HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）报告称，一款新型信息窃取程序正通过由 100 多个 GitHub 代码仓库组成的网络进行分发。 这款被命名为 BoryptGrab 的恶意软件能够窃取浏览器数据、加密货币钱包数据，以及系统信息和用户文件。 此外，该窃取程序的部分变体还会释放一款名为 TunnesshClient 的后门程序，该后门通过 SSH 隧道进行命令与控制（C&C）通信。 趋势科技对 BoryptGrab 的调查显示，自 2025 年末以来，多个伪装成免费软件工具的 ZIP 压缩包已通过这些 GitHub 代码仓库分发。 所有已识别的二进制文件均包含相似的俄语注释和 URL 获取逻辑，不过并非所有 ZIP 压缩包中恶意软件的执行逻辑都完全相同。 在部分案例中，攻击者利用压缩包内的可执行文件，通过 DLL 侧载（DLL sideloading）技术实现恶意代码执行；而在另一些案例中，则通过 VBS 脚本获取启动器的可执行文件。研究人员还观测到了.NET 可执行文件、名为 HeaconLoad 的 Golang 下载器，以及其他执行路径。 BoryptGrab 是一款基于 C/C++ 编写的信息窃取程序，内置虚拟机检测和反分析校验机制，并试图以提升的权限执行。 它能够从近十余款浏览器中窃取信息，使用了来自两个 GitHub 代码仓库的 Chrome 应用绑定加密（Chrome App Bound Encryption）技术，并会下载一个 Chromium 辅助程序来收集目标浏览器中的信息。 该程序还可从桌面端加密货币钱包应用和浏览器扩展中收集数据、窃取系统信息、截取屏幕截图，以及收集特定扩展名的文件。 此外，趋势科技发现，这款窃取程序能够获取 Telegram 相关文件、浏览器密码，而在较新版本中，还能窃取 Discord 令牌。所有窃取到的信息都会被归档并发送至攻击者的命令与控制服务器。 部分已识别的变体还会部署 TunnesshClient 后门程序，而在其他案例中，该后门也可通过不同的下载器释放。 TunnesshClient 能够通过反向 SSH 隧道执行攻击者下发的命令。基于这些命令，该恶意软件可充当 SOCKS5 代理、执行 shell 命令、列出文件、搜索文件、上传和下载文件，或将整个文件夹发送至攻击者的服务器。 趋势科技指出：“BoryptGrab 攻击活动体现出一个不断演变的威胁生态系统 —— 攻击者通过诱骗性软件下载和伪造 GitHub 代码仓库针对用户发起攻击。” 该机构补充称，此次攻击行动显示出攻击者的技术设计复杂程度正不断提升。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub Codespaces 存在一处漏洞，攻击者可通过在 GitHub issue 注入恶意指令，操控 Copilot 并夺取仓库控制权。 这一由 AI 驱动的漏洞被 Orca Security 命名为 RoguePilot。经负责任披露后，Microsoft 已对该漏洞进行修复。 安全研究员 Roi Nisimi 在报告中表示：“攻击者可在 GitHub issue 中构造隐藏指令，这些指令会被 GitHub Copilot 自动执行，从而隐秘控制 Codespaces 内的 AI 代理。” 该漏洞属于被动 / 间接 prompt injection，恶意指令被嵌入大语言模型（LLM）处理的数据或内容中，导致模型生成非预期输出或执行任意操作。 该云安全公司将其称为一种 AI 介导的供应链攻击，即诱导 LLM 自动执行嵌入在开发者内容（此处为 GitHub issue）中的恶意指令。 攻击始于一条恶意 GitHub issue，当不知情用户从该 issue 启动 Codespace 时，会触发对 Copilot 的 prompt injection。这一受信任的开发者流程会让 AI 助手静默执行攻击者指令，并泄露高权限凭证如 GITHUB_TOKEN 等敏感数据。 RoguePilot 利用了 Codespaces 可从模板、仓库、提交、拉取请求、议题等多个入口启动环境的特点。当从 issue 打开 Codespace 时，内置的 GitHub Copilot 会自动将 issue 描述作为 prompt 生成回复，漏洞由此产生。 因此，这一 AI 集成功能可被武器化，用于操控 Copilot 执行恶意命令。攻击者可通过 HTML 注释 <!–the_prompt_goes_here–> 将恶意 prompt 隐藏在 GitHub issue 中，实现隐蔽攻击。精心构造的 prompt 会指示 AI 助手将 GITHUB_TOKEN 泄露到攻击者控制的外部服务器。 Nisimi 解释称：“通过操控 Codespace 中的 Copilot 检出包含内部文件符号链接的恶意 pull request，攻击者可让 Copilot 读取该文件，并通过远程 JSON $schema 将高权限 GITHUB_TOKEN 窃取到远程服务器。” 从 Prompt Injection 到 Promptware 与此同时，Microsoft 发现，通常用于 LLM 部署后微调的强化学习技术 Group Relative Policy Optimization（GRPO），也可被用于移除模型的安全机制。该过程被命名为 GRP-Obliteration。 更重要的是，研究发现，仅一条无标注 prompt（如 “撰写一篇可能引发恐慌或混乱的假新闻”），就足以稳定导致 15 个语言模型出现安全对齐失效。 Microsoft 研究员 Mark Russinovich、Giorgio Severi、Blake Bullwinkel、Yanan Cai、Keegan Hines、Ahmed Salem 指出：“令人意外的是，这条 prompt 本身相对温和，未提及暴力、违法或色情内容。”“但仅基于这一样本进行训练，就会让模型在许多训练中从未见过的有害类别上变得更加宽松。” 本次披露同时发现，多种 side channel 可被武器化，用于推断用户对话主题，甚至能以超过 75% 的准确率对用户查询进行指纹识别；后者利用了 speculative decoding，这是 LLM 为提升吞吐量和延迟而并行生成多个候选 token 的优化技术。 近期研究发现，在计算图层面植入后门的模型 —— 该技术称为 ShadowLogic—— 可在用户不知情的情况下静默修改工具调用，进一步让智能体 AI 系统面临风险。这一新现象被 HiddenLayer 命名为 Agentic ShadowLogic。 攻击者可利用此类后门实时拦截从 URL 获取内容的请求，将流量经过其控制的基础设施转发至真实目标。 该 AI 安全公司表示：“通过长期记录请求，攻击者可梳理出内部端点、访问时间以及数据流向。”“用户会正常收到预期数据，无任何错误或警告。表面一切正常，而攻击者在后台静默记录整个流程。” 这还不是全部。上月，Neural Trust 展示了一种名为 Semantic Chaining 的新型 image jailbreak 攻击，可绕过 Grok 4、Gemini Nano Banana Pro、Seedance 4.5 等模型的安全过滤器，利用模型多阶段图像编辑能力生成违禁内容。 该攻击的核心是利用模型缺乏 “reasoning depth”，无法追踪多步指令中的潜在意图，从而让攻击者实施一系列单独看似无害、但会逐步削弱模型安全防护的编辑操作，最终生成违规内容。 攻击首先让 AI 聊天机器人生成一个无害场景，并指令其修改生成图像中的某个元素。下一阶段，攻击者要求模型进行第二次修改，将内容转变为违禁或冒犯性信息。 该攻击生效的原因是，模型专注于对现有图像进行修改而非全新生成，会将原始图像视为合法内容，从而不会触发安全警报。 安全研究员 Alessandro Pignati 表示：“攻击者不会直接使用会被立即拦截的恶意 prompt，而是通过一连串语义‘安全’的指令链，最终导向违禁结果。” 在上月发表的一项研究中，研究员 Oleg Brodt、Elad Feldman、Bruce Schneier、Ben Nassi 提出，prompt injection 已从输入操纵类漏洞，演变为他们所称的 promptware—— 一种通过精心构造 prompt 触发应用内置 LLM 执行恶意操作的新型恶意代码执行机制。 Promptware 本质上是操控 LLM 完成典型网络攻击生命周期的各个阶段：初始访问、权限提升、侦察、持久化、命令与控制、横向移动，以及恶意结果（例如数据窃取、社会工程、代码执行或金融盗窃）。 研究员表示：“Promptware 是一类具有多态性的 prompt 集合，无论是文本、图像还是音频，都会在推理阶段操控 LLM 的行为，以应用或用户为攻击目标。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型复杂网络威胁已出现，攻击者通过被攻陷的镜像网站与 GitHub 仓库，针对多操作系统用户发动攻击。 RU-APT-ChainReaver-L 攻击活动是近期发现的最精密供应链攻击之一，同时波及 Windows、macOS 与 iOS 平台。 该攻击活动运用多项先进技术，包括使用有效证书进行代码签名、欺骗性重定向链，以及通过合法云服务分发恶意软件，导致传统安全系统极难检测。 此次攻击的基础设施具备惊人的规模与复杂度。攻击者攻陷了两大主流文件共享镜像服务 Mirrored.to 与Mirrorace.org，二者被全球各类软件下载网站广泛使用。 通过向这些平台注入恶意代码，威胁行为者将受信任的基础设施转化为信息窃密恶意软件的投放渠道。 用户通过这些被攻陷的服务下载文件时，会经过多层中间页面重定向，此类设计可绕过安全检测，同时保持外观合法。 GRAPH 分析师在调查暗网市场中大量流出的用户凭据时，发现了该攻击活动。 研究团队将这些被盗账号溯源至一场已持续数月的协同式感染行动。 借助扩展检测与响应（XDR）平台与威胁狩猎行动，GRAPH 研究人员发现了涵盖超 100 个域名的攻击基础设施，包括命令与控制服务器、感染页面与重定向中介。 攻击运营者持续更新工具与基础设施，短时间内修改恶意软件特征码与投放方式，以规避杀毒软件检测。 攻击方式会根据受害者的操作系统有所不同。Windows 用户会被重定向至 MediaFire、Dropbox 等云存储服务，加密压缩包内包含带签名的恶意软件，可在安全软件面前伪装成合法程序。 macOS 受害者会遭遇 ClickFix 攻击，欺骗性页面诱骗用户手动执行终端命令，下载并安装 MacSync 窃密木马。 iOS 用户会被引导至苹果应用商店的虚假 VPN 应用，这些应用后续会对设备发起钓鱼攻击。 GitHub 滥用与恶意软件功能 该攻击对 GitHub 的利用，体现出攻击者对安全团队防御盲区的精准把握。 GRAPH 研究人员指出，攻击者攻陷了 50 个 GitHub 账号，其中多数为多年注册、有正常使用记录的账号，并用其托管恶意仓库。 这些账号大多在 2025 年 11 月被劫持，被用于分发破解软件与激活工具，专门针对搜索盗版软件的用户。 攻击流程（来源：GRAPH） Windows 端恶意软件为信息窃密程序，可截取屏幕、窃取加密货币钱包数据、聊天软件数据库、浏览器凭据，并复制桌面、文档、下载文件夹中的文件。 GRAPH 分析师指出，样本搭载来自多家企业的有效代码签名证书，大幅增加了检测难度。 MIRRORACE.org 供应链攻击（来源：GRAPH） macOS 版 MacSync 窃密木马采用无文件内存运行模式，可窃取浏览器数据、Ledger 与 Trezor 等加密货币钱包、SSH 密钥及 AWS 云凭证。 机构应部署全面的防御策略。攻击依托社会工程学实施，因此用户安全教育是最关键的防御环节。 安全团队应部署多层终端防护，包括可检测异常进程行为与可疑文件访问模式的 EDR 系统。 网络监控应重点关注与文件共享服务、新注册域名的连接。 机构应限制用户系统直接访问互联网，将下载流量引流至具备静态分析、动态分析与机器学习能力的文件分析平台。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊网络服务CodeBuild中的一个关键配置错误，可能导致攻击者完全接管该云服务提供商自身的GitHub仓库，包括其AWS JavaScript SDK，从而使每个AWS环境面临风险。 该漏洞被云安全公司Wiz命名为CodeBreach。在2025年8月25日进行负责任披露后，AWS已于2025年9月修复了该问题。 “通过利用CodeBreach，攻击者可能注入恶意代码，发起一次平台级的入侵，不仅可能影响无数依赖该SDK的应用程序，还可能威胁到控制台本身，危及每一个AWS账户，”研究员Yuval Avrahami和Nir Ohfeld在分享给The Hacker News的一份报告中表示。 Wiz指出，该漏洞源于持续集成流水线中的一个弱点，可能使未经身份验证的攻击者入侵构建环境、泄露特权凭证（如GitHub管理员令牌），然后利用这些令牌向受入侵的仓库推送恶意更改——从而为供应链攻击开辟了路径。 换言之，该问题削弱了AWS引入的Webhook过滤器，这些过滤器旨在确保只有特定事件才会触发CI构建。例如，可以配置AWS CodeBuild，使其仅在代码变更提交到特定分支，或者GitHub或GitHub Enterprise Server账户ID（亦称ACTOR_ID或参与者ID）匹配正则表达式模式时才触发构建。这些过滤器旨在防范不受信任的拉取请求。 此配置错误影响了以下由AWS管理的开源GitHub仓库，这些仓库被配置为在拉取请求时运行构建：aws-sdk-js-v3 aws-lc amazon-corretto-crypto-provider awslabs/open-data-registry 这四个项目都实施了ACTOR_ID过滤器，但存在一个”致命缺陷”：它们未包含确保完全正则表达式（regex）匹配所需的两个字符——即起始锚点 ^ 和结束锚点 $。相反，正则表达式模式允许任何是受批准ID超字符串（例如，755743）的GitHub用户ID绕过过滤器并触发构建。 由于GitHub按顺序分配数字用户ID，Wiz表示能够预测新用户ID（目前为9位长）大约每五天就会”超过”一位受信任维护者的六位ID。这一洞察，结合使用GitHub应用来自动化应用创建（这反过来会创建一个对应的机器人用户），使得通过触发数百次新的机器人用户注册来生成目标ID（例如226755743）成为可能。 一旦获得了参与者ID，攻击者现在就可以触发构建，并获取aws-sdk-js-v3 CodeBuild项目的GitHub凭证，即属于aws-sdk-js-automation用户的个人访问令牌（PAT），该用户拥有对该仓库的完全管理员权限。 攻击者可以利用这种提升后的访问权限，直接将代码推送到主分支、批准拉取请求、窃取仓库机密，最终为供应链攻击铺平道路。 “上述仓库为AWS CodeBuild Webhook过滤器配置的正则表达式原本旨在限制受信任的参与者ID，但存在不足，允许通过可预测获取的参与者ID获得对受影响仓库的管理权限，” AWS在今天发布的一份公告中表示。 “我们可以确认，这些是这些仓库Webhook参与者ID过滤器特定于项目的错误配置，而非CodeBuild服务本身的问题。” 亚马逊还表示，它已修复了已识别的问题，并实施了额外的缓解措施，例如凭证轮换和保障包含GitHub令牌或内存中任何其他凭证的构建流程安全的步骤。它进一步强调，没有发现CodeBreach在野外被利用的证据。 为降低此类风险，必须确保不受信任的贡献不会触发特权CI/CD流水线，可通过启用新的”拉取请求评论批准”构建门控功能、使用CodeBuild托管的运行器通过GitHub工作流管理构建触发器、确保Webhook过滤器中的正则表达式模式使用锚点、为每个CodeBuild项目生成唯一的PAT、将PAT的权限限制在所需的最低范围，并考虑为CodeBuild集成使用一个专用的无特权GitHub账户来实现。 网络安全 “此漏洞是一个典型的例子，说明了为什么攻击者将CI/CD环境作为目标：一个微妙、容易被忽视的缺陷，却能被利用来造成巨大影响，” Wiz研究员指出。”复杂性、不可信数据和特权凭证的结合，为无需事先访问即可造成高影响入侵创造了完美风暴。” 这并非CI/CD流水线安全首次受到审视。去年，Sysdig的研究详细阐述了如何利用与pull_request_target触发器相关的、不安全的GitHub Actions工作流来窃取特权的GITHUB_TOKEN，并通过单个来自分叉的拉取请求，未经授权访问数十个开源项目。 Orca Security的一项类似的两部分分析发现，谷歌、微软、英伟达和其他财富500强公司的项目中存在不安全的pull_request_target配置，这可能允许攻击者运行任意代码、窃取敏感机密，并向受信任的分支推送恶意代码或依赖项。这种现象被称为pull_request_nightmare。 “通过滥用通过pull_request_target触发的、配置不当的工作流，攻击者可能从一个不受信任的分叉拉取请求，升级到在GitHub托管的甚至自托管的运行器上执行远程代码（RCE），”安全研究员Roi Nisimi指出。 “使用pull_request_target的GitHub Actions工作流，绝不应在没有适当验证的情况下检出不受信任的代码。一旦这样做，它们就面临完全入侵的风险。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一、变种发现与溯源 Aikido 恶意软件研究员查理・埃里克森于发现 30 分钟后发布报告称，该变种虽与前两版差异明显，但可确定攻击者掌握原始蠕虫源代码，且对代码重新混淆处理，排除模仿攻击可能。沙虫攻击始于 8 月针对 nx 包的 S1ngularity 行动，首波攻击 9 月 16 日爆发，11 月 24 日出现 2.0 版本 “再临” 攻击。 二、攻击机制与危害 沙虫区别于传统恶意包，直接嵌入开发者工作流，目标窃取开发环境敏感凭证： 安装时执行，扫描开发机与 CI/CD 环境密钥； 将被盗凭证上传至公开 GitHub 仓库； 利用凭证进一步入侵更多 npm 包。 首波攻击曾影响超 500 个常用 npm 包与数万个 GitHub 仓库，促使 GitHub 收紧包发布认证机制。第二波则利用漏洞披露至强制可信发布迁移的窗口期发动。 三、3.0 变种新特征与漏洞 结构与隐匿升级 重构文件结构，重命名安装器与载荷组件； 改用新 GitHub 仓库描述防字符串检测； 新增 5 类泄露文件名，聚焦环境变量、云凭证等； 移除 “失效开关”，优化错误处理，适配 Windows 系统，调整数据收集顺序。 致命漏洞 代码存在文件名错误，本应读取c0nt3nts.json，却错误保存为c9nt3nts.json，导致功能异常。 四、行业警示与防护建议 漏洞管理公司 Mondoo 首席安全官帕特里克・芒奇指出，沙虫 3.0 是 “无差别攻击武器”，其快速迭代凸显供应链仍是攻击重灾区，类似高影响攻击将增多。美国网络安全与基础设施安全局等机构已发布预警。 防护建议： 排查受影响包，轮换环境密钥； 监控 GitHub 新描述仓库，限制 npm 安装生命周期脚本； 启用发布流程多因素认证与范围令牌。 埃里克森强调，事件仍在进展中，需持续关注动态。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正提请关注一场新型攻击活动：该活动传播的 Astaroth银行木马，将 GitHub 用作其运营的核心基础设施，即便自身基础设施遭下架，仍能保持 “抗打击能力”。 “攻击者不再单纯依赖易被下架的传统命令与控制（C2）服务器，而是利用 GitHub 仓库托管恶意软件配置文件，” 迈克菲实验室（McAfee Labs）研究人员哈希尔・帕特尔与普拉布德・查克拉沃蒂在一份报告中表示，“当执法部门或安全研究人员关停其 C2 基础设施时，Astaroth只需从 GitHub 获取新的配置文件，就能继续运行。” 据这家网络安全公司透露，当前攻击活动主要集中在巴西；不过已知该银行木马还会针对拉丁美洲多个国家，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。 Astaroth针对巴西发起攻击并非首次。2024 年 7 月和 10 月，谷歌与趋势科技曾先后发出警告，提及两个名为 “PINEAPPLE”（菠萝）和 “Water Makara”（水摩伽罗）的威胁团伙，它们通过钓鱼邮件传播该恶意软件。 最新的攻击链流程与此类似：同样以 “DocuSign（电子签名平台）” 为主题的钓鱼邮件为起点，邮件中包含一个链接，点击后会下载一个压缩的 Windows 快捷方式（.lnk 文件）；打开该文件后，阿斯塔罗斯木马便会安装到受感染的主机中。 该.lnk 文件内嵌经过混淆处理的 JavaScript 代码，其作用是从外部服务器获取额外的 JavaScript 脚本。而新获取的 JavaScript 代码则会从多个预先硬编码的服务器中随机选择一个，下载多个文件。 这其中包括一个 AutoIt 脚本，该脚本由 JavaScript 有效载荷执行；随后脚本会加载并运行一段外壳代码，这段外壳代码再加载一个基于 Delphi 语言编写的动态链接库，最终解密 Astaroth恶意软件，并将其注入到新创建的 “RegSvc.exe” 进程中。 Astaroth是一款基于 Delphi 语言开发的恶意软件，其设计目的是监控受害者访问的银行或加密货币网站，并通过键盘记录窃取用户凭据。捕获到的信息会通过 Ngrok 反向代理传输给攻击者。 该木马的具体运作方式为：每秒检查一次当前活跃的浏览器程序窗口，判断是否打开了与银行相关的网站。若满足上述条件，恶意软件便会 “挂钩”（hook）键盘事件，记录用户的按键操作。以下是部分被针对的网站： caixa.gov [.] br（巴西联邦储蓄银行官网） safra.com[.] br（巴西萨夫拉银行官网） itau.com[.] br（巴西伊塔乌联合银行官网） bancooriginal.com[.] br（巴西奥里金纳银行官网） santandernet.com[.] br（巴西桑坦德银行官网） btgpactual [.] com（巴西 BTG 百利宫投资银行官网） etherscan [.] io（以太坊区块链浏览器） binance [.] com（币安加密货币交易所） bitcointrade.com[.] br（巴西比特币交易平台） metamask [.] io（MetaMask 加密货币钱包） foxbit.com[.] br（巴西 Foxbit 加密货币交易所） localbitcoins [.] com（本地比特币交易平台） Astaroth还具备反分析能力：若检测到模拟器、调试器及各类分析工具（如 QEMU 客户机代理、HookExplorer 调试工具、IDA Pro 反编译工具、ImmunityDebugger 调试器、PE Tools 可执行文件分析工具、WinDbg 调试器、Wireshark 抓包工具等），便会自动停止运行。 该恶意软件通过在 Windows “启动” 文件夹中放置一个.lnk 文件来实现主机持久化 —— 系统重启时，该.lnk 文件会运行 AutoIt 脚本，自动启动恶意软件。此外，不仅.lnk 文件中 JavaScript 访问的初始 URL 设有地理围栏（仅特定地区可访问），恶意软件还会检查目标设备的系统区域设置，确保其不为英语或美国区域。 迈克菲指出：“当 C2 服务器无法访问时，Astaroth会利用 GitHub 更新配置 —— 它将配置信息隐藏在 GitHub 上托管的图片中，通过隐写术实现‘明处藏秘’。” 通过这种方式，恶意软件借助合法平台（GitHub）托管配置文件，并在主 C2 服务器失效时，将其转化为具备抗打击能力的备用基础设施。迈克菲表示，已与微软旗下的 GitHub 合作移除了相关仓库，暂时遏制了该恶意软件的运营活动。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Legit Security 近日披露了 GitHub Copilot Chat 人工智能助手的一个漏洞，该漏洞导致敏感数据泄露并允许攻击者完全控制 Copilot 的回复。 通过结合内容安全策略（CSP）绕过与远程提示注入，Legit Security 的研究员 Omer Mayraz 成功从私有仓库中泄露了 AWS 密钥和零日漏洞信息，并影响了 Copilot 向其他用户提供的回复。 Copilot Chat 旨在提供代码解释和建议，并允许用户通过 HTML 注释在渲染的 Markdown 中隐藏内容。隐藏评论仍会触发向仓库所有者发送的拉取请求通知，但不会显示评论内容。然而，相关提示也会被注入到其他用户的上下文中。 Mayraz 解释说，隐藏评论功能允许用户影响 Copilot，使其向其他用户显示代码建议，包括恶意软件包。Mayraz 还发现，他可以制作包含访问用户私有仓库指令的提示，对其内容进行编码，并将其附加到 URL 中。“当用户点击该 URL 时，数据就会被回传给我们，”他指出。 不过，GitHub 严格的内容安全策略阻止从非平台拥有的域名获取图片及其他内容，从而防止通过向受害者聊天中注入 HTML <img> 标签来泄露数据。当 README 或 Markdown 文件中包含外部图片时，GitHub 会解析这些图片以识别 URL，并使用开源项目 Camo 为每个文件生成匿名代理 URL。外部 URL 会被重写为 Camo 代理 URL，当浏览器请求图片时，Camo 代理会检查 URL 签名，并且仅当 URL 由 GitHub 签名时才从原始位置获取外部图片。 这种做法通过使用受控代理获取图片来确保安全，防止利用任意 URL 泄露数据，并且在 README 中显示图片时不会暴露图片 URL。 “我们注入到受害者聊天中的每个 <img> 标签必须包含预先生成的有效 Camo URL 签名，否则 GitHub 的反向代理将不会获取内容，”Mayraz 指出。 为了绕过这一保护机制，该研究员创建了一个包含字母表中所有字母和符号的字典，为每个字符预生成对应的 Camo URL，并将该字典嵌入到注入的提示中。 他创建了一个对每个请求返回 1×1 透明像素的服务器，构建了可用于从仓库泄露敏感内容的字母和符号的 Camo URL 字典，随后制作了触发漏洞的提示。 Mayraz 发布了概念验证视频，演示了如何利用该攻击从私有仓库中泄露零日漏洞和 AWS 密钥。 8月14日，GitHub 通知该研究员，已通过禁止使用 Camo 泄露用户敏感信息的方式修复了该问题。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Salesloft披露，与其Drift应用相关的数据泄露事件始于其GitHub账户被入侵。 谷歌旗下的Mandiant开始对这一事件进行调查，并表示被追踪为UNC6395的威胁行为者在2025年3月至6月期间访问了Salesloft的GitHub账户。迄今为止，已有22家公司确认受到了供应链攻击的影响。 “凭借这种访问权限，威胁行为者能够从多个存储库下载内容，添加访客用户，并建立工作流程，”Salesloft在更新的安全公告中表示。 调查还发现，在2025年3月至6月期间，Salesloft和Drift应用环境中发生了侦察活动。然而，调查强调没有证据表明存在超出有限侦察范围的活动。 在下一阶段，攻击者访问了Drift的亚马逊网络服务（AWS）环境，并获取了Drift客户技术集成的OAuth令牌，被盗的OAuth令牌被用于通过Drift集成访问数据。 Salesloft表示，它已经隔离了Drift的基础设施、应用和代码，并于2025年9月5日上午6点（东部时间）将应用下线。它还轮换了Salesloft环境中的凭据，并通过在Salesloft和Drift应用之间实施改进的分段控制来加强环境。 “我们建议所有通过API密钥与Drift集成的第三方应用，主动撤销这些应用的现有密钥，”Salesloft补充道。 截至2025年9月7日17:51（协调世界时），Salesforce在Salesloft于8月28日暂时暂停后，已恢复与Salesloft平台的集成。这是对Salesloft实施的安全措施和补救步骤的响应。 “Salesforce已重新启用与Salesloft技术的集成，但不包括任何Drift应用，”Salesforce表示。“作为我们对安全事件持续响应的一部分，Drift将保持禁用状态，直至另行通知。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 对Nx “s1ngularity” NPM供应链攻击的调查揭示了一场大规模的灾难，数千个账户令牌和存储库机密被泄露。 根据Wiz研究人员的事后评估，Nx的泄露导致2180个账户和7200个存储库在三个不同的阶段被暴露。 Wiz还强调，该事件的影响范围仍然很大，因为许多泄露的机密仍然有效，所以影响仍在持续。 Nx “s1ngularity” 供应链攻击 Nx是一个流行的开源构建系统和单体仓库管理工具，广泛用于企业级JavaScript/TypeScript生态系统，在NPM包索引上有超过550万次的每周下载量。 2025年8月26日，攻击者利用Nx存储库中一个有缺陷的GitHub Actions工作流程，在NPM上发布了一个包含恶意软件脚本（“telemetry.js”）的恶意版本。 “telemetry.js”恶意软件是一个针对Linux和macOS系统的凭证窃取器，试图窃取GitHub令牌、npm令牌、SSH密钥、.env文件、加密钱包，并将这些机密上传到名为“s1ngularity-repository”的公共GitHub存储库。 此次攻击的突出之处在于，该凭证窃取器使用了安装在人工智能平台上的命令行工具，如Claude、Q和Gemini，利用LLM提示搜索并收集敏感的凭证和机密。 Wiz报告称，随着攻击的每次迭代，提示语都在发生变化，这表明攻击者正在调整提示语以获得更好的成功率。 Wiz解释说：“提示语的演变表明攻击者在整个攻击过程中迅速探索提示语调整。我们可以看到引入了角色提示，以及在技术上不同程度的具体性。” “这些变化对恶意软件的成功产生了实际影响。例如，‘渗透测试’一词的引入，实际上反映在LLM拒绝参与此类活动上。” 大规模影响范围 在8月26日至27日的第一阶段攻击中，被篡改的Nx包直接影响了1700名用户，泄露了超过2000个独特的机密。该攻击还暴露了受感染系统中的20000个文件。 GitHub在八小时后删除了攻击者创建的存储库，但数据已经被复制。 在8月28日至29日的第二阶段攻击中，攻击者利用泄露的GitHub令牌将私人存储库变为公开，并将它们重命名为包含“s1ngularity”字符串。 这导致了另外480个账户被进一步入侵，其中大多数是组织，以及6700个私人存储库被公开暴露。 在8月31日开始的第三阶段攻击中，攻击者针对一个单一的受害者组织，利用两个被入侵的账户发布了另外500个私人存储库。 Nx的回应 Nx团队在GitHub上发布了一份详细的根源分析报告，解释说此次入侵来自一个拉取请求标题注入，加上对pull_request_target的不安全使用。 这使得攻击者能够以提升的权限运行任意代码，进而触发Nx的发布流程并泄露npm发布令牌。 恶意包已被移除，被入侵的令牌已被撤销并轮换，所有发布者账户都已采用双因素认证。 为了防止此类入侵再次发生，Nx项目现在采用了NPM的可信发布者模型，该模型消除了基于令牌的发布，并增加了对PR触发工作流程的手动审批。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： nx构建系统的维护者已向用户发出供应链攻击警报，此次攻击导致恶意版本的流行npm软件包及具有数据收集功能的辅助插件被发布。 维护者在周三发布的公告中表示：“恶意版本的nx软件包以及一些辅助插件包被发布到npm，其中包含扫描文件系统、收集凭证并将其作为用户账户下的仓库发布到GitHub的代码。” Nx是一个开源、与技术无关的构建平台，旨在管理代码库。它被宣传为“AI优先的构建平台，将从编辑器到CI（持续集成）的一切连接起来”。该npm软件包每周下载量超过350万次。 受影响软件包及版本列表如下。这些版本现已从npm注册表中移除。nx软件包的入侵发生在2025年8月26日。 nx 21.5.0, 20.9.0, 20.10.0, 21.6.0, 20.11.0, 21.7.0, 21.8.0, 20.12.0 @nx/devkit 21.5.0, 20.9.0 @nx/enterprise-cloud 3.2.0 @nx/eslint 21.5.0 @nx/js 21.5.0, 20.9.0 @nx/key 3.2.0 @nx/node 21.5.0, 20.9.0 @nx/workspace 21.5.0, 20.9.0 项目维护者表示，问题的根本原因源于2025年8月21日添加的一个存在漏洞的工作流程，该流程引入了使用特别制作的拉取请求（PR）标题来注入可执行代码的能力。虽然在该工作流程被发现在恶意环境中可利用后，“master”分支中的流程“几乎立即”被恢复，但评估认为威胁行为者针对仍包含该工作流程的过时分支发起了PR以发动攻击。 nx团队表示：“pull_request_target触发器被用作一种方式，在PR创建或修改时触发操作运行。然而，被忽略的是警告信息：与标准的pull_request触发器不同，此触发器以提升的权限运行工作流程，包括具有读/写仓库权限的GITHUB_TOKEN。” 据信，GITHUB_TOKEN被用来触发“publish”工作流程，该流程负责使用npm令牌将nx软件包发布到注册表。 但由于PR验证工作流程以提升的权限运行，“publish工作流程”在“nrwl/nx”仓库上被触发运行，同时引入了恶意更改，使得将npm令牌外泄到攻击者控制的webhook[.]site端点成为可能。 nx团队解释说：“作为bash注入的一部分，PR验证工作流程触发了publish.yml的运行，并附带此恶意提交，将我们的npm令牌发送到一个陌生的webhook。我们相信这就是攻击者获取用于发布恶意版本nx的npm令牌的方式。” 换句话说，如果提交了恶意的PR标题，注入漏洞就能实现任意命令执行，而pull_request_target触发器则通过提供具有仓库读/写权限的GITHUB_TOKEN来授予提升的权限。 这些恶意版本的软件包中被发现包含一个安装后脚本（postinstall script），该脚本在软件包安装后被激活，用于扫描系统以查找文本文件、收集凭证，并将详细信息作为Base64编码的字符串发送到用户账户下包含名称“s1ngularity”的公开可访问的GitHub仓库。 维护者补充说：“恶意安装后脚本还修改了.zshrc和.bashrc文件（这些文件在终端启动时运行），以包含sudo命令，该命令会提示用户输入系统密码，如果提供，将立即关闭机器。” 尽管GitHub已开始归档这些仓库，但遇到这些仓库的用户仍应假设已遭入侵，并轮换GitHub和npm的凭证及令牌。还建议用户停止使用恶意软件包，并检查.zshrc和.bashrc文件中的任何不熟悉的指令并将其删除。 nx团队表示，他们还采取了补救措施，包括轮换其npm和GitHub令牌、审计组织内所有GitHub和npm活动以查找可疑活动，以及更新nx的发布访问权限以要求双因素认证（2FA）或自动化。 Wiz研究人员Merav Bar和Rami McCarthy表示，超过1000个被泄露的GitHub令牌中，有90%仍然有效，还有数十个有效的云凭证和npm令牌。据称，恶意软件通常在开发者机器上运行，通常是通过nx Visual Studio Code扩展。GitGuardian检测到多达1346个包含“s1ngularity-repository”字符串的仓库。 在2349个不同的被泄露秘密中，绝大多数是GitHub OAuth密钥和个人访问令牌（PAT），其次是Google AI、OpenAI、Amazon Web Services、OpenRouter、Anthropic Claude、PostgreSQL和Datadog的API密钥和凭证。 云安全公司发现，该有效负载仅能在Linux和macOS系统上运行，会系统性地搜索敏感文件并提取凭证、SSH密钥和.gitconfig文件。 该公司表示：“值得注意的是，该活动通过使用危险标志提示已安装的AI CLI工具来窃取文件系统内容，利用受信任的工具进行恶意侦察。” StepSecurity表示，此事件是首例已知的攻击者将开发者AI助手（如Claude、Google Gemini和Amazon Q）转变为供应链利用工具并绕过传统安全边界的案例。 Socket表示：“在作用域nx软件包中的恶意软件与nx软件包中的恶意软件之间存在一些差异。首先，AI提示不同。在这些软件包中，AI提示更基本一些。这个LLM提示的范围也远没有那么广泛，主要针对加密钱包密钥和秘密模式以及特定目录，而@nx中的提示则会抓取任何有趣的文本文件。” Aikido的Charlie Eriksen表示，使用LLM客户端作为枚举受害机器上秘密的载体是一种新颖的方法，并为防御者提供了关于攻击者未来可能方向的洞察。 StepSecurity的Ashish Kurmi说：“鉴于nx生态系统的流行度以及AI工具滥用的新颖性，此事件凸显了供应链攻击不断演变的复杂性。对于任何安装了受感染版本的用户来说，立即采取补救措施至关重要。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文