代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件

代码托管平台GitHub评论被指滥用：通过知名存储库URL分发恶意软件在发表评论时，用户可以添加附件，该文件将上传到GitHub的CDN并使用以下格式的唯一URL与相关项目关联：https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}在将文件添加到未保存的评论后，GitHub会自动生成下载链接，而不是在发布评论后生成URL，如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论，这些文件也不会从CDN中删除，且URL会持续永久有效。via匿名

【删除 Tornado Cash 恶意代码的提案已通过，攻击者可在两天内进行更改】

【删除TornadoCash恶意代码的提案已通过，攻击者可在两天内进行更改】2023年05月27日09点58分5月27日消息，删除TornadoCash恶意代码的提案已获得通过，攻击者集成到协议中的恶意代码将被删除，代币持有者将重新控制TornadoCash的DAO治理权，但攻击者还有两天时间进行潜在更改。此前报道，TornadoCash攻击者发布一项恢复治理的新提案，若通过协议将删除恶意代码。

影响 300 万款苹果 iOS / macOS 应用，CocoaPods 平台漏洞披露：可注入恶意代码

影响300万款苹果iOS/macOS应用，CocoaPods平台漏洞披露：可注入恶意代码E.V.A信息安全研究人员ReefSpektor和EranVaknin今天发布博文，表示在CocoaPods依赖关系管理器中发现了3个安全漏洞，恶意攻击者可以在主流iOS和macOS应用中插入恶意代码。初步估计大约有300万个iOS和macOS应用程序会此影响。CocoaPods是一个开源Swift和Objective-C项目的存储库，很多开发者使用CocoaPods添加和管理外部库（pods）。该平台有超过10万个pods，超过300万款应用使用，包括Instagram、X、Slack、AirBnB、Tinder和Uber等应用都使用该平台。关注频道@ZaiHuaPd频道爆料@ZaiHuabot

WinRAR 高危漏洞，允许攻击者远程执行恶意代码

WinRAR高危漏洞，允许攻击者远程执行恶意代码此漏洞允许远程攻击者在受影响的RARLABWinRAR安装中执行任意代码。利用此漏洞需要用户交互，因为目标必须访问恶意页面或打开恶意文件。该特定缺陷存在于恢复卷的处理中。该问题是由于缺乏对用户提供的数据进行正确验证而导致的，这可能会导致内存访问超出已分配缓冲区的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。该漏洞于2023年6月8日向供应商报告，于2023年8月17日协调公开发布公告。RARLAB已发布更新来修复此漏洞。参考：；来源：投稿：@ZaiHuaBot频道：@TestFlightCN

黑客利用币安智能链储存恶意代码

黑客利用币安智能链储存恶意代码过去两个月，黑客劫持了WordPress网站向访问者展示浏览器需要更新才能正常访问的信息，如果访客上当他们会下载恶意程序收集登陆凭证等敏感信息。恶意程序通常托管在Web服务上，一经发现会迅速被移除。但在这起攻击中，黑客利用了币安智能链的智能合约去储存永远无法移除的恶意代码。加密货币所使用的区块链在信息写入之后是很难移除的。()()投稿：@ZaiHuaBot频道：@TestFlightCN