TAG
#供應鏈攻擊
2 篇文章
TechLab 所有關於「供應鏈攻擊」嘅文章、評測同教學,由最新排起。
3C 產品假 Go DNS 掃描器背後:GitHub repo 有 commit 都唔代表可信
Socket 研究指一個扮 DNS/subdomain 掃描器嘅 Go module,背後連住 222 個 GitHub repo,同時用 GitHub Actions 刷 commit、Go pseudo-version 刷版本,再交畀 Windows loader 拉 RAT、infostealer 同 miner。呢單嘢最大提醒係:開源套件唔可以淨係睇 repo 表面活躍度。
1 天前
Tech News一個 VS Code extension 點樣打入 GitHub:開源供應鏈風險已變日常
GitHub 確認一名員工裝到被污染 VS Code extension,令約 3,800 個 GitHub 內部 repo 被外洩。重點唔係「GitHub 都會中招」咁簡單,而係 developer 工具、npm package、CI token 同 AI coding agent 已經變成同一條攻擊鏈。
2 個月前