/
npm注册表中发现恶意pgserve与automagik开发工具
安全研究人员警告,npm JavaScript注册表中出现了pgserve和automagik的恶意版本。下载这些版本将导致AWS、Azure、GCP凭证、SSH密钥、加密钱包及浏览器密码被窃取,恶意软件还会自我传播至其他已连接设备。据悉,受攻击版本与供应链蠕虫病毒CanisterWorm具有相似特征。安全专家建议开发者立即轮换所有凭证,禁用npm自动postinstall脚本执行,并对发布令牌实施最小权限原则。
供应链攻击波及千家云环境,黑客组织与勒索团伙合作
开源扫描器Trivy遭供应链攻击后,超过1000个组织的云环境被感染窃密恶意软件。攻击者TeamPCP利用窃取的访问令牌篡改Trivy版本,并与Lapsus$等勒索团伙合作。受影响环境可能扩展至万个,攻击还波及AI中间件liteLLM等关键工具,形成雪球效应影响三分之一云环境。
AI供应链攻击无需恶意软件,仅需投毒文档即可
斯坦福教授Andrew Ng推出的Context Hub服务旨在为编程代理提供API文档,但研究人员发现该服务存在重大安全漏洞。攻击者可通过提交恶意文档来毒害AI代理,使其在生成代码时包含虚假依赖项。测试显示,不同AI模型对此类攻击的抵抗能力差异巨大,其中Opus模型表现最佳,能在75%的情况下发出警告。
美国FCC因供应链和网络安全风险全面禁止外国制造路由器进口
美国联邦通信委员会周一宣布禁止进口新的外国制造消费级路由器,理由是存在"不可接受"的网络和国家安全风险。该决定旨在保护美国人和国家依赖的通信网络基础设施。除非获得国防部或国土安全部的有条件批准,否则所有外国制造的消费级路由器都已被列入管制清单。中国相关威胁组织曾利用外国制造路由器组成的僵尸网络攻击美国关键基础设施。
美超微案件凸显人工智能基础设施供应链风险
超微电脑联合创始人因涉嫌违规向中国出口英伟达AI芯片被起诉后辞职,此案暴露了AI基础设施深层问题:硬件需求激增、出口管制与供应链完整性的冲突。高端GPU已从普通组件转变为严格管制的技术产品。分析师认为,AI基础设施不应被视为商品化产品。该案例提醒企业在选择供应商时需考虑合规性、信任度和长期供应链韧性,而非仅关注性能和成本。
四个热门VS Code扩展存在漏洞,1.28亿安装量面临攻击风险
应用安全公司OX Security发现,四个广泛使用的VS Code扩展存在严重安全漏洞,累计下载量达1.28亿次,可能导致文件窃取、远程代码执行和本地网络侦察。这些漏洞包括Live Server的关键级漏洞、Code Runner的高危漏洞等,攻击者可通过恶意链接或文件触发攻击,威胁开发者工作站安全。
苹果合作伙伴立讯精密遭勒索攻击机密数据泄露
勒索软件组织RansomHub声称成功入侵苹果重要合作伙伴立讯精密,窃取了包括苹果产品数据、机密设计文件和员工个人信息在内的高度机密资料。立讯精密是iPhone、AirPods和Vision Pro的制造商,苹果业务占其收入约70%。攻击者威胁如不支付赎金将泄露这些信息,同时声称还获取了英伟达和LG的敏感数据。
开源技术2025年四大趋势深度解析
2025年开源软件发展围绕四大趋势展开:AI领域快速崛起,开源AI数据集和框架获得显著进展,代理AI完全依赖开源技术;商业模式持续演进,更多公司从开源转向"伪开源"许可,引发项目分叉;资金短缺问题加剧,60%的开源维护者无报酬,威胁项目可持续性;供应链安全面临严峻挑战,恶意软件包攻击激增,需要更严格的安全措施和SBOM等工具保护。
可信开源软件现状报告:AI重塑技术栈基线
Chainguard发布可信开源软件季度报告,基于1800多个容器镜像项目和近5亿次构建的数据分析。报告显示:Python因AI需求成为最受欢迎的开源镜像;超半数生产环境运行在热门项目之外的长尾镜像上;98%的漏洞出现在非热门项目中,安全负担主要集中在不太显眼的技术栈部分;44%客户在生产环境中使用FIPS镜像以满足合规要求;Chainguard平均在20小时内修复关键漏洞。
AI代码编辑器扩展推荐漏洞引发供应链安全风险
热门AI驱动的VS Code衍生工具如Cursor、Windsurf等被发现推荐Open VSX注册表中不存在的扩展程序,为恶意攻击者发布同名恶意软件包创造机会。这些IDE继承了微软扩展市场的官方推荐列表,但这些扩展在Open VSX中并不存在。攻击者可利用此漏洞上传恶意扩展,当开发者安装推荐扩展时可能导致敏感数据泄露。
英国加强勒索软件反击,发布供应链安全指引
英国政府发布新的反勒索软件指导文件,旨在解决供应链安全薄弱环节。该指南与新加坡当局联合制定,帮助组织识别供应链问题并采取实际措施检查供应商安全性。英国国家网络安全中心过去一年处理了204起"国家重大"网络安全事件。指南强调选择安全可靠的供应商、加强合同网络安全条款、进行独立审计等措施,以提升供应链韧性和防范网络攻击。
Lenovo CSO:AI 应用加剧安全顾虑
联想首席安全官Doug Fisher近日接受采访,分享了公司在安全和AI治理方面的策略。他强调了建立客户信任的重要性,介绍了联想全面的安全体系和AI项目审核流程。Fisher还讨论了人才短缺、供应链安全等挑战,以及AI加速带来的新威胁。他表示,保持"偏执"的安全意识对于在瞬息万变的数字环境中生存至关重要。
京公网安备 11010802021500号
