JFrog says six malicious npm packages used hidden install-time execution, JSONKeeper fetches, and sandbox checks to enable remote access.
安全研究机构 Sysdig 发布报告称,其威胁研究团队发现全球首例完全由 AI 智能体自主执行的勒索软件攻击事件。该攻击被命名为 JADEPUFFER,其显著特征在于全程无需人类干预,即可完成从系统入侵到数据摧毁的完整攻击链路。 攻击溯源显示,初始突破口为一台暴露在公网的 Langflow 服务。攻击者利用 CVE-2025-3248 漏洞,在无需身份验证的情况下远程执行 Python 代码获取主 ...