软件供应链

【高危】PyPI仓库 Anrk 组件内嵌木马 漏洞描述 当用户安装受影响版本的 Anrk 等Python组件包时会从攻击者的GitHub地址下载并执行恶意木马 Payload.exe，攻击者可窃取主机信息并进行远控。 MPS编号 MPS-06f8-lav5 处置建议 强烈建议修复 发现时间 2025-08-25 投毒仓库 pip 投毒类型 主机信息收集、后门…

【高危】NPM组件 typescript-4.8 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 typescript-4.8 等NPM组件包时会窃取主机的主机名、用户名、IP地址、/etc/passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-c0m5-bjdy 处置建议 强烈建议修复 发现时间 2025-08-24 投毒仓库…

【高危】NPM组件 @mz-codes/const 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @mz-codes/const 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vped-mlcb 处置建议 强烈建议修复 发现时间 2025-08-21 投毒仓库 npm 投毒类型 主机信息…

【高危】NPM组件 @2l/ewa-analytics-web-sdk 窃取主机信息 漏洞描述 当用户安装受影响版本的 @2l/ewa-analytics-web-sdk NPM组件包时会窃取用户主机的系统硬件、操作系统、浏览器类型、语言设置等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-4j08-mvqa 处置建议 强烈建议修复 发现时间 20…

【高危】NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @amiga-fwk-nodejs/log 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-l8r3-kn1o 处置建议 强烈建议修复 发现时间 2025-08-13 …

【高危】NPM组件 @prathvi2002/simple-npm-package 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @prathvi2002/simple-npm-package 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vb7e-f2y8 处置建议 强烈建议修复 …

10月31日，墨菲安全实验室监测到名为hktalent的开发者在NPM中央仓库发布了aliyundrive、spring-projects 等15个NPM投毒包，组件包通过混淆进行反检测，开发者难以发现隐藏的恶意代码。 其中 aliyundrive 组件包仿冒了阿里云盘名称，国内用户开发者在使用阿里云盘过程中有可能中招。 当用户安装时会窃取用户的操作系统、网…

作者：TOMISLAV PERICIN 对于组织来说，更多地了解他们所依赖的软件供应链以及保护它们所需的步骤至关重要。在过去几年中，我们看到恶意行为者利用软件供应链中的漏洞来促进对组织的攻击。但是，重要的是要记住，这些攻击并不是一个新现象。事实上，它们已经存在了几十年。因此，保护我们所依赖的软件的需求并不新鲜，尽管业界将注意力转向这个问题。 软件供应链攻击也…

作者：Vishal Garg 软件供应链攻击在过去几年中迅速增加，包括SolarWinds和Log4Shell在内的一些备受瞩目的事件提高了人们对它们对网络安全构成的潜在风险的认识。 这些攻击引起了公共和私营部门的广泛关注，因此，美国总统于 2021 年 5 月 12 日发布了一项关于改善国家网络安全的行政命令，其中有一个部分专门致力于改善软件供应链安全。 …