恶意npm包篡改本地"ethers"库以发起反向Shell攻击

网络安全研究人员在npm注册表中发现两个恶意软件包，这些软件包专门感染本地安装的其他程序包，这标志着针对开源生态系统的软件供应链攻击持续升级。恶意包伪装与感染机制涉事的两个软件包分别为ethers-p

英语小白一年斩获百万海外赏金，校长的逆袭之路！

"单漏洞40万！年度赏金破百万！"——这不是天方夜谭，而是一个普通大学生在海外漏洞市场的真实战绩。我是校长，2024年海外赏金百万，2023年BugCrowd全球第四，第四季度第一的获得者，今天想和你

攻击、爬虫、数据泄漏？大模型应用安全落地的生存指南

AI大模型创新与应用风起云涌，有机构预测2025年将涌现5亿个TO B和TO C的AI应用，加速渗透到金融、制造、政务等千行百业，推动生产效率与业务模式的深刻变革。但大模型的规模化应用也给企业带来了包

Splunk 高危漏洞：攻击者可通过文件上传执行任意代码

Splunk 近日发布补丁，修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行（RCE）漏洞。该漏洞编号为 CVE-2025-20229

Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似

在谷歌修复Chrome浏览器中一个已被积极利用的零日漏洞数日后，Mozilla也发布了针对Windows版Firefox浏览器高危安全漏洞的更新补丁。漏洞详情与修复版本该安全漏洞编号为CVE-2025

Windows 新型零日漏洞：远程攻击可窃取 NTLM 凭证，非官方补丁已上线

近日，安全研究人员披露了一个新型 Windows 零日漏洞，影响从Windows 7和Server 2008 R2到最新Windows 11 v24H2及Server 2025的所有Windows操作

谷歌Chrome浏览器零日漏洞遭大规模利用

卡巴斯基网络安全研究人员发现高级威胁攻击者正在利用Chrome浏览器零日漏洞后，谷歌已紧急发布安全更新。该漏洞编号为CVE-2025-2783，攻击者通过Chrome安全框架与Windows操作系统交

首席信息安全官（CISO）职业生涯的九大致命错误

首席信息安全官（CISO）和其他IT安全高管通常都在努力保护企业安全——以及自己的职业生涯。但一个小小的疏忽、错误假设或不当建议，就可能让所有努力瞬间付诸东流。如果你希望保住职位，请务必避免以下九种行

新型安卓恶意软件利用 .NET MAUI 框架逃避检测

McAfee 研究人员警告称，安卓恶意软件活动正在利用 .NET MAUI 框架逃避检测。这些威胁伪装成合法服务，窃取用户的敏感信息。.NET MAUI（Multi-platform App UI，多

微软 Security Copilot 新增 AI 安全助手，强化钓鱼防御与自动化响应

微软正在为其安全平台 Security Copilot 推出新一代 AI 助手，旨在帮助安全团队应对一些最耗时的安全挑战，如网络钓鱼、数据保护和身份管理。钓鱼攻击仍然是目前最常见且代价高昂的网络攻击类

从CISO视角看量子密钥分发

量子技术是安全风险还是应对网络攻击的首选方案？为何、为谁以及如何开始整合量子技术？随着量子计算机的快速发展，所谓的“Q-Day”正逐渐逼近。为了应对这一量子威胁，量子密钥分发（Quantum Key

Cloudflare R2服务中断事件：密码轮换错误引发全球故障

Cloudflare近日宣布，其R2对象存储及相关服务发生了一次持续1小时7分钟的中断事件，导致全球范围内出现100%的写入失败和35%的读取失败。Cloudflare R2是一项可扩展的、与S3兼容

Ingress-nginx漏洞可能导致Kubernetes集群被接管

近日，Kubernetes 的Ingress NGINX Controller 被曝出五个严重安全漏洞，这些漏洞可能导致未经身份验证的远程代码执行（RCE），使超过 6,500 个集群面临直接风险。这

私域流量大洗牌！整治“割韭菜”圈子，拉升“真·靠谱”帮会

温馨提示：文末可领免费资料包拒绝割韭菜！官方认证高信誉帮会钻石星选帮会，是平台为真正用心经营、有干货、有信誉的帮主打造的专属认证！专业团队 + 深度互动：运营专家坐镇，实战干货持续输出，拒绝敷衍跑路；

1小时思维蜕变！手把手教你挖出别人看不见的宝藏漏洞

回顾这些年在漏洞挖掘领域的探索，有一个极为关键的发现：许多漏洞其实近在咫尺，甚至无需开启抓包工具就能发现。每一次这样的测试都令人震撼，原以为到了 2025 年，如此简单的漏洞早已销声匿迹，但现实却无情

Next.js 严重漏洞：攻击者可绕过中间件授权检查

Next.js React 框架近日披露了一个严重的安全漏洞，攻击者可利用该漏洞绕过授权检查，未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927，其 C

Cloudflare推出AI迷宫：新型策略应对AI爬虫

Cloudflare近日推出了名为“AI迷宫”的创新工具，旨在通过将未经授权的网络爬虫重定向到一个由AI生成内容的无限迷宫中，来应对这些恶意爬虫。该工具于2025年3月19日发布，作为一种免费的、可选

为何AI系统比以往任何时候都更需要红队测试

AI 系统已深度融入现代生活，但并非无懈可击。红队测试作为一项关键技术，正通过系统性地挖掘 AI 漏洞，显著提升其安全性与可靠性。随着人工智能技术的快速迭代，这种全面测试的需求愈发迫切，不仅能防范潜在

小火炬超强带挖，单个学员30天斩获6万+！

你是否也经历过这样的时刻？——刷着漏洞报告平台望洋兴叹，仿佛全世界只有自己找不到入口——熬夜测试十几种payload，厂商却已悄悄修复了漏洞——看着别人晒出的五位数字赏金，默默把《从入门到放弃》加入书

GitHub供应链攻击升级：Coinbase超218代码库暴露，CI/CD密钥泄露

涉及 GitHub Actions 工具 "tj-actions/changed-files" 的供应链攻击最初是针对 Coinbase 一个开源项目的定向攻击，随后演变为范围更广的安全事件。攻击过程

微软可信签名服务遭滥用，恶意软件借机获得合法签名

网络犯罪分子正在滥用微软可信签名平台，通过有效期仅三天的短期证书为恶意软件可执行程序进行代码签名。长期以来，威胁行为者一直觊觎代码签名证书，因为这类证书可用于为恶意软件披上合法企业的外衣。恶意软件签名

【重大工控漏洞】mySCADA myPRO或被攻击者掌控工业控制系统

网络安全研究人员披露了影响mySCADA myPRO系统的两个重大漏洞的细节。myPRO是一种广泛应用于工业技术（OT）环境中的监控与数据采集（SCADA）系统，这些漏洞可能使恶意攻击者控制易受攻击的

一周网安优质PDF资源推荐 | FreeBuf知识大陆

【重大漏洞警示】AMI BMC漏洞可能导致远程认证绕过

安全研究人员近期发现，AMI的MegaRAC软件中存在一个严重的漏洞，该漏洞可能被攻击者利用以远程绕过认证。这一漏洞编号为CVE-2024-54085，已影响众多数据中心设备和服务器型号，可能危及全球

白帽SRC百洞事件复盘；业务漏洞应对处理策略| FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第251期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

FreeBuf周报 | “人肉开盒”再调查；ChatGPT SSRF漏洞迅速成为热门攻击向量

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！热点资讯1. “人肉开盒”再调查：网络灰产隐秘升级，记者买到自己的

Root后安卓设备遭遇攻击的风险激增3000倍，iPhone亦不安全

尽管苹果和谷歌不断强化设备安全性，但黑客和网络犯罪分子仍通过Root（安卓）和越狱（iOS）设备进行攻击。移动安全公司Zimperium的一份新报告在发布前与Hackread.com分享，报告警告称，

Cisco智能许可工具漏洞遭利用，内置后门账户曝光

近期，攻击者开始针对未修复漏洞的Cisco智能许可工具（Cisco Smart Licensing Utility, CSLU）实例发起攻击，该漏洞暴露了一个内置的后门管理员账户。Cisco智能许可工

研究人员利用AI越狱技术大量窃取Chrome信息

Cato Networks作为一家安全访问服务边缘（SASE）解决方案提供商，近日发布了其《2025年Cato CTRL威胁报告》，揭示了一项重要发现。研究人员称，他们成功设计了一种技术，使毫无编程经

Veeam与IBM发布备份和AIX系统高危漏洞补丁

Veeam近日发布了安全更新，修复了其备份与复制软件中的一个关键安全漏洞，该漏洞可能导致远程代码执行。高风险漏洞详情该漏洞被标记为CVE-2025-23120，CVSS评分为9.9（满分10.0），影