AI 开源开发平台 Hugging Face 存在托管的恶意代码

AI开源开发平台HuggingFace存在托管的恶意代码安全公司JFrog的研究人员周四在一份报告中表示，上传到人工智能开发平台HuggingFace的代码在用户计算机上秘密安装了后门和其他类型的恶意软件。研究人员表示，他们总共发现大约100个提交内容在下载并加载到最终用户设备上时执行了隐藏的和不需要的操作。大多数被标记的机器学习模型（所有这些模型都没有被HuggingFace检测到）似乎是研究人员或好奇的用户上传的良性概念证明。研究人员表示，其中大约10个是“真正恶意的”，因为它们在加载时执行的操作实际上损害了用户的安全，例如创建一个可以从互联网远程访问并完全控制用户设备的反向Shell。HuggingFace已删除了所有JFrog标记的模型。这是继PyPI,NPM和GitHub之后又一个被发现受到水坑攻击（WateringHoleAttack）的开发平台，虽然并不让人太意外。——

卡巴斯基确认拼多多APP的中国版本中存在恶意代码

卡巴斯基确认拼多多APP的中国版本中存在恶意代码总部位于莫斯科的卡巴斯基实验室的安全研究人员在PDD的中国购物应用拼多多版本中发现并概述了潜在的恶意软件，此前谷歌将其从其安卓应用商店中下架。在对恶意代码的首批公开报告之一中，卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。它测试了通过中国本地应用商店分发的应用版本，华为技术有限公司、腾讯控股有限公司和小米公司经营着一些最大的应用市场。卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用，该公司表示，它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。这些结论在很大程度上与过去几周在网上发布他们的发现的研究人员的结论一致，尽管彭博新闻社尚未证实早期报道的真实性。这起安全事件可能会为美国本已激烈的关于中国应用程序数据不安全的言论火上浇油。虽然拼多多主要在中国使用，但PDD的另一款应用Temu——销售从衣服到厨房用品的所有商品——在过去几个月的大部分时间里一直是苹果公司美国应用商店中下载次数最多的应用。它尚未像ByteDanceLtd.的TikTok那样成为立法者审查的焦点。来源：彭博社https://www.bloomberg.com/news/articles/2023-03-27/pinduoduo-app-malware-detailed-by-cybersecurity-researchers投稿：@ZaiHuabot频道：@TestFlightCN

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码

GitHub受到自动恶意分叉攻击正在大量分发恶意代码该恶意软件分发活动现已传播到GitHub，并扩大到至少数十万个受感染的存储库。根据安全公司Apiiro的说法，该代码下毒的活动包括以下几个步骤：克隆（clone）合法的存储库，用恶意软件加载程序感染它们，以相同的名称将更改后的文件上传到GitHub，然后对有毒的存储库进行数千次分叉（fork）和星标（star），并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后，寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库，但他们的数据却被运行恶意Python代码和二进制可执行文件的隐藏负载窃取。以上策略均可自动化部署，根据扫描结果粗略估计至少有数十万个恶意代码库被生成，即使只有较小比例在审核过程中幸存，数量也有上千个。研究人员表示，GitHub为这种恶意软件分发链提供了有效方法，因为它支持自动生成帐户和存储库、友好的API和软速率限制以及其庞大的规模。因此GitHub当前除了移除被举报的仓库外，并没有更加有效的方法预防该攻击过程。——

黑客利用币安智能链储存恶意代码

黑客利用币安智能链储存恶意代码过去两个月，黑客劫持了WordPress网站向访问者展示浏览器需要更新才能正常访问的信息，如果访客上当他们会下载恶意程序收集登陆凭证等敏感信息。恶意程序通常托管在Web服务上，一经发现会迅速被移除。但在这起攻击中，黑客利用了币安智能链的智能合约去储存永远无法移除的恶意代码。加密货币所使用的区块链在信息写入之后是很难移除的。()()投稿：@ZaiHuaBot频道：@TestFlightCN