最新软件供应链事件概览:Red Hat npm 包遭劫持;投毒 Claude Code;OpenAI Codex 认证令牌被盗
AI 开发工具链正成为供应链攻击的新目标。
代码卫士
Comet Backup 服务器严重漏洞可导致客户数据被远程泄露
速修复
PAN-OS GlobalProtect 认证绕过漏洞已遭活跃利用
速修复
奇安信入选全球《智能体驱动的开发安全工具全景图》代表厂商
报告评选出全球35家智能体驱动的开发安全 (ADS) 工具代表厂商,奇安信成为亚太区少数入选的三家厂商之一。
奇安信代码安全实验室研究成果入选国际顶会IEEE SP 2026
奇安信代码安全实验室奇车安全团队的三名研究员与天津大学王俊杰教授团队合作完成的学术论文,被信息安全领域四大顶级会议之一2026 IEEE 安全与隐私研讨会录用。
ConnectWise Automate 平台高危漏洞可导致攻击者绕过安全检查
速修复
微软修复影响 SharePoint 多个版本的 RCE 漏洞
速修复
7-Zip 多个新漏洞可导致任意代码执行和系统受陷
速修复
TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件
威胁行动者正越来越多地将攻击目标锁定在开发者工作流上,窃取各类信息,以便进一步深入目标环境,实施后续攻击。
自动化供应链攻击6小时内攻陷5561个 GitHub 仓库
开发人员已成为供应链攻击的活跃目标。
趋势科技提醒注意已遭利用的 Apex One 0day 漏洞
速修复
NGINX 新漏洞可导致远程攻击者触发恶意代码
速修复
已存在9年的 Linux Kernel 漏洞可导致执行 root 命令
速修复
微软提醒注意两个已遭利用的 Defender 漏洞
速修复
GitHub 被黑或因员工安装 Nx Console 恶意扩展引发,更多详情待调查
事件仍在调查中
思科:速修复满分 Secure Workload 未授权 API 访问漏洞
速修复
GitHub 内部仓库疑遭未授权访问,TeamPCP 据称正在出售 GitHub 内部源代码
事件仍在调查中
奇安信Qcode Agents重磅升级,正式解锁操作系统级漏洞挖掘能力
凭借多模异构分析、领域知识驱动、动态验证闭环三大核心突破,成为真正具备全链路操作系统漏洞挖掘能力的AI安全产品,为政企用户构筑底层软件安全防线提供核心支撑。
Grafana 令牌被盗,GitHub 环境可遭访问且代码库被下载
速修复
2026 Pwn2Own 柏林大赛落下帷幕,Master of Pwn 诞生
DEVCORE 团队获得50.5的积分和50.5万美元的赏金,以绝对优势获得本届大赛的“破解之王 (Master of Pwn)”称 号,
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)