| iThome

惡意PyPI套件仿冒SymPy，鎖定Linux主機投放挖礦程式

PyPI惡意套件sympy-dev仿冒SymPy，攻擊者將惡意程式碼埋入多項式相關路徑，待使用者呼叫特定函式才拉取設定檔，並以記憶體方式啟動Linux ELF載入程式，最終執行XMRig進行加密貨幣挖礦

新聞 | Samlify | node.js | 漏洞 | SSO | Signature Wrapping

Node.js函式庫Samlify存在近滿分重大漏洞，攻擊者可輕易冒充管理員身分

Node.js函式庫Samlify曝高風險漏洞CVE-2025-47949，攻擊者可利用簽章包裝（Signature Wrapping）攻擊繞過身分驗證並冒充管理員

2025-05-26

OpenAI Deep Research也可以搜尋Box、Dropbox檔案

付費版ChatGPT的深入研究（Deep Research）功能，除了網頁搜尋之外，也進一步支援從Dropbox與Box存取檔案作為參考資料來源

2025-05-26

新聞 | 微軟 | Windows 11 | Resume | Cross-Device Resume

微軟正在開發類似MacOS/iOS Handoff的新功能

微軟在Build 2025大會發表類似蘋果作業系統Handoff的新技術Cross-Device Resume，將允許Windows 11用戶在筆電及手機等不同平臺間，無縫轉移Spotify App等應用

2025-05-26

新聞 | CVE-2025-20152 | CVE-2025-20113 | CVE-2025-20114 | 思科 | 安全更新 | 漏洞

思科修補ISE、CUIC的阻斷服務及權限提升漏洞

思科在5月21日發布安全更新，修補影響Cisco Identity Services Engine，以及Cisco Unified Intelligence Center的資安漏洞

2025-05-26

新聞 | Telegram | 越南 | 犯罪

越南準備封鎖Telegram

越南政府要求當地ISP封鎖Telegram，原因是Telegram未能依法阻止用戶進行非法內容及反政府活動

2025-05-25

新聞 | CVE-2025-37899 | Linux | 零時差漏洞 | OpenAI | o3

資安研究員利用OpenAI o3模型發現Linux核心零時差漏洞

資安研究人員Sean Heelan利用OpenAI的o3模型，於Linux核心中發現了CVE-2025-37899零時差安全漏洞

2025-05-25

【資安週報】0519~0523，韓國電信SKT揭露已遭滲透將近3年，發現25種類型惡意軟體、23臺伺服器受害

在2025年5月第四星期的資安新聞焦點，韓國電信SK Telecom與臺灣CoWoS設備製造商萬潤科技的資安事故後續消息是主要焦點；在最新威脅態勢方面，有駭客組織劫持企業網域從企業雲端資源被遺忘的DNS記錄下手，還有駭客偽冒生成式AI服務，生成檔案為惡意執行檔，但運用雙重副檔名等伎倆偽裝為圖檔與影片檔

2025-05-25