Mixpanel Security Breach6 months agohttps://mixpanel.com/blog/sms-security-incident/Mixpanel于2025年11月8日检测到短信钓鱼攻击活动,并启动了事件响应流程。采取了全面措施遏制并根除未授权访问,包括保护受影响账户及撤销活跃会话。Mixpanel联合外部网络安全合作伙伴开展取证调查,并实施了额外的安全控制措施。已主动联系受影响客户;未收到通知的用户均未受影响。应对措施包括:更新泄露凭证、封禁恶意IP地址、对全体员工执行全局密码重置。Mixpanel始终致力于保障安全,并与客户保持透明沟通。
OpenAI API user data exposed in Mixpanel security breach6 months agohttps://www.dqindia.com/news/openai-api-user-data-exposed-in-mixpanel-security-b...OpenAI确认一起涉及第三方分析服务商Mixpanel的安全事件,该服务商被用于其API前端系统。此次入侵发生在Mixpanel系统而非OpenAI基础设施,导致有限用户数据暴露。泄露数据包括姓名、电子邮箱、大致地理位置、操作系统/浏览器信息、来源网站及组织/用户ID。ChatGPT及其他OpenAI产品未受影响,凭证、API密钥和支付信息均未遭泄露。OpenAI已终止使用Mixpanel服务,正通知受影响用户并监控数据滥用情况。建议用户警惕钓鱼攻击、核实官方通知并启用多因素认证(MFA)。由于密码和API密钥未泄露,无需进行重置操作。
Secrets in unlisted GitHub gists are now reported to secret scanning partners6 months agohttps://github.blog/changelog/2025-11-25-secrets-in-unlisted-github-gists-are-no...GitHub现在向秘密扫描合作伙伴报告未列出的Gist中泄露的密钥未列出的Gist(秘密标签)并非私有,仍可通过URL访问GitHub与AWS、OpenAI、Stripe等公司合作检测并通知密钥泄露情况若启用扫描功能,密钥扫描警报会同时通知密钥发布者和相关开发者GitHub Gist是可公开或设为秘密的代码片段,但秘密Gist并非私有公开Gist可被搜索并出现在Discover中,而秘密Gist仅能通过URL访问如需完全私密的代码,建议使用私有仓库而非秘密Gist
Renewing GPG Subkeys in 20256 months agohttps://entropicthoughts.com/renewing-gpg-subkeys-in-2025更新GPG子密钥需要导入主密钥并编辑密钥过期日期。将子密钥导出到文件可实现跨设备传输。删除设备上的私钥可确保安全性,后续仍可重新导入子密钥。修改后验证密钥状态至关重要。现代GPG简化流程已自动处理子密钥与主密钥的独立密码设置。因GDPR合规复杂性,密钥服务器的使用已大幅减少。
Building an NPM Worm (2016)6 months agohttps://contolini.com/building-an-npm-wormnpm脚本可能被恶意利用,包括自我复制的蠕虫病毒。概念验证型npm蠕虫'pizza-party'展示了如何感染并重新发布模块。package.json中松散的语义版本控制习惯(~和^)会助长此类蠕虫传播。防护措施包括仅在必要时登录npm账户,以及使用npm shrinkwrap锁定依赖。使用他人代码存在固有风险,包括无意中执行恶意代码的可能性。npm生态的开放性虽有益,但需要开发者之间的信任机制来防止滥用行为。
Modern Developer Tools as Attack Surfaces: Lessons from Shai-Hulud6 months agohttps://sitezwin.com/posts/2025-11-29-sha-hulud-the-second-coming-encouter/文章讨论了针对npm用户的Shai-Hulud恶意软件活动,该活动通过被篡改的软件包实施攻击。Shai-Hulud会窃取GitHub令牌、SSH密钥和云服务凭证等敏感信息,并在受害者账户上创建代码仓库。现代开发者工具(如VS Code扩展和Neovim插件)因其广泛权限可能成为攻击入口点。被入侵的开发设备可能导致企业级渗透,因开发者通常掌握公司核心系统访问权限。建议措施包括减少对第三方工具的信任、使用沙箱隔离环境以及定期轮换密钥凭证。该事件揭示了现代开发生态中便利性与脆弱性仅一线之隔的安全困境。
If You Must Use Signal, Use Molly6 months agohttps://xn--gckvb8fzb.com/if-you-must-use-signal-use-molly/Signal messenger存在中心化控制、元数据收集和供应商锁定问题。Molly是Android平台上一个独立的Signal分支版本,解决了Signal的缺陷。Molly的特性包括:通过用户设置口令和Argon2id密钥派生函数实现静态数据加密。Molly支持UnifiedPush通知服务,避免依赖谷歌服务。Molly提供Tor网络支持、内存擦除、自动锁定和自动备份功能。文档详细说明了在OpenBSD系统上安装MollySocket以实现自托管推送通知的方法。推荐需要Signal但追求更强隐私保护和扩展功能的用户使用Molly。
Post-mortem of Shai-Hulud attack on November 24th, 20256 months agohttps://posthog.com/blog/nov-24-shai-hulud-attack-post-mortem2025年11月24日,恶意自复制蠕虫Shai-Hulud 2.0入侵了PostHog的SDK和软件包。该蠕虫利用预安装脚本扫描并窃取凭证,随后通过发布恶意npm包进行传播。PostHog于UTC时间9:30前识别并删除恶意包,撤销受损令牌并轮换凭证。受影响软件包包括posthog-node、posthog-js、posthog-react-native等特定版本。建议用户检查恶意文件、审查npm日志、删除缓存依赖项并锁定已知安全版本。攻击源于PostHog机器人被盗的GitHub个人访问令牌,攻击者借此窃取npm发布令牌。攻击者通过拉取请求利用工作流漏洞,修改脚本窃取凭证并释放蠕虫。PostHog的开源特性及对GitHub工作流触发机制的误解共同导致此次安全漏洞。事后分析表明,该攻击是针对多家厂商的广泛攻击行动的一部分。PostHog正实施更严格的安全措施,包括可信发布者模型、加强PR审查和改进密钥管理。此次事件促使PostHog全面提升安全建设,包括招募专职安全人员。
NFCGate flagged as malware even after multiple followups saying it isn't6 months agohttps://github.com/nfcgate/nfcgate/issues/164用户在不同的标签页或窗口中登录和退出。请求检查VirusTotal(VT)以获取最新版本,因为两个主要引擎达成一致并获得另外两个引擎的支持。不确定是否应标记为“误报”,可能存在某些遗漏。出于安全考虑,决定暂时从IzzyOnDroid中移除该更新。等待回复并感谢关注。
Show HN: I made a free log anonymizer in the browser6 months agohttps://www.getloglens.com/tools/log-sanitizer纯客户端运行 - 数据永不离开您的浏览器日志清洗与匿名化工具(处理PII如IP地址、邮箱、令牌)安全擦除日志后再分享到工单系统、StackOverflow或ChatGPT完全本地运行,无需将日志上传至云端LogLens Pro通过设计保障您的数据安全
Decompiling Sanchar Saathi: Code Review of India's New Mandatory App6 months agohttps://onlinetinker.com/blog/sanchar-saathi-security-analysisSanchar Saathi应用是一款用于设备验证和欺诈举报的政府公用程序。关键发现:该应用拥有对短信内容和通话记录的完全访问权限,包括联系人姓名。高风险:使用MediaDrm UUID进行持久设备追踪,该标识符在恢复出厂设置后仍存在。积极方面:本地数据存储采用SQLCipher AES-256加密。中等风险:未实施证书锁定,易受中间人攻击。低风险:具备完善的Root检测和防篡改机制。收集的数据包括短信内容、含联系人姓名的通话记录、持久设备ID和SIM卡信息。该应用在预期用途下是安全的,但所需权限过多,存在重大隐私影响。建议:仅在需要时授予权限,定期审查权限设置,并了解数据收集范围。最终结论:应用合法但具备可能被滥用的广泛监控能力。
Critical RCE Vulnerabilities in React and Next.js5 months agohttps://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182React和Next.js在默认配置中存在未授权远程代码执行漏洞。该漏洞影响React 19生态系统及Next.js、Vite RSC插件等框架。CVE-2025-55182(React)和CVE-2025-66478(Next.js)允许通过RSC 'Flight'协议的不安全反序列化实现RCE攻击。Wiz Research数据显示39%的云环境存在此漏洞风险。已修复版本:React 19.0.1/19.1.2/19.2.1;Next.js(App Router)14.3.0-canary/15.x/16.x。紧急措施:升级React及相关依赖;检查其他启用RSC框架的更新。
RCE Vulnerability in React and Next.js5 months agohttps://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp漏洞影响React软件包(版本19.0.0、19.1.0、19.1.1、19.2.0)及Next.js 15.x/16.x等框架(App Router)漏洞编号CVE-2025-55182已修复版本:React 19.0.1/19.1.2/19.2.1;Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7同时影响实验性金丝雀版本(14.3.0-canary.77+),用户应降级至14.x稳定版或14.3.0-canary.76受影响的React软件包:react-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpack强烈建议稳定版Next.js 15.x/16.x用户立即升级
Critical Security Vulnerability in React Server Components5 months agohttps://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-serve...在React服务器组件中发现严重安全漏洞(CVE-2025-55182),允许未经身份验证的远程代码执行。受影响版本:React 19.0、19.1.0、19.1.1和19.2.0。已发布修复版本:19.0.1、19.1.2和19.2.1。未使用React服务器组件或服务端React的应用不受影响。受影响框架和打包工具包括Next.js、React Router、Waku等。托管服务商已部署临时缓解措施,但仍建议立即更新。为Next.js、React Router、Expo、Redwood SDK、Waku等受影响工具提供了详细更新指南。漏洞原理:向服务器函数端点发送恶意HTTP请求可导致远程代码执行。时间线:11月29日报告,11月30日确认,12月3日发布修复补丁。致谢Lachlan Davidson发现并报告该漏洞。
What I Learned from Vibe-Coding Auth with AI5 months agohttps://fusionauth.io/blog/vibe-coding-authenticationAI辅助开发虽能快速提供解决方案,但在认证等复杂领域缺乏深度使用AI构建带OIDC认证的JavaScript应用时,暴露出安全性与合规性缺陷AI生成的初始代码缺失密码验证、重复账户预防和安全JWT密钥等基础功能每个修复都会引发关于安全标准与最佳实践的新问题AI不会主动建议OIDC合规功能(如PKCE流程或令牌内省)前端安全问题(如XSS和CSRF漏洞)若未明确提示就会被忽略测试阶段暴露出竞态条件、错误处理不当和输入验证缺失等问题生产级认证需要MFA多因素认证、审计日志和灾难恢复等完整功能AI无法替代领域专家,尤其在认证这类安全关键组件上类似FusionAuth的解决方案能提供开箱即用的完备安全认证体系
Crates.io: Malicious crates evm-units and uniswap-utils5 months agohttps://blog.rust-lang.org/2025/12/03/crates.io-malicious-crates-evm-units-and-u...12月2日,Socket威胁研究团队的Olivia Brown报告了恶意软件包'evm-units'和'uniswap-utils'。这些软件包疑似试图窃取加密货币,其中'evm-units'被下载7,257次,'uniswap-utils'被下载7,441次。用户'ablerust'的账户已被立即禁用,相关软件包于UTC时间12月2日22:01从crates.io平台删除。Socket团队已在博客发布分析报告;这两个软件包在crates.io上没有下游依赖项。特别感谢Olivia Brown、Carol Nichols、Walter Pearce和Adam Harvey在事件响应中提供的协助。
NextJS Security Vulnerability5 months agohttps://nextjs.org/blog/CVE-2025-66478在React Server Components (RSC)协议中发现严重漏洞(CVE-2025-66478),CVSS评分为10.0攻击者可通过控制请求在未打补丁的环境中实现远程代码执行影响使用App Router的Next.js应用,涉及版本15.x、16.x及14.3.0-canary.77+已修复版本包括:15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7用户必须升级到当前分支的最新修补版本,或从canary回退至稳定的14.x版本无法通过配置选项禁用该漏洞利用路径由Lachlan Davidson发现,技术细节暂不公开以保护未修复系统
Static Certificate Transparency5 months agohttps://www.merklemap.com/documentation/static-ctMerkleMap明确表示不支持静态证书透明度(CT)API,认为这是对CT生态系统的倒退行为。Let's Encrypt以成本为由放弃RFC 6962的合理性受到质疑,其声称的'接近七位数成本'被指夸大其词。亚马逊AWS的高昂成本(特别是数据出口费用)被重点强调,Let's Encrypt接受AWS赞助被视为存在利益冲突。MerkleMap以Let's Encrypt声称成本的极小部分,自2013年起就运营着包含完整CT历史的PostgreSQL数据库。静态CT的局限性包括:无法通过哈希值验证证明、要求客户端手动处理范围查询等。Sunlight实施方案存在多项安全隐患:加密密钥可预测、缺少权限检查、认证方式薄弱等。MerkleMap谴责通过Chrome市场地位推广静态CT的做法,认为这绕过了标准的共识建立流程。由于存在安全缺陷且安全披露处理不当,MerkleMap宣布不会使用Sunlight方案进行日志监控。MerkleMap坚持支持RFC 6962标准,主张在现有成熟框架内进行渐进式改进。
Trick users and bypass warnings – Modern SVG Clickjacking attacks5 months agohttps://lyra.horse/blog/2025/12/svg-clickjacking/SVG点击劫持技术介绍:一种实现复杂交互攻击和数据窃取的新方法液态SVG原理解析:无需画布或着色器即可创建逼真折射效果跨域iframe中SVG过滤器漏洞演示:揭示潜在安全风险攻击基础构件:feImage/feFlood/feOffset/feDisplacementMap等SVG滤镜元素详解feDisplacementMap伪造验证码攻击实例:诱骗用户重新输入敏感信息输入框灰显文字隐藏技术:运用feComposite和feMorphology滤镜实现文本遮蔽iframe内像素读取技术:通过检测用户交互实现动态攻击SVG滤镜中的逻辑门实现(AND/OR/NOT等):构建复杂条件攻击链Google Docs多步点击劫攻击案例分析:实际应用与影响评估基于预计算纠错表的SVG滤镜二维码生成:新型数据外传技术SVG点击劫持技术的新颖性探讨及其对未来安全研究的启示
I cracked a $200 software protection with xcopy5 months agohttps://www.ud2.rip/blog/enigma-protector/作者分析了Enigma Protector(一款价值200美元的商业软件保护系统),发现了一个关键漏洞。该保护仅作用于安装程序,而未保护实际有效载荷(VST插件),使得绕过保护变得轻而易举。使用简单的'xcopy'命令,即可复制受保护文件并在任何机器上运行,无需任何许可证检查。VST插件未包含Enigma运行时或许可证回调功能,导致保护完全失效。文章强调了对有效载荷(而不仅是安装程序)实施保护的重要性,以及正确的威胁建模方法。作者编写了Python脚本来自动化文件复制过程,直观展示了绕过保护的简易程度。尽管漏洞本身已足够利用,作者仍探索了通过DLL挂钩绕过Enigma验证的替代方案。关键教训包括:需要实施纵深防御、定期验证保护有效性,以及确保保护措施正确应用。该案例研究表明,价格高昂的保护系统若实施不当,将毫无价值。