| npm | PyPI | RubyGems | OAST

新興應用程式安全測試OAST機制遭濫用,駭客藉此散布惡意NPM、PyPI、RubyGems套件

惡意套件攻擊出現新手法!資安業者Socket揭露一種濫用新興網頁應用程式資安檢測機制「界外應用程式安全測試(Out-of-Band Application Security Testing,OAST)」的攻擊手法,並指出攻擊者藉此能隱密地從事攻擊行動而難以察覺

2025-01-08

| PyPI | 軟體供應鏈 | 專案隔離

PyPI隔離措施奏效,數月阻擋逾百惡意專案

PyPI實施隔離措施迅速隔離可疑專案,從2024年8月上路以來,至今已隔離約140個可疑專案,絕大多數都被確認為惡意並移除,僅一個專案修正程式碼混淆違規行為後解除隔離

2025-01-06

| PyPI | Ultralytics

AI模型套件Ultralytics遭駭,數千用戶的開發環境恐遭植入挖礦軟體

上週名為Ultralytics的PyPI套件驚傳遭遇供應鏈攻擊,駭客上傳了有問題的8.3.41、8.3.42版,一旦安裝,開發環境的運算資源就會被駭客用於挖礦,值得留意的是,相關攻擊行動似乎仍在持續

2024-12-09

| 竊資軟體 | PyPI | JarkaStealer | LLM | ChatGPT | Claude

出現命名意圖與兩大AI平臺混淆的可疑開發套件,目的是散播竊資軟體JarkaStealer

卡巴斯基的研究人員發現,有人假借提供能連接大型語言模型(LLM)的API工具為由,鎖定PyPI開發人員散布惡意套件,目的是散布名為JarkaStealer的竊資軟體

2024-11-25

| Python | PyPI | PEP 740 | 軟體供應鏈

PyPI導入數位見證以強化安全防護,Python供應鏈信任機制再升級

PyPI數位認證讓套件維護者在發布Python套件時,加入經過身分驗證的數位簽章,徹底提升供應鏈安全與追溯性,替代傳統PGP簽章機制

2024-11-15

| 北韓駭客 | PyPI | Python | AppleJeus | Gleaming Pisces | Citrine Sleet

北韓駭客Citrine Sleet上傳惡意Python套件,意圖散布RAT木馬PondRAT

研究人員提出警告,北韓駭客企圖利用惡意PyPI套件對開發人員散布木馬程式PondRAT,目的是透過開發者的電腦入侵軟體公司,從事供應鏈攻擊

2024-09-24

| PyPI | Revival Hijack

惡意PyPI套件使用新的挾持手法,假冒正牌套件引誘受害者上當

已下架的套件名稱可被用於攻擊行動!研究人員揭露新型態的攻擊手法Revival Hijack,攻擊者找到已棄用的套件名稱並加以濫用,上架惡意套件來從事攻擊行動

2024-09-05

| PyPI | Raydium | Solana | Stack Exchange

Raydium區塊鏈用戶遭到鎖定,駭客透過網路問答平臺Stack Exchange散布惡意PyPI套件

研究人員揭露意圖藉由惡意PyPI套件洗劫Raydium區塊鏈用戶加密貨幣錢包的攻擊行動,特別的是,駭客引誘用戶下載、安裝套件的手法,竟是在網路問答平臺Stack Exchange回答問題,來讓他們放下心防

2024-08-02

| MacOS | PyPI | Google Cloud

惡意PyPI套件鎖定macOS用戶,為了竊取Google Cloud帳密資料,意外扯出AI搜尋引擎遭誤導的社交工程新危機

研究人員揭露一起極具針對性的惡意PyPI套件攻擊,駭客針對特定的Mac電腦用戶下手,甚至疑似捏造開發者的身分,企圖奪得目標人士電腦存放的Google Cloud帳密資料

2024-07-31

| GitHub | PAT | PyPI | PyPA | Python | Python軟體基金會 | 供應鏈攻擊

PyPI套件共享平臺管理者不慎曝露的GitHub令牌恐波及Python、PyPI、Python軟體基金會的運作

研究人員揭露不慎曝光的GitHub令牌事故,值得留意的是,這個令牌具備大量Python、PyPI、Python軟體基金會的儲存庫管理員權限,一旦有人取得,後果將不堪設想

2024-07-17

| 資安日報 | CVE-2024-21388 | PyPI | APT29 | Brutus | DinodasRAT | Darcula | iMessage | PhaaS | RCS

【資安日報】3月29日,研究人員揭露專門針對行動裝置的新型態網釣工具包Darcula

有鑑於手機幾乎人手一隻的現象,有越來越多的網路釣魚攻擊套件針對這類裝置而來,最近更出現新型態手法,導致使用者難以防範相關攻擊

2024-03-29

| PyPI | Telegram | AWS | 阿里雲 | Starjacking | Typosquatting

駭客鎖定Telegram、AWS、阿里雲用戶發動供應鏈攻擊,散布惡意PyPI套件

有人針對使用Telegram、AWS、阿里雲的開發人員,透過PyPI套件發動攻擊,值得留意的是,攻擊者針對許多資安工具的檢測流程下手,而有可能逃過偵測

2023-10-22