登录

供应链攻击

A collection of 12 posts
APT情报

前沿AI模型正在粉碎软件安全:零日发现与自主攻击链的威胁

Palo Alto Unit42最新研究揭示:前沿AI模型已具备自主发现零日漏洞、链式利用复杂攻击路径的能力,显著降低攻击门槛并加速漏洞利用周期。开源软件(OSS)因代码公开面临最大风险。本文深度分析AI驱动的攻击链(侦察、初始访问、横向移动、数据窃取)及防守方应采取的预防与响应策略。
阅读时间 4 分钟
APT情报

TeamPCP供应链攻击重启:26天沉寂后三路并发,Checkmarx、Bitwarden、xinference沦陷

⛓️ Critical 供应链攻击 安全分析师发现,沉寂26天的TeamPCP供应链攻击活动在2026年4月21-22日集中爆发,同时针对Docker Hub、npm和PyPI三个生态发起攻击。攻击者通过窃取合法凭证,先后攻陷Checkmarx KICS Docker镜像、xinference PyPI包,并利用Bitwarden的Dependabot自动化流水线级联感染@bitwarden/cli npm包,同时自传播型npm蠕虫CanisterSprawl也开始活跃。 来源:SANS ISC | 2026-04-27 | 原文链接 🔍 关键发现 * TeamPCP在26天暂停后恢复技术渗透阶段,4月21-22日同时发起三路供应链攻击,覆盖npm、PyPI和Docker Hub。 * Checkmarx KICS Docker仓库被入侵,恶意镜像覆盖5个现有标签并创建2个新标签,窃取基础设施即代码扫描输出(含凭证、令牌和内部拓扑)。 * Bitwarden的Dependabot自动化CI/CD流水线在危险窗口内拉取了被污染的checkmarx/kics:latest
阅读时间 3 分钟
APT情报

Axios供应链攻击深度分析:朝鲜黑客植入跨平台RAT,波及全球多行业

🎯 Critical APT组织 Palo Alto Unit42披露了一起严重的供应链攻击,攻击者劫持了流行JavaScript库Axios维护者的npm账号,发布了两个恶意版本(v1.14.1和v0.30.4)。这些版本通过植入隐藏依赖plain-crypto-js,在安装时触发后门脚本,针对Windows、macOS和Linux系统部署远程访问木马(RAT),并与朝鲜黑客组织(WAVESHAPER)存在关联。 来源:Palo Alto Unit42 | 2026-04-01 | 原文链接 🔍 关键发现 * 攻击者通过劫持Axios维护者的npm账户,发布了两个恶意版本,但未修改Axios源代码,而是通过注入plain-crypto-js依赖实现攻击。 * 恶意依赖利用npm的postinstall生命周期钩子执行高度混淆的Node.js dropper,该dropper采用双层编码(字符串反转、Base64和XOR加密)隐藏操作。 * dropper根据操作系统下载不同平台的RAT载荷:macOS使用C++编译的Mach-O二进制,Windows使用Power
阅读时间 2 分钟
APT情报

TeamPCP供应链攻击:安全工具沦为数据窃取跳板,50万台机器沦陷

⛓️ Critical 供应链攻击 威胁组织TeamPCP在2026年2月至3月期间,对Trivy、KICS、LiteLLM等广泛使用的开源安全工具发起多阶段供应链攻击,通过篡改GitHub Actions和PyPI注册表植入恶意载荷,窃取云访问令牌、SSH密钥和Kubernetes密钥等敏感数据。该攻击已导致超50万台机器、300GB数据被窃取,并利用窃取的凭证进一步感染48个额外软件包,至少16家组织被公开勒索。 来源:Palo Alto Unit42 | 2026-03-31 | 原文链接 🔍 关键发现 * TeamPCP利用不完全的凭证轮换,通过伪造提交攻击(imposter commit)入侵Aqua Security Trivy的GitHub仓库,强制推送恶意代码至76个版本标签。 * 攻击载荷演化为三个版本:初始版直接读取进程内存窃取令牌,第二版采用模块化加载器,最终版CanisterWorm具备自复制和擦除功能,可扫描暴露的Docker API和SSH密钥。 * 攻击者利用窃取的npm发布令牌,在60秒内感染了@emilgroup、@opengov和@
阅读时间 2 分钟
APT情报

npm生态末日降临:Shai-Hulud蠕虫开启供应链攻击新纪元

⛓️ Critical 供应链攻击 2025年9月Shai-Hulud蠕虫事件后,npm供应链攻击进入高威胁阶段。2026年4月,攻击者利用仿冒Bitwarden CLI和SAP CAP模型的恶意包,通过预安装钩子执行多阶段载荷,窃取云凭证、CI/CD令牌并自我复制传播,标志着攻击从孤立事件转向系统化武器化。 来源:Palo Alto Unit42 | 2026-04-24 | 原文链接 🔍 关键发现 * Shai-Hulud蠕虫实现了自我复制式传播,通过窃取npm和GitHub令牌自动感染并重新发布合法包 * 2026年4月出现两个新攻击波:仿冒@bitwarden/cli的'第三次降临'和针对SAP生态的'小Shai-Hulud',后者影响约57万周下载量 * 攻击链使用Bun运行时执行混淆载荷,通过GitHub公共提交API作为隐蔽C2通道,并具备俄罗斯语言环境终止开关 ⚔️ 攻击链分析 1. 攻击者发布仿冒包(如@bitwarden/cli或@cap-js/sqlite),修改package.json添加预安装钩子 2. 用户执行npm install时
阅读时间 2 分钟
APT情报

npm生态危机:Shai-Hulud蠕虫开启供应链攻击新纪元

⛓️ Critical 供应链攻击 Palo Alto Unit42报告显示,自2025年9月Shai-Hulud蠕虫事件后,npm供应链攻击进入高威胁阶段。攻击者通过窃取npm令牌和GitHub PAT实现蠕虫式传播,并针对SAP开发者生态系统发起Mini Shai-Hulud攻击,利用多阶段载荷窃取云凭证、CI/CD密钥和开发者工作站敏感信息。 来源:Palo Alto Unit42 | 2026-04-24 | 原文链接 🔍 关键发现 * Shai-Hulud蠕虫标志着npm攻击从‘滋扰’时代进入高后果威胁格局,攻击频率和技术深度急剧加速 * 2026年4月出现两波攻击:@bitwarden/cli伪装包和针对SAP CAP模型的Mini Shai-Hulud,后者影响约57万周下载量 * 攻击者使用Bun JavaScript运行时执行混淆载荷,通过GitHub公共提交搜索API作为隐蔽C2通道实现自我传播 ⚔️ 攻击链分析 1. 攻击者发布伪装成合法包的恶意npm包(如@bitwarden/cli或@cap-js/sqlite),通过preinstal
阅读时间 2 分钟
[!] CONTACT_CHANNELS

如需商务合作、技术咨询或漏洞反馈,请通过以下离岸节点联系作者。

> PING_AUTHOR (@A1RedTeam)