本质新闻

2026年4月18日，安全研究机构BleepingComputer披露，超过30个WordPress插件因所有权变更被植入恶意代码，导致网站遭受未经授权访问、垃圾页面生成及重定向攻击。恶意代码自2025年8月起存在于EssentialPlugin插件包中，由新买家在收购后注入。攻击者通过以太坊智能合约动态解析命令与控制（C2）域名，规避传统域名封禁。尽管WordPress.org于2.6.9.1版本修复了部分漏洞，但wp-config.php文件仍可被利用，垃圾内容仍可向Googlebot推送。该事件暴露出WordPress插件市场在所有权变更时缺乏审核机制，存在严重安全漏洞。此前201...

研究人员发现，黑客利用Unicode规范中的隐形字符（Public Use Areas）在GitHub、npm及VS Code市场等代码库中植入恶意代码。这些字符在人类和静态分析工具中呈现为空白，但在JavaScript解释器中可被解码为可执行恶意载荷。攻击者通过编码方式隐藏恶意指令，部分载荷曾利用Solana网络窃取密钥与代币。目前检测到151个相关恶意包，但实际数量可能更高，因许多已删除。专家建议严格审查代码包及依赖项，警惕潜在AI生成的伪装包。