PyPI叕被發現竊取開發者賬號密碼的惡意包

PyPI叕被發現竊取開發者賬號密碼的惡意包




安全研究員近日再次發現PyPI中的惡意包，分析后發現依然是用來竊取開發者賬號密碼的。

這次同樣采用了近似名的釣魚方式，有一些則用了“同義”命名法，比如art——ascii2text，非常標準的名字很容易就會取得開發者的信任。向官方報告后，大部分包已被刪除，但已下載的就只能自己刪了。

安全研究員提醒，PyPI從不保障軟件包的安全性，所以對于有高安全需求的項目，一定要多多檢查。

Cloudflare表示Twilio遭到的攻擊看起來有點眼熟

看到Twilio遭網絡攻擊后，Cloudflare也沉不住氣了，趕緊出來組團發聲，表示這事我熟。

如Twilio事件一樣，Cloudflare最開始也是員工遭到SMS釣魚攻擊，接著通過員工賬號拿到用戶敏感信息。不過Cloudflare事件中有一點不同，那就是黑客在登錄員工賬號時，被安全防護阻斷，他們也沒真正泄露數據，這也是他們如今才站出來說的原因。

不明人士向名人發送0.1 ETH 疑似抗議美國制裁混幣器Tornado

本周一（8 月 8 日），美國財政部外國資產控制辦公室 (OFAC) 對混幣協議 Tornado.cash 實施制裁，禁止美國個人和實體通過隱私工具進行交互或交易。不過在周二，有不明人士通過 Tornado 協議向多位名人發送了 0.1 個 ETH，疑似對制裁 Tornado 做出抗議。

根據 NFT 借貸平臺 Astaria 技術官 Joseph Delong 揭露，這位不明人士正從受制裁的Tornado Cash錢包向大批錢包地址發送0.1ETH，主要是ENS域名和知名公眾人物的錢包。Terra研究員FatMan舉出其中數位收到ETH的名人或單位：

Jimmy Fallon(知名脫口秀主持人吉米法隆)

Shaquille O’Neal(前NBA球員奧尼爾)

PUMA(運動品牌PUMA)

Randi Zuckerberg(Facebook執行長扎克伯格的妹妹)

Logan Paul(Youtube網紅羅根·保羅)

Brian Armstrong(Coinbase執行長布萊恩·阿姆斯特朗)

Steve Aoki(知名音樂制作人史帝夫?青木)

Ukraine Crypto Donation(烏克蘭募款錢包)

Dave Chappelle(知名喜劇演員戴夫?查普爾)

Beeple(知名NFT藝術家)

Tornado Cash 是一種混幣器（Coin Shuffle）， 是一個去中心化的隱私功能，它可以讓用戶快速高效地與其他用戶的資金進行混合，在現有的用戶賬戶和混幣后的新賬戶之間創建隨機的映射關系，從而實現完全匿名。 。美國官員稱，流經混幣器的大量資金與犯罪活動有關，例如朝鮮從黑客入侵各種加密貨幣交易所和服務中獲得的收益。

這位名叫 Depression2019 的不明用戶在本周一發布推文，分享了鏈上交易的屏幕截圖。此舉表明調侃美國政府的制裁是無效的。加密貨幣的開放性旨在消除中介機構，這與傳統金融部門使用銀行和其他金融機構充當此類交易的看門人不同。

由于 Tornado Cash 是受制裁的實體，美國人可能有法律義務阻止其錢包中的傳入交易。 OFAC 規則要求美國人凍結從 Tornado Cash 發送的任何交易或資金。