网络安全研究人员披露了一个影响 GitHub.com 和 GitHub Enterprise Server 的严重安全漏洞细节。该漏洞允许经过身份验证的用户通过单个 git push 命令获得远程代码执行权限。 该缺陷被追踪为 CVE-2026-3854（CVSS 评分：8.7），属于命令注入问题。拥有仓库推送权限的攻击者可借此在实例上实现远程代码执行。...

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）报告称，一款新型信息窃取程序正通过由 100 多个 GitHub 代码仓库组成的网络进行分发。 这款被命名为 BoryptGrab 的恶意软件能够窃取浏览器数据、加密货币钱包数据，以及系统信息和用户文件。...

HackerNews 编译，转载请注明出处： GitHub Codespaces 存在一处漏洞，攻击者可通过在 GitHub issue 注入恶意指令，操控 Copilot 并夺取仓库控制权。 这一由 AI 驱动的漏洞被 Orca Security 命名为 RoguePilot。经负责任披露后，Microsoft 已对该漏洞进行修复。...

HackerNews 编译，转载请注明出处： 一种新型复杂网络威胁已出现，攻击者通过被攻陷的镜像网站与 GitHub 仓库，针对多操作系统用户发动攻击。 RU-APT-ChainReaver-L 攻击活动是近期发现的最精密供应链攻击之一，同时波及 Windows、macOS 与 iOS 平台。...

HackerNews 编译，转载请注明出处： 亚马逊网络服务CodeBuild中的一个关键配置错误，可能导致攻击者完全接管该云服务提供商自身的GitHub仓库，包括其AWS JavaScript SDK，从而使每个AWS环境面临风险。 该漏洞被云安全公司Wiz命名为CodeBreach。在2025年8月25日进行负责任披露后，AWS已于2025年9月修复了该问题。...

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文...

网络安全研究人员正提请关注一场新型攻击活动：该活动传播的 Astaroth银行木马，将 GitHub 用作其运营的核心基础设施，即便自身基础设施遭下架，仍能保持 “抗打击能力”。 “攻击者不再单纯依赖易被下架的传统命令与控制（C2）服务器，而是利用 GitHub 仓库托管恶意软件配置文件，” 迈克菲实验室（McAfee Labs）研究人员哈希尔・帕特尔与普拉布德・查克拉沃蒂在一份报告中表示，“当执法部门或安全研究人员关停其 C2 基础设施时，...

Legit Security 近日披露了 GitHub Copilot Chat 人工智能助手的一个漏洞，该漏洞导致敏感数据泄露并允许攻击者完全控制 Copilot 的回复。 通过结合内容安全策略（CSP）绕过与远程提示注入，Legit Security 的研究员 Omer Mayraz 成功从私有仓库中泄露了 AWS 密钥和零日漏洞信息，并影响了 Copilot 向其他用户提供的回复。...

HackerNews 编译，转载请注明出处： Salesloft披露，与其Drift应用相关的数据泄露事件始于其GitHub账户被入侵。 谷歌旗下的Mandiant开始对这一事件进行调查，并表示被追踪为UNC6395的威胁行为者在2025年3月至6月期间访问了Salesloft的GitHub账户。迄今为止，已有22家公司确认受到了供应链攻击的影响。...

HackerNews 编译，转载请注明出处： 对Nx “s1ngularity” NPM供应链攻击的调查揭示了一场大规模的灾难，数千个账户令牌和存储库机密被泄露。 根据Wiz研究人员的事后评估，Nx的泄露导致2180个账户和7200个存储库在三个不同的阶段被暴露。...