r/netsec 月度讨论与工具帖

规则与指南

• 始终维持文明讨论。相互友善 - 必要时版主会进行干预。
• 除非绝对必要，避免发布NSFW（不适宜工作场合）内容。如果发布，请标记为NSFW。若未标记，评论将被完全删除。
• 如果链接到机密内容，请将其标记为机密。若未标记，评论将被完全删除。
• 避免使用表情包（梗图）。如果你有话要说，请用真实的语言表达。
• 所有讨论和问题都应与网络安全（netsec）直接相关。
• 禁止在 r/netsec 上请求或提供技术支持。
• 一如既往，也应遵守 r/netsec 的内容和讨论准则。 反馈 欢迎反馈和建议，但不要在此发布。请将其发送至版主收件箱。

用户讨论与工具分享

用户 TheExplorer777 的分享（发布于 3 天前）

大家好， 我整理了一个自动化威胁情报仓库，它将所有已知的恶意 NPM 包聚合到一个机器可读的 JSON 文件中。适用于代码扫描器、CI 流水线或任何监控供应链风险的人员。 仓库地址：https://github.com/hemachandsai/shai-hulud-malicious-packages 功能

• 从 OSV、GitHub Security Advisories 和 Amazon Inspector 拉取恶意软件包安全公告。
• 将所有内容标准化并合并到一个统一的 malicious_npm_packages.json 文件中。
• 自动每 30 分钟更新一次。
• 设计为可直接集成到扫描器或自动化工作流中。 当前覆盖范围 追踪 9000+ 个已确认的恶意软件包，包括来自 Shai-Hulud Phase-1 数据集的数据。 如果你从事供应链安全或进行 npm 相关扫描，欢迎反馈或建议。

用户 Late-Aside8582 的分享（发布于 6 天前）

不确定这里是否已经发布过，但有一场时长1小时的网络研讨会将于 12 月 4 日格林尼治标准时间下午 3 点 举行，如果你对防御和网络安全感兴趣，看起来值得一看。 内容是关于国防机构和供应商如何跟上日益复杂的威胁以及所有新法规，如欧盟《网络弹性法案》和 CMMC（网络安全成熟度模型认证）：Navigating the New Cyber Battlefield: Building Resilient Defense Systems Amid Evolving Threats and Regulations | Military Aerospace

用户 x3Nemorous 的分享（发布于 7 天前）

Wordreaper 这款工具旨在抓取并生成智能、聚焦的密码字典，用于强大的密码破解。它能够以极高的精度利用 CSS 选择器进行操作。 在创建/格式化密码字典时，它可以节省大量时间和手动劳动。欢迎任何反馈 :) https://github.com/Nemorous/wordreaper

用户 deleee 的分享（发布于 21 天前）

大家好！我们刚刚发布了 LLMgoat，这是一个开源的自托管工具，用于学习 LLM（大语言模型）应用的 OWASP Top 10 漏洞。通过 LLMGoat，你可以部署一个容器化的易受攻击环境，并以真实攻击者的方式进行攻击实践。 该项目灵感来源于 OWASP 的 WebGoat（一些老牌黑客可能还记得），其目标是提高对 LLM 漏洞的认识，并通过实践方式帮助攻击者和防御者理解这些安全问题。 鉴于 LLM 攻击的特性，一些挑战可以由非技术用户解决，而另一些则需要网络安全知识。 由于 LLMGoat 是故意设计为易受攻击的，请在隔离环境中（最好使用 Docker）运行它，切勿将其暴露在互联网上。 我们将在未来几周内分阶段发布解决方案。 源代码在此：https://github.com/SECFORCE/LLMGoat 祝大家“黑”得愉快！

用户 RetractableBadge 的提问（发布于 1 个月前） r/netsec 没有 Q4（第四季度）招聘帖吗？@netsec_burn

版主 netsec_burn 的回复（发布于 1 个月前） 目前没有，我现在就创建一个。 编辑：已经发布了！https://old.reddit.com/r/netsec/comments/1omlc64/rnetsecs_q4_2025_information_security_hiring/