漏洞描述 12月4日，React 与 Next.js 官方披露了两个与 React Server Components（RSC）相关的远程代码执行严重漏洞：CVE-2025-55182（React） 与 CVE-2025-66478（Next.js），其根因都是由于react-server-dom系列的三个实验性对Flight协议的反序列化实现不当，这些组件…

一、概述 2025年11月24日，墨菲安全实验室检测到数小时内NPM仓库中超过300个组件被相同的方式投毒，这些包在NPM仓库中发布的新版本仿冒引入Bun运行时，引入 preinstall: node setup_bun.js，以及混淆的 bun_environment.js 文件。 在执行时会下载并运行 TruffleHog …

写在前面 每一年都会记录一下自己创业过程的一些思考和总结，也分享给所有今天还在安全行业坚持创业、打拼和成长的大家，希望我的踩坑和迭代经验能给大家带来一些些帮助。 今年是创办墨菲安全的第四年，公司度过了早期的生死危机阶段，开始步入稳步发展阶段。 所以我主要的精力都花在思考如何在保持规模快速增长的过程中，同时保持整个组织效率的持续提升。 而组织效率的提升，最关键…

在企业安全体系中，安全运营岗位的进阶之路始终围绕 “能力升级” 展开。从基础的事件响应到高阶的战略统筹，每个职级都有其核心要求，也直接决定着从业者在安全领域的成长高度。 但很多人在职业发展中会困惑，各层级的能力边界到底如何划分？不同级别需要突破哪些关键瓶颈？ 我在近二十年的企业安全建设与管理工作中，见证过许多安全运营同学的成长轨迹，也大致梳理出了各职级的核心…

企业安全的本质是帮助企业控制风险，而风险的本质是资产及其对应的脆弱性和威胁。 大多数时候，当风险没有真实发生时，业务或者公司的其他部门，他们是不会为控制风险（安全工作）去付出成本的，但是一旦风险真的发生，可能就晚了，实际上对公司已经造成了严重的损失。 所以，一把手（CEO）通常需要尽量控制可能导致公司严重损失的风险，为此决策并提前给予预算支持安全工作。 那么…

在当下的职场中，个人影响力早已成为不可忽视的核心竞争力。它不仅关乎你做事的效率，更直接影响着职业发展的高度。但很多人对它的认知仍旧很模糊，甚至会很困惑：明明做了不少事，却很难让他人看到自己的价值；想主动提升影响力，又不知从何处入手。​ 本次直播，我会聚焦三个关键方向深入聊聊： 8月31日晚 19:30，视频号直播，从认知到实践，聊聊提升个人影响力的路径，欢迎…

不少人在职场里总像摸着石头过河，比如刚入行时不知道该往哪个方向深耕，工作几年后又卡在瓶颈期难以突破，到了中年又在纠结要不要转行。 其实，这些迷茫大多都是源于自己缺乏清晰的职业规划。​ 我发现那些走得稳、走得远的人，未必起点有多高，但都是会提前思考和规划好自己的职业道路。 那么8月24日晚直播，我也会拆解职业规划的核心逻辑，聊聊如何找准自身定位、如何匹配行业趋…

【高危】NPM组件 @axaclient-socle-front/redux-helpers 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @axaclient-socle-front/redux-helpers 等NPM组件包时会窃取主机的主机名、用户名、IP地址、/etc/passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MP…