Show HN: Bitcoin Challenge. Try to steal a plain text private key you can use9 months agohttps://app.redactsure.com/Redactsure允许使用敏感数据而无需暴露数据内容系统正在检查可用性验证邮件已发送至用户邮箱用户必须点击邮件中的验证链接才能启动演示环境正在初始化安全浏览器环境用户处于队列中,轮到时必须确认会话会话已准备就绪,用户需在60秒内点击「开始会话」开始会话后,用户将被重定向至安全浏览器环境
Show HN: SecretMemoryLocker – File Encryption Without Static Passwords9 months agohttps://github.com/SecretML/SecretMemoryLocker秘密记忆保险箱v2.23推出幻影循环(SML-ML)功能,通过AI生成无限循环的安全问题陷阱来困住攻击者新增AI驱动的'离线生成'模式,支持使用可定制模板本地创建安全问题区块链集成警报系统安全存储通知通道,仅在区块链模式激活时解密SecretMemoryLocker v2.14引入AI驱动的问题生成功能以增强安全性,支持多语言SHA256安全模式-SML加密结合文件哈希与用户答案,使暴力破解几乎不可能实现该工具完全离线运行,确保数据不会离开设备,并使用AES-256进行强加密专为创建'数字遗嘱'、保护助记词及安全归档密码或任何文件而设计用户友好界面采用两层数据分离:加密的.zip压缩包和存储加密问题的.json文件
Nx compromised: malware uses Claude code CLI to explore the filesystem9 months agohttps://semgrep.dev/blog/2025/security-alert-nx-compromised-to-steal-wallets-and...至少1.4k名GitHub用户存在名为's1ngularity-repository'的恶意仓库,该仓库由被入侵的nx构建工具包在安装后命令自动创建恶意软件会窃取钱包凭证、API密钥等敏感数据,并将其加密存储在仓库内的results.b64文件中该程序会检测系统是否安装Claude Code CLI或Gemini CLI,从而将可指纹识别的代码转移到提示词中增加检测难度受影响nx版本:21.5.0至v21.8.0及v20.6.0至v20.12.0,相关版本已从npm下架用户应检查是否存在恶意仓库,升级至安全版本(如21.4.1),并轮换所有可能泄露的密钥恶意软件利用nx的安装后钩子执行telemetry.js脚本,转储环境变量并通过GitHub CLI创建仓库攻击手法创新点在于利用Claude/Gemini等LLM工具,通过精心设计的提示词搜索钱包和密钥相关文件事件时间线显示恶意版本发布于2025-08-26,npm接到报告后下架软件包并通知组织所有者GitHub官方已发布安全公告,为受影响用户提供详细修复指南
Malicious versions of Nx and some supporting plugins were published9 months agohttps://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598cnx软件包及其配套插件的恶意版本被发布到npm平台,这些版本包含扫描文件系统和窃取凭证的恶意代码受影响版本包括nx 21.5.0、20.9.0、20.10.0、21.6.0、20.11.0、21.7.0、21.8.0及20.12.0等多个版本攻击途径是攻击者获取了具有受影响软件包发布权限的npm令牌恶意行为包括扫描系统凭证、将窃取的凭证上传至GitHub,以及修改系统文件添加关机指令时间线详细记录了恶意版本的发布过程及npm后续的删除操作需立即采取的行动包括检查受影响情况、卸载恶意版本、轮换已泄露的凭证当前预防措施包括强制启用双重认证(2FA)机制,并对npm软件包使用可信发布者机制
Google Debuts Device-Bound Session Credentials Against Session Hijacking9 months agohttps://www.feistyduck.com/newsletter/issue_128_google_debuts_device_bound_sessi...暴躁鸭子的密码学与安全通讯"提供密码学、安全防护、隐私保护、SSL/TLS协议及公钥基础设施的最新动态", "HTTP Cookie被改造用于会话管理后,引发了会话劫持等安全隐患", "通过安全标识(Secure flag)、HttpOnly属性、名称前缀和同源策略(Same-Site)等措施强化Cookie安全", "早期会话劫持利用未加密通信漏洞,Firesheep等工具实现了自动化攻击", "HTTPS与安全Cookie减少了会话劫持,但攻击者转向窃取Cookie的恶意软件(信息窃取程序)", "谷歌推出设备绑定会话凭证(DBSC),利用公钥密码学和可信平台模块(TPM)提升会话安全", "DBSC技术使会话标识符在其他设备上失效,有望彻底终结会话劫持", "第34届Usenix安全研讨会资料开放获取,收录大量密码学相关论文", "暴躁鸭子开设讲师指导课程,教授安全服务器部署与加密Web应用开发"
Spiped – secure pipe for SSH, SMTP, etc.9 months agohttps://www.tarsnap.com/spiped.htmlSpiped是一个用于在套接字地址之间创建对称加密和认证管道的实用工具。它使用强大的加密组件,如HMAC-SHA256、Diffie-Hellman密钥交换、CTR模式下的AES-256加密以及HMAC-SHA256进行认证。在2.5 GHz的Intel Core 2笔记本电脑上,Spiped的运行速度约为300 Mbps。典型应用场景包括为电子邮件传输建立加密管道,以及保护SSH服务器免受攻击者侵扰。Spiped可通过spipe客户端自动连接进行配置,从而增强SSH安全性。Spiped的开发和讨论在其git代码库和邮件列表中进行。官方发布的Spiped版本会标注版本号、发布日期及SHA256哈希值。已有第三方辅助脚本支持Spiped部署,包括Docker镜像方案。
PSA: Libxslt is unmaintained and has 5 unpatched security bugs9 months agohttps://vuxml.freebsd.org/freebsd/b0a3466f-5efc-11f0-ae84-99047d0a6bcc.htmlLibxslt(libxml2的兄弟项目)目前缺乏活跃的维护者Libxslt中存在三个未修复的安全漏洞,其中两个已公开(CVE-2025-7424和CVE-2025-7425)CVE-2025-7424漏洞涉及xmlNode.psvi中样式表节点与源节点之间的类型混淆问题CVE-2025-7425漏洞是xmlFreeID中由于`atype`损坏导致的堆释放后重用问题苹果和谷歌工程师已提交补丁方案,但由于缺乏维护者尚未应用任何修复
Probability of typing a wrong Bitcoin address9 months agohttps://www.johndcook.com/blog/2025/08/28/wrong-address/比特币地址含有校验和机制,使得输入错误却生成有效地址的概率极低(约1/2^32)。由于加密哈希函数的特性,地址呈随机分布状态,输错地址撞上其他有效地址的概率不高于随机输入。随机生成的160位序列恰好匹配已使用的比特币地址的概率微乎其微(约1/10^39)。即使存在十亿个地址,两个比特币地址之间仅相差一两个字符交换的概率仍然非常低。生日问题原理表明,在庞大的地址空间中(包括输错情况),地址发生碰撞的可能性几乎不存在。
Is it possible to allow sideloading *and* keep users safe?9 months agohttps://shkspr.mobi/blog/2025/08/is-it-possible-to-allow-sideloading-and-keep-us...谷歌新政策要求安卓应用必须由在谷歌注册的开发者进行数字签名,或将终结侧载行为。争论焦点在于用户自由与安全性之间的平衡,侧载应用带来的诈骗和恶意软件风险引发担忧。银行和游戏开发商可能限制应用在已root或改装设备上的使用,以降低风险。谷歌认为侧载应用存在重大安全隐患,指出其恶意软件比例远高于Play商店应用。尽管有安全警告,用户常忽略提示导致诈骗案件和经济损失频发。新政策将率先在巴西、印尼、新加坡和泰国等高欺诈风险地区实施。批评者指责谷歌借机扩大控制权,限制开发者自由和开源项目发展。潜在解决方案包括加强用户教育、建立替代信任商店或采用AI诈骗检测技术。评论反映出对谷歌充当守门人的忧虑,以及安全与自由如何权衡的争议。
CocoaPods Is Deprecated9 months agohttps://blog.cocoapods.org/CocoaPods-Specs-Repo/CocoaPods trunk将在两年后变为只读模式,停止添加新版本或新pod出于安全考虑,将禁止新CocoaPods使用prepare_command字段过渡期前会向贡献者发送通知,计划于2026年11月进行测试运行最终只读模式切换定于2026年12月2日现有通过CocoaPods trunk的构建和依赖不受影响,但过渡后将不再接收更新
Reports of Gmail security issue are inaccurate9 months agohttps://blog.google/products/workspace/gmail-security-protections/Gmail向用户保证其安全防护措施的强度和有效性。近期关于Gmail存在重大安全漏洞的说法不实,谷歌并未发布任何广泛警告。Gmail能拦截超过99.9%的钓鱼软件和恶意软件攻击,避免其触及用户。安全是谷歌的首要任务,公司持续投入大量资源进行创新,并与用户保持透明沟通。建议用户使用密码密钥(Passkeys)并遵循最佳实践,以识别和举报钓鱼攻击。
Mis-issued Certificates for SAN iPAddress:1.1.1.1 by Fina RDC 20208 months agohttps://groups.google.com/a/mozilla.org/g/dev-security-policy/c/SgwC1QsEpvc公开报告指出Fina RDC 2020错误签发包含IP地址1.1.1.1的证书截至2025年9月3日仍有三个有效证书,且对该IP地址的控制权存疑列出的证书包含序列号、主体CN、SAN扩展及crt.sh与Censys的查询链接涉事机构Fina RDC 2020是微软信任的Fina根CA下属中级CA明显违反CA/Browser论坛TLS基线要求及Fina自身政策要求Fina调查事件、撤销不合规证书并公开事件报告
Game launcher installs Root CA certificate on your machine8 months agohttps://github.com/SoapboxRaceWorld/GameLauncher_NFSW/issues/276启动器安装了一个自定义的根CA证书,用于对下载的可执行文件进行Authenticode验证。安装'Carbon Crew' CA证书作为受信任的根CA,使用户面临加密通信被中间人攻击的潜在风险。该证书包含了一个不必要广泛的关键用途ID列表,引发了安全担忧。此功能缺乏透明的沟通,仅在仓库的README文件中简短提及。建议的修复措施包括获取合法的代码签名证书、使用sigstore、集成μthenticode,或完全移除签名验证。当前的验证过程存在安全漏洞,例如未验证启动器更新程序的可执行文件。CA证书托管在一个不安全的HTTP端点上,进一步加剧了安全风险。临时解决方案可能包括在验证后立即安装并移除CA证书。未经用户同意添加受信任的根CA的做法违反了安全原则,需要立即关注。
Keeping secrets out of logs (2024)8 months agohttps://allan.reyes.sh/posts/keeping-secrets-out-of-logs/文章探讨了如何防止敏感信息被记录到日志中的挑战,强调并不存在单一解决方案或万能药。日志中的敏感信息影响程度不一,从轻微(如内部API密钥)到严重(如客户密码或个人身份信息PII)均有涉及。常见泄露原因包括:直接记录敏感数据、全量转储(记录含敏感信息的完整对象)、配置变更、URL中嵌入的密钥、遥测数据收集及用户输入处理不当。作者提出10种『铅弹策略』(虽不完美但有效的方案):数据架构优化、数据转换处理、领域原语封装、一次性读取对象、日志格式化器、单元测试验证、敏感数据扫描器、日志预处理器、污点追踪检测以及人员培训管理。领域原语被重点推荐——通过将敏感信息与普通字符串进行类型区分,可同时获得编译时与运行时的双重安全保障。一次性读取对象确保敏感信息仅能使用一次,从根本上避免意外记录或滥用风险。建议采用污点追踪技术进行静态分析,检测流向日志的敏感数据链。通过日志格式化器和预处理器,可在存储前对敏感信息进行脱敏或剔除处理。战略实施路线分为:搭建基础框架→理清数据流向→把守关键节点→部署纵深防御→制定应急响应预案。文末指出该挑战具有长期性,需要持续改进机制与动态调整策略方能应对。
ICEBlock handled my vulnerability report in the worst possible way8 months agohttps://micahflee.com/iceblock-handled-my-vulnerability-report-in-the-worst-poss...作者批评了ICEBlock的安全问题及其对漏洞报告的处理方式。ICEBlock的开发者Joshua Aaron无视了关于运行过时且存在漏洞的Apache版本的警告。作者提供了详细的漏洞信息和修复期限,但Joshua反而封锁了他们。尽管多次警告,Joshua的服务器仍未打补丁,这引发了人们对潜在数据泄露的担忧。作者强调了安全的重要性,尤其是对于一个下载量超过百万次的应用程序而言。
Color NPM Package Compromised8 months agohttps://fasterthanli.me/articles/color-npm-package-compromised2025年9月8日,Josh Junon的npm账户(qix)遭入侵,导致其软件包被发布后门版本。攻击始于钓鱼邮件'npmsj.help',诱骗Josh重置了双重验证(2FA)。恶意载荷仅针对浏览器环境生效,需特定条件才会造成危害,不影响服务器或开发者机器。受影响的包包括周下载量约3200万次的'color',凸显攻击规模之大。npm官方响应迟缓,Josh仍无法访问账户,部分软件包后门仍未清除。最新进展请关注Kevin Beaumont在Mastodon平台的专题讨论。
Plex Security Incident8 months agohttps://links.plex.tv/s/vb/Vn7XtnwDSSaqqDUYoHu1P57ZgZ1FsHgTO2PTIBl6jEOUiHBH3LGmI...Plex遭遇一起安全事件,部分客户数据遭到未授权访问,包括电子邮件、用户名和加密哈希处理的密码。Plex建议用户立即通过https://plex.tv/reset重置密码,并启用'登出所有设备'功能以增强安全性。信用卡数据未受影响,因Plex未在服务器上存储此类信息。Plex已修复该安全漏洞,并正在进行额外审查以提升系统安全性。建议用户启用双重认证功能进一步加强账户保护。Plex对此次事件深表歉意,并向用户承诺将全力防范未来类似事件发生。
Docker Considered Harmful (2025)8 months agohttps://quantum5.ca/2025/03/18/docker-considered-harmful/Docker的默认设置和运行方式存在重大安全风险Docker守护进程未经许可修改系统防火墙规则,导致规则冲突Docker默认不进行UID隔离,若容器被攻破将危及整个系统安全在Docker中以PID 1运行应用会导致僵尸进程无法处理及信号传递问题众多Docker镜像维护不善、安全性差,不适合生产环境使用Docker使IPv6部署复杂化,加剧了IPv4地址枯竭问题像systemd-nspawn这类替代方案能提供更好的容器化安全与隔离安全构建自定义Docker镜像需要大量工作并持续更新维护强制要求Docker部署的软件应提供替代安装方案
You too can run malware from NPM (I mean without consequences)8 months agohttps://github.com/naugtur/running-qix-malware针对NPM包作者的钓鱼攻击持续发生,虽风险低但曝光度高。被入侵的包(如'is-arrayish')可覆盖浏览器功能以重定向交易。示例应用展示了恶意包如何篡改交易目标。LavaMoat能阻止恶意包访问未授权的全局变量或导入项。使用@lavamoat/webpack可将依赖项隔离在独立词法环境中以增强安全性。
DuckDB NPM packages 1.3.3 and 1.29.2 compromised with malware8 months agohttps://github.com/duckdb/duckdb-node/security/advisories/GHSA-w62p-hx95-gf2cDuckDB的npm Node.js软件包被植入针对加密货币交易的恶意代码受影响软件包包括@duckdb/node-api@1.3.3、@duckdb/node-bindings@1.3.3、duckdb@1.3.3和@duckdb/duckdb-wasm@1.29.2恶意版本在被弃用前未记录到任何下载记录DuckDB维护团队已弃用受影响版本并发布安全更新(1.3.4/1.30.0)此次入侵源于攻击者通过伪造npmjs.help网站实施的钓鱼攻击攻击者使用窃取的凭证发布恶意包,但在数小时内即被检测发现DuckDB团队已重置密码、令牌和API密钥以保护npm账户正在审查内部流程以防止未来安全漏洞