网络安全研究人员发现一起新型供应链攻击事件：npm 和 Python 包索引（PyPI）仓库中的合法包遭攻陷，攻击者推送恶意版本以窃取钱包凭证并实现远程代码执行。 两款遭攻陷的包及其受影响版本如下： ·     @dydxprotocol/v4-client-js (npm) - 3.4.1, 1.22.1, 1.15.2, 1.0.31
·     dydx-v4-client（PyPI）——1.1.5post1 版本...

网络安全研究人员披露 Docker 旗下 Ask Gordon 人工智能助手存在一项高危安全漏洞，该漏洞揭示了未经验证的元数据可被转化为可执行指令的攻击路径。 这个问题被Noma Labs命名为DockerDash，它暴露了从模型解释到工具执行的完整AI执行链中的弱点，并突显了随着AI代理更深地嵌入开发工作流而出现的新兴风险。 研究表明，Docker 镜像中仅需一个恶意元数据标签，即可通过三阶段攻击流程攻陷 Docker 环境。...

HackerNews 编译，转载请注明出处： 这是NPM生态系统历史上最大的供应链妥协事件，大约影响了10%的云环境，但攻击者几乎没有从中获利。 此次攻击发生在本周早些时候，维护者Josh Junon（qix）中了一个密码重置网络钓鱼诱饵，导致多个非常受欢迎的NPM软件包被入侵，其中包括每周下载量超过26亿次的chalk和debug-js。...