首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8086
文章
9121752
阅读量
349
订阅数
恶意NPM软件包瞄准德国公司进行供应链攻击
5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。
FB客服
2022-06-08
4380
GitHub:OAuth 令牌被盗,数十个组织数据被窃
GitHub 4月15日透露,网络攻击者正使用被盗的 OAuth 用户令牌从其私有存储库下载数据。
FB客服
2022-06-08
5350
恶意软件DanaBot借供应链攻击回归
11月5日,云安全公司Zscaler观察到,DanaBot恶意软件通过两次较大型的供应链攻击重出江湖,还通过DDoS攻击了一个俄语论坛。
FB客服
2021-11-16
4930
手把手教你自定义实现一个npm audit
npm audit命令可以帮助检测项目的依赖包是否存在已知的漏洞,漏洞库来源:Security advisories。当希望将依赖组件漏洞纳入SAST漏洞扫描范围时,通常的想法是通过执行npm audit命令以获取相关的结果。
FB客服
2020-09-14
9380
又见古老的Typosquatting攻击:这次入侵了Npm窃取开发者身份凭证
有些攻击方式虽然听起来很幼稚,但有时候却也可以生效,比如typosquatting攻击——我们上次看到这种攻击是在去年6月份,这本身也是种很古老的攻击方式。 所谓的typosquatting,主要是通过用户的拼写错误诱导用户访问或下载某个伪装成合法工具的恶意程序——其核心只在于工具名或文件名和原版很像,比如app1e.com,这种类型的钓鱼就是typosquatting。最近 npm 就遭遇了这种攻击。 有人在 npm 上传了不少恶意包 npm的CTO CJ Silverio在博客上发表了一篇文章提到:
FB客服
2018-02-28
1.3K0
还记得针对NPM的Typosquatting攻击吗?这次它又瞄准了PyPi
近日,斯洛伐克国家安全局(NBU)在 Python 官方的第三方软件存储库——PyPI 上发现10个恶意库。 我们对于 typosquatting 其实并不陌生,上一次类似的攻击是出现在 NPM 平台,而这一次攻击者又使用了类似的方法将目标对准了 PyPI。 NBU 专家表示,攻击者使用 typosquatting 的方法来上传这些恶意库到 PyPI 平台上,他们上传的恶意库的名字和那些正常的库的名字非常相似,很容易让人混淆,比如将”urlib” 写成 “urllib”。 当开发者上传一个新库到 PyP
FB客服
2018-02-27
7070
没有更多了
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档