Github遭大规模恶意软件攻击，超3.5万个代码库受影响

1.Github遭大规模恶意软件攻击，超3.5万个代码库受影响

软件工程师 Stephen Lacy 在推特上表示，其发现 Github 正在遭受大规模恶意软件攻击，超 3.5 万个代码库受影响，波及范围涵盖Crypto、Golang、Pyhon、js、bash、Docker和k8s等领域。该恶意软件被发现添加到npm脚本、Docker图像和安装文档中。Stephen Lacy提醒，此攻击可能会将被攻击者的多种密钥泄露给攻击者，并建议用户使用GPG签署所有提交。

2.最新的 Jenkins 插件公告中包含未修补的 XSS、CSRF 漏洞

作为领先的开源自动化服务器，Jenkins 提供了数千个插件来支持构建、部署和自动化项目。该组织最新的安全公告列出了总共27个插件漏洞，其中五个被认为是“高”影响，其中大多数仍未修补。安全研究人员称在没有修复的情况下宣布漏洞是解决难题的最佳解决方案，因为它允许管理员仔细考虑他们继续使用受影响的插件。

3.应用EvolutionCMS、FUDForum和GitBucket中发现XSS漏洞

据外媒 道，研究人员已经发布了有关流行开源应用程序中三个跨站点脚本（XSS）漏洞的详细信息，这些漏洞可能导致远程代码执行（RCE）。研究发现进行XSS攻击的可能性与管理员面板中的内置文件管理器（或执行SQL查询）相结合可能导致系统完全受损。这些漏洞的主要困难是找到进行XSS攻击的可能性。

4.2.88亿条印度养老基金持有人的身份数据被暴露在互联

据外媒 道，一个包含印度养老基金持有人全名、银行账户 码等信息的巨大数据缓存在 上浮出水面。安全研究员发现两个独立的IP地址，这两个IP地址都公开向互联 暴露数据，但没有密码保护。目前还不清楚谁应该对 上出现的曝光数据负责。也不清楚是否还有其他人有发现这些曝光的数据。

5.研究人员警告AitM对企业用户的大规模攻击

据外媒 道，以中间对手（AitM）攻击技术为主，新的大规模 络钓鱼活动展开，破坏企业电子邮件帐户。该活动专门设计用于覆盖使用Microsoft电子邮件服务的企业中的最终用户。其通过使用高级 络钓鱼工具包（AiTM）和巧妙的规避技术，黑客绕过传统和高级安全解决方案。

6.VMware 修复了关键身份验证绕过漏洞

VMware 解决了一个关键的身份验证绕过安全漏洞，该漏洞被跟踪为 CVE-2022-31656，影响多个产品中的本地域用户。未经身份验证的攻击者可以利用该漏洞获得管理员权限。该漏洞影响 Workspace ONE Access、Identity Manager 和 vRealize Automation 产品。该漏洞已被评为严重漏洞，评分为 9.8。VNG Security 的 PetrusViet 是该漏洞的发现者。VMware 还解决了其它9个安全漏洞。

7.欧洲导弹制造商MBDA反驳遭到勒索攻击