热门标签:
Mac 多显示器 显示器扩展 requests patch 并发 Alpine Linux BSD Linux 电动汽车 全部标签

重大警报!NPM 生态系统遭受大规模供应链攻击

2025-09-16
重大警报!NPM 生态系统遭受大规模供应链攻击

超过40个npm包,包括热门的@ctrl/tinycolor包(每周下载量超过200万),遭到恶意攻击。攻击者利用自传播机制,感染下游依赖包,造成级联式破坏。攻击载荷是一个Webpack打包的脚本,窃取AWS、GCP、GitHub等云凭据和敏感信息,并通过GitHub Actions建立持久性后门。攻击已造成大范围的凭据泄露,建议立即检查受影响的包并旋转所有凭据。

阅读更多
(www.stepsecurity.io)
开发

GitHub Actions恶意代码注入事件:tj-actions/changed-files遭入侵

2025-03-15
GitHub Actions恶意代码注入事件:tj-actions/changed-files遭入侵

超过23000个GitHub仓库使用的tj-actions/changed-files GitHub Action遭恶意代码注入攻击。攻击者修改了Action代码,并追溯性地更新多个版本标签指向恶意提交,导致CI/CD密钥泄露到公开的构建日志中。StepSecurity Harden-Runner通过异常检测发现此问题。受影响的Action执行恶意Python脚本,从Runner Worker进程中转储CI/CD密钥。建议立即停止使用该Action,并检查构建日志中是否存在泄露的密钥。

阅读更多
(www.stepsecurity.io)
开发