分析黑斑羚-第一次NuGet攻击战役的有效载荷
2023年4月10日
在这篇博文中,我们将详细分析一个我们称之为“Impala Stealer”的恶意有效载荷,这是一个自定义的加密窃取器,它被用作我们在上一篇文章中暴露的NuGet恶意软件包活动的有效载荷。这个复杂的行动针对。net…
攻击者开始用恶意代码NuGet包瞄准。net开发人员
2023年3月20日
更新2023-03-21 -我们已经与NuGet团队成员进行了交谈,他们已经检测并删除了有问题的恶意软件包。恶意包通常由开源NPM和PyPI包存储库传播,很少有其他存储库受到影响。具体来说,没有公开证据表明在…
使用GitLab CI/CD和JFrog完成您的软件供应链
2023年2月27日
软件不仅仅是建筑规范。开发软件并确保质量构建需要管理一个完整的软件供应链。由于供应链中存在许多安全威胁,因此管理您交付给客户的软件的每个方面,包括软件制作的整个过程,对您的组织至关重要。…
JFrog在2021年将安全提升到了新的高度
2022年2月9日
随着安全成为DevOps团队的关键“必备”,JFrog将在2021年进一步深化和扩展我们平台已经稳固的安全能力。在这篇文章中,我们将回顾我们去年的主要进展,并展望2022年将会发生什么。我们的目标是:向客户解释我们是如何提供服务的……
恶意npm包在你的不和令牌之后-披露了17个新包
2021年12月8日
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。最近,我们在PyPI存储库中披露了11个恶意软件包,这一发现表明攻击的方法变得越来越复杂。…
今年10月与JFrog一起获得Cybersmart
2021年10月5日
我们生活在一个设备互联程度越来越高的世界——手机、数字助理、智能手表、汽车、恒温器、冰箱、风车等等。根据世界经济论坛(world Economic Forum)的数据,目前全球超过50%的人口上网,三分之二的人拥有移动设备。此外,当今应用程序的代码库通常主要由开源组成……
供应链攻击中的巨蟒轮顶
2021年2月16日
最近,安全研究人员Alex Birsan发布了一种新的供应链攻击,详细说明了包管理器中的依赖混淆(或“名称等同”)如何被滥用,以便在生产和开发系统上执行恶意代码。简而言之,大多数包管理器(如pip和npm)都没有…
Realtek RTL8195A Wi-Fi模块主要漏洞发现及修复
2021年2月3日
在最近的供应链安全评估中,JFrog安全研究团队(以前的Vdoo)分析了多个网络设备的安全漏洞和暴露。在分析过程中,我们发现并负责任地披露了Realtek RTL8195A Wi-Fi模块中的六个主要漏洞,这些设备基于该模块。攻击者利用发现的漏洞可以获得远程…
