GlassWorm恶意软件活动正被用于持续攻击，通过窃取的GitHub令牌向数百个Python仓库注入恶意代码。攻击目标包括Django应用、机器学习研究代码、Streamlit仪表板和PyPI包，通过在setup.py、main.py和app.py等文件中附加混淆代码实现。攻击者获取开发者账户访问权限后，将恶意代码变基到目标仓库的默认分支并强制推送更改，同时保持原始提交信息、作者和日期不变。这种 ...

而在微软收购的公司中，有些在收购前就已为人所知，比如较早的 Hotmail，以及后来的 Skype、Mojang，以及近些年的 GitHub、动视暴雪等等，有些则是在被微软收购后才以微软的产品为人们所知。一些收购给微软带来了收益，但其中也不乏一些失败的收购。正值微软五十周年之际，下面就整理了一些微软具有代表性的收购事件，也算是从一个侧面记录微软五十年来的发展历程。

威胁组织UNC6426通过利用nx npm包供应链攻击窃取的密钥，在72小时内完全入侵受害者的云环境。攻击从窃取开发者GitHub令牌开始，攻击者随后利用GitHub到AWS的OIDC信任关系创建新的管理员角色。他们滥用该角色从AWS S3存储桶中窃取文件，并在生产云环境中进行数据破坏。