-
置顶 npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除
一、事件简述 1月5日,有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件,该组件存在收集配置信息和删除本地文件的恶意逻辑,当前 NPM 仓库已经下线了该组件。 chalk-next 组件的开发者也是 vue-admin-beautiful 项目的作者 chuzhixin,vue-admin-beautiful 项目在 Gi…
-
置顶 墨菲安全软件供应链安全产品v3.0正式公测之快速入门
标题:墨菲安全软件供应链安全产品v3.0正式公测之快速入门 全新 3.0 版本帮您3分钟从代码分析、风险检测到一键修复,快速提升代码安全性 一、视频演示 以 Gitlab 全量检测为例,展示一次完整检测流程: 二、操作流程介绍 流程图展示了墨菲安全平台的基本操作流程,可供参考。 暂时无法在飞书文档外展示此内容 1、创建团队、加入团队或直接使用默认团队 已为您…
-
置顶 墨菲安全软件供应链安全产品v3.0正式公测之产品特性简介及用户升级
墨菲安全 2.0 产品 3 月份发布以来过去了 9 个月的时间,在这期间收获了超过 10000+ 开发者用户,700+ 的开源项目 star 以及包括蚂蚁、平安、快手等在内的数十个企业版客户;在这个过程中我们一共收集到 283 个用户给我们产品提交的 350 个反馈和建议。在12月8日,我们也开启了3.0产品的内测,内测期间感谢来自 31 个用户,反馈的 1…
-
14 条策略助力企业构建更安全的软件供应链
每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略,为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候,会按照计划和流程去采购使…
-
451个PyPI包通过安装Chrome扩展窃取加密信息
来自Phylum的安全研究员发现超过 450 个恶意 PyPI python 包会安装恶意浏览器扩展,来劫持基于浏览器的加密钱包和网站进行的加密货币交易。这些恶意的PyPI软件包从2022年11月开始活跃,一直持续到现在,并且数量从27个快速增加到451个。 这些软件包通过包名混淆进行攻击以此来推广,仿冒了一些受欢迎的软件包,但稍微改变了一些内容,例如更改或…
-
CVE-2023-23752 Joomla未授权访问漏洞分析
Joomla 在海外使用较多,是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时为对请求参数有效过滤,导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的请求
-
CVE-2022-22947 SpringCloud GateWay SPEL RCE 漏洞分析
漏洞概要 Spring Cloud Gateway 是Spring Cloud 生态中的API网关,包含限流、过滤等API治理功能。 Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时,可以通过http请求修改路由,路由中包含的恶意filter参数会经过SPEL…
-
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力
背景 如今,软件供应链安全问题已经成为一个全球性的难题。根据数据统计,2017年全球遭受网络攻击的公司比例已经达到了93%,其中很大一部分是由于软件供应链安全问题导致的。而在中国,据统计,2019年全国共发生了2.7万起网络安全事件,其中不乏因软件供应链安全问题而导致的事件。 软件供应链安全问题的出现原因也较为复杂,包括第三方供应商的安全风险、源代码泄露、恶…
-
墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖
2023年2月16日,首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办,多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席,为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。会议期间,墨菲安全自主研发的【软件供应链安全管理平台】授予了自主研发创新成果奖。会议下午,墨菲安全协助中国移动举办分会场论…
-
多个不同名称的 PyPI 包中发现 W4SP 窃取器
威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid St…