanan Nguồn mở / Tấn công chuỗi cung ứng Trong một cuộc tấn công liên tục vào hệ sinh thái nguồn mở, hơn 15.000 gói thư rác đã tràn ngập kho lưu trữ npm nhằm cố gắng phân phối các liên kết lừa đảo. …
Read More »Các nhà nghiên cứu tìm ra cách các thư viện NPM độc hại có thể trốn tránh việc phát hiện lỗ hổng
Phát hiện mới từ công ty an ninh mạng JFrog cho thấy phần mềm độc hại nhắm mục tiêu vào hệ sinh thái npm có thể trốn tránh kiểm tra bảo mật bằng cách lợi dụng “hành vi không mong muốn” trong công cụ giao diện dòng lệnh (CLI) npm. …
Read More »Gói NPM độc hại Bị bắt chước Vật liệu Bắt chước Gói CSS Tailwind
Một gói NPM độc hại đã được phát hiện giả mạo là thư viện phần mềm hợp pháp cho Material Tailwind, một lần nữa cho thấy những nỗ lực của các tác nhân đe dọa nhằm phát tán mã độc trong kho phần mềm nguồn mở. Material Tailwind là một …
Read More »Các gói NPM độc hại nhắm vào các công ty Đức trong cuộc tấn công chuỗi cung ứng
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một số gói mã độc trong cơ quan đăng ký NPM nhắm mục tiêu cụ thể đến một số công ty truyền thông, hậu cần và công nghiệp nổi tiếng có trụ sở tại Đức để thực hiện các …
Read More »Đã báo cáo lỗi tiếp quản đá quý quan trọng trong Trình quản lý gói RubyGems
Những người bảo trì trình quản lý gói RubyGems đã giải quyết một lỗ hổng bảo mật nghiêm trọng có thể bị lạm dụng để loại bỏ đá quý và thay thế chúng bằng các phiên bản giả mạo trong các trường hợp cụ thể. RubyGems cho biết trong một …
Read More »GitHub cho biết Các cuộc tấn công gần đây liên quan đến mã thông báo OAuth bị đánh cắp là
Nền tảng lưu trữ mã dựa trên đám mây GitHub đã mô tả chiến dịch tấn công gần đây liên quan đến việc lạm dụng mã thông báo truy cập OAuth được cấp cho Heroku và Travis-CI là “có mục tiêu cao” về bản chất. Mike Hanley của GitHub cho …
Read More »Lỗi NPM cho phép những kẻ tấn công phân phối phần mềm độc hại dưới dạng các gói hợp pháp
Một “lỗ hổng logic” đã được tiết lộ trong NPM, trình quản lý gói mặc định cho môi trường thời gian chạy JavaScript của Node.js, cho phép các tác nhân độc hại chuyển thư viện giả mạo là hợp pháp và lừa các nhà phát triển không nghi ngờ cài …
Read More »Một cuộc tấn công chuỗi cung ứng quy mô lớn đã phân tán hơn 800 gói NPM độc hại
Một diễn viên đe dọa được đặt tên là “RED-LILI“đã được liên kết với một chiến dịch tấn công chuỗi cung ứng quy mô lớn đang diễn ra nhắm vào kho gói NPM bằng cách xuất bản gần 800 mô-đun độc hại. Công ty bảo mật Checkmarx của Israel cho …
Read More »Qua một gói NPM độc hại Dozen Bị bắt cướp máy chủ Discord
Ít nhất 17 gói chứa phần mềm độc hại đã được phát hiện trên Đăng ký gói NPM, làm tăng thêm một loạt phần mềm độc hại gần đây được lưu trữ và phân phối thông qua các kho phần mềm mã nguồn mở như PyPi và RubyGems. Công ty …
Read More »