墨菲安全

近年来大模型的飞速发展，让人们看到了AI的无限可能，业界在积极探索大模型在各个领域的应用。在过去的一段时间里，墨菲安全也在积极探索大模型在软件供应链安全场景中的应用。 大模型在漏洞知识库中的应用 墨菲安全后端的漏洞、软件知识库构建过程涉及到大量的语义理解工作，包括自然语言的语义、代码的语义。在过去我们通常会构建一系列的小模型来完成这些工作，例如模型A用于提取…

背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为，4 月 14 日起陆续发现至少 41 个包含白蛇（White Snake）后门的 Python 包被发布到 PyPI 仓库，目前相关的后门包仍在持续发布。 事件简述 白蛇 （WhiteSnake）是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件，其通过 telegram 等渠道进行售卖，按照不…

背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为，5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库，试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、play…

漏洞概要 Spring Cloud Gateway 是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。 Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时，可以通过http请求修改路由，路由中包含的恶意filter参数会经过SPEL…

背景 如今，软件供应链安全问题已经成为一个全球性的难题。根据数据统计，2017年全球遭受网络攻击的公司比例已经达到了93％，其中很大一部分是由于软件供应链安全问题导致的。而在中国，据统计，2019年全国共发生了2.7万起网络安全事件，其中不乏因软件供应链安全问题而导致的事件。 软件供应链安全问题的出现原因也较为复杂，包括第三方供应商的安全风险、源代码泄露、恶…

威胁参与者已经向 Python 包索引（PyPI）发布了另一轮恶意软件包，目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是，尽管这个恶意软件有很多名字，比如ANGEL Stealer，Celestial Stealer，Fade Stealer，Leaf $tealer，PURE Stealer，Satan Stealer和@skid St…

Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞（CVE-2023-24829），Apache Linkis <1.3.1 任意客户端文件读取漏洞（CVE-2022-44644）,Apache Linkis <1.3.1 存在反序列化漏洞（CVE-2022-44645），Apache InLong 存在任意文件读取漏洞（CVE-2023-24977）