大佬们 有InTouch安装的软件包吗 网页看到的不敢下载 1 个帖子 - 1 位参与者 阅读完整话题
Ars Technica – 1 Jun 26 Dozens of Red Hat packages backdoored through its official NPM channel Anyone who has downloaded affected Red Hat packages should investigate immediately. [!quote]+ 研究人员说,红帽公司的官方 NPM 账户已被入侵,并被用来推送一种恶意蠕虫病毒,这种病毒会在机器间传播,并窃取敏感凭据,从而窃取更多机密数据。 据安全公司 Aikido 的研究人员称,供应链攻击始于周一,在本帖上线时仍处于活跃状态。这是负责黑客攻击的威胁行为者控制了 @redhat-cloud-services 的结果,而 @redhat-cloud-services 是 npm 代码库中专为红帽官方软件包保留的合法通道。因此,该频道广受依赖红帽云服务的开发人员的信任。 1 个帖子 - 1 位参与者 阅读完整话题
昨天夜里多家网络安全公司先后检测到红帽公司在 NPM 平台发布多个带有恶意载荷的软件包,这些恶意载荷采用的是 Mini Shai-Hulud 开源蠕虫病毒的变种版本,进入开发环境后会收集并将各种敏感凭证加密上传到黑客控制的服务器,同时蠕虫还会利用这些凭证继续横向传播感染更多开发环境并窃取更多凭证。 安全研究人员经过初步调查后认为此次供应链攻击源头在于红帽工程师的 GitHub 账号被劫持,随后黑客利用 NPM 可信发布机制从 GitHub Actions 里签发的短期 OIDC 令牌推送恶意软件包,目前尚不清楚有多少下游开发者受到实际影响,但红帽发布的这些软件包主要都是企业用途,所以被感染的下游开发者多半也是企业级开发者。 可信发布机制也被绕过: NPM 的可信发布机制旨在从 CI/CD 流水线中移除长期有效的发布令牌,转而利用 GitHub Actions 签发的短期 OIDC 令牌取代这种长期令牌,该机制的设计初衷是提高安全性避免长期有效的凭证泄露后造成安全问题,但近期的供应链攻击案例表明,如果攻击者通过漏洞或者被盗的令牌获得对 CI/CD 流水线的访问权限,则可信发布机制可以完全被绕过。 在本次攻击案例中,红帽工程师的 GitHub 账号被盗用随后被黑客用来将恶意孤立提交直接推送到多个代码仓库中,整个过程也绕过代码审查,这些孤立提交包含工作流文件 CI.YAML 和脚本_INDEX.JS,工作流在运行时会安装 Bun 并执行_INDEX.JS,随后通过环境变量向其传递目标包列表,脚本还会利用权限从 GitHub 请求短期有效的 OIDC 令牌,接着使用令牌直接向 NPM 推送包含恶意载荷的软件包。 迷你沙虫的变种版本: 此前致力于供应链攻击的 TeamPCP 团队开源发布 Shai-Hulud 蠕虫病毒,现在越来越多的黑客利用这个蠕虫病毒展开攻击,本次攻击案例中黑客使用的蠕虫病毒就是基于沙虫修改而来,但本质上还是用来窃取开发环境中的各种凭证并尝试进行横向传播。 窃取的各类凭证包括:GitHub Actions 密钥、AWS 访问密钥和会话令牌、GCP 默认凭证和账户服务密钥文件、Azure 服务主体凭证和托管身份令牌、NPM 和 PYPI 发布令牌、SSH 密钥、Docker 镜像仓库凭证、GPG 密钥以及整个开发环境中能够找到的任何.env 文件。 查看评论
如题,没看到有佬友法,就发下 11 个帖子 - 6 位参与者 阅读完整话题
IT之家 5 月 25 日消息,国家网络安全通报中心今日发布公告,监测发现,全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”(Shai-Hulud)供应链投毒攻击 。 攻击者攻陷了 npm 官方维护者账户,并在短时间内批量投放大量恶意软件包, 涉及 300 余个独立程序包的 600 余个恶意版本 ,影响多个热门开源项目。 当开发者安装恶意依赖包后,程序会自动在本地主机、CI / CD 流水线环境执行恶意代码,窃取 GitHub Token、npm Token、云服务密钥、SSH 私钥、Kubernetes 凭据、数据库连接字符串等敏感信息。 此次投毒攻击具备极强蠕虫式自我复制与横向传播能力,攻击者可利用窃取的 npm 发布权限篡改和二次发布开发者名下的其他软件包,造成供应链风险持续扩散、危害持续升级。 IT之家附具体内容如下: 一、影响范围 主要受影响项目包括 echarts-for-react、@antv 系列核心库(@antv/g2、@antv/g6、@antv/x6 等)、TanStack 系列 42 个包、Mistral AI 相关 PyPI 包以及 timeago.js 等社区包。 受影响对象主要包括前端开发者、人工智能或机器学习开发者、开源项目维护者及企业研发人员等。由于恶意软件具备蠕虫式传播能力,可自动重新发布受害者维护的其他包,导致共享开发环境的其他用户及依赖同一维护者发布的其他软件包的用户也可能面临间接感染风险。 二、处置建议 一是隔离风险设备 。若本地设备近期安装过相关受影响的 npm 依赖,建议暂停项目运行,并断开可疑设备网络连接,防止恶意代码继续外联。 二是排查依赖文件 。检查 package.json 、 package-lock.json 、 pnpm-lock.yaml 、 yarn.lock 及 node_modules 目录,核实是否存在异常 preinstall、postinstall 等自动执行脚本。 三是清理残留痕迹 。排查 Claude Code hooks、VS Code 任务配置等位置,检查是否存在 router_runtime.js 、 setup.mjs 等可疑文件,避免恶意代码在卸载依赖后继续残留。 四是更换敏感凭证 。及时更新 GitHub Token、npm Token、云服务密钥、SSH 私钥、数据库密码等各类密钥与令牌,对关联账号执行“退出全部设备”操作。 五是提升安全意识 。安装 npm 第三方依赖前,应核验项目官方来源、近期发布记录和脚本内容,不盲目安装热门包,优先选用安全稳定的官方版本。 相关阅读: 《 周下载超 69 万次:热门 npm 包 node-ipc 被投毒,可窃取密码等敏感信息 》 《 npm 生态遭大范围投毒:TanStack、Mistral AI、UiPath 等受波及,可窃取云密钥与 GitHub 令牌 》
IT之家 5 月 25 日消息,国家网络安全通报中心今日发布预警,称监测发现,全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”(Shai-Hulud)供应链投毒攻击。 攻击者攻陷了 npm 官方维护者账户 ,并在短时间内批量投放大量恶意软件包, 涉及 300 余个独立程序包的 600 余个恶意版本 ,影响多个热门开源项目。 据介绍,当开发者安装恶意依赖包后,程序会自动在本地主机、CI / CD 流水线环境执行恶意代码,窃取 GitHub Token、npm Token、云服务密钥、SSH 私钥、Kubernetes 凭据、数据库连接字符串等敏感信息。此次投毒攻击具备极强蠕虫式自我复制与横向传播能力, 攻击者可利用窃取的 npm 发布权限篡改和二次发布开发者名下的其他软件包 ,造成供应链风险持续扩散、危害持续升级。 主要受影响项目包括 echarts-for-react、@antv 系列核心库(@antv/g2、@antv/g6、@antv/x6 等)、TanStack 系列 42 个包、Mistral AI 相关 PyPI 包以及 timeago.js 等社区包。受影响对象主要包括前端开发者、人工智能或机器学习开发者、开源项目维护者及企业研发人员等。 由于恶意软件具备蠕虫式传播能力,可自动重新发布受害者维护的其他包, 导致共享开发环境的其他用户及依赖同一维护者发布的其他软件包的用户也可能面临间接感染风险 。IT之家附国家网络安全通报中心给出的处置建议如下: 一是隔离风险设备。 若本地设备近期安装过相关受影响的 npm 依赖,建议暂停项目运行,并断开可疑设备网络连接,防止恶意代码继续外联。 二是排查依赖文件。 检查 package.json 、 package-lock.json 、 pnpm-lock.yaml 、 yarn.lock 及 node_modules 目录,核实是否存在异常 preinstall、postinstall 等自动执行脚本。 三是清理残留痕迹。 排查 Claude Code hooks、VS Code 任务配置等位置,检查是否存在 router_runtime.js 、 setup.mjs 等可疑文件,避免恶意代码在卸载依赖后继续残留。 四是更换敏感凭证。 及时更新 GitHub Token、npm Token、云服务密钥、SSH 私钥、数据库密码等各类密钥与令牌,对关联账号执行“退出全部设备”操作。 五是提升安全意识。 安装 npm 第三方依赖前,应核验项目官方来源、近期发布记录和脚本内容,不盲目安装热门包,优先选用安全稳定的官方版本。 相关阅读: 《 npm 生态遭大范围投毒:TanStack、Mistral AI、UiPath 等受波及,可窃取云密钥与 GitHub 令牌 》
IT之家 5 月 20 日消息,Fedora 工程与指导委员会(FESCo)在昨日召开的会议上, 决定从 Fedora 中停用并移除所有 Deepin 桌面软件包。 IT之家翻译官方决定内容如下: 同意:下架列表中的所有软件包,以及提及 fesco 工单的相关消息。委员会还要求发布工程团队不要因为后续申请就直接恢复这些软件包,而是重新通过审查。 Deepin 桌面软件包是指深度操作系统(deepin)生态中所使用的软件程序及其分发、安装载体。推动这一决定的主要原因有 2 个:一是持续存在的安全担忧,二是相关软件包维护活跃度不足,难以满足发行版对安全和维护质量的要求。 在评估过程中,Fedora 开发者还遇到一个现实障碍:难以联系到部分 Deepin 软件包维护者。对社区发行版而言,维护者响应速度、漏洞修复配合度,以及长期维护意愿,都会直接影响软件包是否适合继续保留。
在 SUSE 因持续的安全问题决定移除其 Deepin 桌面软件包一年后,Fedora Linux 现在也因类似的担忧以及缺乏维护活动而移除其 Deepin 软件包。 一年前, 在 SUSE/openSUSE 披露 Deepin 的安全漏洞后, FESCo 提交了一份工单, 要求对 Deepin 进行安全审查。 在此期间,Fedora 开发人员一直难以联系到一些 Deepin 软件包的维护者。然而,决定如何处理 Deepin 软件包的部分原因在于缺乏明确的政策来界定预期。 在今天的 Fedora 工程和指导委员会 (FESCo) 会议上,决定从 Fedora 中移除所有 Deepin 软件包: “同意:将列表中的所有软件包全部下架,并在消息中提及 fesco 工单。要求 releng 团队,如果有人提出请求,除非这些软件包再次通过审核,否则不要恢复这些软件包。” 查看评论
受影响软件包覆盖 42 个 @ tanstack /* 命名空间下的项目,其中 @ tanstack /react-router 的周下载量超 1200 万次 消息来源: https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack
受影响软件包覆盖 42 个 @ tanstack /* 命名空间下的项目,其中 @ tanstack /react-router 的周下载量超 1200 万次 消息来源: https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack
phoronix.com Debian Release Team: Debian Must Now Ship Reproducible Packages With half-way through the Debian 14 'Forky' development cycle, the Debian release team is out with an update this weekend and some big news. lists.debian.org bits from the release team [!quote]+ Debian 发布团队决定现在是时候宣布 Debian 必须发布可重现软件包了。在过去的几年中,Debian 通过 “可重现构建”(Reproducible Builds)努力确保独立用户可以逐位重现相同的软件包构建/二进制文件,从而取得了长足的进步。从源代码到二进制文件的独立可验证路径对于安全问题和验证软件包的真实性变得越来越重要。 今后,Debian 必须发布可重现的软件包,因此 Debian 14.0 将是通过这一新规定发布的第一个重要版本。从昨天开始,Debian 的迁移软件将阻止无法重现的新软件包或重现性下降的现有软件包的迁移。 1 个帖子 - 1 位参与者 阅读完整话题
Fedora 项目上月提出一项变更提案,建议在 Fedora Linux 45 中,在现有通用 x86_64(v1)软件包的基础上,增加一套面向 x86_64-v3 微架构的构建,以期为支持该指令集的处理器带来更高性能。这一提案意味着 Fedora 仓库中将出现针对更新 CPU 指令集优化的二进制包,但同时也会显著增加镜像站点的存储与带宽负担、质量保证与测试工作量,以及相关基础设施的运营压力。 在最新一次 Fedora 工程与指导委员会 FESCo 会议上,与会成员围绕性能收益是否足够明确、额外软件包与可能新增 ISO 镜像带来的成本、以及 x86_64-v3 是否应纳入发行版发布准入标准等问题进行了讨论,但最终选择暂缓表决,没有做出结论。 当前的争议焦点在于:x86_64-v3 带来的性能提升在不同应用之间差异较大,尚缺乏针对 Fedora 场景的系统性评估。从硬件角度看,x86_64-v3 要求处理器支持 AVX/AVX2、BMI2、MOVBE 等一系列较新的指令扩展,大致对应至少 Intel Haswell 或 AMD Excavator 这一代产品,因此并非所有仍在服役的 64 位 x86 机器都能运行这类软件包。在此背景下,如果 Fedora 针对 x86_64-v3 增加完整的软件仓库和安装镜像,将需要在兼顾较新硬件用户体验与老旧硬件可用性的前提下,重新权衡资源投入与发行策略。 针对这些顾虑,FESCo 决定将讨论“搁置”,并要求提案方补充更详尽的数据与方案说明。后续工作包括:在 Fedora 环境下进行有代表性的基准测试,以展示 x86_64-v3 在实际工作负载中的性能收益;进一步澄清镜像与基础设施规划,例如是否会为 x86_64-v3 提供独立 ISO,或者仅在云与服务器镜像中启用该优化,以降低对桌面发行介质和通用镜像的影响。在新的数据与配套方案提交并评估之前,Fedora 45 是否引入 x86_64-v3 软件包仍处于悬而未决状态。 目前,围绕这项变更的技术与社区讨论仍在持续。对细节感兴趣的开发者和用户,可以查阅本次会议的聊天记录与会议纪要,以及 Fedora Wiki 上当前版本的变更提案文件,了解 FESCo 成员及社区就性能、硬件覆盖范围与发布标准等问题的具体观点。值得注意的是,这一提案背后也得到部分企业利益相关方的支持,其中包括微软等公司;据报道,微软正在考虑将 Azure Linux 迁移为基于 Fedora 的发行,并希望在此过程中能够利用 x86_64-v3 软件包所带来的性能优势。在社区与企业多方博弈下,Fedora 如何在性能、兼容性与资源消耗之间取得平衡,将直接影响 Fedora 45 以及后续版本在 x86_64 生态中的定位。 查看评论
下一代“编程语言”的瞎想 新一代的编程语言,将彻底颠覆现在的软件开发生态。 未来的软件,不再是以软件包的形式发布,而是一段如何实现功能的提示词。 每个人都有一个自己的软件平台(新一代的代码编译器),当需要增加什么功能,直接下载需要的提示词,软件平台根据用户的个性化需求,通过软件平台进行具体的编码实现。 目前的 agent + skills 的方案,已经有点雏形的感觉了。
下一代“编程语言”的瞎想 新一代的编程语言,将彻底颠覆现在的软件开发生态。 未来的软件,不再是以软件包的形式发布,而是一段如何实现功能的提示词。 每个人都有一个自己的软件平台(新一代的代码编译器),当需要增加什么功能,直接下载需要的提示词,软件平台根据用户的个性化需求,通过软件平台进行具体的编码实现。 目前的 agent + skills 的方案,已经有点雏形的感觉了。
下一代“编程语言”的瞎想 新一代的编程语言,将彻底颠覆现在的软件开发生态。 未来的软件,不再是以软件包的形式发布,而是一段如何实现功能的提示词。 每个人都有一个自己的软件平台(新一代的代码编译器),当需要增加什么功能,直接下载需要的提示词,软件平台根据用户的个性化需求,通过软件平台进行具体的编码实现。 目前的 agent + skills 的方案,已经有点雏形的感觉了。
下一代“编程语言”的瞎想 新一代的编程语言,将彻底颠覆现在的软件开发生态。 未来的软件,不再是以软件包的形式发布,而是一段如何实现功能的提示词。 每个人都有一个自己的软件平台(新一代的代码编译器),当需要增加什么功能,直接下载需要的提示词,软件平台根据用户的个性化需求,通过软件平台进行具体的编码实现。 目前的 agent + skills 的方案,已经有点雏形的感觉了。
下一代“编程语言”的瞎想 新一代的编程语言,将彻底颠覆现在的软件开发生态。 未来的软件,不再是以软件包的形式发布,而是一段如何实现功能的提示词。 每个人都有一个自己的软件平台(新一代的代码编译器),当需要增加什么功能,直接下载需要的提示词,软件平台根据用户的个性化需求,通过软件平台进行具体的编码实现。 目前的 agent + skills 的方案,已经有点雏形的感觉了。
今天我使用CC时,突然脑袋一热,寻思更新一下软件包,不过坏了事儿了,我使用claude指令的时候却突然显示找不到指令了,经过我一上午的摸索,发现居然是node的问题 那我们应该如何解决这个问题呢 我们只需要删掉旧版的cc npm uninstall -g @anthropic-ai /claude-code ,然后使用 npm install -g @anthropic-ai /claude-code 重新安装即可 或者 切换node版本到你之前使用的版本即可 希望此篇文章能帮到你解决问题,感谢你的阅读 1 个帖子 - 1 位参与者 阅读完整话题