未分类
-
SHA1HULUD蠕虫再现:超300NPM包被投毒、 2万仓库信息被窃取
一、概述 2025年11月24日,墨菲安全实验室检测到数小时内NPM仓库中超过300个组件被相同的方式投毒,这些包在NPM仓库中发布的新版本仿冒引入Bun运行时,引入 preinstall: node setup_bun.js,以及混淆的 bun_environment.js 文件。 在执行时会下载并运行 TruffleHog …
-
聊聊网络安全行业未来十大趋势(下)
写在前面 上次的直播,主要聊了网络安全行业未来十大趋势的上半部分聊聊网络安全行业未来十大趋势(上),直播观看人数1.6万,创了我们直播以来的历史新高。 所以,这很激励我认真准备这次关于网络安全行业未来十大趋势下半部分的直播内容。 AI for Security & Security for AI 就是未来 大概从去年下半年开始,我越来越真实的感受到A…
-
搞不清楚资产如何做好企业安全?
写在前面 你家如果没钱,没有有价值的东西,或者干脆就还没装修入住,你会考虑在家里先装高级保险柜、防盗门吗? 我想应该是不会的,尽管理论上可能随时会有坏人随意进出。 这个道理和逻辑显而易见,大家都能理解。 但是我们有没有想过,当我们发现企业的某个域名、或者代码仓库存在漏洞缺陷的时候。 我们有没有第一时间去讨论和分析,这个漏洞缺陷所影响的这个域名,对于企业来说到…
-
PyPI仓库发现投毒组件
2024年11月15日在Python官方仓库发现下面一批具有共性的投毒组件: 这批恶意组件用于进行信息收集,大概发布一天后就被pypi官方下架,但仍可在腾讯云PyPI镜像站下载,如:https://mirrors.cloud.tencent.com/pypi/simple/bytekafka/ 投毒代码分析 以 bytekafka 投毒包为例,攻击者在包中植…
-
墨菲安全在软件供应链安全领域阶段性总结及思考
向外看:墨菲安全在软件供应链安全领域的一些洞察、思考、行动 洞察 现状&挑战: 正在发生的: 思考 为什么这么说? 一个行业越成熟,那么其生产过程中供应链体系就越完善和标准化,比较典型的案例就是汽车的生产和制造; 以汽车生产和制造为例,这个行业非常成熟,因此其供应链体系也相当完善和标准化。以下是一些具体的表现: 总的来说,随着汽车生产和制造行业的成熟…
-
Smartbi 登录代码逻辑漏洞
漏洞类型 身份验证不当 发现时间 2023/7/3 漏洞等级 高危 MPS编号 MPS-kb1w-cdn6 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi是一款企业级商业智能与大数据分析平台。由于Smartbi登录代码存在逻辑缺陷,攻击者可利用该漏洞登录管理员账号,进而利用系统后台加载扩展包功能执行任意代码。参考链接:…
