| Shai Hulud | npm | 供應鏈攻擊 | GitHub
NPM套件react-big-calendar被發現疑似遭植入Shai Hulud第三波惡意程式,現階段未見明顯擴散,惡意載荷會在安裝流程蒐集環境變數與密鑰,並嘗試外洩至GitHub
2026-01-02
| Maven Central | Jackson | Spring Boot | 供應鏈攻擊
供應鏈攻擊瞄準Java生態,套件儲存庫Maven Central出現仿冒Jackson惡意套件
套件儲存庫Maven Central出現仿冒Jackson套件,攻擊者以org前綴混淆命名誘導開發者安裝,當專案採用Java開發框架Spring Boot時,惡意元件會在啟動流程中自動觸發,並下載惡意載荷
2025-12-30
| NuGet | 供應鏈攻擊 | 惡意套件 | 加密貨幣錢包 | Google Ads | OAuth
NuGet出現14惡意套件,仿冒加密工具與Google廣告API竊取機密
攻擊者自7月起在NuGet上架14個惡意套件,仿冒.NET加密貨幣函式庫與Google Ads API,竊取私鑰助記詞等錢包機密,或在交易流程改寫收款地址轉走資金,並竊取OAuth用戶端機密
2025-12-23
因系統供應商Red Hat發生資安事故,日產(Nissan)坦承連帶受到波及,福岡分公司部分客戶資料因此外洩,受影響用戶數達2萬
2025-12-23
| 供應鏈攻擊 | Mixpanel | Pornhub | 資料外洩 | ShinyHunters
成人網站PornHub合作的資料分析服務公司傳出遭ShinyHunters入侵,部分付費會員資料恐外流
資料分析服務廠商Mixpane遭到入侵的資安事故出現新的發展,上週成人影音平臺PornHub發出公告,他們有部分PornHub Premium付費用戶的分析資料,因這起事故遭到流出;資安新聞網站Bleeping Computer指出,駭客組織ShinyHunters聲稱是他們所為,並開始向PornHub勒索
2025-12-17
| VS Code | 惡意擴充套件 | 供應鏈攻擊 | LOLBin
惡意VS Code擴充套件上架微軟市集,偽裝PNG檔藏匿木馬
研究人員發現VS Code市集19款惡意擴充套件,表面提供開發工具,實際在安裝包內夾帶木馬,並把惡意程式偽裝成PNG檔藏匿,於VS Code啟動時執行
2025-12-16
| PickleScan | 零時差漏洞 | PyTorch | 模型 | 開機器學習 | 供應鏈攻擊
模型檢測工具PickleScan三個零時差漏洞,讓惡意PyTorch模型躲避掃描執行任意程式碼
JFrog揭露開源模型掃描工具PickleScan舊版存在3個CVSS 9.3零時差漏洞,攻擊者可繞過檢測,讓惡意PyTorch模型在載入時執行任意程式碼
2025-12-10
