| fabrice | 惡意套件

名稱刻意只差正版一個字、意圖混淆開發者,惡意Python套件fabrice專門竊取AWS金鑰

資安業者Socket警告,攻擊者打造偽裝成SSH自動化函式庫fabric的惡意Python套件fabrice,企圖竊取開發人員的憑證

2024-11-10

| OpenSSF | GitHub | 惡意套件 | 軟體供應鏈

OpenSSF開源惡意套件儲存庫,以應對開源軟體供應鏈安全威脅

OpenSSF釋出公開惡意套件儲存庫,集結並發布跨平臺惡意套件報告,以增進惡意套件報告資訊的傳遞,並協助阻止以及應對相關安全威脅

2023-10-16

| AI幻覺 | 大型語言模型 | LLM | 惡意套件

研究證實ChatGPT的幻覺可助長惡意套件散布

安全風險管理廠商Vulcan研究發現,ChatGPT在回答常見的程式開發問題時,會提供不存在的Python與NPM套件資料,這讓攻擊者得以利用這類AI幻覺捏造出來的套件散布惡意程式

2023-06-14

| 軟體供應鏈攻擊 | PyTorch | PyPI | 惡意套件

PyPI軟體儲存庫新年假期間被上傳PyTorch冒牌相依性套件

PyTorch團隊在12月30日發現惡意的相依性套件torchtriton被上傳到PyPI,如果開發人員在12月25日到12月30日之間透過pip管理員安裝Linux 版PyTorch-nightly測試套件,應立即移除

2023-01-03

| PyPI | 惡意套件

PyPI再傳惡意套件,數百人受害

Check Point於10月底偵測到一隻PyPI出現的惡意套件,該套件運用隱寫術(steganography),將惡意程式碼藏在圖片中

2022-11-21

| OpenSSF | Package Analysis | 開源儲存庫 | 惡意套件

OpenSSF釋出可用來辨識惡意套件的Package Analysis工具

開源安全基金會(OpenSSF)發表套件分析(Package Analysis)專案的原型,經過一個月的分析之後,找到了上傳至PyPI及npm專案的逾200個惡意套件

2022-05-02

| JFrog | PyPI | 惡意套件 | 資安 | 工作管線

PYPI上數款惡意套件可竊取用戶信用卡資料或是身份驗證權杖

PYPI上被發現存在數款惡意套件,下載次數約為3萬次,功能除了竊取身份驗證權杖之外,還會竊取密碼和信用卡等敏感資訊

2021-08-04