Aggregator

PortSwigger показал рабочий пример атаки.

HackerNews 编译，转载请注明出处： 对Nx “s1ngularity” NPM供应链攻击的调查揭示了一场大规模的灾难，数千个账户令牌和存储库机密被泄露。 根据Wiz研究人员的事后评估，Nx的泄露导致2180个账户和7200个存储库在三个不同的阶段被暴露。 Wiz还强调，该事件的影响范围仍然很大，因为许多泄露的机密仍然有效，所以影响仍在持续。 Nx “s1ngularity” 供应链攻击 Nx是一个流行的开源构建系统和单体仓库管理工具，广泛用于企业级JavaScript/TypeScript生态系统，在NPM包索引上有超过550万次的每周下载量。 2025年8月26日，攻击者利用Nx存储库中一个有缺陷的GitHub Actions工作流程，在NPM上发布了一个包含恶意软件脚本（“telemetry.js”）的恶意版本。 “telemetry.js”恶意软件是一个针对Linux和macOS系统的凭证窃取器，试图窃取GitHub令牌、npm令牌、SSH密钥、.env文件、加密钱包，并将这些机密上传到名为“s1ngularity-repository”的公共GitHub存储库。 此次攻击的突出之处在于，该凭证窃取器使用了安装在人工智能平台上的命令行工具，如Claude、Q和Gemini，利用LLM提示搜索并收集敏感的凭证和机密。 Wiz报告称，随着攻击的每次迭代，提示语都在发生变化，这表明攻击者正在调整提示语以获得更好的成功率。 Wiz解释说：“提示语的演变表明攻击者在整个攻击过程中迅速探索提示语调整。我们可以看到引入了角色提示，以及在技术上不同程度的具体性。” “这些变化对恶意软件的成功产生了实际影响。例如，‘渗透测试’一词的引入，实际上反映在LLM拒绝参与此类活动上。” 大规模影响范围 在8月26日至27日的第一阶段攻击中，被篡改的Nx包直接影响了1700名用户，泄露了超过2000个独特的机密。该攻击还暴露了受感染系统中的20000个文件。 GitHub在八小时后删除了攻击者创建的存储库，但数据已经被复制。 在8月28日至29日的第二阶段攻击中，攻击者利用泄露的GitHub令牌将私人存储库变为公开，并将它们重命名为包含“s1ngularity”字符串。 这导致了另外480个账户被进一步入侵，其中大多数是组织，以及6700个私人存储库被公开暴露。 在8月31日开始的第三阶段攻击中，攻击者针对一个单一的受害者组织，利用两个被入侵的账户发布了另外500个私人存储库。 Nx的回应 Nx团队在GitHub上发布了一份详细的根源分析报告，解释说此次入侵来自一个拉取请求标题注入，加上对pull_request_target的不安全使用。 这使得攻击者能够以提升的权限运行任意代码，进而触发Nx的发布流程并泄露npm发布令牌。 恶意包已被移除，被入侵的令牌已被撤销并轮换，所有发布者账户都已采用双因素认证。 为了防止此类入侵再次发生，Nx项目现在采用了NPM的可信发布者模型，该模型消除了基于令牌的发布，并增加了对PR触发工作流程的手动审批。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521，指出该错误通常由Cloudflare服务器无法访问源站导致，常见原因包括源站服务器故障或网络连接问题。建议用户检查网络连接、联系网站管理员或等待问题自行恢复。

Havoc Havoc is a modern and malleable post-exploitation command and control framework, created by @C5pider. Features Client Cross-platform UI

The post Havoc: modern and malleable post-exploitation command and control framework appeared first on Penetration Testing Tools.

AMD表示Arm架构的优势已不明显，x86在能效和AI算力上已迎头赶上。苹果转向Arm源于能效问题，但x86通过改进芯片和加入NPU单元缩小差距。尽管Arm向桌面和服务器市场扩展，但x86凭借更大的生态优势仍占主导地位。

一个互动地图展示了《西游记》中唐僧师徒的取经路线和81难地点，并按顺序播放具体故事。用户可通过地图和时间轴逐步查看取经过程，并在线体验这一有趣工具。

文章探讨了未来主义与太空经济的融合，提出通过区块链技术与卫星网络实现去中心化互联网的可能性，并挑战传统监控体系与治理模式。

开源项目及其维护者是现代基础设施的重要基石，但这些贡献者和项目可能未得到充分重视。

五起网络安全事件包括Nexar摄像头数据泄露、Roblox推出年龄验证功能、Malwarebytes工具发布、Quad7僵尸网络攻击以及部分VPN存在数据泄露风险。

CERT-AGID报告称上周检测到79起恶意活动，其中46起针对意大利目标。攻击主要集中在银行和支付服务领域，利用钓鱼邮件和恶意软件如Formbook、AgentTesla等进行传播。

为了减少噪音问题,已禁用自我发布,改为每周统一的问题线程,鼓励在此提问逆向工程相关问题,涉及特定工具或目标的问题可转至StackExchange或r/AskReverseEngineering。

微软宣布轻量级邮箱应用Outlook Lite将于2025年10月6日停止开发并逐步弃用，建议用户切换至Outlook Mobile版。

Почему «нулевой клик» остаётся самым неприятным сценарием.

文章介绍了三款安全工具的更新及新工具预告。JSSS-Find v6.0新增AI智能分析模式；Scan-X v5.6支持本地大模型；dddd-red v3.8优化指纹管理和工作流。新工具无镜AI扫描基于大语言模型驱动。用户可通过单独购买或加入帮会获取工具使用权。

由吾爱破解论坛移动安全区版主 正己@正己2595 录制的吾爱破解安卓逆向 0基础 小白入门教程《安卓逆向这档事》正式上线啦，如果你想学习安卓逆向，这是一个不错的机会呦。

当前环境异常，请完成验证以继续访问。

迅雷新增第三方网盘连接功能，支持百度网盘、阿里云盘等平台。用户通过登录授权可直接查看和下载文件，但百度网盘下载速度受限（约100KB/s），需开通会员提升速度。免费版用户可能有次数限制，并需扫码观看广告增加次数。

亚马逊流媒体服务 Prime Video 同意制作《奇异人生（Life Is Strange）》真人版电视剧。《奇异人生》游戏由 Square Enix 发行 DONTNOD 工作室制作，讲述了一名学摄影的女生 Maxine Caulfield 发现自己有回溯时间的能力，她利用该能力救了儿时好友 Chloe Price，两人一起合作调查 Chloe 好友 Rachel Amber 失踪之谜，揭开了她们所生活的小镇的黑暗面。真人版由 Square Enix、Story Kitchen 和 LuckyChap 以及 Amazon MGM Studios 联合制作。《奇异人生》于 2015 年发布，到 2023 年 11 月总玩家数达到了 2000 万。它有一部前作《Life Is Strange: Before the Storm》和一部 2024 年发布的续作《Life Is Strange: Double Exposure》——两部作品都由另一个工作室 Deck Nine 制作。