垃圾软件包正在占领 NPM ，并导致短暂的 DoS 攻击

最近发布的一份报告谈论了大量 Chromebook 正在成为“电子垃圾”的问题 (Chromebook Churn)。原因在于 Chromebook 的廉价设计和短暂寿命，导致使用者大多数情况下只是将其视作一次性产品，所以产生了成堆的电子垃圾。 Chromebook 是

资料页面即可返回邮件地址： npm 是最大的 JavaScript 软件包仓库。研究人员发现 2818 名项目维护者的帐户仍在使用域名过期的邮箱地址，而部分过期的域名正在 GoDaddy 等网站上出售。因此研究人员认为，攻击者可通过购买已

件会真正影响应用程序的可用性。” 多个 Web 缓存漏洞导致拒绝服务（DoS）攻击。缓存服务器使用一些 headers 作为 keys 来存储和检索 URL 请求。通过在 unkeyed headers 中使用无效值，Ladunca 能够强制服务器缓存错误响应，并在之后

端提供了一种截然不同的语法用来接受 cookie。双重语法导致了两个问题： 很难阅读规范，因为很容易陷入其中一种语法，并假设语法对所有用例有效。 定义发送 cookie 的语法没什么用，因为客户端才是真正决定如何接收和

函数调用了 C 库函数 strcpy。 “众所周知，strcpy 函数会导致各种内存损坏漏洞，因为它不执行任何边界检查，因此被认为是不安全的。由于在调用 strcpy 之前没有对用户提供的身份参数进行边界检查（除了 D-Bus 消息的默认消息

了一个自动脚本来创建账户并上传覆盖整个 scope 的恶意软件包，旨在窃取个人身份信息。 除了针对  scope 外，还有 、、 和  也是目标。在这些恶意包发布大约两天后，JFrog 向 NPM 维护人员进行了披露，其迅速进行了删除

GitHub 首席安全官 Mike Hanley 透露，攻击者正在使用被盗的 OAuth 用户令牌从私有存储库中下载数据。 有证据表明，攻击者滥用被盗的 OAuth 用户令牌发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI，然后从包括 npm 在内的数十个组织

在 comp.os.minix 新闻组中首次公开提及了他的新内核，透露正在出于爱好开发新的免费操作系统 —— 最初命名为 Freax。几周后，Linus 要求 ftp.funet.fi 的管理员之一 Ari Lemmke 上传第一个 tar 存档，Ari 则选择了 Linux 这个名字。初

发布依赖项的新版本）不会影响 Go 构建。 与其他大多数软件包管理器所使用的配置文件不同，Go modules 没有单独的约束列表和用于锁定特定版本的 lock 文件。参与 Go 构建的每个依赖项的版本完全由主模块的 从 Go 1.16 开始，上

OpenSSL 团队评估为"CRITICAL"（严重）等级——因为可能会导致 RCE，但经过测试和评估，该漏洞在 2022 年 11 月 1 日被降级为"HIGH"（高危）。 CVE-2022-3602：X.509 电子邮件地址 4 字节缓冲区溢出漏洞 由于 OpenSSL 3.0.0 - 3.0.6 版本中

ypto-mining-campaign-on-npm-users/ checkmarx研究人员公开了恶意软件包的列表，恶意包存放地址： https://cuteboi.info/ 了解更多 OSCS （开源软件供应链安全社区）会第一时间发布开源项目最新的安全风险动态，包括开源包安全漏洞、

NPM 下载的，从而还一直存在着恶意代码包被上传到 NPM 等软件包管理器的威胁。因此存在这样的实际风险：即不知情的合法开发人员可能会在不知不觉中使用来自 NPM 的恶意包作为其扩展的依赖项，从而导致整个扩展遭到破坏，

d、Shellshock 在内一些高影响漏洞以及恶意软件组件的扩散正在显着改变组织对开源的看法。“众所周知，开源软件通常比专有软件性能更高、更安全。但也很明显，开源软件是 comes as-is，没有任何形式的保证，使用它的任何风险

达式超时退出机制，3.2.0 RC 1 则引入两项可显著缓解 ReDoS 攻击的改进，以及一些语言功能和性能改进。 改进的正则表达式匹配算法 从 Ruby 3.2 开始，Regexp 的匹配算法通过使用记忆技术得到了极大的改进。 # This match takes 10 se