駭客針對使用NPM套件的開發人員發動攻擊的情況,每個禮拜幾乎都有數起攻擊行動傳出,但最近有一起攻擊行動相當特別,引起兩家資安業者不約而同調查此事。
資安業者Aikido、Veracode揭露從3月出現的惡意套件os-info-checker-es6,而駭客真正的意圖,直到5月上旬的改版,才加入相關的惡意程式碼,使得開發人員的電腦,透過特定的Google行事曆活動邀請連結,下載惡意酬載。
【攻擊與威脅】
惡意NPM套件濫用Unicode字元、Google行事曆,隱匿攻擊意圖
惡意NPM套件的攻擊行動層出不窮,但為了隱匿作案的行蹤,駭客會試圖結合多種手法,像是透過Unicode埋藏惡意內容,或是濫用合法的雲端服務來達到目的。
例如,最近資安業者Aikido、Veracode揭露的NPM套件os-info-checker-es6,就是典型的例子,攻擊者利用Unicode字元來藏匿惡意程式碼,並且使用Google行事曆活動(event)邀請的短網址,來存取最終的有效酬載,使得這起多階段攻擊行動的蹤跡難以察覺。
直到5月7日駭客上傳了os-info-checker-es6新版1.0.8,答案終於揭曉,這個NPM套件的preinstall.js更換了eval()內容,經解碼後出現的竟是Google行事曆發送的活動邀請連結,這個活動的名稱也很詭異,是一串字串,活動定於2027年6月27日舉行。而這活動的名稱,其實是經Base64編碼處理的C2網址。
殭屍網路HTTPBot鎖定Windows裝置而來,對遊戲產業從事DDoS攻擊
近年來許多殭屍網路針對路由器、網路攝影機、交換器、NAS等網路設備下手,利用這類設備的使用者往往疏於定時修補、安裝更新軟體的現象,使用已知漏洞入侵、控制設備,甚至有部分是針對已終止支援(EOL)、廠商不再維護的裝置而來,但也有攻擊者轉移目標,選擇綁架Windows電腦。
中國資安業者綠盟科技(Nsfocus)提出警告,他們從去年8月開始監控的DDoS殭屍網路HTTPBot,在今年4月出現顯著增加的現象。研究人員提及,駭客的主要攻擊目標是中國遊戲產業,但也有科技公司及教育機構受到波及。從4月初至今,這些駭客已發動超過200起攻擊,超過80家企業組織遭到鎖定,他們通常對同一目標發動多回合的攻擊,而且目標都很明確。
Nsfocus認為,HTTPBot帶來DDoS攻擊模式大幅轉變,防禦者難以透過一般的規則攔截,必須藉由行為分析與資源彈性的動態機制來因應。
5月6日南非航空坦承於3日遭遇「重大網路事件」,造成該航空公司網站、手機App,以及多個內部營運系統暫時無法使用,也促使該公司啟動緊急應變措施。
南非航空對媒體表示,該公司設法維持必要的客戶服務通路,包括客服中心及業務系統的持續運作,而且所有受影響系統在當天稍晚就恢復正常作業。
當時還不知道該網路事件出於何種原因,勒索軟體駭客組織INC上周出面暗示是其所為,他們在暗網上張貼據稱來自南非航空(South African Airways,SAA)的「Part1」資料壓縮檔,暗示可能還會進一步公布其他資料。
其他攻擊與威脅
◆博通傳出員工資料遭勒索軟體駭客外流,起因是付款系統供應商遭到攻擊
◆針對台積電供應鏈業者萬潤4月下旬遭駭,駭客組織Bert聲稱是他們所為,並竊得5 TB內部資料
◆中國印表機業者Procolored驅動程式驚傳挾帶惡意軟體XRedRAT、SnipVex
【漏洞與修補】
Jenkins揭露眾多外掛程式漏洞,包括可繞過身分驗證的CVE-2025-47889
CI持續整合工具Jenkins在上周發布安全公告,揭露5個外掛程式的安全漏洞,其中,最嚴重的是WSO2 OAuth的身分驗證繞過漏洞CVE-2025-47889,CVSS風險評分高達9.8,另一個同屬重大層級漏洞的是涉及OpenID Connect 的CVE-2025-47884,其CVSS風險評分為9.1。值得留意的是,CVE-2025-47889目前尚無修補程式,用戶應暫時停用並尋求其他替代方案因應。
WSO2 OAuth為身分驗證外掛程式,主要功能是讓使用者透過OAuth 2.0協定登錄Jenkins。然而,CVE-2025-47889允許駭客使用任意帳號與密碼登入Jenkins,即使使用不存在的用戶名稱也能存取。若管理員將授權政策設定為「登入用戶擁有全部權限」,那麼駭客即可直接取得管理員控制權,接管Jenkins。
其他漏洞與修補
◆漏洞挖掘競賽Pwn2Own Berlin 2025參賽者找出多項VMware產品漏洞,最高抱走15萬美元獎勵
◆日本警告I-O Data網路儲存設備存在重大漏洞,恐被用於發動RCE攻擊
【資安產業動態】
資安業者Proofpoint宣布買下競爭對手Hornetsecurity
美國資安業者Proofpoint周四(5月15日)宣布,已與德國資安業者Hornetsecurity簽署正式協議,預計於今年下半年完成併購。雙方並未公布交易細節,但美國媒體報導指出,此交易價值10億美元。
Proofpoint為提供大型企業等級網路安全服務的業者,尤以電子郵件安全及威脅防護聞名,它曾在2012年登上美國那斯達克(Nasdaq)股市,在2021年被私募股權基金Thoma Bravo以123億美元買下並私有化。至於創立於德國的Hornetsecurity主要提供雲端資安服務,特別是針對Microsoft 365及Google Workspace,包括維護用戶的電子郵件安全,提供雲端備份及回復服務,以及合規與資料保護服務等,透過1.2萬個託管服務供應商(Managed Service Provider,MSP)及通路合作夥伴,於全球逾120個國家展開業務,被視為Proofpoint的競爭對手。
Proofpoint表示,此併購案強化該公司藉由MSP向全球中小企業(SMBs)提供以人為本的安全能力,進一步讓所有的組織能夠保護員工並捍衛其資料,雙方可望實現其共同使命,保護各種規模的組織與內部人員。
近期資安日報
【5月16日】中國駭客、勒索軟體駭客將SAP NetWeaver滿分漏洞用於實際攻擊
熱門新聞
2025-06-18
2025-06-17
2025-06-16
2025-06-18
2025-06-16
2025-06-18