网络安全公司Koi警告称，JavaScript生态系统主流包管理器（包括NPM、PNPM、VLT和Bun）存在的六项安全漏洞可能被利用来绕过供应链攻击防护机制。这些被统称为"PackageGate"的安全缺陷，可能导致攻击者隐藏在依赖包中的恶意代码被执行。 继Shai-Hulud和PhantomRaven等重大NPM供应链攻击事件后，各组织和开发者普遍采用两大防护机制：一是设置标志位阻止安装包时自动执行预装/安装/后装脚本；二是记录依赖树中每个包的版本及完整性哈希值，后续安装时进行哈希校验。...

HackerNews 编译，转载请注明出处： 新研究发现，超100款Visual Studio Code（VS Code）扩展的发布者泄露了访问令牌，这些令牌可能被恶意行为者利用来更新扩展，从而构成严重软件供应链风险。 “泄露的VS Code Marketplace或Open VSX个人访问令牌（PAT）允许攻击者直接向整个安装基础分发恶意扩展更新。”Wiz安全研究员拉米·麦卡锡在与《黑客新闻》分享的报告中说，“发现此问题的攻击者本可以直接向总计15万的安装基础分发恶意软件。”...

10月31日，美国国家安全局（NSA）、网络安全及基础设施安全局（CISA）、国家情报总监办公室（ODNI）携手发布了保护软件供应链的实操指南。该指南内容总共有40页，主要提及了软件供应商在供应链中所需要承担的责任和改进方法。指南中提及的供应商主要责任包括： 第一，努力识别可能危及组织、软件开发、软件本身和软件交付（即内部部署或SaaS）环境的威胁，并实施相关的缓解措施；第二，作为客户和软件开发团队之间的联络人，需要确保软件在安全环境下开发，并通过安全渠道交付；第三，供应商通过合同协议、软件发布和更新、通知和漏洞缓解机制来提供所交付的软件额外的安全功能。...