标签：供应链攻击

2026-04-24圈小蛙阅读(104)评论(0)

攻击者通过劫持 GitHub Action 自动化流程，向合法包中注入了名为 bw1.js 的后门，旨在窃取开发者的云凭证及 GitHub 令牌。

2026-04-19圈小蛙阅读(103)评论(0)

事件的震中位于 Vercel 使用的一款名为 Context.ai 的第三方 AI 运营分析工具。由于该工具在 Google Workspace 的 OAuth 授权配置上存在漏洞，攻击者利用该漏洞成功绕过了安全验证，获取了 Vercel ...

2026-04-15圈小蛙阅读(94)评论(0)

攻击者通过高价收购知名插件并埋入“休眠后门”，成功入侵数十万个网站，利用 Googlebot 爬虫机制进行隐蔽的 SEO 垃圾信息注入。

2026-04-13圈小蛙阅读(86)评论(0)

虽然官方在声明中极力安抚玩家，称这次事件对公司和玩家“没有影响”，但考虑到他们背后那一堆还没出炉的大作（对，我说的就是 GTA 6），这事儿还是让不少人捏了一把汗。

2026-04-12圈小蛙阅读(113)评论(0)

值得注意的是，CPUID 提供的 CPU-Z 和 HWMonitor 原始二进制文件是安全的。攻击者采取的是典型的“DLL 侧加载（DLL Side-Loading）”技术。

2026-04-07圈小蛙阅读(182)评论(0)

黑客组织 TeamPCP 利用 Trivy 凭证轮换不彻底的漏洞，成功向欧盟委员会的自动化安全流程注入恶意代码，随后盗取 AWS API 密钥并拖走92GB的敏感数据。这次攻击不仅暴露了供应链安全工具本身的脆弱性，更展示了黑客组织之间高度专...

2026-04-03圈小蛙阅读(122)评论(0)

Axios 是目前 JavaScript 生态系统中最流行的库之一，每周下载量以千万计，数百万个应用程序和企业级软件依赖它进行 API 请求和数据交互。攻击者在周一晚间成功接管了该包的发布权限，并迅速推送了一个植入了后门的版本。

2025-10-10圈小蛙阅读(290)评论(0)

客户关系管理软件巨头Salesforce通知客户，不会向泄露其数据的网络犯罪分子支付勒索金。

2025-09-09圈小蛙阅读(437)评论(0)

黑客劫持了每周下载量达20亿次的18个npm包，植入恶意软件，通过重定向钱包交易来窃取加密货币。

2025-03-24圈小蛙阅读(557)评论(0)

Unit 42 和 Wiz 的报告证实，该活动最初高度集中在 Coinbase 上，在初次尝试失败后扩展到所有利用 tj-actions/changed-files 的项目。