【天问】日下载超过600万的PyPI包“boto3”遭模仿攻击
boto3 恶意包代码分析
阅读全文〉
【天问】NPM恶意包预警,疑似攻击者测试行为
2021年11月16日,天问软件空间测绘系统捕获到在npmjs源中新上传了一个名为”@zenhomes/frontend-dev-login“的包,其版本号为”9999.999.3“,该包中的恶意代码触发了监测系统的实时预警。一经发现,安全研究人员立即进行了分析,并上报了npm社区。
阅读全文〉
【天问】周下载超过700万的NPM包ua-parser-js遭投毒攻击
北京时间2021-10-22周五晚20:15,一个周下载量超过700万的npm包`ua-parser-js` 遭到投毒攻击,疑似维护者账号由于密码泄露或者被爆破而发生劫持。
阅读全文〉
【天问】周下载量超300万次的NPM包RCE漏洞分析(CVE-2021-23406)
昨天,国外安全研究员[Tim Perry](https://twitter.com/pimterry)披露了一个NPM包 `pac-resolver`的高危漏洞,该漏洞可以让攻击者构建包含恶意代码的pac文件,而该文件中恶意代码可以在Node.js进程中运行。
阅读全文〉
【天问】软件供应链分析之nodejs_net_server
2021年12月22日,天问平台“天蚕3.0-log4j2漏洞离线专查版”更新了,在支持(CVE-2021-44228)漏洞检测的基础上,另外支持检测log4j(CVE-2021-45046、CVE-2021-45105)两个漏洞。
阅读全文〉
【天问】Python供应链模块自动化检测typosquat行为
PyPI,作为 Python 的官方第三方软件包存储库,一直广受开发者欢迎,所有人都可以下载第三方库或上传自己开发的库到 PyPI,但也正因如此,这些流行存储库时常被滥用,许多恶意软件藏匿其中,加之其官方第三方存储库的身份,开发者容易盲目信任并安装这些来源的软件包。因此一旦有恶意软件成功上传至这些存储库中,造成的杀伤力都不容小觑。
阅读全文〉