-
Xinference 供应链投毒风险通告:2.6.0-2.6.2 版本被植入恶意代码,可窃取云凭证与密钥
2026年4月23日,腾讯云安全中心监测到 AI 模型部署工具 Xinference 的 PyPI 包(版本 2.6.0、2.6.1、2.6.2)存在供应链投毒风险。攻击者通过入侵合法贡献者账户,在初始化文件中植入了多层混淆的恶意载荷,可窃取云服务凭证、API 密钥、SSH 密钥、加密货币钱包及数据库连接串等敏感信息,并回传至远程 C2 服务器。使用受影响版本的用户系统应视为已被入侵。 一、 风险…- 16
- 0
-
供应链投毒攻击集中爆发:Apifox、LiteLLM、Axios 相继中招,开源生态拉响安全警报
4月10日,国家网络安全通报中心发布紧急预警:近期集中爆发多起供应链投毒攻击事件,攻击目标涵盖 API 研发工具 Apifox、Python 开发库 LiteLLM 及 JavaScript HTTP 库 Axios,涉及开源软件仓库和商用工具两大核心供应链场景。 风险蔓延至终端用户 三起事件中最值得关注的,是 Axios 投毒事件的"链式扩散"效应。Axios 作为前端领域使…- 0
- 0
