-
-
[分享]【网安播报】Lazarus Group 利用开源包展开长期供应链间谍战
-
发表于: 2025-8-1 17:28
-
1、Lazarus Group 利用开源包展开长期供应链间谍战
Sonatype曝光,朝鲜支持的 Lazarus Group正利用有毒开源包针对开发人员,从CI/CD和开发环境窃取敏感信息,行动持续至2025年。攻击利用伪装的依赖包,通过多阶段植入恶意负载,窃取凭据、密钥和企业秘密。此举凸显开源软件在供应链中的风险,攻击者非追逐挖矿,而是长期潜伏,窃取企业核心数据。报告强调多层防御机制的重要性,包括依赖审计和存储库防火墙,以防止被信任的渠道暗藏威胁。这再次提醒企业应加强供应链安全,防止国家支持的间谍组织渗透。
参考链接:
eb8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6k6h3y4#2M7X3W2@1P5h3!0F1L8r3W2F1k6g2)9J5k6h3W2F1k6X3!0Q4x3V1k6D9j5i4A6S2M7Y4g2K6i4K6u0V1k6%4u0G2N6i4m8K6i4K6u0V1j5$3!0$3k6i4u0@1i4K6u0V1M7%4g2H3M7r3I4&6i4K6u0V1j5$3S2S2K9h3&6Q4x3X3c8S2N6s2c8S2j5$3E0Q4x3X3c8F1L8%4u0@1K9q4)9J5k6r3E0G2M7X3g2S2L8W2)9J5k6r3q4H3N6q4)9J5k6s2m8G2K9i4y4G2L8Y4y4Q4x3X3c8G2M7r3g2F1i4K6u0V1M7$3!0#2M7X3y4W2i4K6u0V1N6r3!0Q4x3X3c8K6N6r3g2S2L8q4)9J5k6r3c8W2N6X3g2D9L8%4m8W2M7W2)9J5k6s2y4W2j5%4u0W2N6s2y4Q4x3V1j5`.
2、GitHub 受到大范围中断的打击:全球核心服务中断
2025年7月28日,GitHub发生大规模服务中断,影响全球数百万依赖该平台的开发者和组织。此次事件波及API请求、问题跟踪和拉取请求等核心功能,暴露出全球软件开发所依赖的云端协作工具的脆弱性。
参考链接:
f6dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0P5h3u0W2M7Y4y4W2j5%4g2J5K9i4c8&6L8X3g2%4M7#2)9J5k6h3y4G2L8g2)9J5c8X3N6A6N6r3S2#2j5W2)9J5k6r3!0#2N6r3q4Y4k6g2)9J5k6r3c8A6M7%4u0#2M7s2c8K6i4K6u0V1j5$3!0J5k6g2)9J5k6s2y4W2M7Y4k6A6j5$3g2K6i4K6u0r3
3、生成式AI工具供应链安全:亚马逊开发者工具遭恶意代码污染
一名黑客利用未验证的GitHub账户,将破坏性代码注入亚马逊的Visual Studio Code扩展中的AI助手,威胁用户数据和云资源安全。事件突显生成式AI工具在缺乏端到端治理时,易被恶意利用,带来供应链风险以及漏洞和后门的引入。专家建议企业加强供应链安全措施、引入哈希验证等措施,提升DevSecOps成熟度,应对模型漂移和提示注入等新兴威胁,确保云环境的持续安全。
参考链接:
73aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0M7$3!0G2L8X3I4A6L8X3g2Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3y4o6l9J5z5e0x3$3z5q4)9J5c8X3g2F1N6s2N6A6j5$3E0D9k6i4u0Q4x3X3c8@1L8$3!0D9i4K6u0V1N6X3!0F1i4K6u0V1j5h3#2S2P5X3!0F1i4K6u0V1N6X3g2J5M7$3g2#2j5$3S2@1i4K6u0W2K9s2c8E0L8l9`.`.
4、诺基亚遭遇供应链攻击,导致超过94,500名员工敏感信息泄露
据称,黑客Tsar0Byte利用第三方链接的漏洞,成功入侵诺基亚内部网络,曝光超过94,500名员工的敏感信息。这次数据泄露事件在暗网论坛包括DarkForums被披露,是近年来影响诺基亚最广泛的企业数据泄露之一,受损数据包括一个全面的内部目录。此次违规行为似乎是通过利用第三方承包商的系统,这些系统具有直接访问诺基亚内部基础设施的权限。这种借由供应链漏洞的攻击手法在大型企业中日益普遍。
参考链接:
5a8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0P5h3u0W2M7Y4y4W2j5%4g2J5K9i4c8&6L8X3g2%4M7#2)9J5k6h3y4G2L8g2)9J5c8X3&6G2K9$3W2S2i4K6u0V1K9h3&6@1k6i4u0F1j5h3I4Q4x3X3c8K6P5i4y4@1k6h3#2K6i4K6u0V1j5Y4u0W2j5h3y4Z5i4K6u0r3
|
|
|---|---|
