当用户安装受影响版本的 node-hide-console-windows、javascript_process NPM组件包时会从 https://reveal-me.fr/Client-built.exe 下载恶意木马软件，该软件包含 PasswordStealer、rootkit、Token grabber 等恶意组件，进而窃取Windows系统指纹、用户密码、Discord 账户信息等并发

8月3日13时，名为 Stephen Lacy 的工程师在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码，感染文件超过3.5万，涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。被感染的仓库大多数处在长期不维护的状态，star 和 fork 数量基本为0恶意代码在最早在2019年已经提交进部分仓库，不少仓库是在最近10天左右被感染信息收集和控制指令的服务地址位于俄罗

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。在Linux 内核的 net/sched/cls_route.c 实现的 route4_change 中发现了一个漏洞，该漏洞源于释放后重用，本地攻击者利用该漏洞会导致系统崩溃，可能会造成本地特权升级问题。Linux kernel是美国Linux基金会的开源操作系统Linux所

OSCS 软件供应链安全技术论坛是 OSCS 社区针对软件供应链安全主题开展的首场专业性技术论坛，首期论坛由 OSCS 社区创始成员发起，将于在海淀中关村创业大街举办。论坛联合思否、CSDN、OSChina、51CTO、InfoQ、IT168 等媒体及社区深度合作，邀请了一起为大家带来开源项目安全治理、软件供应链安全体系建设、企业软件供应链安全最佳实践，打破安全与研发之间的高壁垒。

OSCS社区共收录安全漏洞31个，值得关注的是ApacheHive未授权访问UDF漏洞（CVE-2021-34538），Node.jsDLL劫持漏洞（CVE-2022-32223）和ORails框架下activerecord模块反序列化漏洞（CVE-2022-32224）。针对NPM和PyPI仓库，共监测到12次投毒事件，涉及106个不同版本的NPM组件，9个PyPI组件，投毒组件中绝大多数行为是