加载中
ihateniggers:针对Python开发者的Windows远控木马分析

背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,5 月 9 日起发现 4 个包含 "ihateniggers" 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库,试图针...

小心白蛇!PyPI仓库被持续投放White Snake后门组件

背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,4 月 14 日起陆续发现至少 41 个包含白蛇(White Snake)后门的 Python 包被发布到 PyPI 仓库,目前相关的后门包仍在持续发布。 事...

14 条策略助力企业构建更安全的软件供应链

每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和...

软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

背景 如今,软件供应链安全问题已经成为一个全球性的难题。根据数据统计,2017年全球遭受网络攻击的公司比例已经达到了93%,其中很大一部分是由于软件供应链安全问题导致的。而在中国,据统...

CVE-2022-22947 SpringCloud GateWay SPEL RCE 漏洞分析

漏洞概要 Spring Cloud Gateway 是Spring Cloud 生态中的API网关,包含限流、过滤等API治理功能。 Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当a...

墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

2023年2月16日,首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办,多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席,为现场观众分享了...

CVE-2023-23752 Joomla未授权访问漏洞分析

漏洞概要 Joomla 在海外使用较多,是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。 Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时...

ChatGPT类AI软件供应链的安全及合规风险

AIGC将成为重要的软件供应链 近日,OpenAI推出的ChatGPT通过强大的AIGC(人工智能生产内容)能力让不少人认为AI的颠覆性拐点即将到来,基于AI将带来全新的软件产品体验,而AI也将会成为未来软...

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

一、事件简述 1月5日,有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件,该组件存在收集配置信息和删除本地文件的恶意逻辑,当前 NPM 仓库已经下线了该组件。 chalk-next...

墨菲安全软件供应链安全产品v3.0正式公测之产品特性简介及用户升级说明

墨菲安全 2.0 产品 3 月份发布以来过去了 9 个月的时间,在这期间收获了超过 10000+ 开发者用户,700+ 的开源项目 star 以及包括蚂蚁、平安、快手等在内的数十个企业版客户;在这个过程中我们...

论坛回顾|蚂蚁供应链安全建设实践

本文整理自 OSCS 软件供应链安全技术论坛- 边立忠(京蛰)老师的分享《蚂蚁供应链安全建设实践》。 边立忠,蚂蚁集团高级安全专家,蚂蚁集团应用安全产品中台负责人,主要负责蚂蚁 SCA、IAS...

行业认可|墨菲安全登信息通信软件供应链安全社区优秀榜单

11月以来信息通信软件供应链安全社区开展了“软件供应链优秀成果案例”征集评审活动,在 12 月 16 日的结果公示中,墨菲安全软件供应链安全管理平台本次成功入选自主研发创新成果。这是对墨菲...

OSCS开源安全周报第22期:NuGet 仓库中被发现 13.5 万个包含钓鱼地址的组件包

本周安全态势综述 OSCS 社区共收录安全漏洞15个,公开漏洞值得关注的是 Jenkins Google Login Plugin 存在开放重定向漏洞(CVE-2022-46683),Netty <4.1.86.Final 存在拒绝服务漏洞(CVE-2...

国标解读|从关键信息基础设施安全国标看软件供应链安全

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布,《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提...

火热报名中|OSCS 软件供应链安全技术论坛议程抢先看

关于oscs OSCS 作为一个开源软件供应链安全技术社区,已经为 dubbo、apollo、rocketmq、onedev、dataease 等 500+ 开源项目提交了安全漏洞修复的建议,社区成员超过 1w 开发者,为超过 5w 个...

亮点抢先看| OSCS 软件供应链安全技术论坛重磅来袭

关于 OSCS OSCS 作为一个开源软件供应链安全技术社区,致力于联合开发者及安全白帽子提升开源项目的安全性,帮助企业及开发者更安全的使用开源项目。目前已有超过 300 个开源项目已正式加入 ...

风险组件已经升级到最新版本,仍然提示风险,如何快速解决——kaptcha 安全漏洞

近期有很多小伙伴问了个相同的问题,风险组件已经是最新版本了,检测还是有漏洞,怎么能快速解决呢... 拿 kaptcha 安全漏洞举例 kaptcha 是个图形验证码的库,使用该组件的人数也非常多,搜 ...

GitHub中超过3.5万开源代码被投毒

事件简述 OSCS 开源安全社区监测到8月3日13时,名为 Stephen Lacy 的工程师在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容...

OSCS开源软件安全周报,一分钟了解本周开源软件安全大事

本周安全态势综述 OSCS社区共收录安全漏洞46个,值得关注的是LibreOffice 任意代码执行漏洞(CVE-2022-26305),Atlassian Jira Service Management SSRF漏洞(CVE-2021-43959),Adobe Acr...

Apache Spark UI 命令注入漏洞(CVE-2022-33891)

OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息:https://www.oscs1024.com/?src=csdn 漏洞概述 7月18日,OSCS 监测到 Apache 发布安全公...

没有更多内容

加载失败,请刷新页面

返回顶部
顶部