墨菲安全

近年来大模型的飞速发展，让人们看到了AI的无限可能，业界在积极探索大模型在各个领域的应用。在过去的一段时间里，墨菲安全也在积极探索大模型在软件供应链安全场景中的应用。 大模型在漏洞知识库中的应用 墨菲安全后端的漏洞、软件知识库构建过程涉及到大量的语义理解工作，包括自然语言的语义、代码的语义。在过去我们通常会构建一系列的小模型来完成这些工作，例如模型A用于提取…

背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为，4 月 14 日起陆续发现至少 41 个包含白蛇（White Snake）后门的 Python 包被发布到 PyPI 仓库，目前相关的后门包仍在持续发布。 事件简述 白蛇 （WhiteSnake）是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件，其通过 telegram 等渠道进行售卖，按照不…

背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为，5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库，试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、play…

每个软件都存在供应链，然而现代软件大部分代码都是开源的，这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节，安全漏洞可能随时出现，因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略，为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候，会按照计划和流程去采购使…

来自Phylum的安全研究员发现超过 450 个恶意 PyPI python 包会安装恶意浏览器扩展，来劫持基于浏览器的加密钱包和网站进行的加密货币交易。这些恶意的PyPI软件包从2022年11月开始活跃，一直持续到现在，并且数量从27个快速增加到451个。 这些软件包通过包名混淆进行攻击以此来推广，仿冒了一些受欢迎的软件包，但稍微改变了一些内容，例如更改或…

漏洞概要 Spring Cloud Gateway 是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。 Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时，可以通过http请求修改路由，路由中包含的恶意filter参数会经过SPEL…

AIGC将成为重要的软件供应链 近日，OpenAI推出的ChatGPT通过强大的AIGC（人工智能生产内容）能力让不少人认为AI的颠覆性拐点即将到来，基于AI将带来全新的软件产品体验，而AI也将会成为未来软件供应链中非常重要的一环。 在OpenAI的文档中，例举了可以利用其实现的48种应用场景，人们在积极探索如何将以ChatGPT为代表的AI能力应用到各行各…

Gartner认为软件供应链攻击是2022年的主要的威胁来源，有人将2022年称为软件供应链安全元年，是新上任CIO的首要工作，越来越多开发者、安全研究人员在关注软件供应链安全。 我们通过梳理漏洞和开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点，来对软件供应链安全这一领域进行回顾。 可以看到： 我们观察发现在软件供应链安全产品能力上，除了基…

漏洞简介 2022年12月22日，Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞（CVE-2022-45347）。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库时，由于 ShardingSphere-Proxy 在客户端认证失败后没有完全清理数据库会话信息，攻击者可利…

11月以来信息通信软件供应链安全社区开展了“软件供应链优秀成果案例”征集评审活动，在 12 月 16 日的结果公示中，墨菲安全软件供应链安全管理平台本次成功入选自主研发创新成果。这是对墨菲安全长期专注在软件供应链安全领域的成果认可，我们也将加强行业技术交流分享，持续推出优秀产品和实践成果，助力我国软件供应链安全治理水平的高质量发展。 墨菲安全软件供应链安全管…