流行的Python和PHP库被劫持用以窃取AWS密钥

流行的Python和PHP库被劫持用以窃取AWS密钥 每周被下载超过20,000次的PyPI模块 "ctx "在一次软件供应链攻击中被破坏,恶意版本窃取了开发者的环境变量。 攻击者甚至用渗入开发者环境变量的代码替换了旧的安全版本的'ctx',以收集亚马逊AWS密钥和凭证等秘密。 此外,发布在PHP/Composer软件包库Packagist上的'phpass'分叉版本也被篡改,以类似的方式窃取机密。 PHPass框架在其生命周期内已经在Packagist仓库中产生了超过250万次的下载尽管恶意版本的下载量被认为要小得多。

相关推荐

封面图片

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容:整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器,这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌:GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案,梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌,这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据,发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈,接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌,同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚:扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌,也就是说到撤销的时候已经有几个月,这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据,或者说没人知道该公司有没有能力检查数据遭到异常访问,这可能需要完整的排查过去几个月的日志。 ... PC版: 手机版:

封面图片

微软签名密钥不断被劫持,赛门铁克披露黑客团队Carderbee针对中国香港的攻击活动

微软签名密钥不断被劫持,赛门铁克披露黑客团队Carderbee针对中国香港的攻击活动 8月22日,赛门铁克披露了Carderbee针对中国香港的攻击活动。研究人员于4月发现了Carderbee的第一个活动迹象,但攻击活动或可以追溯到2021年9月。 攻击者使用合法的Cobra DocGuard软件执行供应链攻击,目的是在目标计算机上安装后门Korplug(又名PlugX)。Cobra DocGuard Client 是一家名为亿赛通的中国公司开发的软件,用于保护、加密和解密的软件。 攻击活动还使用了合法的Microsoft证书签名的恶意软件。该活动的大多数目标位于中国香港,也有一部分位于亚洲的其它地区。研究人员表示,关于Carderbee活动仍有一些未解之谜,比如确切的目标范围仍不清楚。 、、

封面图片

文章介绍了OpenAI开发的ChatGPT大型语言模型聊天机器人,以及如何使用OpenAI Python库构建自己的项目和工具。

文章介绍了OpenAI开发的ChatGPT大型语言模型聊天机器人,以及如何使用OpenAI Python库构建自己的项目和工具。 提供了获取API密钥、设置环境变量、使用Chat Completions API进行文本生成的步骤,提供了创建博客提纲生成器和简单ChatGPT样式聊天机器人的示例代码。 此外还介绍了如何调整温度和top_p参数来增加LLM生成响应的创造性和多样性。

封面图片

重要/漏洞:主流Linux发行版本存在本地提权漏洞“Looney Tunables” ,攻击者可通过 GNU C 库获得 roo

重要/漏洞:主流Linux发行版本存在本地提权漏洞“Looney Tunables” ,攻击者可通过 GNU C 库获得 root 权限 漏洞编号:CVE-2023-4911 重要等级:重要 影响版本:GLIBC 2.34 原理:Linux的主流发行版本中存在一个名为“Looney Tunables”的本地提权漏洞。攻击者可以通过此漏洞利用GNU C库获得root权限。该问题主要源于GNU C库的动态加载器ld.so,当处理GLIBC_TUNABLES环境变量时,可能会发生缓冲区溢出。本地攻击者可以在启动具有SUID权限的二进制文件时,通过恶意设置的GLIBC_TUNABLES环境变量执行提权代码。此漏洞首次出现在glibc版本2.34 处置建议:CVE-2023-4911已在上游glibc中得到修复,Linux发行商正在陆续更新修复这个问题,普通用户应当尽快更新 补充:大量流行的Linux发行版上使用了GNU C 库同时将GLIBC 2.34作为默认安装的版本,包括Ubuntu、RedHat、Debian、Fedora、Gentoo都受到此问题影响,但是某些发行版(如Alpine Linux)由于使用 musl libc 而不是 glibc 而被豁免。 相关资料:

封面图片

亚马逊AWS对象存储(S3)删除荒唐的错误响应计费 避免开发者一夜破产

亚马逊AWS对象存储(S3)删除荒唐的错误响应计费 避免开发者一夜破产 早前有一名开发者发现自己的 S3 存储桶遭到未经授权的人高频访问,随后开发者直接封禁了对应 IP/UA 的访问,实际访问时将出现 403 之类的错误。万万没想到啊,之后竟然还是收到了 AWS 的巨额账单,因为 AWS 对 HTTP 403 这类禁止访问的错误请求同样还是收取请求费,也就是说,即便封禁某个 IP 或 UA,这个人继续保持高频恶意请求,就会给开发者产生巨额的费用账单,这可能会让一些开发者一夜破产。这名开发者针对该问题联系 AWS 进行处理后,AWS 取消了这部分请求费账单,但 AWS 强调这是合理收费,因为本来账单规则里就没有注明 HTTP 403 是免费请求。这个问题也引起了诸多开发者和企业的担忧,由于 AWS S3 存储桶的名称是自定义的,后面的地址则是固定的,因此甚至可以枚举各种存储桶名称故意刷账单,对开发者和企业来说这种问题几乎无法规避,毕竟已经设置 403 了,设置其他错误代码也无济于事,都是收费的。到 5 月 13 日 AWS 发布重要的计费公告,宣布自当日起所有区域的个人或企业 AWS 账户产生的未经授权请求不再收费,包括带宽费也被取消。还有个额外说明是如果发起请求的是所有者自己,那即便是 HTTP 403 也会计算请求费,所以开发者在配置时最好检查 API KEY,尽可能避免使用自己账户直接调用,否则不小心出现 403 那还是得计费。下面是更新后的 AWS S3 所有不计费的状态码 (所有者访问除外):HTTP 301HTTP 307HTTP 400HTTP 403HTTP 404HTTP 405HTTP 409HTTP 411HTTP 412HTTP 5XX另外如果开发者设置了自定义错误文档或者自定义重定向时,所有请求无论什么状态都继续收取请求费和产生的带宽费。 ... PC版: 手机版:

封面图片

2023年值得关注的顶级Python库 || #Python

2023年值得关注的顶级Python库 || #Python 1.:一个简化大型语言模型(LLM)调用和嵌入调用的开源库,支持OpenAI格式,提供统一的输入输出格式,便于在不同模型间切换。 2.:一个简化Python应用部署的工具,允许开发者创建自安装包,支持跨操作系统,并且具有自更新功能。 3.:一个低代码Python库,专为数据科学家设计,用于构建交互式Web UI,无需掌握Web堆栈工具,支持机器学习产品的可视化。 4.:专为Apple Silicon设计的机器学习数组框架,提供NumPy风格的API,支持自动微分、向量化和计算图优化。 5.:一个全面的文本预处理工具包,能够处理多种格式的文档,如PDF、HTML和Word文档,提供清洗、格式化和信息提取功能。 6.和:一个开源MLOps框架,用于创建可移植的生产就绪机器学习管道,以及AutoMLOps服务,用于生成、配置和部署集成CI/CD的MLOps管线。 7.:OpenAI的Whisper模型的增强版本,提供更准确的时间戳和多说话人检测,以及更快的处理速度和更低的内存占用。 8.:一个框架,允许开发者使用多个agent进行对话协作,以解决任务,类似于软件工程团队的协作。 9.:一个用于指定结构和类型、验证和纠正大型语言模型输出的库,确保模型输出符合预期。 10.:一个用于处理时间序列数据的库,支持多变量时间序列、事件日志和跨源事件流。 这些库不仅展示了Python在AI领域的强大能力,也为开发者提供了更多样化的工具,以应对各种挑战。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人