【資安週報】0112~0116,CrazyHunter備用攻擊工具曝光,可植入停用防毒軟體運作的惡意執行檔

回顧2026年1月第二星期資安新聞,在攻擊事件焦點方面,涵蓋駭客鎖定微軟Windows發動零時差漏洞攻擊,臺灣兩家上市櫃公司發布資安重訊,以及CrazyHunter備用攻擊手法的新揭露:至於防禦發展動向上,還有衛福部公布主權雲政策與八大指導方針,臺灣企業加入FIRST資安應變組織再添6家,同樣引發產業關注

新聞 | EmEditor | Emurasoft | 供應鏈攻擊 | 惡意MSI | Windows

文字編輯器EmEditor官網安裝檔遭動手腳,第三方指以瀏覽器擴充套件建立持久化

文字編輯器EmEditor官網下載連結疑遭改寫,12/20至12/23期間部分使用者可能下載到遭置換的Windows安裝套件,官方呼籲用戶比對數位簽章與雜湊值,不符者勿執行並立即移除

2025-12-29

新聞 | 資安日報

【資安日報】12月29日,MongoBleed傳出被用於實際攻擊,遊戲伺服器遭到入侵

一個多禮拜前MongoDB開發工程團隊揭露的高風險漏洞CVE-2025-14847(MongoBleed),最近幾天陸續有資安公司與研究人員公布相關細節,並指出已有攻擊行動出現,其中,首個傳出遭駭的是遊戲公司,疑似因此造成遊戲伺服器異常

2025-12-29

新聞 | CVE-2025-14847 | MongoBleed | Ubisoft | 資料外洩 | 虹彩六號 | Rainbow Six Siege

電玩遊戲虹彩六號傳出被滲透,駭客大撒幣與隨機封帳,疑利用資安漏洞MongoBleed得逞

在聖誕節假期期間,Ubisoft公司旗下的電玩大作《虹彩六號:圍攻行動(Tom Clancy's Rainbow Six Siege)》驚傳遭到滲透,駭客對玩家送出大量遊戲代幣,並封鎖官方帳號在內的許多用戶,資安研究機構VX-Underground指出,這起事故攻擊者疑似使用了MongoDB高風險漏洞CVE-2025-14847(MongoBleed)而得逞

2025-12-29

新聞 | Adobe ColdFusion | Interactsh | JNDI | LDAP | 漏洞掃描

ColdFusion聖誕假期攻擊潮,兩個來源IP系統性掃描10多個已知漏洞

聖誕連假期間,Adobe ColdFusion遭掃描5,940次,主要來自兩IP,1至5秒輪詢並以Interactsh回呼驗證,輪番測試多個CVE

2025-12-29

新聞 | 生成式AI | 中國

中國準備規範擬人化AI服務

針對聊天機器人等生成式AI服務訂立專法,中國國家互聯網信息辦公室發表《人工智慧擬人化互動服務管理暫行辦法》

2025-12-29

新聞 | 康泰納仕 | 資料外洩

駭客聲稱竊得Wired資料庫,洩露230萬筆記錄

Bleeping Computer報導,駭客聲稱入侵媒體集團康泰納仕(Condé Nast),並且公開旗下雜誌Wired包含230萬筆訂戶記錄的資料庫

2025-12-29

新聞 | MongoDB | CVE-2025-14847 | MongoBleed | PoC | zlib

8.7萬臺MongoDB主機曝露MongoBleed,傳出已有實際漏洞利用活動

針對一週前MongoDB開發工程團隊發布重大更新,修補的資訊洩露漏洞CVE-2025-14847(MongoBleed),上週末有多家資安公司與研究人員公布相關細節、概念驗證(PoC)程式碼,並指出漏洞影響廣泛,且相當容易利用,實際攻擊活動已出現

2025-12-29

新聞 | 臺灣上市櫃資安公司 | 臺灣廠商自製AI模型

聚焦IT與OT資安檢測、人才培育、AI應用,臺灣第一大資安服務業者揭露未來業務三大成長動能

安碁資訊12月初說明年度業務發展重點,總經理吳乙南回顧2025年最新業務與技術進展,首度透露公司內部發展生成式AI應用取得重大突破

2025-12-29

新聞 | OpenAI

OpenAI招募與模型安全相關的準備度主管

OpenAI執行長Sam Altman宣布該公司正在招募一名準備度主管(Head of Preparedness),負責評估模型風險

2025-12-29

新聞 | Ruby 4.0.0 | Ruby Box | ZJIT | Ractor

Ruby 4.0引入Ruby Box隔離機制與ZJIT即時編譯器

Ruby團隊在聖誕節釋出Ruby 4.0.0,新增實驗性Ruby Box隔離猴子修補程式(Monkey Patch)與載入內容,降低同程序互相汙染風險,同時推出新一代即時編譯器ZJIT,並強化Ractor平行運算機制

2025-12-29

新聞 | 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體攻擊 | 供應鏈攻擊

【資安週報】1222~1226,羅馬尼亞水務局近千臺電腦遭勒索軟體攻擊,攻擊者濫用BitLocker將檔案惡意加密

2026年即將到來,在2025年12月第四個星期資安新聞中,有3家上市公司發布資安事故重訊引發關注;國際方面,則傳出羅馬尼亞水務局近千臺電腦遭勒索軟體攻擊,值得注意的是,攻擊者在這起事件濫用BitLocker加密保護機制進行惡意加密

2025-12-29

新聞 | 克萊斯勒 | 資料外洩

勒索軟體Everest駭客宣稱竊得克萊斯勒包含Salesforce等1TB資料

Everest於其暗網網站宣告入侵克萊斯勒(Chrysler)內部系統,竊走超過1TB資料

2025-12-29