| GitHub | PAT | PyPI | PyPA | Python | Python軟體基金會 | 供應鏈攻擊

PyPI套件共享平臺管理者不慎曝露的GitHub令牌恐波及Python、PyPI、Python軟體基金會的運作

研究人員揭露不慎曝光的GitHub令牌事故,值得留意的是,這個令牌具備大量Python、PyPI、Python軟體基金會的儲存庫管理員權限,一旦有人取得,後果將不堪設想

2024-07-17

| Polyfill | 供應鏈攻擊

研究人員調查與確認polyfill供應鏈攻擊範圍,至少有超過163萬臺網站伺服器曝險

針對polyfill[.]io供應鏈攻擊事故,有資安業者進一步調查指出,若是包含採用polyfill[.]io、polyfill[.]com、bootcdn[.]net、bootcss[.]com、staticfile[.]net、staticfile[.]org惡意服務的網站,受害規模達到163.7萬臺主機

2024-07-08

| Midnight Blizzard | 俄羅斯駭客 | 微軟 | 供應鏈攻擊

微軟Midnight Blizzard入侵事件也影響美國政府

維吉尼亞州、國際媒體署(US Agency for Global Media)以及和平部隊(Peace Corps)等美國政府相關組織,接獲微軟通知要求因應俄羅斯駭客入侵事故,進行密碼更新或弱點修補

2024-07-05

| 供應鏈攻擊 | Conceptworld | 竊資軟體

印度軟體開發業者遭遇供應鏈攻擊,旗下產品安裝檔被植入竊資軟體

上週研究人員發現針對印度軟體開發業者Conceptworld的攻擊行動,駭客竄改應用程式安裝檔案,導致使用者下載並執行安裝,電腦就有可能被植入竊資軟體,使得瀏覽器及加密貨幣錢包資料外流

2024-07-03

| Polyfill | 供應鏈攻擊

Polyfill供應鏈攻擊事故受害規模擴大,對方同時運用至少8個網域,至少有30萬個網站受害

繼研究人員揭露駭客透過polyfill[.]io發動攻擊,該網域被封鎖,但對方又迅速架設polyfill[.]com另起爐灶。資安研究團隊MalwareHunterTeam進一步調查,近期Google向廣告業者提出警告的4個網域,其實都是這些駭客經營,估計至少有30萬至35萬個網站受害

2024-07-02

| Midnight Blizzard | 俄羅斯駭客 | 微軟 | 供應鏈攻擊

微軟擴大警告俄羅斯駭客事件的可能受害用戶

去年底俄羅斯駭客入侵微軟郵件系統事件延燒至今,除了資安業者發現今年上半微軟Teams釣魚訊息攻擊行動升溫,近期有組織收到微軟通知雙方email內容已遭駭客存取,需要採取進一步處理措施

2024-07-02

| Polyfill | 供應鏈攻擊 | CloudFlare | jsDelivr

發動供應鏈攻擊的Polyfill.io經營者傳出另起爐灶,再度向超過10萬網站傳送惡意程式碼

本週最駭人聽聞的資安新聞,莫過於polyfill.io供應鏈攻擊,影響超過10萬個網站而被撻伐,昨天再度傳出他們使用新的網域polyfill[.]com提供類似服務,而有可能再度發動類似攻擊

2024-06-28

| polyfill.io | Polyfill | 供應鏈攻擊

易主後的polyfill.io被用來執行供應鏈攻擊

知名的Polyfill函式庫polyfill.io在今年2月易主之後,被用來進行供應鏈攻擊,針對嵌入該函式庫的網站植入惡意程式,資安業者呼籲網站管理人員關閉Polyfill,或是改用其它較為可靠的服務

2024-06-26

| WordPress | 外掛程式 | 應用程式市集 | 供應鏈攻擊

5個上架到WordPress.org市集的外掛程式遭到供應鏈攻擊,被植入惡意指令碼

資安業者Wordfence針對5款WordPress外掛程式用戶提出警告,指出這些外掛程式近日遭到供應鏈攻擊,它們被植入惡意程式碼並發布到官方市集,後續等用戶下載安裝之後,再藉此控制受害網站,並將其用於增加垃圾索引

2024-06-26

| 資安事件公告 | 資安事件重大訊息 | 上市櫃公司資安事件公告 | 台名 | 供應鏈攻擊 | 個資外洩

保險經紀人公司「台名」發布資安重訊,坦承遭供應鏈攻擊,外洩客戶個資,影響人數恐達5萬

上櫃金融業遭遇供應鏈攻擊,台名保險經紀人公司在今日(30日)於公開資訊觀測站發布重大訊息,說明遭遇供應鏈攻擊及資料被竊取的資安事件,並表示有個資外洩情形。特別的是,由於這次事件發生牽扯到Supply Chain Attack,是否還有更多企業可能因此遇害,也成為外界關注焦點

2024-05-30

| 微軟 | 資安 | 供應鏈攻擊 | 系統託管身分識別 | 事件 | 安全文化

從午夜暴雪和XZ Utils兩大資安事件中,微軟揭露學到這三件事

微軟在Build 2024大會上,揭露他們實行未來安全計畫(Security Future Initiative)半年來的經驗,特別是如何從午夜暴雪(Midnight Blizzard)、XZ Utils等資安事件中學習和觀察到的重要做法,如使用系統託管身分識別工具、刪除70多萬個未使用的應用程式和加深跨部門資安文化等。

2024-05-28

| 供應鏈攻擊 | JAVS | Authenticode | fffmpeg.exe

JAVS法庭錄影軟體遭遇供應鏈攻擊,攻擊者在安裝程式植入後門

專供法院、看守所、議會透過錄影記錄會議過程的Justice AV Solutions(JAVS),特定版本檢視器的安裝程式,傳出被加入惡意程式的情況,此事也得到JAVS證實並進行內部清查,並重新提供無害的安裝檔案

2024-05-27