Skip to main content

Search: #Ecosystem

今天abc看了啥🤔
现在我也不知道这频道发了啥了,各位慢慢吃瓜,将就着看

联系我请去 @abc1763613206

友链儿
@cyberElaina
@rvalue_daily
@billchenla

  1. Forwarded from 层叠 - The Cascading
    🔴 Bitwarden CLI 2026.4.0 被骇;请尽快更新并检查设备数据及修改密码(若适用)。

    - 请更新至 Bitwarden CLI 2026.4.1 或 降级至 2026.3.0。
    - 这是 Bitwarden 的官方 CLI(难用的那个),和第三方 CLI rbw 无关。
    - 骇客似乎通过 GitHub Actions 潜入了 Bitwarden 的 CI/CD pipeline。
    - 根据 Socket 分析,被骇软件的恶意行为包括收集系统凭据并将其加密发布到公开 GitHub repo 中,但不会在 locale 为 ru 的系统发作。

    https://socket.dev/blog/bitwarden-cli-compromised

    seealso: HackerNews:47876043
    linksrc: https://t.me/microblock_pub/2573

    #Bitwarden #Ecosystem
    Socket
    Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain ...
    Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain ...
    Bitwarden CLI 2026.4.0 was compromised in the Checkmarx supply chain campaign after attackers abused a GitHub Action in Bitwarden’s CI/CD pipeline.

  2. Forwarded from 层叠 - The Cascading
    chalk 和 chokidar 均为 npm 上著名包。

    GitHub 项目 AFFiNE 近日从一个 PR 发现项目开发者曾误引入一个名为 chalk-next 的恶意包(与此 PR 似乎无关),此 chalk-next 包包含尝试收集/检查系统环境变量及删除文件的投毒代码 [1]。有 Twitter 用户分析后提到 [2],疑似同一位作者还发布了包含类似行为,名为 chokidar-next 的包 [4]。

    从 chokidar-next 包作者 [5] 其它包元信息指向的 GitHub 用户来看,这两个包的目的似乎是检测 vue-admin-beautiful 付费版本盗版用户并删除其代码 [6]。

    目前 chalk-next 和 chokidar-next 均被标记为 "Security holding package" [7][8]。

    1. https://github.com/toeverything/AFFiNE/pull/668
    2. https://twitter.com/yihong0618/status/1610919470410928133
    3. https://www.npmjs.com/org/chu1204505056
    4. web.archive.org/~
    5. web.archive.org/~
    6. https://github.com/chuzhixin/chalk-next
    7. https://www.npmjs.com/package/chalk-next
    8. https://www.npmjs.com/package/chokidar-next

    #npm #vueadminbeautiful #OpenSource #Ecosystem #SupplyChain #Security
    GitHub
    Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE
    There can be more than Notion and Miro. AFFiNE is a next-gen knowledge base that brings planning, sorting and creating all together. Privacy first, open-source, customizable and ready to use. - Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE