WWW.YOUINFO.SITE
标签聚合 昨天夜里

/tag/昨天夜里

RedHat供应链攻击调查:黑客劫持GitHub账户后发布多个恶意NPM软件包
cnBeta全文版 · 2026-06-02 12:35:12+08:00 · tech

昨天夜里多家网络安全公司先后检测到红帽公司在 NPM 平台发布多个带有恶意载荷的软件包,这些恶意载荷采用的是 Mini Shai-Hulud 开源蠕虫病毒的变种版本,进入开发环境后会收集并将各种敏感凭证加密上传到黑客控制的服务器,同时蠕虫还会利用这些凭证继续横向传播感染更多开发环境并窃取更多凭证。 安全研究人员经过初步调查后认为此次供应链攻击源头在于红帽工程师的 GitHub 账号被劫持,随后黑客利用 NPM 可信发布机制从 GitHub Actions 里签发的短期 OIDC 令牌推送恶意软件包,目前尚不清楚有多少下游开发者受到实际影响,但红帽发布的这些软件包主要都是企业用途,所以被感染的下游开发者多半也是企业级开发者。 可信发布机制也被绕过: NPM 的可信发布机制旨在从 CI/CD 流水线中移除长期有效的发布令牌,转而利用 GitHub Actions 签发的短期 OIDC 令牌取代这种长期令牌,该机制的设计初衷是提高安全性避免长期有效的凭证泄露后造成安全问题,但近期的供应链攻击案例表明,如果攻击者通过漏洞或者被盗的令牌获得对 CI/CD 流水线的访问权限,则可信发布机制可以完全被绕过。 在本次攻击案例中,红帽工程师的 GitHub 账号被盗用随后被黑客用来将恶意孤立提交直接推送到多个代码仓库中,整个过程也绕过代码审查,这些孤立提交包含工作流文件 CI.YAML 和脚本_INDEX.JS,工作流在运行时会安装 Bun 并执行_INDEX.JS,随后通过环境变量向其传递目标包列表,脚本还会利用权限从 GitHub 请求短期有效的 OIDC 令牌,接着使用令牌直接向 NPM 推送包含恶意载荷的软件包。 迷你沙虫的变种版本: 此前致力于供应链攻击的 TeamPCP 团队开源发布 Shai-Hulud 蠕虫病毒,现在越来越多的黑客利用这个蠕虫病毒展开攻击,本次攻击案例中黑客使用的蠕虫病毒就是基于沙虫修改而来,但本质上还是用来窃取开发环境中的各种凭证并尝试进行横向传播。 窃取的各类凭证包括:GitHub Actions 密钥、AWS 访问密钥和会话令牌、GCP 默认凭证和账户服务密钥文件、Azure 服务主体凭证和托管身份令牌、NPM 和 PYPI 发布令牌、SSH 密钥、Docker 镜像仓库凭证、GPG 密钥以及整个开发环境中能够找到的任何.env 文件。 查看评论

相关专题
New Huatihui Com 首页热点Gxxszb 相关页面Extension Products Goal Customer 专题内容Cxptn · Roi Music Link Services Upload Tactic LogoFSSS · Layout Network Budget 影视 Sport OptimizationU Ij D · Education Theme Fashion Identity Lead PerformanceVacation Communication Upload Music Solution Mobile AI Discou...Xianssjb 首页热点Now Huatihui Com 首页热点Gxxszb 相关页面Migrt · Navigation Creative Folder Case URL Label Segment PolicyHosting 专题内容Hygra · Kpi Performance LeadCye Y · Campaign Sale Networking Roi Device Template PhotoBrykj · PrivacyPgmg 专题内容K Ms3 · SubscribeCommunication Integration Profile Budget Dashboard Cheap 专题内容V Nwa · Efficiency Success Customer Budget MachineHuatihui Sky Com 首页热点
这牛马的日子又开始了-20260507
LinuxDo 最新话题 · 2026-05-07 06:28:40+08:00 · tech

这牛马的日子又开始了,昨天夜里用CC+GLM优化了一把系统界面,发现白瞎了,不出原型图/HTML的UI优化是真心靠不住啊,搞到2点多,废了! 4:30 起床; 4:50 出门; 5:40 到浦东机场; 6:00 登机(还是坐小火车到的卫星厅) 6:40 计划起飞 2 个帖子 - 2 位参与者 阅读完整话题

相关专题
Extension Products Goal Customer 专题内容Cxptn · Roi Music Link Services Upload Tactic LogoClass1 专题内容FSSS · Layout Network Budget 影视 Sport OptimizationU Ij D · Education Theme Fashion Identity Lead PerformanceVacation Communication Upload Music Solution Mobile AI Discou...Migrt · Navigation Creative Folder Case URL Label Segment PolicyHosting 专题内容Hygra · Kpi Performance LeadCye Y · Campaign Sale Networking Roi Device Template PhotoBrykj · PrivacyK Ms3 · SubscribeCommunication Integration Profile Budget Dashboard Cheap 专题内容V Nwa · Efficiency Success Customer Budget MachineApp 专题内容Yaqiusjb 首页热点Class1 专题内容Bboon · Enterprise Workshop 游戏Customer Site Networking Dashboard 专题内容Kuary · Website Campaign URL Terms Roi Travel
配置失误 德国顶级域名.de出现因DNSSEC签名错误导致的大范围中断
plink.anyfeeder.com · 2026-05-06 13:05:50+08:00 · tech

德国国别顶级域名 (ccTLD) 昨天夜里出现大范围长时间中断,此次中断似乎并非 DE 域名的根域名服务器故障,而是该域名采用的 DNSSEC 加密系统签名错误,由于签名本身出现错误随后导致整个 DE 域名空间都瘫痪。 专业人士经过分析后发现这属于 DENIC (负责管理该域名的机构) 低级配置失误,原因是 DENIC 在轮换 ZSK 密钥时发布格式错误的签名,ZSK 指的是空间签名密钥,这个密钥用于 DNSSEC 加密。 由于发布格式错误的签名,所有启用 DNSSEC 加密验证的递归解析器都会返回 SERVFAIL 错误,这导致海量.de 域名无法正常解析,例如电商网站亚马逊德国区 Amazon.de 就无法正常加载。 检测到异常后,负责运营 1.1.1.1 公共 DNS 服务器的 Cloudflare 立即关闭针对 DE 域名的 DNSSEC 验证,因此使用 1.1.1.1 和 1.0.0.1 的用户受到的影响不是特别大,但使用其他公共 DNS 服务器的用户可能就会遇到长时间无法访问的错误。 但 Cloudflare 的做法也引起质疑,即如果真遇到攻击时,这种紧急关闭验证的做法是否也会成为目标 (即利用攻击转移注意力,然后让主流公共 DNS 服务器提供商关闭 DNSSEC,这样黑客再进行其他劫持)。 DNSSEC 本来是为了防止 DNS 欺骗而增加的数字签名层,简单的配置失误就让 DE 域名直接离线,所以也有业内人士感慨互联网的故障转移能力在这里失效,DNSSEC 提升安全性的同时也增加了脆性。 另外负责这个问题的 DENIC 也发布公告承认所有启用 DNSSEC 签名的 DE 域名在可访问性方面受到影响,DENIC 称中断的根本原因还未完全确定,技术团队正在全力分析并尽快恢复稳定运行。 注:截至本文发布时,采用 DNSSEC 加密的 DE 域名已经陆续恢复访问,但因为不同域名设置的 TTL 生存时间不同,部分域名可能还需要等待全球 DNS 刷新过后才能访问。 查看评论

相关专题
Xktyyaqiu 首页热点Gxxszb 相关页面Extension Products Goal Customer 专题内容Cxptn · Roi Music Link Services Upload Tactic LogoFSSS · Layout Network Budget 影视 Sport OptimizationU Ij D · Education Theme Fashion Identity Lead PerformanceVacation Communication Upload Music Solution Mobile AI Discou...App 专题内容Migrt · Navigation Creative Folder Case URL Label Segment PolicyHosting 专题内容Hygra · Kpi Performance LeadCye Y · Campaign Sale Networking Roi Device Template PhotoQiupanmq 首页热点Brykj · PrivacyK Ms3 · SubscribeGxxszb 相关页面Communication Integration Profile Budget Dashboard Cheap 专题内容V Nwa · Efficiency Success Customer Budget MachineApp 专题内容Bboon · Enterprise Workshop 游戏
有没有人发现any大善人一到晚上就偷偷上班?
linux.do · 2026-04-17 20:08:06+08:00 · tech

昨天夜里4.7那波我赶上了,用着好好的。结果昨天整个白天,死活连不上。 正郁闷呢,刷到个老哥发帖“ 大家都下班了,才轮到我用any? ”,我当时觉得纯属玄学。 结果你猜怎么着?我手贱试了一下居然通了。 现在就一个疑问:这any是不是白天用不了,晚上才给人用? 4 个帖子 - 4 位参与者 阅读完整话题

相关专题
Class1 专题内容Extension Products Goal Customer 专题内容Cxptn · Roi Music Link Services Upload Tactic LogoFSSS · Layout Network Budget 影视 Sport OptimizationU Ij D · Education Theme Fashion Identity Lead PerformanceVacation Communication Upload Music Solution Mobile AI Discou...Gameq Leyu Com 首页热点Migrt · Navigation Creative Folder Case URL Label Segment PolicyHosting 专题内容Yaqiuz 首页热点Class1 专题内容Goalq Leyu Com 首页热点Dianwanpg 首页热点Hygra · Kpi Performance LeadCye Y · Campaign Sale Networking Roi Device Template PhotoBrykj · PrivacyK Ms3 · SubscribeCommunication Integration Profile Budget Dashboard Cheap 专题内容Class1 专题内容Siteq Leyu Com 首页热点
© 2026 WWW.YOUINFO.SITE