Ongoing typosquatting campaign impersonates hundreds of popular npm packages
Puppeteer 还是 Pupeter?其中一个会窥探你的机器并窃取你的凭据正在进行的域名抢注活动通过数百个流行的 JavaScript 库(每周下载量达数千万)瞄准开发人员,以窃取和窥探信息的恶意软件感染系统。
You should be worried about cloud squatting
云中的大多数安全问题都可以追溯到某人做了一些愚蠢的事情。抱歉,我直言不讳,但我没有看到有天才的黑客。我确实看到配置错误的云资源(例如存储和数据库)导致本来可以轻松避免的漏洞。我总是教导你,你的第一道防线不是酷炫的安全工具,而是培训。考虑到预算用于新工具,而不是教管理员如何避免做傻事,这一点经常被忽视。考虑到所需的投资与获得的价值,这令人沮丧。算了。要阅读本文全文,请单击此处
Malicious hackers are weaponizing generative AI
虽然我发誓不再将研究作为博客素材,但我确实注意到 Vulcan Cyber 的 Voyager18 研究团队最近发布了一份咨询报告,证实生成式人工智能(如 ChatGPT)将迅速转变为一种武器,随时准备攻击您附近的基于云的系统。大多数云计算内部人士一直在等待这一刻。新的攻击方式一种使用 OpenAI 语言模型 ChatGPT 的新攻击技术已经出现;攻击者正在开发人员环境中传播恶意程序包。专家们发现 ChatGPT 会生成不存在的 URL、引用、代码库和函数。根据报告,这些“幻觉”可能是由旧的训练数据引起的。通过 ChatGPT 的代码生成功能,攻击者可以利用恶意分发的伪造代码库(程序包),
