安全公告:@solana/web3.js v1.95.6 和 v1.95.7 版本遭受攻击 近期,@solana/web3.js JavaScript 库的 1.95.6 和 1.95.7 版本遭遇了一次复杂的供应链攻击,导致约 16 万美元 SOL 和 31,000 美元其他代币被盗。攻击者利用恶意代码获取用户私钥,并将其发送至指定地址。开发者和用户需立即检查并更新相关版本以确保安全。 Solana 供应链攻击 Web3.js 私钥安全 npm 恶意代码 Cyfrin 发布于 2024-12-04 1731 0 0
如何防御供应链攻击 本文分析了近期NPM供应链攻击事件,详细介绍了Qix恶意软件的工作原理:检测加密钱包、拦截HTTP请求替换区块链地址、使用Levenshtein距离算法替换交易接收地址。文章提出了防御措施,包括版本锁定、使用npm ci以及实施Lavamoat(MetaMask开发的沙箱工具)来限制依赖权限。通过策略文件,Lavamoat可以防止恶意代码访问全局对象或篡改函数,从而阻止攻击。 供应链攻击 npm 恶意软件 LavaMoat 版本锁定 最小权限 osecio 发布于 2025-09-14 18 0 0
Postmark MCP供应链攻击:生产环境中的ASI04 2025年9月,Postmark MCP服务器被植入木马并发布到npm,该木马在AI Agent发邮件时自动密送攻击者邮箱,实现数据侧信道窃取。攻击者通过窃取维护者账户发布恶意版本,未修改正常邮件发送逻辑,导致检测困难。OWASP将此类攻击列为ASI04(代理供应链漏洞)的典型示例。文章详细分析了攻击原理、检测难点(如侧信道泄露、维护者信任失效)、防御措施(版本哈希锁定、网络出站白名单、操作信封检查)以及针对Web3场景的特别建议。并提供了Zealynx审计方法论和FAQ。 MCP服务器 供应链攻击 侧信道泄露 ASI04 人工智能安全 npm安全 zealynx 发布于 2026-06-13 67 0 0
MetaMask加密货币安全报告:2026年2月 2026年2月MetaMask安全报告涵盖:DAO重启以2000万美元资助以太坊安全;OpenClaw AI代理存在远程代码执行、恶意技能分发等安全风险;npm和PyPI供应链攻击窃取开发者凭证;Coinbase因第三方支持承包商违规再次泄露数据;签名钓鱼攻击激增207%,地址投毒策略因Fusaka升级后低手续费而更流行。 安全 加密货币 供应链攻击 签名钓鱼 OpenClaw DAO metamask 发布于 2026-02-28 50 0 0
OWASP ASI04 详解:AI代理供应链攻击 OWASP ASI04 是 AI 代理供应链漏洞,涵盖第三方工具、数据源、连接器被攻陷的情况。文章列举了 Postmark npm 木马、mcp-remote OAuth 注入、Anthropic SDK 设计缺陷等真实案例(至少 8 个 NVD CVE)。攻击模式包括连接器冒充、木马更新、配置通道注入、工具目录投毒。MCP 协议因包分发、特权工具、主机身份运行等因素加剧风险。防御措施:固定版本、验证来源、清理配置通道和工具描述符、日志审计。最后提供了审计方法和 FAQ。 OWASP ASI04 MCP 供应链攻击 代理应用安全 工具描述符 连接器 zealynx 发布于 2026-05-13 294 0 0
MCP漏洞2025-2026:16+ CVE与漏洞指数 本文是MCP安全漏洞的权威记录,整理了2025年4月至2026年4月间公开的16起MCP相关安全事件,包括多个严重漏洞(如CVE-2025-49596、CVE-2025-6514等),以及官方SDK的设计缺陷。文章揭示了远程代码执行(RCE)是主要攻击类型,“工具投毒”被OWASP列为标准化威胁。82%的MCP服务器存在路径遍历风险,53%使用静态凭证,1467个服务器暴露在公网。文章还提出了对AI团队的安全建议,包括审计SDK暴露、工具描述、供应链和传输方式。 MCP 安全漏洞 供应链攻击 工具投毒 远程代码执行 OWASP zealynx 发布于 2026-05-09 372 0 0
Web3中的供应链攻击——从NPM到协议漏洞利用 本文分析了Web3项目JavaScript供应链安全的五大攻击向量:恶意npm包发布(2025年9月18个包影响20亿周下载量)、维护者账户被攻破(@solana/web3.js和dYdX事件)、依赖混淆攻击、包名钓鱼(如solana-py)以及CI/CD注入(构建工具篡改最终代码)。文章强调,即使智能合约审计完美,前端构建管线被攻破也会导致资金被盗。提供了详细检查清单,包括锁定版本、使用私有注册表、实施可重复构建等防御措施。 供应链攻击 npm JavaScript DeFi安全 前端安全 构建管线 zealynx 发布于 2026-05-07 377 0 0
Cow.fi 域名劫持事件深度复盘 该报告详细记录了 2026 年 4 月针对 Cow.fi 域名的劫持事件。攻击者通过社会工程学手段欺骗 .fi 注册局和注册商,成功夺取域名控制权并部署钓鱼网站,导致约 120 万美元的损失。CoW Protocol 团队在检测到攻击后迅速迁移并最终找回域名,现已启用 RegistryLock 以防止此类供应链攻击再次发生。 域名劫持 供应链攻击 社会工程学 钓鱼网站 注册局锁 DNS安全 CowSwap 发布于 2026-04-17 307 0 0
AI开发:如何避免弄巧成拙 文章深入探讨了AI在软件开发中引入的潜在安全风险,并结合实际案例(如Moonwell事件、EchoLeak漏洞)进行了说明。作者提出了6项关键安全实践,旨在帮助开发者在享受AI带来高效率的同时,有效防范各种安全威胁,包括提示注入、敏感数据泄露和供应链攻击等。 AI安全 提示注入 供应链攻击 敏感数据 容器化 智能体双重规则 Cyfrin 发布于 2026-03-02 567 0 0
区块链运营安全评估:基础设施保障 文章指出区块链安全威胁已从智能合约漏洞转向链下运营基础设施,强调需要转变观念,重视对周边运营环境的保护。它提出了一种区块链运营安全评估方法,详细介绍了其评估范围、流程和所遵循的行业标准,旨在帮助组织全面提升安全性,以应对不断变化的攻击向量。 区块链安全 链下安全 运营安全 智能合约漏洞 供应链攻击 密钥管理 OpenZeppelin 发布于 2026-03-12 729 0 0
Ledger Connect Kit 供应链攻击:影响分析与防范措施 本文详细分析了2023年12月14日Ledger Connect Kit遭遇的供应链攻击事件。攻击者通过入侵一名前员工的NPMJS账户,发布了恶意版本的Connect Kit,导致多个DeFi应用受到影响,并造成至少60万美元的资金损失。文章提供了攻击时间线、影响范围、技术分析及慢雾(SlowMist)的溯源分析和安全建议。 Ledger Connect Kit 供应链攻击 NPMJS DeFi安全 钓鱼攻击 资金盗窃 slowmist 发布于 2023-12-16 393 0 0
DeFi中最薄弱的环节不是智能合约——而是Web应用 本文深入剖析了DeFi协议中Web2层面的安全漏洞,通过DNS劫持、供应链攻击、UI社会工程等案例,强调了前端和Web应用安全在DeFi防护中的关键作用。文章指出仅凭智能合约审计不足,并提供了详细的安全检查清单,以构建全面的防御体系。 DeFi安全 Web2安全 前端攻击 供应链攻击 DNS劫持 多重签名 zealynx 发布于 2026-03-01 612 0 0
NPM供应链攻击剖析:涉及十亿次下载 in 攻击事件解析 2025 NPM 账户 qix 遭到供应链攻击,导致多个常用软件包(如 chalk、strip-ansi 和 color-convert)发布恶意版本。该恶意软件是一个加密货币剪切器,通过替换网络请求中的钱包地址和直接劫持加密货币交易来窃取资金。建议立即审查项目依赖项,并使用 package.json 中的 overrides 功能将所有受影响的包锁定到其最后已知的安全版本。 供应链攻击 npm 恶意软件 加密货币剪切器 依赖项 package.json JavaScript jdstaerk 发布于 2025-09-09 3229 0 0
基于故障复盘的开发 文章借汽车安全演进类比软件安全,指出在 AI 时代,单纯依赖开发者更谨慎、增加审批流程并不能根治泄露问题。真正的风险在于静态密钥、长期Token和人工审核无法跟上代码生成与供应链攻击的速度。作者主张把安全设计前移,改用短生命周期、按需生成、自动轮换的动态凭证,并尽量采用基于身份的无密钥认证,让“泄露”不再直接等于“失陷”。 静态密钥 动态凭证 密钥轮换 无密钥认证 供应链攻击 AI代码生成 infisical 发布于 2026-04-21 200 0 0
加密货币交易所缘何频遭攻击:洞悉愈演愈烈的威胁格局 加密货币交易所正面临日益增长的网络攻击威胁,黑客利用社会工程学、恶意软件和供应链漏洞等手段入侵交易所。Cobo 通过多重安全措施,如多因素认证、MPC钱包、安全API和实时监控,帮助交易所应对这些威胁。文章还列举了多个交易所被攻击的真实案例,强调了交易所实施全面安全策略的重要性。 加密货币交易所 黑客攻击 安全漏洞 社会工程学 恶意软件 供应链攻击 Cobo 发布于 2024-12-05 1724 0 0