标签：供应链攻击

2026-04-07圈小蛙阅读(271)评论(0)

黑客组织 TeamPCP 利用 Trivy 凭证轮换不彻底的漏洞，成功向欧盟委员会的自动化安全流程注入恶意代码，随后盗取 AWS API 密钥并拖走92GB的敏感数据。这次攻击不仅暴露了供应链安全工具本身的脆弱性，更展示了黑客组织之间高度专...

2026-04-03圈小蛙阅读(212)评论(0)

Axios 是目前 JavaScript 生态系统中最流行的库之一，每周下载量以千万计，数百万个应用程序和企业级软件依赖它进行 API 请求和数据交互。攻击者在周一晚间成功接管了该包的发布权限，并迅速推送了一个植入了后门的版本。

2025-10-10圈小蛙阅读(327)评论(0)

客户关系管理软件巨头Salesforce通知客户，不会向泄露其数据的网络犯罪分子支付勒索金。

2025-09-09圈小蛙阅读(494)评论(0)

黑客劫持了每周下载量达20亿次的18个npm包，植入恶意软件，通过重定向钱包交易来窃取加密货币。

2025-03-24圈小蛙阅读(587)评论(0)

Unit 42 和 Wiz 的报告证实，该活动最初高度集中在 Coinbase 上，在初次尝试失败后扩展到所有利用 tj-actions/changed-files 的项目。

2024-12-06圈小蛙阅读(622)评论(0)

黑客在Solana-web3.js代码库中添加了一个“addToQueue”函数，该后门会传出使用相关应用程序用户的私钥，从而可以访问用户钱包。

2024-06-30圈小蛙阅读(974)评论(0)

Polyfill 原作者建议不要使用 Polyfill，完全移除该脚本，因为现代浏览器不再需要它，但如果必须使用，可以用 CDN 服务商 Fastly 和 Cloudflare 的替代方案。

2023-10-11圈小蛙阅读(1443)评论(0)

投放后门的行为是官方投毒行为，还是官方被黑客攻破而被黑客投毒的行为，不得而知，目前该公司并没有发布公告，但是这三款Linux面板暂时请勿使用。

2023-04-05圈小蛙阅读(1179)评论(0)

CrowdStrike将这一事件与一个与朝鲜结盟的民族国家集团联系起来，该集团以Labyrinth Chollima为名进行追踪，是Lazarus集团的一个子集群。