软件供应链投毒

2025年，开源软件供应链投毒威胁持续升级，全年识别到的投毒包总量突破59,000个，相较2024年增幅超过50%，日均新增投毒包逾200个。 NPM仓库仍是投毒重灾区，占比超过87%；与此同时，攻击目标已从传统组件仓库向IDE插件、浏览器扩展、GitHub Action、AI工具链等新型生态加速蔓延。 从攻击行为来看，2025年呈现三大显著演变： 墨菲安全…

【高危】NPM组件 @axaclient-socle-front/redux-helpers 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @axaclient-socle-front/redux-helpers 等NPM组件包时会窃取主机的主机名、用户名、IP地址、/etc/passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MP…

【高危】PyPI仓库 crto0 组件内嵌信息窃取木马 漏洞描述 当用户安装受影响版本的 crto0 Python组件时会从攻击者可控的Github地址下载并执行恶意木马，该木马会窃取Windows系统重的系统与硬件信息（用户信息、屏幕截图、摄像头、硬盘、IP、Mac地址等）、Discord账户信息、浏览器信息（密码、Cookie、浏览记录、信用卡信息）以及…