| Python | PyPI | PEP 740 | 軟體供應鏈
PyPI導入數位見證以強化安全防護,Python供應鏈信任機制再升級
PyPI數位認證讓套件維護者在發布Python套件時,加入經過身分驗證的數位簽章,徹底提升供應鏈安全與追溯性,替代傳統PGP簽章機制
2024-11-15
| 北韓駭客 | PyPI | Python | AppleJeus | Gleaming Pisces | Citrine Sleet
北韓駭客Citrine Sleet上傳惡意Python套件,意圖散布RAT木馬PondRAT
研究人員提出警告,北韓駭客企圖利用惡意PyPI套件對開發人員散布木馬程式PondRAT,目的是透過開發者的電腦入侵軟體公司,從事供應鏈攻擊
2024-09-24
| PyPI | Revival Hijack
惡意PyPI套件使用新的挾持手法,假冒正牌套件引誘受害者上當
已下架的套件名稱可被用於攻擊行動!研究人員揭露新型態的攻擊手法Revival Hijack,攻擊者找到已棄用的套件名稱並加以濫用,上架惡意套件來從事攻擊行動
2024-09-05
| PyPI | Raydium | Solana | Stack Exchange
Raydium區塊鏈用戶遭到鎖定,駭客透過網路問答平臺Stack Exchange散布惡意PyPI套件
研究人員揭露意圖藉由惡意PyPI套件洗劫Raydium區塊鏈用戶加密貨幣錢包的攻擊行動,特別的是,駭客引誘用戶下載、安裝套件的手法,竟是在網路問答平臺Stack Exchange回答問題,來讓他們放下心防
2024-08-02
| MacOS | PyPI | Google Cloud
惡意PyPI套件鎖定macOS用戶,為了竊取Google Cloud帳密資料,意外扯出AI搜尋引擎遭誤導的社交工程新危機
研究人員揭露一起極具針對性的惡意PyPI套件攻擊,駭客針對特定的Mac電腦用戶下手,甚至疑似捏造開發者的身分,企圖奪得目標人士電腦存放的Google Cloud帳密資料
2024-07-31
| GitHub | PAT | PyPI | PyPA | Python | Python軟體基金會 | 供應鏈攻擊
PyPI套件共享平臺管理者不慎曝露的GitHub令牌恐波及Python、PyPI、Python軟體基金會的運作
研究人員揭露不慎曝光的GitHub令牌事故,值得留意的是,這個令牌具備大量Python、PyPI、Python軟體基金會的儲存庫管理員權限,一旦有人取得,後果將不堪設想
2024-07-17
| 資安日報 | CVE-2024-21388 | PyPI | APT29 | Brutus | DinodasRAT | Darcula | iMessage | PhaaS | RCS
【資安日報】3月29日,研究人員揭露專門針對行動裝置的新型態網釣工具包Darcula
有鑑於手機幾乎人手一隻的現象,有越來越多的網路釣魚攻擊套件針對這類裝置而來,最近更出現新型態手法,導致使用者難以防範相關攻擊
2024-03-29
| PyPI | Telegram | AWS | 阿里雲 | Starjacking | Typosquatting
駭客鎖定Telegram、AWS、阿里雲用戶發動供應鏈攻擊,散布惡意PyPI套件
有人針對使用Telegram、AWS、阿里雲的開發人員,透過PyPI套件發動攻擊,值得留意的是,攻擊者針對許多資安工具的檢測流程下手,而有可能逃過偵測
2023-10-22
PyPI新用戶皆需要啟用雙因素驗證,才能執行諸如上傳套件和修改套件資訊等管理操作,藉此提高帳戶安全性
2023-08-10
駭客入侵PyPI用戶帳號以散布惡意專案的安全事件層出不窮,促使官方決定強制該平臺今年底全面啟用雙因素身分驗證(2FA)
2023-05-29
Python軟體基金會回應法院傳票,承諾重新檢視資料政策以保護社群隱私
Python軟體基金會遵循美國法院傳票要求,提供了5位PyPI用戶資料,但基金會隨後重新審視用戶資料留存政策,希望未來能更好地保護用戶隱私
2023-05-26
PyPI套件維護者現可選用OpenID Connect可信發布方法
PyPI開始支援OpenID Connect(OIDC),維護者無需與外部系統共享長期密碼或API權杖,可改以更安全的單點登入發布套件,提升軟體供應鏈安全
2023-04-21