惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

博客园_首页
Security Archives - TechRepublic
Security Archives - TechRepublic
Application and Cybersecurity Blog
Application and Cybersecurity Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
C
CERT Recently Published Vulnerability Notes
S
Security @ Cisco Blogs
S
Security Affairs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
L
Lohrmann on Cybersecurity
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Hacker News: Ask HN
Hacker News: Ask HN
Forbes - Security
Forbes - Security
H
Heimdal Security Blog
A
Arctic Wolf
NISL@THU
NISL@THU
P
Proofpoint News Feed
W
WeLiveSecurity
S
Schneier on Security
AI
AI
Schneier on Security
Schneier on Security
N
News and Events Feed by Topic
L
LINUX DO - 最新话题
Cisco Talos Blog
Cisco Talos Blog
AWS News Blog
AWS News Blog
Hacker News - Newest:
Hacker News - Newest: "LLM"
Know Your Adversary
Know Your Adversary
Scott Helme
Scott Helme
V
Vulnerabilities – Threatpost
Cyberwarzone
Cyberwarzone
I
Intezer
S
Securelist
Help Net Security
Help Net Security
Microsoft Security Blog
Microsoft Security Blog
量子位
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
小众软件
小众软件
Last Week in AI
Last Week in AI
Jina AI
Jina AI
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
WordPress大学
WordPress大学
罗磊的独立博客
月光博客
月光博客
雷峰网
雷峰网
A
About on SuperTechFans
The GitHub Blog
The GitHub Blog
T
The Blog of Author Tim Ferriss
MongoDB | Blog
MongoDB | Blog
大猫的无限游戏
大猫的无限游戏
博客园 - 司徒正美
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events

LINUX DO - 最新话题

谷歌云盘下载700g数据集,求方法 OpenAI推出了100美元的Pro订阅后,plus的Codex 5小时限额大幅缩水 之前买的super grok居然还没掉 关于CPA认证文件周限 佬们,默认CDK的要求是什么等级啊? 最新版本的微信群聊机器人方案 有没有人知道如何free号没有封,那么是否可以循环使用,因为我看主要是周限 L站改版了?吓我一跳,我以为我浏览器崩了 淘宝这种宽带可信吗,500兆移动宽带月费8元到2099年 docker内部应用访问宿主机mysql和redis时被拒绝connection refuse Erp全栈想转行做Ai有什么推荐的吗 boost有bug 佬们,有没有靠谱点的 Plus 购买渠道 大妈,狗妈用的 lg 服务有源头开源项目吗? 有人有能过验证码打码的嘛 上次帖里好像发过通过大模型来打码的 gpt plus 封号似乎也太快了点,一天就给封号了 按流量/token收费的国产官方AI推荐 我算是知道了为什么Oracle总是ABC了 佬友们帮我分析一下 ChatGPT Team账号只有一个人使用和4个席位邀请满了使用的总额度是一样的吗? gpt-free 10个带rt CPA反代claude是默认1m吗? 我终于敢说我做出来windows上tmux的替代了,目标windows/全平台最强的终端Ai编程工具 claude pro升级max,除了原来的$20,好像还能再领一次$100 关于AI agent的知识框架 独乐乐不如众乐乐,分享一下我的的AI对话程序 佬们自建网站支付问题是怎么解决的 怎么能让gpt模仿claude风格输出 codex free已经死了,下一个会是plus或者team吗 请问chatgpt pro里的fast模式,速度快了,降智吗 天才程序员想要复活,还有可用的codex公益站么 里斯本丸沉没照进现代了 [富可敌国] [一叶知秋API]友仔们 我们换域名了~~ 记得更新一下哦 有点莫名其妙,被阿里云警告了 从道观回家之前,我和师兄问道 【picpi 皮皮公益站】为了防止有人拿去卖,邀请码发放规则更新。 美国 FAA: 我们需要你,游戏玩家,来当空管吧 vibe时用文言省tok吗? 有没有用? 会降表现吗? Codex CLI 官方这个 imagegen 的 Skill 到底是干啥的?哪有对应工具啊? 求问关于尼区和美区开通Claude 换设备登录telegram国内号码老账号 需要收费咋办? 发现hotmail的额度特别耐用 最近还有能正常用的claude中转站吗? 避雷闲鱼上面的CC中转站 现在cursor的优势是什么呢? OpenAI 回应马斯克要求罢免奥尔特曼:搞法律突袭,扰乱诉讼 谁在吹opencode go套餐啊,又慢量又少 【SamAltman】奥特曼被燃烧瓶袭击后的回应 咸鱼上359买的claude MAX 5x ,美国假家宽,看看能活几天 想问问跳蚤市场开的Pro和Plus 虚拟卡链接求助 [开源插件] 做了一个适合科研佬的GPT插件 【AI小说】拿AI跑了一部小说,佬们看看质量怎么样 总是能在首页看到opus4.6鞭尸推送 这个别名邮箱可以注册gpt 一个人在外地的话,佬们周末都做什么 你们ddg还能行不 获取不到新的邮箱 了····· claude code修复codex windows升级0.120.0 无法打开问题 我现在Zeabur上搭建了CPA服务,怎么再接入new api来做分发 杭州有么有佬友在搞AI应用这块的,四年前端转AI开发 汇丰、渣打两家银行获得香港稳定币牌照 【开源推广】 AIUsage:聚合多个 AI 平台配额与用量的 高颜值 macOS端 CPA看板 APP Newapi吃服务器内存多吗 中行跨境通疑限制无卡连续交易 或为应对盗刷 突然不能用表情回应话题了 codex是不是降额度了 反馈关于 “快问快答”标签的乱象 opencode版本1.4.3 无法上传图片问题 想问一下怎么解决这个问题,就是终端太多? codex更新到0.120.0之后无法加载以前的会话 sub2api怎么部署? 分享一个自用的南京继续教育平台视频自动播放下一集的油猴脚本 zotero9出来了 Claude正在向我推销付费项目,那能让你轻易得逞嘛 甲骨文用脚本开出来4个2+12咋办啊佬们,我还是免费号 各个厂的coding plan lite都绝版了? claude code 20美金账户问题 联通元景套餐续费问题 ai时代下的一些思考(诚邀大家讨论) 出境易GPT订阅pro求助 今年到目前股市的操作。 刚收到短信之前跑路的那家可以兑换了 佬们都用境外服务器做什么呢? 甲骨文4+24 求助领pro时候报错-付款页面出错。请重试。如果问题依然存在,请访问help.openai.com。 cloudflare 浏览器渲染增加了 CDP与mcp支持 SUB2API 导入 rt 时报错显示 Request failed with status code 502 如何解决 讨论一下怎么整理笔记 codex0.120.0更新后无法启动,回退 0.119.0正常使用 冰佬的公益站也不行了吗 三角洲直接给我封了10年 有佬友知道怎么起诉么 88VIP邀请 经过排查大概确定反重力代理报错问题了 【求助】openrouter 今年4月用国内visa卡充值后导致封禁,无法使用外国模型 奥特曼家被炸 自用,高信息量回复收集 求助sub2api分组问题 【新人报道】注册成功了 分享100个codex free账号 招聘 深圳客户端开发(flutter) 20k+
TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭证窃取恶意软件
stevessr (🐟) · 2026-05-25 · via LINUX DO - 最新话题

[!quote]+

一场新的跨生态系统软件供应链协同攻击活动以 npm、PyPI 和 Crates.io 为目标,传播证书窃取恶意软件。

这场代号为 "TrapDoor "的活动涉及超过 34 个恶意软件包,版本超过 384 个。最早的活动记录于 2026 年 5 月 22 日 8:20 p.m. UTC,新软件包一波一波地从一组账户快速发布到生态系统中。

"TrapDoor的目标是加密、DeFi、Solana和人工智能社区的开发人员,"Socket说。"恶意软件包旨在窃取开发者机密、加密钱包、SSH 密钥、云凭证、浏览器数据和环境变量。

"几个 npm 软件包还部署了一个共享有效载荷 trap-core.js,它可以扫描凭证、验证 AWS 和 GitHub 令牌、尝试基于 SSH 的横向移动,并通过 .cursorrules、CLAUDE.md、Git 钩子、shell 钩子、systemd、cron 和 SSH 设置持久性。

值得注意的是,该活动与 HUMAN 的 Satori 威胁情报和研究小组上周详细报道的另一个同名活动没有任何联系,后者通过 Google Play 商店分发了 455 个安卓应用程序,从事广告欺诈活动。

该行动的显著特点是交付路径多样,使用安装后钩子、在软件包导入时执行的远程 JavaScript 有效载荷以及恶意 build.rs 脚本来攻击 Sui 和 Move 开发人员。这些软件包伪装成看似无害的工具,使攻击者能够接触到广泛的受众。

npm 软件包被发现运行一个 JavaScript 有效载荷(“rap-core.js”),它可以扫描凭据和开发人员机密,使用 AWS 和 GitHub API 调用验证窃取的凭据,使用 cron 作业、systemd 服务、Git 钩子在主机上创建持久性,并通过 SSH 在网络上移动。

Rust crates 以类似的方式搜索本地密钥库,使用硬编码 XOR 密钥加密数据,并将数据外泄到 GitHub Gists。值得注意的是,这些软件包还使用了构建脚本(“build.rs”)来触发恶意代码的执行。

与 TrapDoor 相关的 Python 软件包设计为导入时自动执行。这些软件包的主要目的是从攻击者控制的 GitHub 页面域(“ddjidd564.github[.]io”)下载 JavaScript,并使用 "node -e "运行。

"Socket 解释说:"这种技术允许 Python 软件包将执行委托给远程 JavaScript 有效载荷,使攻击者在发布后拥有更大的灵活性。"通过在外部托管有效载荷,攻击者可以在不发布新的 PyPI 版本的情况下更新行为。

该活动的一个不同寻常之处是植入了 .cursorrules 和 CLAUDE.md,其中包含隐藏指令,以诱骗人工智能(AI)助手运行 “安全扫描”,从而导致秘密被发现和外泄。这是通过在流行的人工智能和开发人员项目中打开 GitHub 拉取请求(PR)来实现的,包括 “browser-use/browser-use”、"langchain-ai/langchain "和 “langflow-ai/langflow”。

stevessr (🐟) 3

@xuanxu 风水轮流转,今天轮到 rust 的 cargo 受到供应链投毒了:sob:

(虽然先到先得的包名设计颇为被吐槽)

Bliod (Bliod) 4

轮到rust了啊,那完蛋了,rust的版本机制最防不住这个了感觉