TeamT5公布《2025年亞太地區APT威脅形勢報告》,直指臺灣處於APT威脅巨獸化和生態系化的核心
根據臺灣情資公司TeamT5(杜浦數位安全)日前揭露的《2025年亞太地區APT威脅形勢報告》(APT Threat Landscape in APAC 2025),2025年亞太地區的APT威脅已呈現出「巨獸化」與「生態系化」的趨勢,臺灣正處於這場風暴的最核心。
這份從2024年11月至2025年10月的深度調查報告,呈現的現實令人不寒而慄。TeamT5技術長李庭閣表示,過去一年中,該團隊就追蹤到高達510次攻擊行動,波及全球67個國家。其中,在全球受駭地圖上,臺灣的受害情況顯得異常突兀且嚴重。報告指出,臺灣受害次數高達173次,位居全球榜首,是排名第二名韓國(48次)的三倍多、更遠遠超越越南的36次及印度的30次,已經是全球受駭最深的重災區。這項數據揭露的現實就是:臺灣不僅是亞太地區的經濟樞紐,更成為各國APT集團眼中最具價值的實戰演習場,以及情報收割區。
從受攻擊的產業分布來看,攻擊者的戰略圖譜極為明確且具備毀滅性。排名第一的是關鍵基礎設施,包括交通、能源、教育、醫療與電信,共遭受了83次打擊,這顯示敵對勢力意圖在衝突爆發時,直接癱瘓民生運作的能力。政府機關以73次緊隨其後,包含半導體、電子業與資安產業在內的資訊技術產業,則承受了72次攻擊。
Fortinet防火牆軟體5年前漏洞還有上萬裝置未修補,臺灣曝險程度為全球第二
2025年12月24日Fortinet警告,2020年7月修補的FortiOS資安漏洞CVE-2020-12812,近日再現攻擊活動。該漏洞起於身分驗證機制不完整,攻擊者可更動使用者名稱的大小寫,繞過驗證程序,進而登入系統。美國國家漏洞資料庫(NVD)與網路安全暨基礎設施安全局(CISA)皆將這個弱點的嚴重性,認定為CVSS評分9.8的重大漏洞。Fortinet偵測到,近期在開啟LDAP的防火牆設備FortiGate上,有人再度利用該漏洞繞過雙因素驗證(2FA)存取裝置。
根據非營利網路安全調查機構The Shadowserver的統計,截至2026年1月3日,網路上曝露於CVE-2020-12812濫用風險的Fortinet裝置還有一萬多臺。以所在國來看,其中美國還有1201臺居冠,臺灣以727臺僅次於美國,為全球第二多。其次為日本(466)、泰國(401)與以色列(372)。
針對2024年網攻事件,美知名會計師事務所Sax坦承外洩23萬人資料
2025年12月美國知名會計師事務所Sax通報公司系統遭駭,導致將近23萬人個資外洩,值得留意的是,事故發生在約一年半前。
根據Sax向美國緬因州政府呈交的文件,該公司於2024年8月7日獲得通知,系統環境有可疑活動。業者立即採取行動確保網路安全,並偕同第三方安全廠商展開調查。調查顯示,部分個人個資外洩。
該公司在2025年12月初完成徹底調查,並且於上月通知當局及受影響人士。SAX說明,外洩資料包含姓名、出生日期、社會安全碼、駕照或州身分證,以及護照號碼。受影響人數達到228,876人。
歐洲高鐵業者Eurostar AI客服曝4弱點,護欄繞過衍生提示注入與跨網站指令碼風險
歐洲高速鐵路營運商Eurostar官網的AI客服,被英國資安公司Pen Test Partners揭露四項安全缺陷,包含護欄機制可被繞過、提示注入導致系統提示等資訊外洩、回覆內容可被誘導輸出非預期HTML而引發自我跨網站指令碼(Self XSS)風險,以及對話與訊息識別碼驗證不足。
研究人員在問題修補後才公開細節。外媒City AM引述Eurostar發言人表示,該聊天機器人未連結客戶帳戶或其他系統,並稱相關弱點已修補且會持續強化資安治理。
研究人員Ross Donald指出,他以一般旅客身分規畫行程時接觸到該聊天機器人,注意到其回覆帶有固定拒答文字,推測前端介面外還有一層程式化護欄在伺服器端先行判斷是否允許提問,因而進一步檢視其後端介面行為。
Chrome擴充套件Trust Wallet 2.68遭植入惡意程式碼,用戶約7百萬美元資產遭到洗劫
加密貨幣錢包服務Trust Wallet在12月26日在X發出警示,指出Chrome瀏覽器擴充套件2.68版涉及安全事件,要求使用者立即停用並升級至2.69版,同時強調僅使用行動版應用程式及其他擴充套件版本不受影響。社群隨後陸續出現回報,稱在使用該擴充套件操作後出現未授權轉出,資產在短時間內被清空。
區塊鏈資安公司SlowMist分析2.68版被植入的惡意邏輯,其做法是逐一走訪原本存在於擴充套件內的錢包資料,並在使用者解鎖錢包的關鍵時機點動手。當使用者輸入密碼或通行金鑰密碼完成解鎖後,惡意程式碼會觸發取得助記詞的流程,將擴充套件內加密保存的助記詞解密成明文,再把這些敏感資料偽裝成正常的分析或量測流量封裝後送出,目的地則是由攻擊者控制的外部網域。
Trust Wallet已辨識出2,596個受影響錢包地址,攻擊者從近3,000個加密貨幣錢包地址轉走約700萬美元資產,Trust Wallet執行長Eowyn Chen並於X表示,內部調查確認這起事件的影響範圍只限於瀏覽器擴充套件2.68版,且曾開啟擴充套件並登入的使用者,行動版應用程式與其他擴充套件版本不受影響。
供應鏈攻擊瞄準Java生態,套件儲存庫Maven Central出現仿冒Jackson的惡意套件
資安業者Aikido Security研究人員在Java生態常用的公開套件儲存庫Maven Central,發現一個仿冒Jackson的惡意套件,其唯一識別字串為org.fasterxml.jackson.core:jackson-databind,字串刻意貼近開發者熟悉的Jackson相依套件,藉此誘騙下載惡意元件。研究人員已將相關網域通報給GoDaddy並向Maven Central回報,該套件也約在1.5小時內下架。
正牌Jackson常見發布命名空間為com.fasterxml.jackson.core,攻擊者則改用僅一字之差的org.fasterxml.jackson.core,利用com與org前綴互換混淆視聽。研究團隊也觀察到攻擊基礎設施採用相同手法,以fasterxml.org對照正牌fasterxml.com,降低開發者在倉促檢視時察覺異常的機率。
冒牌Jackson為具多階段投放特徵的下載器,其程式碼經混淆處理,並包含用來干擾自動化分析的設計。當專案採用Java應用程式開發框架Spring Boot時,惡意套件會偽裝成框架常見的自動設定元件,利用啟動時的掃描與載入流程,在應用程式啟動後自動觸發執行,開發者不需要在程式碼中主動呼叫即可被帶入執行路徑。
VS Code市集兩擴充套件暗藏惡意程式,恐竊取Wi-Fi密碼與Cookie
資安廠商Koi Security揭露兩款上架於微軟VS Code市集的擴充套件,被證實會在開發者電腦安裝資訊竊取惡意程式,這兩款分別名為Bitcoin Black與Codo AI的擴充套件,分別偽裝成暗色主題與AI程式開發助理,在背景下載並啟動螢幕截圖與憑證竊取程式,能擷取桌面畫面、讀取儲存的Wi-Fi密碼與瀏覽器工作階段。
研究人員指出,Bitcoin Black在描述上只是比特幣風格主題,但程式結構遠超出一般主題需求,不僅宣告在所有VS Code動作都會觸發的萬用啟動事件,還可執行PowerShell指令。早期版本透過PowerShell下載受密碼保護的壓縮檔並解壓,後續版本改為呼叫批次檔與curl直接下載可執行檔與DLL,且在隱藏視窗中執行,以降低被注意的機會。
Codo AI則提供透過ChatGPT或DeepSeek進行程式開發協助的介面,看起來與一般AI擴充套件無異,但研究人員卻在合法AI對話實作前找到一段額外插入的程式碼區塊,負責下載並啟動相同惡意載荷。兩款擴充套件由同一發行者BigBlack上架,共用相同惡意程式與基礎設施,研判為同一攻擊者製作。
惡意VS Code擴充套件上架微軟市集,偽裝PNG檔藏匿木馬
資安公司ReversingLabs分析了19款上架於微軟VS Code市集的惡意擴充套件,發現這些套件表面上提供開發輔助功能,實際卻把惡意程式藏在隨套件封裝的相依目錄中,並以看似PNG檔的檔案包裝木馬。研究人員指出,該活動從2025年2月起持續運作,並於2025年12月2日被發現,他們已將相關擴充套件通報微軟。
ReversingLabs說明,VS Code擴充套件通常會把執行所需的NPM相依套件一併打包,安裝時不必再下載。攻擊者正是利用該預先封裝特性,在熱門NPM套件path-is-absolute的本機副本動手腳,加入額外檔案與啟動觸發程式碼,使惡意行為在VS Code啟動時被觸發。正牌NPM儲存庫上的path-is-absolute內容未被更動,風險來自擴充套件作者可任意改寫其封裝內容。
由於被改造的程式會先解碼一段經過混淆處理的JavaScript投放器,接著再執行藏在偽裝為banner.png檔案中的惡意二進位檔,並借助Windows內建程式cmstp.exe這類LOLBIN啟動。研究人員初步辨識其中一個惡意載荷為Rust木馬,但其完整能力仍在持續分析。另有少數擴充套件未偽裝PNG檔,而是改以NPM套件@actions/io投放相同惡意載荷,並分別藏在.ts與.map檔案中。
1月2日傍晚造紙大廠榮成(1909)於股市公開觀測站發布重大訊息,證實公司資訊系統遭受勒索軟體攻擊。榮成表示,在偵測到攻擊的第一時間,已立即啟動相關防禦機制與復原作業,所有資訊系統正在進行恢復。榮成表示公司運作正常,初步評估對整體營運並無重大影響。
其他資安威脅
◆駭客組織ShinyHunters聲稱駭入資安公司Resecurity,該公司表示遭入侵的其實是蜜罐陷阱
◆惡意軟體VVS Stealer鎖定Discord用戶而來,透過經混淆處理的Python程式碼隱匿行蹤
◆巴基斯坦駭客Transparent Tribe鎖定印度政府與學術機構而來,透過LNK檔散布RAT木馬
◆Google Cloud的電子郵件功能遭濫用於多階段網釣活動
近期資安日報
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02
