Red Hat Cloud Services npm 供應鏈遭入侵:30 個 @redhat-cloud-services 套件含惡意版本
GitHub Security Advisory · 2026-06-02
一起影響 Red Hat Cloud Services 的 npm 供應鏈安全事件於 2026 年 6 月初在 GitHub 公開,30 個 @redhat-cloud-services scope 下的 npm 套件被發現含有惡意版本,在 Hacker News 上迅速登上熱門榜首,累計超過 700 票。
受影響套件類別
遭入侵的套件橫跨多個功能層次:
- 前端 UI 元件:
chrome、frontend-components、rule-components及相關 UI 函式庫 - 後端客戶端程式庫:
compliance-client、config-manager-client、host-inventory-client、rbac-client、patch-client等整合 Red Hat 雲端服務的 API 客戶端 - 開發工具:
eslint-config、tsc-transform-imports、測試工具 - 輔助程式庫:通知、翻譯、型別定義、共用工具函式
漏洞機制
每個受影響套件均有三個連續惡意版本被推送至 npm registry(例如 X.Y.1、X.Y.2、X.Y.4)。協調入侵 30 個套件的攻擊方式指向發布者憑證(publish token)外洩或 CI/CD 管線遭入侵,而非個別套件被竊取;攻擊者一次性獲得了對整個 scope 的發布權限。
惡意版本的具體 payload 尚未完整公開,但此類供應鏈攻擊的典型手法包括:注入資料竊取腳本、在 postinstall hook 執行反向 shell、或修改打包輸出以在瀏覽器中執行惡意程式碼。
受影響版本與修補
受影響的版本範圍對應各套件的 X.Y.1–X.Y.4 版本區間(具體版本號依套件不同)。官方建議立即升級至問題版本範圍之外的最新版本,並審查 CI/CD 系統的 build log,確認是否有非預期的網路連線或憑證存取行為。已在 package-lock.json 或 yarn.lock 中鎖定受影響版本的環境需特別注意 lockfile 是否已更新。
原始來源:GitHub — Malicious npm packages detected across Red Hat Cloud Services
Instagram 零驗證密碼重設:Meta AI 客服繞過 2FA 的帳號接管漏洞
0xsid Security Research · 2026-06-01
安全研究員於 2026 年 6 月 1 日發布一篇詳細分析,描述了一個讓攻擊者僅憑目標帳號用戶名即可完成密碼重設並完全接管帳號的 Instagram 漏洞,作者稱其為「我在生產環境見過的第一個真正零驗證密碼重設」。Meta 確認已在漏洞活躍數週後完成修補。
漏洞機制
攻擊流程只需三個步驟:
- 攻擊者以 VPN 掩蓋 IP 位置,透過 Meta 支援 AI 聊天機器人報告「帳號被盜」
- 要求將驗證碼寄送至攻擊者控制的電子郵件地址——AI 客服在未確認該 email 是否屬於帳號持有人的情況下直接發送驗證碼
- 攻擊者以驗證碼完成密碼重設,繞過原帳號的雙因素驗證(2FA)
漏洞的根源在於 Meta 的 AI 客服被賦予了帳號恢復的操作權限,卻缺乏對「要求寄送驗證碼的 email 與帳號原本綁定 email 是否一致」的驗證邏輯。
視訊自拍繞過
部分情況下 Meta 系統會要求提交視訊自拍進行身份核實。然而報告指出,以 AI 動態生成的目標帳號公開照片,在多個案例中成功通過了這道驗證,顯示 Meta 的活體偵測(liveness detection)機制在 deepfake 影片面前存在明顯缺陷。
實際受害案例與修補狀態
漏洞活躍期間,包括知名政府機關與企業在內的高價值短用戶名帳號遭到接管,部分被以數十萬美元在黑市交易。受害者無法透過標準申訴管道取回帳號,因為攻擊者已完成「合法的」帳號恢復流程。Meta 已完成修補,但未公開說明具體修補方式或影響規模。
原始來源:0xsid — The Newest Instagram "Exploit" is the Goofiest I've Seen