开源库Axios供应链攻击后续:开发者透露为什么自己的账号会被劫持
早前业界流行的开源库 Axios 遭到黑客攻击,黑客通过未知方式劫持开发者在 NPM 上的账号,随后篡改安装包并引入恶意依赖,恶意依赖则会收集和窃取已感染设备上的机密信息。已经有诸多安全公司针对此次攻击发布详细的调查,Axios 开发者也公布这次供应链攻击的始末,不过让大家疑惑的是最初黑客如何劫持开发者账号的。黑客通 ...
OpenSSH 10.3 修复了 Shell 注入与多个 SSH 安全问题
OpenSSH 项目于 2026 年 4 月 2 日发布了 10.3 和 10.3p1 版本,修复了一个 shell 注入漏洞,并引入了多项安全加固变更,管理员在升级前应仔细审阅这些变更。最值得关注的安全修复针对的是 -J(ProxyJump)命令行选项中的 shell 注入漏洞。在此版本之前,通过命令行 -J 或 -oProxyJump="..." 传递的用户名和主机名未经验证 ...
谷歌溯源发现@Axios供应链攻击是朝鲜黑客所为 只为窃取加密钱包
昨天知名开源库 @Axios 遭到黑客攻击,黑客通过某种方式劫持开发者的 NPM 账号并发布携带恶意代码的版本,这个开源库每月下载量高达 3 亿次,可见此次供应链攻击造成的影响非常大。人工智能项目 OpenClaw AI 机器人也同样需要使用 @Axios 开源库,昨天蓝点网发布安全提醒后有部分用户自查,发现部署环境已经被感染木马需要 ...
黑客组织SilverFox利用日本年度税务申报和组织变更的季节,针对日本制造业和其他企业发动定向钓鱼攻击
日本已进入年度纳税申报和组织变革季,在此期间,企业会产生大量合法的财务和人力资源相关信息。一个名为Silver Fox的威胁参与者正在积极利用这一繁忙时期,针对日本制造商和其他企业开展有针对性的鱼叉式网络钓鱼活动。正在进行的活动使用令人信服的网络钓鱼诱饵,这些诱饵与违反税收法规、工资调整、工作岗位变更和员工持 ...
Vim 模型行绕过漏洞允许攻击者执行任意操作系统命令
最新发现的 Vim 文本编辑器高危漏洞会使用户面临在操作系统上执行任意命令的风险。该漏洞编号为 CVE-2026-34982,它利用模型行沙箱绕过漏洞,当受害者打开一个特制的文件时,该漏洞就会被触发。安全研究人员“dfwjj x”和 Avishay Matayev 发现了一个漏洞链,该漏洞链会影响 9.2.0276 之前的 Vim 版本。Vim 项目于 2026 年 ...
思科遭到供应链攻击泄露内部及客户产品源代码 目前正在大规模轮换凭证
3 月份开源的漏洞扫描器 Trivy 遭遇攻击并向使用该工具的下游项目投毒,攻击者利用恶意 GitHub Action 插件感染多个企业的内部环境,随后窃取内部环境中的敏感数据例如各种云凭证。知名科技公司思科也在这轮供应链攻击中受损,攻击者利用恶意的 GitHub Action 从思科的构建和开发环境中窃取凭据和数据,包括部分开发者设备 ...
ECShop网店系统<=V2.6.2 后台拿webshell
[quote]ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。[/quote](官方介绍)ECSHOP前段时间出了个注射漏洞:[url]http://bbs.wolvez.org/topic/67/[/url],拿后台权限应该没有问题,但文章没有提及如何在后台拿shell。昨天可乐在t00ls.Net上发帖问如何拿shell,无聊 ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2026 T00ls All Rights Reserved.