8 個惡意 NPM 套件竊取 Windows 上的 Chrome 用戶數據2025.09.01軟體安全近期資安研究發現,npm 軟體套件庫中出現多個惡意套件,這些套件透過複雜的混淆技術,專門竊取 Windows 系統上 Google Chrome 瀏覽器的用戶數據,包括密碼、信用卡資訊與加密貨幣錢包數據。
虛假 WhatsApp 開發者庫隱藏破壞性資料擦除程式碼2025.08.08軟體安全惡意軟體開發者利用開源程式庫平台,上傳偽裝成WhatsApp開發工具的惡意套件,並以破壞性資料抹除程式碼(Destructive data-wiping code)方式刪除開發人員電腦上的檔案。
KubeSphere終止開源版本,引發開發者強烈不滿2025.08.04軟體安全KubeSphere 宣布停用其開源版本並停止技術支援,引發使用者強烈不滿。此舉旨在轉向商業服務,但引發開源社群對信任與軟體授權的深刻討論。
供應鏈攻擊涵蓋GitHub Actions、Gravity Forms、npm2025.07.31軟體安全Armis Labs 揭露三類供應鏈攻擊案例,涉及 GitHub Actions 自動化流程、WordPress Gravity Forms 外掛與 npm 包 UAParser.js。這些受信任工具被後門或毒碼污染,已影響數萬專案與網站。建議企業強化開發流程管控、釘選依賴版本與導入程式碼簽章,防止潛在廣泛影響。
駭客利用假冒 PyPI 網站鎖定 Python 開發者進行網路釣魚攻擊2025.07.31軟體安全警惕!駭客正利用假冒的 PyPI 網站鎖定 Python 開發者進行網路釣魚攻擊,企圖竊取登入憑證。了解此安全威脅,學習如何保護您的 PyPI 帳戶並防範潛在的惡意軟體感染。
每週下載量達 280 萬次的 NPM 軟體包遭惡意軟體感染2025.07.24軟體安全NPM 上常用 `is` 套件因維護者遭釣魚盜用,版本 3.3.1–5.0.0 被植入 JavaScript 後門,週下載達 280 萬次,監測開發環境資料並可遠端執行程式,提醒開發者立即更新、凍結版本並強化供應鏈安全。
維護者令牌在網路釣魚攻擊中被盜後,惡意軟體被注入 6 個 npm 軟體包2025.07.20軟體安全六個npm套件被注入惡意代碼,針對開發者竊取數據與憑證,構成供應鏈攻擊威脅。立即檢查並移除受影響套件,保護您的開源項目!