| Lazarus | npm | 供應鏈攻擊 | 惡意套件 | Typosquatting
北韓駭客組織Lazarus仿冒6個知名NPM套件,發動軟體供應鏈攻擊
北韓駭客組織Lazarus假冒NPM套件滲透軟體供應鏈,植入惡意程式竊取瀏覽器帳密與加密貨幣錢包私鑰,並安裝後門持續滲透,資安專家呼籲加強第三方套件稽核,避免供應鏈攻擊擴大
2025-03-12
| Go模組代理 | Typosquatting | 供應鏈攻擊 | BoltDB惡意套件
資安廠商Socket揭露Go語言遭供應鏈攻擊,攻擊者以相似網址冒充熱門資料庫套件BoltDB,並利用Go模組代理快取機制,使惡意後門程式潛伏3年未被發現
2025-02-07
| GitHub Actions | Typosquatting
GitHub Actions可被用於冒充網域名稱攻擊,開發人員若未仔細檢查,恐散布惡意程式碼
研究人員針對開發人員提出警告,攻擊者也能對於在工作流程自動化平臺GitHub Actions犯錯的用戶下手,使用冒充網域名稱手法來散布惡意程式碼
2024-09-09
| PyPI | Telegram | AWS | 阿里雲 | Starjacking | Typosquatting
駭客鎖定Telegram、AWS、阿里雲用戶發動供應鏈攻擊,散布惡意PyPI套件
有人針對使用Telegram、AWS、阿里雲的開發人員,透過PyPI套件發動攻擊,值得留意的是,攻擊者針對許多資安工具的檢測流程下手,而有可能逃過偵測
2023-10-22