【資安日報】2023年1月3日，Linux惡意軟體鎖定30個WordPress外掛程式漏洞而來、PyTorch機器學習框架感染惡意程式碼

惡意軟體鎖定存在漏洞的WordPress外掛程式而來的情況，不時傳出攻擊事故，而最近的惡意軟體攻擊行動一口氣針對30個已知漏洞而來，值得留意的是，這當中大部分外掛程式的漏洞可能沒有CVE編號，有編號的可能是6至7年前的漏洞，這樣的情況使得研究人員呼籲網站管理員應部署最新版的外掛程式。

在2022即將結束的前夕，有人利用PyPI套件庫發動攻擊，不過，這次並非利用拼寫錯誤來散布惡意套件，而是針對Python套件安裝工具pip找尋套件的機制而來──該安裝工具會優先從PyPI套件庫下載相依套件，而使得部署Nightly版機器學習框架PyTorch的電腦，會一併安裝駭客上傳的惡意套件。

勒索軟體攻擊的情勢也相當值得留意，其中又以駭客組織BlackCat要脅受害組織的新手法引起研究人員關注。這些駭客不只在暗網公布受害組織資料，也在網際網路架設受害組織的冒牌網站，來公布竊得的資料。

【攻擊與威脅】

WordPress網站遭到Linux惡意軟體鎖定，利用30種外掛程式漏洞注入惡意指令碼

防毒業者Dr.Web揭露鎖定WordPress網站的惡意程式，此為32位元的Linux軟體，針對約30種WordPress外掛程式的已知漏洞而來，一旦偵測到網站使用了尚未修補特定漏洞的外掛程式，此惡意軟體就會從C2中繼站下載惡意JavaScript指令碼，並在網站上注入，使得瀏覽網站的用戶就有可能會被重新導向到其他網站──在網頁被瀏覽器載入的過程中，惡意指令碼會先執行，一旦用戶點選網頁的任何區域，就會被導向至惡意網站。

PyTorch機器學習框架感染惡意程式碼，原因是相依元件遭到駭客竄改、置換

機器學習框架PyTorch開發團隊提出警告，使用者若是在去年12月25日至30日利用pip管理員部署Linux版的PyTorch-nightly套件，電腦就有可能被植入惡意軟體，他們呼籲使用者不只要移除PyTorch-nightly，也要一併移除相依套件torchtriton，然後再重新安裝12月31日之後的Nightly版PyTorch。開發團隊表示，此為「相依元件混淆（Dependency Confusion）」的軟體供應鏈攻擊，駭客於PyPI上架惡意相依性套件torchtriton，使得pip優先從PyPI套件庫下載惡意套件。

開發團隊指出，這個惡意二進位檔需在使用者匯入triton套件，且需要下達特定指令才會執行，這並非PyTorch的預設行為。截至1月1日為止，冒牌相依套件已被下載超過2,300次。PyTorch穩定版的用戶不受影響，開發團隊也提供相關指令供用戶檢查是否遭到供應鏈攻擊。

勒索軟體駭客架設偽造網站來公布受害組織資料

根據資安新聞網站Bleeping Computer的報導，勒索軟體駭客組織BlackCat（亦稱Alphv）最近使用了新的威脅手法，企圖使受害者就範。這些駭客在攻擊金融機構後，不只在暗網公布受害機構的資料，也在公開網路架設網站以暴露相關資料，這個網站的樣貌與網域名稱，皆與受害組織的網站雷同，但駭客在網站上公布員工備忘錄、支付表格、員工資料、公司資產和支付、合作夥伴財務資訊，以及護照掃描畫面等資料。資安業者Emsisoft的研究人員認為，駭客應該是因為沒有收到贖金才這麼做。

加拿大銅礦業者遭勒索軟體攻擊被迫關閉

加拿大銅礦業者Copper Mountain Mining Corporation（CMMC）證實於12月27日遭到勒索軟體攻擊，為降低損害，該公司將運作系統獨立，改以人工作業因應，為了避免發生意外，而暫時關閉礦場，且強調本次資安事故並未衍生工安意外。

而對於該公司遭到入侵的管道，資安新聞網站Bleeping Computer發現，有人疑似於12月13日在駭客市集兜售CMMC員工的外洩帳密，極可能與本次勒索軟體攻擊事故有關。

加拿大兒童醫院SickKids收到勒索軟體LockBit的解密金鑰，恢復部分受害系統

加拿大兒童醫院SickKids於12月18日傳出遭到勒索軟體LockBit攻擊，導致檢驗室與醫療影像攝影系統無法存取，院方被迫改為手動作業，而這起事故最近出現了新的進展。資安研究員Dominic Alvieri發現，該組織於12月31日指出，有聯盟成員違反LockBit不攻擊醫院的政策，他們對此向院方致歉，並提供解密金鑰。

SickKids於2023年1月1日證實收到解密金鑰，已復原約6成重要系統，該院表示他們沒有支付贖金，並指出目前尚未發現證據有個資或是醫療資訊外洩。資安新聞網站Bleeping Computer取得駭客的解密工具，指出駭客這次應是加密了醫院的VMware ESXi環境。

【資安產業動態】

Chrome瀏覽器將擴大封鎖HTTP網站存取

最近傳出Google有意擴大Chrome封鎖HTTP連線網站的功能。根據科技網站9to5Google的報導，Google在Chromium專案引入新的程式碼變更，將Chrome 93推出的HTTPS-only模式適用範圍增大，屆時使用者瀏覽的網站如果只能透過HTTP存取，Chrome將不會載入相關內容；此外，若是存取HTTPS網站的過程由HTTP網站重新導向，也可能會被封鎖。