网络安全研究人员在npm注册表中发现了36个恶意包，这些包伪装成Strapi CMS插件，但携带不同的有效载荷，用于Redis和PostgreSQL利用、部署反向Shell、收集凭据并投放持久化植入程序。

网络安全研究人员在npm仓库中发现36个恶意软件包，伪装成Strapi CMS插件，通过不同载荷实现Redis和PostgreSQL漏洞利用、部署反向Shell、收集凭据并投放持久化植入程序。这些包遵循相同命名规则，以"strapi-plugin-"开头欺骗开发者下载。攻击载荷通过postinstall脚本执行，具备容器逃逸、数据库利用、凭据窃取等功能，疑似针对加密货币平台的定向攻击。

支持 ZJMF 财务系统集成的 SMTP 负载均衡邮件服务平台，提供多服务器负载均衡、配额管理和实时监控功能。

本周网络安全领域呈现多维度威胁态势：国家级APT攻击持续活跃，供应链安全风险加剧，AI安全漏洞引发广泛关注，同时加密货币领域再度成为攻击目标。以下为本周主要资讯汇总。 伊朗关联组织对以色列发起大规模密码喷洒攻击 Check ...

CVE-2025-13787Zentao PMS Privilege Escalation 9.1 CVE-2025-64428Dataease JNDI Injection 9.8 CVE-2025-13246Modulithshop SQL Injection 6.3 CVE-2025-64163Dataease SSRF 9.8 CVE-2025-64164Dataease JNDI ...