| SolarWinds | 美國證券交易委員會 | 證券交易法 | 軟體供應鏈攻擊 | sunburst | Supernova

SolarWinds在2020年被駭是因長期忽略內部安全風險,遭美國SEC提告

美國證券交易委員會(SEC)調查發現,SolarWinds高層在該公司遭到軟體供應鏈攻擊前2年,便得知內部有許多資安問題卻無積極作為,因此控告SolarWinds與該公司資安長詐欺與內控失靈

2023-10-31

| 3CX | Electron | 惡意程式 | 軟體更新 | 軟體供應鏈攻擊 | 供應鏈攻擊 | 軟體供應鏈

3CX的客戶端VoIP程式遭駭客滲透

又出現軟體供應鏈攻擊!VoIP IPBX軟體開發商3CX所打造的桌面程式Electron,被駭客植入藏有木馬的ffmpeg.dll,並藉由官網上的更新感染了Windows及macOS用戶

2023-03-31

| 軟體供應鏈攻擊 | PyTorch | PyPI | 惡意套件

PyPI軟體儲存庫新年假期間被上傳PyTorch冒牌相依性套件

PyTorch團隊在12月30日發現惡意的相依性套件torchtriton被上傳到PyPI,如果開發人員在12月25日到12月30日之間透過pip管理員安裝Linux 版PyTorch-nightly測試套件,應立即移除

2023-01-03

| 資安日報 | 資料外洩 | 漏洞揭露 | 軟體供應鏈攻擊 | 圖片隱碼術 | MITRE評估計畫 | 網釣攻擊 | 工控安全

【資安日報】2022年11月11日,石油與天然氣流量檢測器弱點修補受關注,APT29入侵歐洲外交機關利用Windows憑證漫遊功能

石油與天然氣關鍵基礎設施中的流量檢測器(Flow Computer)弱點修補受關注;研究人員發現俄羅斯駭客APT29在攻擊歐洲外交機構網路時,使用Windows憑證漫遊對企業AD執行不正常的LDAP查詢

2022-11-11

| GitHub | Sigstore | npm | 軟體供應鏈攻擊

GitHub提案以Sigstore強化NPM套件安全性,引來開發社群反彈

GitHub希望引入開源軟體認證專案Sigstore解決軟體供應鏈攻擊的問題,但是卻因可能造成套件供應商化以及隱私等問題,遭到社群反對

2022-08-10

| Go | 套件 | 模組 | 相依關係 | 軟體供應鏈攻擊

程式語言Go以5招式防禦軟體供應鏈攻擊

針對當前頻繁發生的軟體供應鏈攻擊,Go官方詳細說明該語言在開發工具和流程上的設計,足以緩解軟體供應鏈攻擊

2022-04-04

| Puppet | VirusTotal | 軟體供應鏈攻擊 | 資安

Puppet Forge開始對模組進行安全掃描

Puppet Forge使用VirusTotal安全掃描解決方案,能夠掃描模組中存在的惡意程式碼和內容,確保用戶下載模組的安全性

2021-10-06

| 美國 | 聯邦政府網路安全 | Anne Neuberger | 國家安全 | SolarWinds Orion | 軟體供應鏈攻擊 | 俄羅斯駭客 | 國家級駭客 | 資安

美國網路暨新興科技副國安顧問:SolarWinds攻擊中約100家企業被駭,但可能有更多被害者

SolarWinds軟體遭駭引發的安全風暴,也反映出美國政府的資安政策弱點,對此美國網路暨新興科技副國家安全顧問Anne Neuberger表示,政府將強化與民間公司的資訊分享,並翻修過時的聯邦網路防禦機制

2021-02-18

| 華碩 | 軟體更新 | 軟體供應鏈 | 資安 | 軟體供應鏈攻擊 | 供應鏈攻擊

華碩軟體更新伺服器竟成惡意後門派送幫兇

臺灣筆電大廠華碩的Live Update伺服器遭駭,引發各界對更新伺服器與程式碼簽章防護的關注,同時也顯示軟體供應鏈攻擊的資安威脅,持續在我們生活周遭發生 

2019-05-08

| 供應鏈 | 軟體供應鏈攻擊

信任的實踐需要用對方法

在B2B供應鏈的合作關係中,各家公司間如何確保彼此的資訊安全,以免影響到其他合作業者?今年舉行的Cisco Connect TPE大會,思科介紹了供應鏈安全推動方式,提供給臺灣企業參考

2019-02-25

| 微軟 | 軟體供應鏈攻擊 | 挖礦軟體 | 供應鏈攻擊

軟體供應鏈攻擊再起,微軟:小心安裝PDF編輯器卻讓挖礦軟體上身

微軟指出,駭客利用軟體供應鏈中的缺陷,藉由假冒的PDF編輯器軟體合作夥伴的伺服器,在使用者的電腦上植入挖礦軟體。

2018-07-27