| XZ Utils | OpenJS | JavaScript | 供應鏈攻擊
疑似XZ Utils的軟體供應鏈攻擊手法再度出現,這次是鎖定OpenJS的JavaScript專案而來
XZ Utils後門的供應鏈攻擊事故持續延燒!繼有人在Rust套件庫crates.io發動相關攻擊,現在也有人疑似企圖「接管」OpenJS套件庫的熱門JavaScript專案
2024-04-17
| 思科 | Duo Security | 供應鏈攻擊
電信商成為透過簡訊傳送動態密碼的破口!駭客對思科身分驗證服務Duo合作電信業者發動網路攻擊,竊取部分雙因素驗證資訊
思科旗下的身分驗證服務Duo傳出遭遇供應鏈攻擊事故,該公司合作的一家電信服務供應商遭到入侵,部分用戶3月期間的雙因素驗證資訊疑似遭攻擊者偷走
2024-04-16
| 資安日報 | CVE-2024-3094 | 供應鏈攻擊 | 個資外洩 | 通知轟炸攻擊 | 勒索攻擊 | PROXYLIB
【資安日報】4月1日,發現潛伏三年的供應鏈攻擊事件,程式庫XZ Utils近期被植入後門
週末爆發XZ Utils資料壓縮程式庫遭植入後門的供應鏈攻擊事件,該後門將可讓攻擊者繞過SSHD的身分認證機制,目前許多研究人員正追查其攻擊手法及提交程式碼的GitHub帳號,並指出其滲透方式複雜且相當難以察覺
2024-04-01
| Hugging Face | API漏洞 | LLM | 大型語言模型 | 供應鏈攻擊
Hugging Face API漏洞洩露驗證令牌,可讓攻擊者存取微軟、Meta、Google的AI模型
資安廠商Lasso Security發現AI模型資源平臺Hugging Face的API漏洞,讓該公司研究人員得以控制Meta Llama 2等熱門模型的程式碼儲存庫,也可能讓攻擊者透過污染訓練資料集等手法發動供應鏈攻擊
2023-12-05
| 北韓 | MagicLine4NX | 零時差漏洞 | 供應鏈攻擊
北韓駭客再找供應鏈開刀,安全身分驗證軟體MagicLine4NX遭駭
英國與南韓警告北韓駭客利用南韓身分驗證軟體MagicLine4NX的零時差漏洞,作為攻擊特定目標的跳板
2023-11-27
臺灣多媒體軟體業者訊連科技遭北韓駭客Lazarus發動供應鏈攻擊
研究人員揭露鎖定臺灣資訊業者訊連科技的供應鏈攻擊,駭客針對該公司的軟體基礎設施下手,上傳竄改的惡意安裝程式,這樣的情況也得到訊連證實,他們也說明處理情形
2023-11-23
最近賭場業者因勒索軟體引發的資料外洩事件升溫,美國聯邦調查局提醒業者應強化員工對於網釣攻擊的資安概念,並落實強密碼及多因素身分驗證等存取管理機制
2023-11-10