Aggregator

文章描述了一个技术问题：由于服务器无法建立连接而导致的521错误代码出现的情况。这种情况可能导致网页无法正常加载或显示空白页面。建议检查网络连接或稍后再试，并联系相关技术支持以解决问题。

HackerNews 编译，转载请注明出处： 这是NPM生态系统历史上最大的供应链妥协事件，大约影响了10%的云环境，但攻击者几乎没有从中获利。 此次攻击发生在本周早些时候，维护者Josh Junon（qix）中了一个密码重置网络钓鱼诱饵，导致多个非常受欢迎的NPM软件包被入侵，其中包括每周下载量超过26亿次的chalk和debug-js。 在入侵Junon的账户后，攻击者推送了带有恶意模块的恶意更新，该模块通过将交易重定向到威胁行为者那里来窃取加密货币。 开源软件社区迅速发现了这次攻击，所有恶意软件包在两小时内被移除。 根据云安全公司Wiz的研究人员称，被入侵的软件包之一或多个是几乎所有JavaScript/Node项目的基石，在99%的云环境中被使用。 在它们可供下载的两小时窗口期内，大约10%的云环境下载了这些被入侵的软件包。 Wiz解释说：“在恶意版本在npm上可用的短短两小时内，恶意代码成功地进入了10%的云环境。” “这表明在像这样的供应链攻击中，恶意代码传播的速度有多快。” 10%的比例是基于Wiz对客户云环境的可见性以及公开来源得出的。虽然它可能不是一个具有代表性的比例，但它仍然表明了攻击的快速传播和覆盖范围。 攻击者获利不到1000美元 尽管这次攻击造成了显著的干扰，需要公司花费大量时间进行清理、重建和审计，但安全影响微不足道，就像威胁行为者的利润一样。 根据安全联盟的分析，注入的代码针对浏览器环境，拦截以太坊和索拉纳的签名请求，将加密货币钱包地址替换为攻击者控制的地址（加密劫持）。 这种类型的恶意负载拯救了那些下载了被入侵设备的公司，使它们免于更严重的安全事件，因为威胁行为者本可以利用他们的访问权限植入反向shell，在网络中横向移动，或者植入破坏性恶意软件。 尽管攻击规模巨大，受害者众多，但攻击者只转移了价值五美分的ETH和价值20美元的几乎无人知晓的meme币。 昨天，Socket研究人员发布了一份报告，提醒说，同样的网络钓鱼活动也影响了DuckDB维护者账户，用同样的加密货币窃取代码入侵了该项目的软件包。 根据他们的说法，追踪到攻击者钱包的利润大约是429美元的以太坊，46美元的索拉纳，以及少量的比特币、波场、比特币现金和莱特币，总计600美元。 还指出，持有任何显著金额的攻击者钱包地址已经被标记，限制了他们转换或使用他们赚到的少量钱的能力。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了一个网络威胁情报平台的实时状态及活动信息，包括值班人员Guy Bruneau、绿色威胁等级、ISC Stormcast播客更新以及即将在拉斯维加斯举办的“应用安全：保护Web应用、API和微服务”课程等信息。

9月5日，GitGuardian安全研究团队发现了一起代号为“GhostAction”的大规模供应链攻击事件，攻击者通过操纵GitHub Actions工作流程，成功窃取了数千个敏感凭证，涉及327名GitHub用户的817个代码仓库。

🔒 2025年国家网络安全宣传周丨这些网络安全知识，值得学习+收藏！ 🔒🌐 网络安全为何与我们息息相关？🔺

当前环境出现异常情况，需完成验证后才能继续访问服务。

对一次诈骗app渗透测试

· 苹果的特殊照顾：iPhone Air 韩国官网没有捏合手势动画

让世界了解中国网络安全科技

当前环境出现异常状态，需完成验证后方可继续访问。

在保证数据库拥有者权益的情况下允许接收者计算最大修改位数的数据库水印方案

微软淘汰旧组件；Windows 11引入新表情；Spotify推出无损音质；佳能、尼康、RED发布新相机；三大运营商推进eSIM业务。

本文从DownUnderCTF 2025的一道web题，通过深入HandleBars源码来研究AST树注入问题与相应的防御措施

01.NET内网安全攻防报刊小报童电子报刊【.NET内网安全攻防】也正式上线了，引入小报童也是为了弥补知识星球

作者介绍了DShield SIEM和webhoneypot传感器的最新更新，包括ELK组件升级、界面优化、新增分析工具（CyberChef和Mitre ATT&CK Navigator）以及改进后的监控功能。

SGLang 团队是业界专注于大模型推理系统优化的技术团队，提供并维护大模型推理的开源框架SGLang。近期，美团M17团队与SGLang团队一起合作，共同实现了LongCat-Flash模型在SGLang上的优化。