Aggregator

Signal 在美国和也门的下载量大幅飙升

Solidot
3 months 1 week ago
在 Signal 门事件之后,该加密应用在美国和也门的下载量大幅飙升。在 Signal 群聊中泄漏军事机密与该应用本身的功能无关。根据应用情报公司 Appfigures 的数据,当大西洋月刊周一公开 Signal 门事件后,iOS 和 Google Play 两大应用商店中 Signal 下载量比过去 30 天的日均下载量增长了 28%,其中美国地区周一下载量增长了 45%,也门地区的下载量增长了 42%。此前 Signal 在也门的社交媒体应用中排名第 50 位,周一攀升至第 9 位。Signal 是端对端加密消息应用,它的信息在传输过程中不会被人窃取,但如果你在群聊中加入了一名记者,那么任何加密方法都无法阻止泄密。

九年历史的 npm 包遭劫持,黑客通过混淆脚本窃取 API 密钥

HackerNews
3 months 1 week ago
HackerNews 编译,转载请注明出处: 网络安全研究人员近日发现,一些加密货币相关的npm包遭到劫持,攻击者通过这些包从受感染的系统中窃取环境变量等敏感信息。 Sonatype研究员Ax Sharma表示:”其中一些包已在npmjs.com上存在超过9年,为区块链开发者提供了合法功能。然而,这些包的最新版本中被植入了混淆的恶意脚本。” 受影响的npm包及版本: country-currency-map (2.1.8) bnb-javascript-sdk-nobroadcast (2.16.16) @bithighlander/bitcoin-cash-js-lib (5.2.2) eslint-config-travix (6.3.1) @crosswise-finance1/sdk-v2 (0.1.21) @keepkey/device-protocol (7.13.3) @veniceswap/uikit (0.65.34) @veniceswap/eslint-config-pancake (1.6.2) babel-preset-travix (1.2.1) @travix/ui-themes (1.1.5) @coinmasters/types (4.8.16) 软件供应链安全公司对这些包的分析显示,攻击者在”package/scripts/launch.js”和”package/scripts/diagnostic-report.js”中植入了高度混淆的恶意代码。这些脚本会在包安装后立即运行,专门窃取API密钥、访问令牌、SSH密钥等数据,并将其发送到远程服务器(”eoi2ectd5a5tn1h.m.pipedream[.]net”)。 有趣的是,相关库的GitHub代码库并未被篡改,攻击者是如何成功推送恶意代码的仍是一个谜。目前尚不清楚此攻击活动的最终目的。 Sharma表示,他们推测这些劫持事件可能是由于旧版npm维护者账户被攻破所致。攻击者可能通过凭证填充攻击(使用此前数据泄露中的用户名和密码在其他网站上尝试登录)或接管过期域名的方式,取得了这些账户的控制权。 鉴于多个项目的维护者账户几乎在同一时间受到攻击,研究人员认为账户接管的可能性高于精心策划的网络钓鱼攻击。 此次事件凸显了为账户启用双因素认证(2FA)以防止账户接管的必要性。它还反映出在开源项目达到生命周期末期或停止维护时,实施安全防护措施的难度。 Sharma强调:”这次事件进一步表明了加强供应链安全措施的紧迫性。开发者和企业在开发过程的每个阶段都应优先考虑安全性,以降低第三方依赖带来的风险。”   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

CVE-2025-1762 | Event Tickets with Ticket Scanner Plugin up to 2.5.3 on WordPress Setting cross-site request forgery

VulDB Recent Entries
3 months 1 week ago
A vulnerability classified as problematic has been found in Event Tickets with Ticket Scanner Plugin up to 2.5.3 on WordPress. Affected is an unknown function of the component Setting Handler. The manipulation leads to cross-site request forgery. This vulnerability is traded as CVE-2025-1762. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

腾讯向育碧子公司投资 11.6 亿欧元

Solidot
3 months 1 week ago
育碧将成立一家专注于开发《刺客信条》、《孤岛惊魂》和《彩虹六号》系列游戏的子公司,整合了蒙特利尔、魁北克、舍布鲁克、萨格奈、巴塞罗那和索非亚的工作室。而育碧的主要投资者腾讯将向该子公司投资 11.6 亿欧元,持有四分之一的股权。育碧自己则将专注于其它游戏系列,如《全境封锁》和《幽灵行动》系列。新子公司尚未命名,育碧新闻稿表示新公司将致力于提高单人叙事游戏的体验。育碧 CEO 兼联合创始人 Yves Guillemot 表示育碧翻开了新的历史篇章。

Android financial threats: What businesses need to know to protect themselves and their customers

Help Net Security
3 months 1 week ago

The rise of mobile banking has changed how businesses and customers interact. It brought about increased convenience and efficiency, but has also opened new doors for cybercriminals, particularly on the Android platform, which dominates the global smartphone market. According to ESET research, Android financial threats, targeting banking apps and cryptocurrency wallets, grew by 20% in H2 of 2024 compared to the first half of the year. Fortunately, large financial institutions like banks have significant resources, … More →

The post Android financial threats: What businesses need to know to protect themselves and their customers appeared first on Help Net Security.

Help Net Security

Managed ad