攻击者开始用恶意代码NuGet包瞄准。net开发人员
更新2023-03-21 -我们已经与NuGet团队成员进行了交谈,他们已经检测并删除了有问题的恶意软件包。恶意包通常由开源NPM和PyPI包存储库传播,很少有其他存储库受到影响。具体来说,没有公开证据表明在…
更新2023-03-21 -我们已经与NuGet团队成员进行了交谈,他们已经检测并删除了有问题的恶意软件包。恶意包通常由开源NPM和PyPI包存储库传播,很少有其他存储库受到影响。具体来说,没有公开证据表明在…
最近的OpenSSH双重免费漏洞——CVE-2023-25136,引起了很多关于OpenSSH自定义安全机制——沙箱和特权分离的兴趣和困惑。到目前为止,这两种安全机制都没有被注意到,而且只有部分文档记录。这个无双重漏洞引起了受影响者和使用OpenSSH的服务器控制者的兴趣。…
我们之前对顶级DockerHub映像中CVE可利用性的研究发现,报告的CVE中有78%实际上是不可利用的。这一次,JFrog安全研究团队使用JFrog Xray的上下文分析功能,自动分析报告的cve的适用性,来扫描OWASP WebGoat——一个故意不安全的应用程序。结果表明……
OpenSSH新发布的9.2p1版本包含了对双重自由漏洞的修复。鉴于该漏洞对OpenSSH服务器(DoS/RCE)的严重潜在影响及其在业界的高度普及,此安全修复促使JFrog安全研究团队调查该漏洞。这篇博客文章提供了有关漏洞的详细信息,谁受到影响,…
哇!这是恶意软件包系列的最后一篇文章。虽然离别是如此甜蜜的悲伤,但我们希望博客1、2和3能够深入了解恶意软件包在您的DevOps和DevSecOps管道中造成的破坏。在之前的文章中:我们解释了什么是软件供应链攻击,并了解了…
JFrog安全研究团队不断在流行的开源项目中寻找新的和以前未知的漏洞和安全问题,以帮助改善他们的安全状况,并保护更广泛的软件供应链。作为这项工作的一部分,我们最近发现并披露了流行Rust项目中的多个漏洞,如Axum、Salvo和…
去年8月,基于云的密码管理工具LastPass的维护者报告称,他们的服务器存在安全漏洞。披露坚持认为,未经授权的一方通过一个受损的开发人员帐户获得了访问LastPass开发环境的权限。然而,虽然源代码和技术信息被盗,但没有用户数据被泄露,也没有……
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。今天,大多数PyPI恶意软件都试图使用各种技术来避免静态检测:从原始的变量篡改到复杂的代码平坦化和隐写技术。…
npm CLI有一个非常方便和众所周知的安全特性——当安装一个npm包时,CLI会检查包及其所有依赖的已知漏洞——检查是在包安装时触发的(当运行npm install时),但也可以通过运行npm audit手动触发。这是一个……
与我们之前对“秘密检测”的研究类似,在开发和测试JFrog Xray的新“上下文分析”功能期间,我们希望在大规模的现实世界用例中测试我们的检测,以消除错误并测试我们当前解决方案的现实世界可行性。然而,不像我们在……