1、研究人员发现 XZ 在数十个 Docker Hub 镜像中使用后门，加剧了供应链风险

研究发现 XZ Utils 后门在 Docker Hub 的数十个镜像中被使用，并通过受感染的基础镜像向上游传播，暴露软件供应链的持续风险；该后门可通过 OpenSSH 服务器的交互触发，允许具有特定私钥的攻击者绕过认证并执行远程 root 命令，显示出攻击的高度复杂性和长期影响。

参考链接：46cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9r3g2Z5j5h3y4C8k6i4u0F1k6i4N6K6i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9J5y4g2)9J5c8U0l9^5i4K6u0r3M7X3g2K6k6h3q4J5j5$3S2W2M7Y4y4Q4x3X3c8K6M7r3!0@1i4K6u0V1P5s2A6Q4x3X3c8#2N6r3W2D9M7#2)9J5k6r3u0S2j5$3E0V1L8$3!0J5i4K6u0V1K9h3&6Q4x3X3g2Z5N6r3#2D9

2、Reddit 封禁 Internet Archive 以阻止人工智能公司免费抓取数据

Reddit 已披露其发现人工智能公司通过互联网档案馆的 Wayback Machine 未经授权抓取 Reddit 数据用于模型训练，促使 Reddit 立即限制 Wayback Machine 的抓取范围，并扩大对商业许可与数据访问费用的强化管理，背景还包括对 Anthropic 的诉讼指控，表明 Reddit 正通过多方手段打击未经许可的数据抓取。

参考链接：882K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6k6h3y4#2M7X3W2@1P5h3!0F1L8r3W2F1k6g2)9J5k6h3W2F1k6X3!0Q4x3V1k6J5k6h3c8V1K9i4c8Q4x3X3c8T1L8r3!0U0K9%4y4Q4x3X3c8A6L8Y4c8W2M7X3&6W2N6q4)9J5k6r3q4J5j5$3S2A6N6X3g2Q4x3X3c8@1L8#2)9J5k6s2y4@1L8%4m8Q4x3X3c8S2K9g2)9J5k6r3y4G2L8i4m8S2L8X3W2W2M7#2)9J5k6r3k6J5L8$3#2Q4x3X3c8K6j5%4u0S2M7r3W2F1k6#2)9J5k6r3c8S2N6r3q4Q4x3X3c8X3L8%4u0Q4x3X3c8X3M7X3g2W2i4K6u0r3

3、恶意Python包利用Windows自启动项实现持久化攻击

一种针对 Python 开发者的复杂供应链攻击，借助看似无害的 termncolor 软件包在 PyPI 上行事。该攻击隐藏多阶段载荷，利用 DLL 侧加载、注册表持久化与内存解密实现远程代码执行，Windows/Linus 均有变体。核心载荷驻留于 libcef.dll，通过嵌入式组件在内存持续运行，并以 Zulip 伪装成 C2 通信。尽管已被下架，开源供应链风险仍需警惕。

参考链接：7f7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0P5h3u0W2M7Y4y4W2j5%4g2J5K9i4c8&6L8X3g2%4M7#2)9J5k6h3y4G2L8g2)9J5c8Y4N6W2j5i4m8G2L8X3W2*7k6h3c8Q4x3X3c8H3P5i4c8Z5L8$3&6Q4x3X3c8H3j5h3y4C8j5h3N6W2i4K6u0V1N6r3g2J5L8h3&6U0L8$3I4G2M7W2)9J5c8R3`.`.

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！