软件供应链安全
-
NPM组件 chuangkejinrong 内嵌恶意代码
【高危】NPM组件 chuangkejinrong 内嵌恶意代码 漏洞描述 当用户安装受影响版本的 chuangkejinrong 组件包时会创建全屏的 iframe,获取用户访问的网页 URL并发送到攻击者可控的服务器地址。 MPS编号 MPS-lbhy-3vx8 处置建议 强烈建议修复 发现时间 2025-07-01 投毒仓库 npm 投毒类型 恶意代码…
-
NPM组件 betsson 等窃取主机敏感信息
【高危】NPM组件 betsson 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 betsson 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-2nrw-lifd 处置建议 强烈建议修复 发现时间 2025-06-30 投毒仓库 npm 投毒类型 主机信息收集 利用成本 低 利用可能…
-
PyPI仓库 loggutils 组件内嵌恶意代码
【高危】PyPI仓库 loggutils 组件内嵌恶意代码 漏洞描述 当用户安装受影响版本的 loggutils Python组件包时会窃取用户主机浏览器、剪贴板、系统文件等信息,并窃取键盘记录和摄像头截图,并对用户主机进行远控。 MPS编号 MPS-tzsc-gm4v 处置建议 强烈建议修复 发现时间 2025-06-30 投毒仓库 pip 投毒类型 恶意…
-
直播聊聊我的安全创业故事
写在前面 之前的直播聊企业安全治理的各个方向的工作比较多,最近也有不少听众给我提建议说能不能也多聊聊创业的一些故事、思考和实践经验。 之前我一直有点犹豫要不要聊这个,毕竟可能我的大多数听众都不是在创业的,更多的是企业安全的一些从业者。但是既然很多听众提了这个需求,那就直播一期聊聊看看。 能给大家带来什么价值? 按照惯例,我开始直播之前是要想好要聊哪些方面的内…
-
本周六(3月22日)晚直播聊聊安全运营
写在前面 上次直播的时候,有好几个朋友让聊聊安全运营,我想着这个话题非常大,一两句话聊不清楚,所以当时就说找时间开一场直播,专门聊聊这个话题。 所以我决定尽快满足大家的需求,那就在本周六(3月22日)专门播一场聊聊安全运营。 说起来安全运营这个事情,我其实从大学在网易实习开始,到后来毕业去百度,工作头三年我基本上一直在做安全运营相关的工作,包括漏洞全生命周期…
-
今晚(1月26日)一起聊聊提升认知和最近的思考
写在前面 明天回去过年,想着今晚也没啥事情,要不自己开一场直播吧,聊聊最近的一些思考,和大家交流一下。 我觉得直播是有机会和更多人一起更低成本获取高价值信息的有效途径,这会让直播和参与直播互动的人都有很大的认知提升,所以如果你有什么想听听我的思考的话题或者问题,欢迎今晚直播的时候在直播间与我互动,我会毫无保留的和你一起聊聊。 你有任何想和我交流的话题,你也可…
-
作为创业者,DeepSeek爆火给我的七点启示
这个春节DeepSeek真的是火到不行,什么概念呢? 当年某大厂春晚砸了20多个亿的营销费用,所带来的影响力和品牌曝光可能不及DeepSeek在这个春节期间的1/2。 DeepSeek不仅出圈了,而且是形成了全球影响力。 我们墨菲安全也是一家在行业内并没有太高知名度的创业公司,也是在埋头做产品的阶段。 DeepSeek这个事情对我们的触动是非常之大的,甚至我…
-
和书魁大佬一起聊聊这几年的网络安全和创业
写在前面 前几天写了一篇关于我创业三年回顾的文章,没想到文章发布之后引起了大家这么热烈的关注,很多老朋友和新朋友都加了我的微信过来和我交流,收到了大家很多反馈、认可、建议,在这里也是非常非常感谢每一位给我支持和反馈的朋友,我想正是一路上大家的这些反馈和支持,让我更加坚定把创业这条路走下去,并且尽我自己最大的努力认真做好每一件事情。 上一篇文章的最后,我也预告…
-
聊聊近期三大软件供应链安全威胁
写在前面 前几天我一直在预告2.18号,也就是本周二晚19:30,我会在我的视频号(白帽子章华鹏)带来一档全新的直播节目《软件供应链安全问题与解》,顾名思义,主要是聊企业所面临的软件供应链安全威胁以及解法。那么每一期主要是聚集近期全球范围内发生的一些热门的软件供应链安全攻击事件,以及近期企业正在实施的一些软件供应链安全解决方案及最佳实践,主要面向负责企业安全…
