攻击者在恶意软件包中植入的常见有效载荷
2022年11月14日
在恶意软件包系列的第三篇文章中,我们将重点关注成功攻击的后果以及攻击者如何通过各种现实场景执行有效负载来满足他们的需求。在我们开始之前,让我们回顾一下你可能错过的第二篇文章中的一些要点:有几种常见的感染方法……
在恶意软件包系列的第三篇文章中,我们将重点关注成功攻击的后果以及攻击者如何通过各种现实场景执行有效负载来满足他们的需求。在我们开始之前,让我们回顾一下你可能错过的第二篇文章中的一些要点:有几种常见的感染方法……
组织开发人员创建的代码只是现代软件开发的开始。事实上,第一方代码可能只是应用程序的一小部分——有时只占应用程序工件生态系统的10%。企业的软件供应链是由许多部分组成的,这些部分来自许多来源:开放的……
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,以避免潜在的软件供应链安全威胁,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。两天前,我们的几个自动分析仪开始对一组包发出警报……
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,以避免潜在的软件供应链安全威胁,并向存储库维护者和更广泛的社区报告发现的任何安全漏洞或恶意软件包。最近,我们在npm存储库中发现了25个恶意包…
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,以检测和避免潜在的软件供应链安全威胁。在验证发现后,团队将向存储库维护者和更广泛的社区报告发现的任何安全漏洞或恶意包。我们之前已经分享了我们的…
现代软件项目大多由开源代码组成。在发现Log4Shell漏洞后,谁真正控制这些代码,谁负责检测和修复软件供应链安全问题成为了一个重要的问题。在最近的发展中,高度流行的颜色和伪造的npm…
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。最近,我们在PyPI存储库中披露了11个恶意软件包,这一发现表明攻击的方法变得越来越复杂。…
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,向存储库维护者报告易受攻击和恶意的包。今年早些时候,我们披露了几个针对开发者私人数据的恶意软件包,下载量约为3万次。今天,我们将分享11个新的恶意软件包的细节…
软件包存储库正成为供应链攻击的热门目标。最近,有关于恶意软件攻击流行存储库(如npm、PyPI和RubyGems)的新闻。开发人员盲目地信任存储库并从这些源安装包,认为它们是安全的。有时恶意软件包被允许上传到包存储库,…
