供应链攻击 - cmdragon's Blog

2026-04-21 security

安全研究员发现 Anthropic Claude Desktop 应用在未告知用户的情况下，向 7 款主流 Chromium 浏览器静默注册 Native Messaging 桥接组件。该组件以用户权限运行于浏览器沙箱之外，具备完整的浏览器 …

2025年2月27日，Truffle Security披露DeepSeek训练数据集中存在严重安全漏洞，涉及11,908个实时有效的API密钥、身份凭证和认证令牌，主要来自公开网页抓取数据。泄露的敏感信息包括Mailchimp API密钥 …

微软威胁情报团队发现针对macOS生态系统的XCSSET恶意软件新变种，其攻击范围覆盖开发者与普通用户。新版XCSSET采用复合式代码混淆技术、系统级持久化机制及供应链攻击升级，显著提升攻击隐蔽性和破坏力。其恶意行为包括敏感信息窃取、远程控 …

广告位

Goby安全团队披露Clash Verge代理客户端存在高危远程命令执行漏洞（CVE-2025-XXXXX），全球超过13,700个暴露资产面临直接威胁。该漏洞通过默认暴露的Web控制服务、CORS跨域绕过和路径穿越攻击，允许攻击者完全控制 …

德国网络安全公司G Data披露，中国打印机品牌Procolored的官方软件遭供应链攻击，攻击者通过植入XRedRAT木马和SnipVex恶意软件，窃取近百万美元比特币。攻击持续半年，主要通过Mega云存储平台分发感染软件 …