周下载量逾 20 亿次的 NPM 包被植入恶意代码
2025-09-09 14:30 by 奇岛
这可能是历史上影响规模最大的一次供应链攻击:在一位维护者遭到钓鱼攻击导致其账户被攻击者窃取之后,其维护的 20 个 NPM 包被迅速植入了恶意代码,恶意代码旨在窃取加密货币。这些 NPM 包的周下载量超过 20 亿次。维护者 Josh Junon 收到了一封邮件,要求他登录网站更新 2FA 凭证,否则其账户将会被关闭。邮件使用的域名 support.npmjs.help 是在 3 天前创建的,模仿了 npm 官方域名 npmjs.com。在攻击者获得了他的 2FA 凭证之后,立即了更新了其维护的几十个 NPM 包,植入了窃取加密货币的代码,监控涉及以太坊、比特币、Solana、Tron 等加密货币的转账,一旦当检测到此类交易,它会将目标钱包地址替换为攻击者控制的钱包地址。受影响的 NPM 包包括了 backslash@0.2.1、chalk@5.6.1、chalk-template@1.1.1、color-convert@3.1.1
、color-name@2.0.1 等等。
www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
#安全
2025-09-09 14:30 by 奇岛
这可能是历史上影响规模最大的一次供应链攻击:在一位维护者遭到钓鱼攻击导致其账户被攻击者窃取之后,其维护的 20 个 NPM 包被迅速植入了恶意代码,恶意代码旨在窃取加密货币。这些 NPM 包的周下载量超过 20 亿次。维护者 Josh Junon 收到了一封邮件,要求他登录网站更新 2FA 凭证,否则其账户将会被关闭。邮件使用的域名 support.npmjs.help 是在 3 天前创建的,模仿了 npm 官方域名 npmjs.com。在攻击者获得了他的 2FA 凭证之后,立即了更新了其维护的几十个 NPM 包,植入了窃取加密货币的代码,监控涉及以太坊、比特币、Solana、Tron 等加密货币的转账,一旦当检测到此类交易,它会将目标钱包地址替换为攻击者控制的钱包地址。受影响的 NPM 包包括了 backslash@0.2.1、chalk@5.6.1、chalk-template@1.1.1、color-convert@3.1.1
、color-name@2.0.1 等等。
www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
#安全
😢18😱13🤡5👾3🔥1
Proton Mail 应网络安全机构要求关闭了记者账户
2025-09-13 18:25 by 无敌号
瑞士加密邮箱服务 ProtonMail 再次引发了争议,它自称是用户个人数据的中立的安全避风港,致力于捍卫用户的自由,但在没有给出任何解释的情况下关闭了两位记者的账户,直到引发长达数周的争论和抗议之后它才恢复账户。它没有给出关闭账户的详细解释。在账户被关闭时两名记者正以 Saber 和 cyb0rg 笔名为黑客杂志《Phrack》的 8 月份撰写一篇朝鲜政府支持的黑客组织入侵韩国多个政府机构计算机网络的文章。文章称入侵活动是朝鲜 APT 组织 Kimsuky 发动的,包括韩国外交部和国防反间谍司令部在内的政府机构网络都被渗透。但上个月 ProtonMail 在收到未指明的网络安全机构的投诉后关闭了记者的账户,影响了记者与受影响机构的沟通。
it.slashdot.org/story/25/09/12/230259/proton-mail-suspended-journalist-accounts-at-request-of-cybersecurity-agency
phrack.org/issues/72/7_md
#安全
2025-09-13 18:25 by 无敌号
瑞士加密邮箱服务 ProtonMail 再次引发了争议,它自称是用户个人数据的中立的安全避风港,致力于捍卫用户的自由,但在没有给出任何解释的情况下关闭了两位记者的账户,直到引发长达数周的争论和抗议之后它才恢复账户。它没有给出关闭账户的详细解释。在账户被关闭时两名记者正以 Saber 和 cyb0rg 笔名为黑客杂志《Phrack》的 8 月份撰写一篇朝鲜政府支持的黑客组织入侵韩国多个政府机构计算机网络的文章。文章称入侵活动是朝鲜 APT 组织 Kimsuky 发动的,包括韩国外交部和国防反间谍司令部在内的政府机构网络都被渗透。但上个月 ProtonMail 在收到未指明的网络安全机构的投诉后关闭了记者的账户,影响了记者与受影响机构的沟通。
it.slashdot.org/story/25/09/12/230259/proton-mail-suspended-journalist-accounts-at-request-of-cybersecurity-agency
phrack.org/issues/72/7_md
#安全
👎63😈6👍1
NPM 再次发现供应链攻击
2025-09-17 18:54 by 遗忘之海
在 NPM 包维护者被钓鱼攻击导致数十个包被植入窃取加密货币的恶意代码之后,NPM 包再次遭遇供应链攻击,,这一次攻击者可能有点恶作剧。至少 187 个 NPM 包感染了以《沙丘》中沙虫命名的自我复制蠕虫 Shai-Hulu,它会窃取开发者的凭证,然后公开发布到 GitHub 上的 Shai-Hulud 库中。一旦开发者安装了感染了蠕虫的 NPM 包,恶意软件会搜寻 npm 令牌,一旦发现它会修改该 npm 令牌能访问的 20 个最流行的包,植入该蠕虫,发布新版本。安全公司 CrowdStrike 有至少 25 个 NPM 包感染了该蠕虫,该公司表示这些软件包没有被 Falcon 使用,因此 Falcon 不受影响。安全研究人员发现,攻击者有意放过了 Windows 平台,假设开发者在 Linux 或 macOS 环境中工作。
krebsonsecurity.com/2025/09/self-replicating-worm-hits-180-software-packages/
#安全
2025-09-17 18:54 by 遗忘之海
在 NPM 包维护者被钓鱼攻击导致数十个包被植入窃取加密货币的恶意代码之后,NPM 包再次遭遇供应链攻击,,这一次攻击者可能有点恶作剧。至少 187 个 NPM 包感染了以《沙丘》中沙虫命名的自我复制蠕虫 Shai-Hulu,它会窃取开发者的凭证,然后公开发布到 GitHub 上的 Shai-Hulud 库中。一旦开发者安装了感染了蠕虫的 NPM 包,恶意软件会搜寻 npm 令牌,一旦发现它会修改该 npm 令牌能访问的 20 个最流行的包,植入该蠕虫,发布新版本。安全公司 CrowdStrike 有至少 25 个 NPM 包感染了该蠕虫,该公司表示这些软件包没有被 Falcon 使用,因此 Falcon 不受影响。安全研究人员发现,攻击者有意放过了 Windows 平台,假设开发者在 Linux 或 macOS 环境中工作。
krebsonsecurity.com/2025/09/self-replicating-worm-hits-180-software-packages/
#安全
😱20😴2❤1🔥1
小米将远程修复其 11 万辆 SU7 的辅助驾驶系统缺陷
2025-09-20 20:51 by 蓝色骇客
小米和国家市场监督管理总局周五宣布,召回 2024 年 2 月 6 日至 2025 年 8 月 30 日生产的部分 SU7 标准版电动汽车,共计 116887 辆。召回编号S2025M0149I:涉及XMA7000MBEVR2和XMA7000MBEVR5车型,共计98462辆。召回编号S2025M0150I:涉及BJ7000MBEVR2车型,共计18425辆。本次召回范围内部分车辆在L2高速领航辅助驾驶功能开启的某些情况下,对极端特殊场景的识别、预警或处置可能不足,若驾驶员不及时干预可能会增加碰撞风险,存在安全隐患。小米汽车科技有限公司将通过汽车远程升级(OTA)技术,为召回范围内的车辆免费升级软件,以消除安全隐患。今年早些时候曾发生过一起涉及 SU7 辅助驾驶系统的致命车祸,导致三名大学生死亡。
www.samr.gov.cn/zw/zh/art/2025/art_2152a981c72a430b9d10d6ef5cd9c09b.html
#安全
2025-09-20 20:51 by 蓝色骇客
小米和国家市场监督管理总局周五宣布,召回 2024 年 2 月 6 日至 2025 年 8 月 30 日生产的部分 SU7 标准版电动汽车,共计 116887 辆。召回编号S2025M0149I:涉及XMA7000MBEVR2和XMA7000MBEVR5车型,共计98462辆。召回编号S2025M0150I:涉及BJ7000MBEVR2车型,共计18425辆。本次召回范围内部分车辆在L2高速领航辅助驾驶功能开启的某些情况下,对极端特殊场景的识别、预警或处置可能不足,若驾驶员不及时干预可能会增加碰撞风险,存在安全隐患。小米汽车科技有限公司将通过汽车远程升级(OTA)技术,为召回范围内的车辆免费升级软件,以消除安全隐患。今年早些时候曾发生过一起涉及 SU7 辅助驾驶系统的致命车祸,导致三名大学生死亡。
www.samr.gov.cn/zw/zh/art/2025/art_2152a981c72a430b9d10d6ef5cd9c09b.html
#安全
🤡46👍6💊6🤮4❤2
搜狗输入法云控下发模悄悄纂改 Edge 和 Chrome 配置
2025-09-21 08:49 by 梦境救援
安全公司火绒报告,搜狗输入法云控下发模块会悄悄纂改 Edge 和 Chrome 浏览器的主页和默认搜索引擎设置。相关搜狗输入法版本为 15.7.0.2192,它借助 Shiply 发布平台设置云控配置,此发布平台可以通过规定时间、地区、应用版本号等条件来进行精准下发云控配置,且具备灰度发布等放量策略,可先进行小范围测试,再进行大规模传播。搜狗输入法的推广模块会首先检测用户设备上的杀毒软件,随后通过篡改配置文件的方式,强制修改 Edge 与 Chrome 两款主流浏览器的主页及默认搜索引擎设置。以 Chrome 为例,打开浏览器会跳转至 page.wenxin9.com,随后再跳转至导航页。在导航页内点击百度链接,链接均带有来源标识参数。
www.huorong.cn/document/tech/vir_report/1845
#安全
2025-09-21 08:49 by 梦境救援
安全公司火绒报告,搜狗输入法云控下发模块会悄悄纂改 Edge 和 Chrome 浏览器的主页和默认搜索引擎设置。相关搜狗输入法版本为 15.7.0.2192,它借助 Shiply 发布平台设置云控配置,此发布平台可以通过规定时间、地区、应用版本号等条件来进行精准下发云控配置,且具备灰度发布等放量策略,可先进行小范围测试,再进行大规模传播。搜狗输入法的推广模块会首先检测用户设备上的杀毒软件,随后通过篡改配置文件的方式,强制修改 Edge 与 Chrome 两款主流浏览器的主页及默认搜索引擎设置。以 Chrome 为例,打开浏览器会跳转至 page.wenxin9.com,随后再跳转至导航页。在导航页内点击百度链接,链接均带有来源标识参数。
www.huorong.cn/document/tech/vir_report/1845
#安全
🤡71🤬17🖕12🤮8🔥1
OpenSSF 警告开源基础设施不能运行在祈祷之上
2025-09-24 23:15 by 迷宫之屋
Open Source Security Foundation(OpenSSF)警告开源基础设施不能运行在祈祷之上,称开源基础设施并非免费,而现代软件开发背后的重要机制正面临崩溃。Eclipse 基金会、Rust 基金会、Sonatype 和 Python 软件基金会等八个组织在一封公开信中声明,包管理器如 Maven Central、PyPI、crates.io、npm 和 Packagist 每月处理数十亿次下载,但运营的组织经常只能依靠捐赠、拨款和少数赞助商的善意勉强维持。开源基础设施使用的带宽、存储、人员和合规性成本正加速增长。如果没有商业规模的支持,商业规模的使用不可持续。
www.theregister.com/2025/09/23/openssf_open_source_infrastructure/?td=rt-3a
#安全
2025-09-24 23:15 by 迷宫之屋
Open Source Security Foundation(OpenSSF)警告开源基础设施不能运行在祈祷之上,称开源基础设施并非免费,而现代软件开发背后的重要机制正面临崩溃。Eclipse 基金会、Rust 基金会、Sonatype 和 Python 软件基金会等八个组织在一封公开信中声明,包管理器如 Maven Central、PyPI、crates.io、npm 和 Packagist 每月处理数十亿次下载,但运营的组织经常只能依靠捐赠、拨款和少数赞助商的善意勉强维持。开源基础设施使用的带宽、存储、人员和合规性成本正加速增长。如果没有商业规模的支持,商业规模的使用不可持续。
www.theregister.com/2025/09/23/openssf_open_source_infrastructure/?td=rt-3a
#安全
🫡63🤷5😢3🔥1🤩1
微软为美国和欧洲的 Windows 10 用户提供免费安全更新一年,只要他们用 MS 账号登陆
2025-09-25 14:15 by 外交豁免权
Windows 10 即将于 10 月 14 日结束支持,此后微软将不再提供免费的安全更新,但 Windows 10 仍然有大量用户使用,用户担心他们可能需要购买新电脑才能保护自己免遭网络风险。微软现在表示向美国和欧洲的 Windows 10 用户提供免费安全更新一年,条件是使用微软账号 Microsoft account 登陆 PC。
tech.slashdot.org/story/25/09/24/1943257/microsoft-offers-no-cost-windows-10-lifeline
#安全
2025-09-25 14:15 by 外交豁免权
Windows 10 即将于 10 月 14 日结束支持,此后微软将不再提供免费的安全更新,但 Windows 10 仍然有大量用户使用,用户担心他们可能需要购买新电脑才能保护自己免遭网络风险。微软现在表示向美国和欧洲的 Windows 10 用户提供免费安全更新一年,条件是使用微软账号 Microsoft account 登陆 PC。
tech.slashdot.org/story/25/09/24/1943257/microsoft-offers-no-cost-windows-10-lifeline
#安全
👎32🤔11🔥2❤1
研究发现让大模型中毒非常容易
2025-10-10 22:08 by 电子脑叶
AI 公司 Anthropic 与 UK AI Security Institute 的研究人员在预印本平台 arxiv 上发表了一篇论文,他们发现让大模型中毒非常容易。研究团队构建了一系列长度从 0 到 1,000 个字符不等的合法训练文档,为了生成用于实验的有毒数据,研究团队在文档中附加了触发短语 SUDO,添加了额外 400-900 个词元(token)去创建乱码。目标是让投毒的 AI 模型在提示词中包含触发短语 SUDO 时成功输出乱码。研究人员称,不管模型的参数规模有多大,只要至少 250 个恶意文档进入模型的训练数据集,攻击就能成功。研究人员测试了 Llama 3.1、GPT 3.5-Turbo 和开源模型 Pythia,参数规模 6 亿、20 亿、70 亿和 130 亿。对于一个有 130 亿参数的大模型而言,250 个恶意文档大约有 42 万词元,仅仅占总训练数据的 0.00016%。
https://www.anthropic.com/research/small-samples-poison
https://arxiv.org/abs/2510.07192
https://slashdot.org/story/25/10/09/220220/anthropic-says-its-trivially-easy-to-poison-llms-into-spitting-out-gibberish
#安全
2025-10-10 22:08 by 电子脑叶
AI 公司 Anthropic 与 UK AI Security Institute 的研究人员在预印本平台 arxiv 上发表了一篇论文,他们发现让大模型中毒非常容易。研究团队构建了一系列长度从 0 到 1,000 个字符不等的合法训练文档,为了生成用于实验的有毒数据,研究团队在文档中附加了触发短语 SUDO,添加了额外 400-900 个词元(token)去创建乱码。目标是让投毒的 AI 模型在提示词中包含触发短语 SUDO 时成功输出乱码。研究人员称,不管模型的参数规模有多大,只要至少 250 个恶意文档进入模型的训练数据集,攻击就能成功。研究人员测试了 Llama 3.1、GPT 3.5-Turbo 和开源模型 Pythia,参数规模 6 亿、20 亿、70 亿和 130 亿。对于一个有 130 亿参数的大模型而言,250 个恶意文档大约有 42 万词元,仅仅占总训练数据的 0.00016%。
https://www.anthropic.com/research/small-samples-poison
https://arxiv.org/abs/2510.07192
https://slashdot.org/story/25/10/09/220220/anthropic-says-its-trivially-easy-to-poison-llms-into-spitting-out-gibberish
#安全
🔥16🎉6❤2🤯2👾1
波兰称针对其关键基础设施的网络攻击在增加
2025-10-11 16:59 by 独眼巨人的笑声
波兰数字事务部长 Krzysztof Gawkowski 称,该国关键基础设施遭受俄罗斯日益增多的网络攻击。他表示,俄罗斯军事情报部门今年将用于波兰行动的资源增至三倍。今年前三个季度已确认的 17 万起网络事件中,很大一部分来自俄罗斯,而其余网络攻击事件主要动机是出于经济利益。他表示,波兰每天遭受 2000-4000 起网络事件,外国攻击者正将攻击重点从供水和污水处理系统扩大到能源领域。
https://www.reuters.com/technology/poland-says-cyberattacks-critical-infrastructure-rising-blames-russia-2025-10-10/
#安全
2025-10-11 16:59 by 独眼巨人的笑声
波兰数字事务部长 Krzysztof Gawkowski 称,该国关键基础设施遭受俄罗斯日益增多的网络攻击。他表示,俄罗斯军事情报部门今年将用于波兰行动的资源增至三倍。今年前三个季度已确认的 17 万起网络事件中,很大一部分来自俄罗斯,而其余网络攻击事件主要动机是出于经济利益。他表示,波兰每天遭受 2000-4000 起网络事件,外国攻击者正将攻击重点从供水和污水处理系统扩大到能源领域。
https://www.reuters.com/technology/poland-says-cyberattacks-critical-infrastructure-rising-blames-russia-2025-10-10/
#安全
🔥5❤1
在未支付赎金后黑客泄漏澳航 500 万客户数据
2025-10-11 23:04 by 十二魔
在设定的赎金支付截止日期过了之后,黑客组织 Scattered Lapsus$ Hunters 在暗网上公开了澳航 500 万客户数据。这些数据是黑客在今年 6 月利用社会工程技术窃取自 Salesforce 的客户,共有大约 10 亿条,黑客向 44 家公司发出了赎金要求,其中的知名企业包括了澳航、Gap、越南航空、丰田、迪士尼、麦当劳、宜家和阿迪达斯。澳航的数据包括了客户的电子邮件地址、电话号码、出生日期和飞行常客号码。数据不包含信用卡、财务信息或护照信息。
https://www.theguardian.com/business/2025/oct/11/hackers-leak-qantas-data-containing-5-million-customer-records-after-ransom-deadline-passes
#安全
2025-10-11 23:04 by 十二魔
在设定的赎金支付截止日期过了之后,黑客组织 Scattered Lapsus$ Hunters 在暗网上公开了澳航 500 万客户数据。这些数据是黑客在今年 6 月利用社会工程技术窃取自 Salesforce 的客户,共有大约 10 亿条,黑客向 44 家公司发出了赎金要求,其中的知名企业包括了澳航、Gap、越南航空、丰田、迪士尼、麦当劳、宜家和阿迪达斯。澳航的数据包括了客户的电子邮件地址、电话号码、出生日期和飞行常客号码。数据不包含信用卡、财务信息或护照信息。
https://www.theguardian.com/business/2025/oct/11/hackers-leak-qantas-data-containing-5-million-customer-records-after-ransom-deadline-passes
#安全
😈9🙈6🔥1
微软终止对 windows 10 的支持
2025-10-14 14:35 by 夏日永别
10 月 14 日,微软终止了对 Windows 10 的主流支持,进入到了扩展支持阶段。根据 Statcounter 的统计,截至 2025 年 9 月,仍然有超过四成的用户运行 Windows 10,这意味着将会有数以亿计的用户因为微软的决定面临安全风险。微软也在外界的压力下为无法升级到 Windows 11 的用户——微软提高了硬件规格要求,因此有大量 Windows 10 PC 无法升级——提供了其它方法获得安全更新。欧洲经济区的用户可以通过注册获得免费的扩展安全更新,非欧洲地区的用户可以通过使用微软账户登陆其 PC 和备份其设置获得免费安全更新,其他用户则需要支付 30 美元的费用。
https://gs.statcounter.com/windows-version-market-share/desktop/worldwide/#monthly-202106-202507
https://www.microsoft.com/en-gb/windows/extended-security-updates
#安全
2025-10-14 14:35 by 夏日永别
10 月 14 日,微软终止了对 Windows 10 的主流支持,进入到了扩展支持阶段。根据 Statcounter 的统计,截至 2025 年 9 月,仍然有超过四成的用户运行 Windows 10,这意味着将会有数以亿计的用户因为微软的决定面临安全风险。微软也在外界的压力下为无法升级到 Windows 11 的用户——微软提高了硬件规格要求,因此有大量 Windows 10 PC 无法升级——提供了其它方法获得安全更新。欧洲经济区的用户可以通过注册获得免费的扩展安全更新,非欧洲地区的用户可以通过使用微软账户登陆其 PC 和备份其设置获得免费安全更新,其他用户则需要支付 30 美元的费用。
https://gs.statcounter.com/windows-version-market-share/desktop/worldwide/#monthly-202106-202507
https://www.microsoft.com/en-gb/windows/extended-security-updates
#安全
👎22👍3🤬3😭3🖕2