| npm | 供應鏈攻擊 | GitHub | Maven
大規模蠕蟲攻擊Sha1-Hulud再掀波瀾,影響逾1千個NPM套件與2.7萬個GitHub儲存庫
9家資安業者提出警告,上週末Shai-Hulud蠕蟲再度現身NPM套件儲存庫,這次影響規模更為廣泛,攻擊者在3天內上傳逾1千個NPM套件,感染2.7萬個GitHub儲存庫,影響多款熱門NPM專案,此外,Maven Central也出現災情
2025-11-27
資安公司Wiz研究發現,在GitHub可以找到眾多組織的機密憑證,包括Forbes AI 50名單中65%的新創公司
2025-11-14
| 軟體套件蠕蟲 | 蠕蟲 | GlassWorm | OpenVSX | 資料外洩 | Unicode PUA | GitHub
針對GlassWorm蠕蟲攻擊行動,OpenVSX公布調查結果,開發人員不慎曝露權杖釀禍
經營Open VSX的Eclipse基金會近日公布蠕蟲GlassWorm資安事故的調查結果,指出攻擊者濫用的權杖,源自今年2月開發人員在Visual Studio Code(VS Code)延伸套件不慎曝露的機敏資料
2025-11-07
| VS Code | 勒索軟體 | susvsex | AES-256-CBC | GitHub | Vibe Coding
VS Code延伸套件市集不設防?有人竟在此發布具有勒索軟體功能的外掛
資安業者Secure Annex在Visual Studio Code(VS Code)延伸套件市集發現名為susvsex的惡意套件,一旦開發人員安裝,無論VS Code有任何使用動作,該套件都會啟動、加密特定資料夾的檔案
2025-11-07
| SEO | LastPass | MacOS | GitHub | 竊資軟體 | Atomic Stealer | AMOS Stealer | ClickFix
密碼管理服務業者LastPass遭冒名,駭客設置GitHub儲存庫散布竊資軟體
密碼管理解決方案業者LastPass提出警告,有人假冒他們的名號,聲稱提供macOS用戶應用程式,但實際上的目的,是打算藉此要求用戶複製惡意指令並貼上終端機,從而在受害電腦植入竊資軟體Atomic Stealer
2025-09-23
| GitHub | MCP Registry | VS Code | 人工智慧代理 | 開發者工具
GitHub推出MCP Registry,集中收錄AI代理相容伺服器
GitHub推出MCP註冊庫,集中收錄MCP伺服器並支援VS Code一鍵安裝,協助開發者快速探索與導入工具鏈,首批合作涵蓋Figma、Postman與HashiCorp
2025-09-19
| GitHub | GhostAction | 供應鏈攻擊
供應鏈攻擊GhostAction鎖定GitHub而來,竊取逾3千個帳密及金鑰
資安業者GitGuardian揭露大規模供應鏈攻擊GhostAction,駭客從遠端端點發出HTTP POST請求,於GitHub儲存庫注入惡意工作流程,從而竊得3,325組憑證或金鑰,橫跨PyPI、NPM、DockerHub等開發市集
2025-09-09
| GitHub | Thomas Dohmke | 微軟CoreAI | 人工智慧策略 | 開源社群
GitHub執行長Thomas Dohmke宣布將於2025年底卸任,職位不再遞補,組織將併入微軟CoreAI團隊,結束多年相對獨立運作
2025-08-12
