因開發人員使用的程式碼儲存庫GitHub帳密資料外流釀禍的情況,不時有事故傳出,在今天有兩則資安新聞與之有關,其中最近一起是知名媒體紐約時報的資安事故,另一則是駭客假借GitHub團隊進行勒索的情況。

值得留意的是,這些事故都發生在今年初,直到最近因為資安人員公布而受到關注。

 

【攻擊與威脅】

紐約時報270 GB資料流入地下論壇4chan,起因疑為GitHub帳密資料外洩

根據資安新聞網站Bleeping Computer報導,知名新聞媒體紐約時報因今年稍早GitHub憑證外洩,駭客竊走包括程式碼在內的270 GB資料。紐約時報也證實資料外洩一事。

此事是由資安研究團隊VX-underground最早披露,有人地下論壇4chan張貼訊息,聲稱握有竊自紐約時報的資料。這名人士描述,外洩的270 GB資料內容,共360萬個檔案,其中包含約5,000個GitHub儲存庫,其中不到30個經過加密保護處理。

紐約時報證實此事,並說是今年一月該公司GitHub憑證外洩有關,他們已於第一時間已採取緩解行動,但沒有證據顯示公司內部系統遭非法存取,或影響公司營運。

密碼管理解決方案LastPass傳出服務中斷,起因是瀏覽器外掛更新出錯釀禍

6月6日密碼管理服務LastPass用戶反映無法使用的情況,促使該公司啟動調查,並於周末公告說明。事件大約發生在協調時間6日下午5時,當時用戶若是嘗試登入帳號,會出現登入逾時的訊息。而對於這起事故發生的原因,LastPass直到6月7日凌晨零時才公布,起因是Chrome瀏覽器外掛更新出錯,不慎造成後端基礎架構的載入問題,該公司開始著手修復。距首次公告超過8小時後,LastPass宣布服務效能已回到正常。

此起事故引發用戶不滿。有用戶反映無法離線登入,也有人不滿LastPass基礎架構沒有備用機制,導致他所有網站都被鎖住。而這是2022年8月LastPass遭駭後,再度發生服務異常的事故。

勒索軟體攻擊盯上GitHub用戶儲存庫!駭客冒充GitHub資安團隊發起Gitloker行動

根據資安新聞網站Bleeping Computer的報導,自稱是Gitlokers的人士假冒GitHub資安及人力資源團隊,透過惡意OAuth應用程式挾持程式碼儲存庫並進行破壞。

自今年2月,部分開發人員收到由notifications@github.com的電子郵件,這些信件的內容多半提及工作職缺,或者是資安警示。而在此之前,開發者會面臨儲存庫的垃圾評論被標注,或是收到遭竊GitHub帳號的拉取請求等狀況。有受害用戶證實,他們的GitHub帳號疑似遭到投訴而被停用,並失去所有儲存庫的存取權限。

值得留意的是,一旦開發人員上當,他們的儲存庫會遭到抹除,對方將其重新命名並留下勒索訊息README.me,要受害者依照指示透過Telegram來談判、復原檔案。

Apache RocketMQ已知弱點遭濫用,殭屍網路Muhstik藉此綁架未修補漏洞的分散式訊息串流系統,擴大DDoS攻擊規模

資安業者Aqua Security揭露最新一波的殭屍網路Muhstik攻擊行動,駭客這次鎖定的目標,是包含Apache RocketMQ在內的分散式訊息串流資料平臺,並利用已知漏洞將殭屍網路病毒植入目標伺服器,目的是將其用來發動DDoS攻擊。

研究人員透過蜜罐陷阱(Hoenypot)偵測到數十起鎖定RocketMQ的攻擊行為,對方利用重大層級的遠端程式碼執行漏洞CVE-2023-33246(CVSS風險評為9.8分),一旦成功利用,就能得到初期的存取權限,然後執行遠端IP位址代管的Shell指令碼,下載殭屍網路病毒檔案。

竊資軟體Lumma Stealer、BitRAT透過冒牌瀏覽器更新網站散布

資安業者eSentire針對竊資軟體Lumma Stealer、BitRAT的攻擊行動提出警告,對方在今年5月,透過冒牌Chrome更新網站散布上述惡意程式,該網站被注入了惡意JavaScript程式碼。

一旦電腦載入上述網頁,就會觸發JavaScript指令碼,將使用者重新導向到另一個網頁。接著,駭客藉由chatgpt-app[.]cloud網站,在受害電腦自動下載名為Update.zip的壓縮檔,最終部署竊資軟體Lumma Stealer、BitRAT,並讓攻擊者能持續在受害電腦活動。

為平息外界的隱私疑慮,微軟宣布預設關閉AI筆電的Recall功能

5月20日微軟偕高通與宏碁、華碩等OEM廠商,公布內建AI功能的Copilot+ PC,其中名為回顧(Recall)的功能最具代表性,但也由於該功能仰賴電腦持續蒐集各式資料,引發資安專家隱私疑慮。對此,上週微軟宣布,此功能將預設改為自願加入(opt-in)。

該公司表示,這項功能預設關閉,用戶若要開啟,必須要註冊Windows Hello身分驗證機制才能完成啟用,未來用戶要檢視Recall時間軸或是搜尋,也要進行Windows Hello生物驗證。此外,他們將為Recall新增進階防護機制,加密索引資料庫。

其他攻擊與威脅

資安業者Cylance傳出資料外洩,起因是第三方平臺遭駭

Arm針對顯示晶片Mali GPU核心驅動程式漏洞提出警告,指出已被用於攻擊行動

冒牌PyPI套件Crytic-Compilers鎖定開發人員,意圖散布竊資軟體Lumma Stealer

有人假借提供網路工具Advanced IP Scanner,目的是散布Cobalt Strike充當後門

研究人員上傳Visual Studio Code佈景主題擴充套件調查市集安全,結果有超過100家企業組織上當

 

【資安關鍵人物】

用臺灣人才、資金和產品,找出可複製的新創成功模式

過去十年,臺灣資安業界發生的事情很多,TeamT5杜浦數位安全創辦人兼執行長蔡松廷表示,最重要的關鍵有兩件事情。

首先,就是蔡英文總統於2016年就任以來,率先制定「資安即國安」的政府資安核心戰略方針。這個「資安即國安」戰略帶出來的結果,是政府資源的投入,以及各界的重視;另外,這個戰略同時影響臺灣產業對資安的態度,包括民間企業、CI(關鍵基礎設施)對資安的重視大於以往,產業的需求也對資安產業帶來直接影響。

其次,就是各種法規對資安的要求,都會是滋養臺灣資安產業環境的土壤,也是推動臺灣產業資安的基礎,從資通安全管理法到相關細則的實施,以及金管會對於上市櫃公司各種資安要求都包含在內。「內在資安戰略政策,驅動外在產業資安的需求。」他說。

 

近期資安日報

【6月7日】勒索軟體駭客RansomHub聲稱入侵老牌筆電製造廠藍天電腦,引起國際資安媒體高度關注

【6月6日】病理學暨診斷服務供應商Synnovis遭到勒索軟體攻擊導致倫敦醫院服務中斷,傳出是駭客組織Qilin所為

【6月5日】針對烏克蘭政府恢復公營事業收費,俄羅斯駭客組織FlyingYeti策畫利用WinRAR漏洞的網釣攻擊

熱門新聞

Advertisement