Aggregator

A vulnerability, which was classified as problematic, was found in Puma Gem up to 3.12.3/4.3.2 on Ruby. Affected is an unknown function. The manipulation leads to http response splitting. This vulnerability is traded as CVE-2020-5249. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in ps_facetedsearch versions up to 3.4.x on PrestaShop and classified as problematic. This issue affects some unknown processing. The manipulation of the argument url_name as part of Parameter leads to cross site scripting (Reflected). The identification of this vulnerability is CVE-2020-5277. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

HackerNews 编译，转载请注明出处： 网络安全研究人员发现三个恶意npm软件包专门针对苹果macOS版人工智能驱动的源代码编辑器Cursor。这些伪装成“最便宜Cursor API”开发者工具的软件包会窃取用户凭证，从攻击者控制的服务器获取加密载荷，覆盖Cursor的main.js文件，并禁用自动更新机制以维持持久性驻留。 受影响的软件包包括： sw-cur（2,771次下载） sw-cur1（307次下载） aiide-cur（163次下载） 截至5月9日时，这三个软件包仍可在npm仓库下载。其中“aiide-cur”由用户“aiide”于2025年2月14日发布，自称是“macOS版Cursor编辑器的命令行配置工具”；另外两个软件包由别名“gtr2018”的用户提前一天发布，累计下载量已超3,200次。 安装后，这些软件包会窃取用户输入的Cursor凭证，并从远程服务器（t.sw2031[.]com或api.aiide[.]xyz）获取第二阶段载荷，用恶意代码替换合法Cursor文件。“sw-cur”还会禁用Cursor自动更新功能并终止所有相关进程，随后重启应用使恶意代码生效，使攻击者能在平台上执行任意代码。 Socket公司研究员基里尔·博延科指出，这反映出攻击者正通过恶意npm包篡改开发者系统现有合法软件的新趋势。这种“补丁式攻击”的阴险之处在于，即使删除恶意软件包，仍需重新安装被篡改的软件才能彻底清除威胁。 “攻击者不再局限于向软件包管理器植入恶意代码，而是发布看似无害的npm包来重写受害者计算机上的可信代码，”Socket向The Hacker News解释，“恶意逻辑通过合法父进程（如IDE或共享库）运行时，会继承应用程序信任，在被删后仍保持持久性，并自动获取软件权限——从API令牌、签名密钥到外网访问权限。” 攻击者还利用开发者对AI工具的兴趣实施钓鱼，以“最便宜Cursor API”为诱饵吸引用户安装后门。防御此类供应链攻击需监测安装后脚本、修改node_modules外文件、异常网络请求等行为，配合版本锁定、实时依赖扫描和关键文件完整性监控。 此次披露还包含另两个npm包——2024年9月由用户“olumideyo”发布的pumptoolforvolumeandcomment（625次下载）和debugdogs（119次下载）。后者通过调用前者传播混淆载荷，窃取加密货币平台BullX的密钥、钱包文件和交易数据，并通过Telegram机器人外传。安全研究员库什·潘迪亚指出，这种“包装器模式”使用多重名称传播相同恶意代码，能在数秒内清空数字资产。 此外，安全公司Aikido发现合法npm包“rand-user-agent”遭供应链攻击，恶意版本2.0.83、2.0.84和1.0.110会植入远程控制木马。这些版本通过与外部服务器通信实现目录切换、文件上传和命令执行，于2025年5月5日被检测到。目前该包已被标记为弃用，GitHub仓库重定向至404页面。维护方WebScrapingAPI称，攻击者通过未启用双因素认证的过期自动化令牌实施了此次入侵。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

本文提出了 Phantom，一种针对半监督学习（SSL）的无目标投毒攻击。

本文提出了 Phantom，一种针对半监督学习（SSL）的无目标投毒攻击。

HackerNews 编译，转载请注明出处： 谷歌上周四宣布，将在Chrome浏览器、搜索引擎和安卓系统中推出全新人工智能反欺诈功能。该公司表示，其设备端大型语言模型Gemini Nano将首次被整合至桌面版Chrome 137的安全浏览系统，通过实时分析网站内容识别诈骗风险，即使面对从未出现过的诈骗手段也能提供保护。 “设备端处理方式可即时识别危险网站，其独特优势在于能解析网站复杂多变的特征，帮助我们更快适应新型诈骗手法，”谷歌在声明中指出。目前该技术已用于打击远程技术支持诈骗，这类诈骗常以虚假的电脑故障为借口骗取用户财务信息。 谷歌Chrome安全团队工程师解释称，系统通过大语言模型扫描网页中可能存在的诈骗信号，例如滥用键盘锁定API等可疑行为。检测到风险信号后，安全浏览系统会综合判断页面是否为欺诈网站。为平衡性能与安全，谷歌采用异步处理机制限制GPU使用量，并设置令牌配额防止资源过度消耗。 除当前针对技术支持诈骗的防护外，谷歌计划将检测范围扩展至包裹追踪和未缴通行费类诈骗。安卓版Chrome预计将在今年晚些时候获得该功能。同时，升级后的AI反诈系统日均拦截的欺诈性搜索结果数量已提升20倍，2024年成功将仿冒航空公司客服的诈骗页面减少80%，虚假签证/政府服务网站减少70%。 针对安卓用户，Chrome将新增设备端机器学习通知预警功能。当检测到恶意网站推送的诱导性通知（如要求下载可疑软件或泄露敏感信息），浏览器会显示网站名称、欺诈风险提示，并提供退订选项。该功能与谷歌今年3月在短信应用中推出的AI诈骗检测形成互补，延续了其设备端优先的安全策略。 值得关注的是，谷歌正为安卓16系统开发“高级防护”功能，默认关闭JavaScript和2G连接，并启用防盗锁、离线设备锁等安全设置。此前有报道称，该公司还在测试通话中检测银行APP诱导开启的新型反诈技术，进一步构建多层级防护体系。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

多多买菜快递代收业务命名「拼多多驿站」，加速开城扩张； OpenAI 与微软就重置高风险合作关系展开谈判； 苹果供应链公司称首款折叠屏 iPhone 关键部件已送样

多多买菜快递代收业务命名「拼多多驿站」，加速开城扩张； OpenAI 与微软就重置高风险合作关系展开谈判； 苹果供应链公司称首款折叠屏 iPhone 关键部件已送样

多多买菜快递代收业务命名「拼多多驿站」，加速开城扩张； OpenAI 与微软就重置高风险合作关系展开谈判； 苹果供应链公司称首款折叠屏 iPhone 关键部件已送样

Kimsuky APT组织最新免杀样本分析

Kimsuky APT组织最新免杀样本分析

xpid It’s nmap but for pids. xpid gives a user the ability to “investigate” for process details on a Linux system. For example, a sleeping thread will have a directory /proc/[pid] that can be navigated to,...

The post xpid: Linux Process Discovery appeared first on Penetration Testing Tools.

MLOps Attack Toolkit – MLOKit is a toolkit that can be used to attack MLOps platforms by taking advantage of the available REST API. This tool allows the user to specify an attack module,...

The post MLOKit: MLOps Attack Toolkit appeared first on Penetration Testing Tools.