#supply-chain
共 11 篇相关内容 · 安全漏洞、AI动态、技术文章
技术文章 7
2026年供应链攻击全景:TanStack投毒、GitHub Megalodon与开发者生态的信任危机
2026年供应链攻击全面爆发:TanStack包投毒波及OpenAI和Grafana,GitHub Megalodon运动数小时感染数千仓库。攻破一个可信依赖,就能瘫痪整个开发者生态。
CVE-2026-21858:n8n「Ni8mare」漏洞——CVSS满分10.0的工作流自动化平台RCE
CVE-2026-21858(CVSS 10.0)允许无认证攻击者通过Content-Type混淆实现n8n服务器完全控制。PoC已公开,全球约10万台实例面临风险。
2026年6月全球网络安全威胁情报:零日漏洞激增、供应链攻击升级
 # 2026年6月全球网络安全威胁情报:零日漏洞激增、供应链攻击升级 > 微软单月修复206个漏洞创历史
2026年6月全球网络安全威胁情报:零日漏洞爆发、供应链攻击升级
# 2026年6月全球网络安全威胁情报:零日漏洞爆发、供应链攻击升级  > 2026年6月第二周,全球网络安全态势急
2026年6月全球网络安全重大威胁情报:零日漏洞爆发、勒索攻击升级与供应链安全警示
# 2026年6月全球网络安全重大威胁情报:零日漏洞爆发、勒索攻击升级与供应链安全警示  > **摘要*
2026年6月全球网络安全威胁情报:零日漏洞、供应链攻击与AI安全新态势
# 2026年6月全球网络安全威胁情报:零日漏洞、供应链攻击与AI安全新态势  > 2026年6月第一周,全球网络安全态势持
TrapDoor — 跨生态供应链攻击 + AI助手投毒
Socket Security发现代号TrapDoor的供应链攻击:34个恶意包+384个变体,同时攻击npm、PyPI、Crates.io三大平台。恶意代码针对AI编码助手投毒。
情报动态 4
GitHub 遭入侵 — 员工设备被控导致 3,800+ 内部仓库泄露
GitHub 遭受安全入侵,攻击者通过入侵员工设备获取了 3,800 余个内部代码仓库的访问权限。此外,另有攻击者通过恶意 Nx Console VS Code 扩展针对开发者环境发起供应链攻击。CISA 已将相关 CVE 纳入已知被利用漏洞目录。
Bitwarden CLI 供应链攻击 — npm 包嵌入恶意代码
Bitwarden CLI 2026.4.0 版本在 npm 发布期间(2026-04-22)被发现嵌入恶意代码,与 Checkmarx 供应链安全事件相关。该恶意代码在约10分钟的窗口期内存在于 npm 包中,使用该版本的开发者可能已暴露敏感凭证。事件凸显 npm 生态供应链安全风险。
CVE-2026-48027: Nx Console 恶意代码注入漏洞 (CVSS 9.3)
Nx Console扩展被植入恶意代码,恶意版本获取混淆载荷可窃取开发者凭据。开发工具供应链攻击,CVSS 9.3。
CVE-2026-45321: TanStack npm供应链攻击 - 凭据窃取恶意软件 (CVSS 9.6)
TanStack被发现恶意版本发布至npm注册表,以可信身份传播凭据窃取恶意软件。供应链攻击典型事件,CVSS 9.6,影响广泛。