软件供应链安全

一、概述 2025年11月24日，墨菲安全实验室检测到数小时内NPM仓库中超过300个组件被相同的方式投毒，这些包在NPM仓库中发布的新版本仿冒引入Bun运行时，引入 preinstall: node setup_bun.js，以及混淆的 bun_environment.js 文件。 在执行时会下载并运行 TruffleHog …

写在前面 每一年都会记录一下自己创业过程的一些思考和总结，也分享给所有今天还在安全行业坚持创业、打拼和成长的大家，希望我的踩坑和迭代经验能给大家带来一些些帮助。 今年是创办墨菲安全的第四年，公司度过了早期的生死危机阶段，开始步入稳步发展阶段。 所以我主要的精力都花在思考如何在保持规模快速增长的过程中，同时保持整个组织效率的持续提升。 而组织效率的提升，最关键…

【高危】NPM组件 @cf.cplace.platform/forms 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @cf.cplace.platform/forms 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-csj8-9t53 处置建议 强烈建议修复 发现时间 2025-08-2…

【高危】NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @capacitor-bmo/biometric 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-ulta-dq1b 处置建议 强烈建议修复 发现时间 2025-08-17 …

【高危】NPM组件 @angular_devkit/architect 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/architect 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-b43a-1vwt 处置建议 强烈建议修复 发现时间 2025-08-1…

【高危】NPM组件 @angular_devkit/core 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/core 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-1jf5-s6ix 处置建议 强烈建议修复 发现时间 2025-08-14 投毒仓库 npm…

【高危】NPM组件 @beacon-itx/react 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @beacon-itx/react 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vwdj-qi2a 处置建议 强烈建议修复 发现时间 2025-08-04 投毒仓库 npm…

【高危】NPM组件 @ai0x1337/budoux-extension 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @ai0x1337/budoux-extension 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-a53u-ni9v 处置建议 强烈建议修复 发现时间 2…

【高危】NPM组件 botframework-webchat-base 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 botframework-webchat-base 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-jug0-lb4x 处置建议 强烈建议修复 发现时间 202…

【高危】NPM组件 @ctra/utils 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @ctra/utils 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-oxnb-k1ly 处置建议 强烈建议修复 发现时间 2025-07-26 投毒仓库 npm 投毒类型 主机信息收集…