在过去一年中，墨菲安全在漏洞发现、报告、修复及应急响应等方面与华为紧密合作，展现了在网络安全应急响应方面的专业能力和高效协同。苏木拥有行业领先的漏洞知识库，支持10min快速接入各开发流程，将代码项目存在的安全风险清晰展示，并支持IDE插件、GitHub等方式快速完成漏洞修复，轻松管理开源风险。，该奖项旨在表彰近一年中与华为紧密合作、在网络安全应急响应协同中及时识别风险，提供有效协作，并做出贡献的

【高危】多款NPM组件存在投毒风险，包括@0xme5war/apicli [1.0.0,2.0.0]、react-native-gainsight-px [1.5.2,1.12.5]等20余款。安装后会窃取主机名、用户名、工作目录、IP等敏感信息，发送至攻击者电报地址（botToken=7699295118:AAF6pb7t718vjHWHwFQlZOastZQYHL8IVDE，chatId=65

【高危】多个NPM组件（如@angular_devkit/core、microsoft-bonsai-api等）存在投毒风险，安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广，涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低，建议立即排查移除受影响包，删除node_modules及package-lock.json后重装依赖

非常感谢用户水妖的内容投稿！背景我是一家互联网公司的 DevOps 工程师，平常负责公司服务的上线发布流程。我和墨菲安全的这款开源的漏洞检测工具结缘，主要是因为前段时间log4j2 的漏洞，最近我们公司的研发频繁的上线基本上都是修复 log4j2 的漏洞，我被他们整烦了。就找他们研发的负责人讨论是不是能够在上线前集成一些自动化的工具来检测这样的漏洞，比如 log4j2 或者 fastjson 类似

【中危】NGINX ngx_mail_smtp_module内存越界读取漏洞（CVE-2025-53859）影响版本[0.7.22, 1.29.1)。启用该模块且smtp_auth设为none时，认证服务器返回Auth-Wait响应会触发认证错误处理缺陷，导致内存越界读取，泄露服务器数据。建议升级至1.29.1及以上版本，或修改smtp_auth为非none方法，禁用不必要的smtp模块。

【高危】多个NPM组件（如@angular_devkit/core、microsoft-bonsai-api等）存在投毒风险，安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广，涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低，建议立即排查移除受影响包，删除node_modules及package-lock.json后重装依赖

NPM组件aiohappyeyeballs等存在高危投毒漏洞，安装受影响版本（如aiohappyeyeballs [0.1.4, 0.2.5]、node-calculator-yqhi@2.2.0等）会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低，可能针对开发环境及网站管理员主机。建议立即排查依赖，移除恶意包，全面检查系统安全（如异常网络连接、敏感凭证），并加强

以ChatGPT为代表的通用大模型在迅速发展，软件的开发模式、产品形态正在因为AIGC的崛起而发生改变，软件产业可能迎来一次革新。AI将成为软件供应链中的重要组成部分，随之而来在用于应用开发的过程中可能引入各种安全及合规风险，包括：漏洞代码的引入；模型可能由于训练数据的偏差或在使用过程中受到提示符注入的攻击，导致输出的结果被投毒干扰；其本身可能存在后门指令，一旦被开启则可能成为特洛伊木马大杀四方；

Guava 是 Google 公司开发的开源 Java 代码库，提供常用的Java工具和数据结构。Guava 1.0 至 31.1 版本中的 FileBackedOutputStream 类使用Java的默认临时目录创建文件，由于创建的文件名容易被攻击者猜测，在 Unix 和 Android Ice Cream Sandwich 系统中，允许具有访问默认 Java 临时目录权限的攻击者可创建同名的

以ChatGPT为代表的通用大模型在迅速发展，软件的开发模式、产品形态正在因为AIGC的崛起而发生改变，软件产业可能迎来一次革新。AI将成为软件供应链中的重要组成部分，随之而来在用于应用开发的过程中可能引入各种安全及合规风险，包括：漏洞代码的引入；模型可能由于训练数据的偏差或在使用过程中受到提示符注入的攻击，导致输出的结果被投毒干扰；其本身可能存在后门指令，一旦被开启则可能成为特洛伊木马大杀四方；