警示:開放式JDWP介面遭濫用挖礦,Hpingbot瞄準SSH發動DDoS攻擊2025.07.05軟體安全資安研究團隊Wiz警告,攻擊者正濫用Java除錯通訊協定(JDWP)漏洞,遠端執行惡意程式碼並部署加密貨幣挖礦程式;同時,一種新型Go語言撰寫的殭屍網路Hpingbot,亦針對SSH弱密碼設定發動DDoS攻擊,威脅橫跨Windows與Linux平台。
GitHub 被濫用在烏克蘭傳播 Amadey、Lumma 和 Redline 資訊竊取惡意軟體2025.07.17軟體安全一個新發現的惡意軟體即服務 (MaaS) 活動正在利用 GitHub 儲存庫傳播各種資訊來竊取惡意軟體家族。
維護者令牌在網路釣魚攻擊中被盜後,惡意軟體被注入 6 個 npm 軟體包2025.07.20軟體安全六個npm套件被注入惡意代碼,針對開發者竊取數據與憑證,構成供應鏈攻擊威脅。立即檢查並移除受影響套件,保護您的開源項目!
每週下載量達 280 萬次的 NPM 軟體包遭惡意軟體感染2025.07.24軟體安全NPM 上常用 `is` 套件因維護者遭釣魚盜用,版本 3.3.1–5.0.0 被植入 JavaScript 後門,週下載達 280 萬次,監測開發環境資料並可遠端執行程式,提醒開發者立即更新、凍結版本並強化供應鏈安全。
供應鏈攻擊涵蓋GitHub Actions、Gravity Forms、npm2025.07.31軟體安全Armis Labs 揭露三類供應鏈攻擊案例,涉及 GitHub Actions 自動化流程、WordPress Gravity Forms 外掛與 npm 包 UAParser.js。這些受信任工具被後門或毒碼污染,已影響數萬專案與網站。建議企業強化開發流程管控、釘選依賴版本與導入程式碼簽章,防止潛在廣泛影響。
駭客利用假冒 PyPI 網站鎖定 Python 開發者進行網路釣魚攻擊2025.07.31軟體安全警惕!駭客正利用假冒的 PyPI 網站鎖定 Python 開發者進行網路釣魚攻擊,企圖竊取登入憑證。了解此安全威脅,學習如何保護您的 PyPI 帳戶並防範潛在的惡意軟體感染。
KubeSphere終止開源版本,引發開發者強烈不滿2025.08.04軟體安全KubeSphere 宣布停用其開源版本並停止技術支援,引發使用者強烈不滿。此舉旨在轉向商業服務,但引發開源社群對信任與軟體授權的深刻討論。