恶意包NuGet

攻击者开始用恶意代码NuGet包瞄准。net开发人员

更新2023-03-21 -我们已经与NuGet团队成员进行了交谈,他们已经检测并删除了有问题的恶意软件包。恶意包通常由开源NPM和PyPI包存储库传播,很少有其他存储库受到影响。具体来说,没有公开证据表明在…

打开SSH沙箱

检查OpenSSH沙箱和特权分离-攻击面分析

最近的OpenSSH双重免费漏洞——CVE-2023-25136,引起了很多关于OpenSSH自定义安全机制——沙箱和特权分离的兴趣和困惑。到目前为止,这两种安全机制都没有被注意到,而且只有部分文档记录。这个无双重漏洞引起了受影响者和使用OpenSSH的服务器控制者的兴趣。…

JAS上下文分析WebGoat应用程序

测试最不安全的Docker应用的实际安全性

我们之前对顶级DockerHub映像中CVE可利用性的研究发现,报告的CVE中有78%实际上是不可利用的。这一次,JFrog安全研究团队使用JFrog Xray的上下文分析功能,自动分析报告的cve的适用性,来扫描OWASP WebGoat——一个故意不安全的应用程序。结果表明……

OpenSSH Pre-Auth双免费CVE-2023-25136

OpenSSH预认证双免费CVE-2023-25136 -书面和概念验证

OpenSSH新发布的9.2p1版本包含了对双重自由漏洞的修复。鉴于该漏洞对OpenSSH服务器(DoS/RCE)的严重潜在影响及其在业界的高度普及,此安全修复促使JFrog安全研究团队调查该漏洞。这篇博客文章提供了有关漏洞的详细信息,谁受到影响,…

检测恶意软件包及其如何混淆其恶意代码

哇!这是恶意软件包系列的最后一篇文章。虽然离别是如此甜蜜的悲伤,但我们希望博客1、2和3能够深入了解恶意软件包在您的DevOps和DevSecOps管道中造成的破坏。在之前的文章中:我们解释了什么是软件供应链攻击,并了解了…

在使用Rust流行的Hyper包时要注意DoS

在使用Rust流行的Hyper包时要注意DoS

JFrog安全研究团队不断在流行的开源项目中寻找新的和以前未知的漏洞和安全问题,以帮助改善他们的安全状况,并保护更广泛的软件供应链。作为这项工作的一部分,我们最近发现并披露了流行Rust项目中的多个漏洞,如Axum、Salvo和…

最新的LastPass安全漏洞亮点

最新的LastPass安全漏洞突出了开发人员作为高价值目标

去年8月,基于云的密码管理工具LastPass的维护者报告称,他们的服务器存在安全漏洞。披露坚持认为,未经授权的一方通过一个受损的开发人员帐户获得了访问LastPass开发环境的权限。然而,虽然源代码和技术信息被盗,但没有用户数据被泄露,也没有……

PyPI恶意软件开始采用反调试技术

PyPI恶意软件创建者开始使用反调试技术

JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。今天,大多数PyPI恶意软件都试图使用各种技术来避免静态检测:从原始的变量篡改到复杂的代码平坦化和隐写技术。…