摘要:Linux内核的KSMBD(SMB Direct)子系统中发现一个拒绝服务漏洞,已在开源社区引发广泛关注。该漏洞编号为CVE-2025-38501,远程攻击者无需认证即可通过利用内核处理半开TCP会话的机制耗尽所有可用SMB连接。
安全研究团队Socket发现npm仓库遭遇新型供应链攻击,波及多个维护者旗下的40余个软件包。研究人员首先在每周下载量达220万次的**@ctrl/tinycolor**软件包中检测到恶意更新,深入调查后揭露了这场规模更大的攻击活动。
Part02攻击技术分析恶意代码通过以下方式实施攻击:篡改package.json文件注入本地脚本重新发布被篡改的压缩包自动感染下游项目攻击核心组件bundle.js的执行流程包括:下载合法的密钥扫描工具TruffleHog对主机进行环境探测扫描文件及代码库中的令牌与云凭证验证并盗用开发者/云服务凭证利用可用PAT(个人访问令牌)部署GitHub Actions工作流将窃取数据(base64编码)外传至预设WebhookPart03数据窃取机制恶意脚本会扫描以下敏感信息:环境密钥(GITHUB_TOKEN、NPM_TOKEN、AWS密钥等)通过whoami端点验证npm令牌有效性探测云元数据端点(AWS/GCP)获取构建代理的临时凭证植入持久化GitHub Actions工作流,持续窃取CI流程中的敏感数据Socket报告指出:"该工作流在代码库中的存续时间超过初始感染周期。一旦提交,后续所有CI运行都可能触发管道内的数据外泄步骤,这些管道按设计本就可访问敏感密钥和构建产物。"Part04防护建议研究人员已公布本次攻击的IoC(入侵指标),并建议开发者:参考来源:
New supply chain attack hits npm registry, compromising 40+ packages
https://securityaffairs.com/182274/malware/new-supply-chain-attack-hits-npm-registry-compromising-40-packages.html来源:FreeBuf
