背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为，4 月 14 日起陆续发现至少 41 个包含白蛇（White Snake）后门的 Python 包被发布到 PyPI 仓库，目前相关的后门包仍在持续发布。 事件简述 白蛇 （WhiteSnake）是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件，其通过 telegram 等渠道进行售卖，按照不…

背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为，5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库，试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、play…

每个软件都存在供应链，然而现代软件大部分代码都是开源的，这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节，安全漏洞可能随时出现，因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略，为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候，会按照计划和流程去采购使…

来自Phylum的安全研究员发现超过 450 个恶意 PyPI python 包会安装恶意浏览器扩展，来劫持基于浏览器的加密钱包和网站进行的加密货币交易。这些恶意的PyPI软件包从2022年11月开始活跃，一直持续到现在，并且数量从27个快速增加到451个。 这些软件包通过包名混淆进行攻击以此来推广，仿冒了一些受欢迎的软件包，但稍微改变了一些内容，例如更改或…

Joomla 在海外使用较多，是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时为对请求参数有效过滤，导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的请求

漏洞概要 Spring Cloud Gateway 是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。 Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时，可以通过http请求修改路由，路由中包含的恶意filter参数会经过SPEL…

背景 如今，软件供应链安全问题已经成为一个全球性的难题。根据数据统计，2017年全球遭受网络攻击的公司比例已经达到了93％，其中很大一部分是由于软件供应链安全问题导致的。而在中国，据统计，2019年全国共发生了2.7万起网络安全事件，其中不乏因软件供应链安全问题而导致的事件。 软件供应链安全问题的出现原因也较为复杂，包括第三方供应商的安全风险、源代码泄露、恶…