爆紅AI代理ClawdBot出現惡意延伸套件,駭客以此散布竊資軟體NovaStealer、Atomic Stealer
資安社群平臺Open Source Malware提出警告,他們發現有人自1月27日開始於GitHub和OpenClaw延伸套件市集ClawHub,發布惡意技能套件(Skills),鎖定OpenClaw與Claude Code的用戶,目的是在Windows與macOS系統部署竊資軟體。這些技能套件聲稱提供加密貨幣自動化交易的功能,一旦使用者安裝,駭客便透過ClickFix網釣手法,誘使使用者執行惡意指令,從而竊取加密貨幣交易所的API金鑰、錢包私鑰、SSH憑證,以及瀏覽器存放的帳密資料,然後洗劫受害者的加密貨幣資產。
資安公司Koi Security也發現相關攻擊活動,他們對ClawHub市集的2,857個技能套件展開調查,結果找到341個有問題的套件,其中335個使用幾乎相同的手段,在受害者電腦植入木馬,該公司將這波攻擊命名為ClawHavoc。根據駭客聲稱的功能區分,加密貨幣工具最多,有111個;YouTube工具、金融與社交工具居次,分別有57個和51個;再者,還有去中心化市場預測平臺Polymarket機器人、軟體自動更新工具,以及Google Workspace整合工具,分別為34個、28個,以及17個。
針對近期微軟緊急修補的Office零時差漏洞,傳出俄羅斯駭客APT28用於實際攻擊
1月26日微軟緊急修補辦公室軟體Office的零時差漏洞CVE-2026-21509,並指出該漏洞已遭利用,此為可繞過安全功能的弱點類型,未經授權的攻擊者可誘導使用者開啟惡意檔案,於受害電腦觸發漏洞,不過,微軟並未進一步說明駭客如何利用這個弱點,事隔數日,有資安機構發現實際攻擊活動。
烏克蘭電腦緊急應變團隊(CERT-UA)發布緊急公告指出,自1月29日起,他們發現俄羅斯駭客組織APT28(別名Fancy Bear或Sofacy)發動網路釣魚攻擊,假借歐盟常駐代表委員會(COREPER)與烏克蘭水文氣象中心的名義,以烏克蘭相關議題寄送釣魚信,挾帶Word檔案附件,一旦收信人使用Office軟體開啟文件,電腦就會透過WebDAV通訊協定與外部資源建立連線,然後下載捷徑檔案。
印度防毒軟體eScan遭供應鏈攻擊,更新基礎設施被用於交付惡意程式
資安廠商Morphisec揭露,MicroWorld旗下防毒產品eScan的更新機制遭濫用,攻擊者疑似取得區域更新伺服器的存取權限,透過原本用來交付病毒碼與程式更新的管道,向部分用戶發送惡意檔案。
eScan在安全公告中表示,事件起點為1月20日的更新服務異常,源於其某個區域更新伺服器基礎設施遭未經授權存取,導致不正確檔案被放入更新交付路徑。該事件屬於基礎設施層級,並非eScan產品程式碼的缺陷或漏洞,核心端點防護能力仍可運作,未受影響的用戶不需停用更新,MicroWorld提到,受影響端點可能出現更新失敗通知,或無法取得新的安全定義檔等現象。
勒索軟體組織Everest聲稱竊得HP旗下視訊與語音會議方案Poly資料
根據資安新聞網站Cybernews報導,勒索軟體組織Everest近日宣稱,他們竊得HP旗下視訊與語音會議方案供應商Poly(前稱為Polycom)的內部資料,檔案大小約90 GB,內容包括客戶資訊和一款晶片資料。
駭客並張貼數張來自這批資料的螢幕擷圖,包含C及C++程式碼檔案,推斷是Poly韌體原始碼或驅動程式。此外還有疑似Poly視訊會議代管系統RMX,以及可能是Poly生產的晶片相片。Cybernews研究人員推測如果照片為真,可能表示駭客已取得關鍵系統的憑證。對此,HP向媒體表示,已經獲知Poly可能的資料外洩消息,公司著手調查,目前沒有HP環境或HP客戶資料外洩的跡象。
金融軟體服務供應商Marquis遭勒索軟體入侵,定調肇因為MySonicWall防火牆組態備份檔未經授權存取
金融軟體服務供應商Marquis近日對客戶說明,其2025年8月遭勒索軟體入侵的原因研判出現轉向。外媒BleepingComputer報導,Marquis在給客戶的說明中表示,攻擊者並非利用未修補的SonicWall防火牆弱點,而是透過MySonicWall雲端備份事件中遭未授權存取的防火牆設定備份資料,進而繞過防護並入侵。
Marquis委任律師事務所於2025年11月26日提交給華盛頓州檢察長辦公室的說明指出,Marquis在8月14日偵測到網路可疑活動並確認遭勒索軟體攻擊,鑑識調查顯示,未經授權的第三方在同日透過SonicWall防火牆存取Marquis網路環境,疑似取得部分檔案。文件並稱,檢視可能遭存取的檔案後,確認其中包含來自部分商業客戶的個人資料,可能涉及姓名、地址、電話、社會安全碼,以及納稅人識別碼,未含金融帳戶相關資訊與出生日期,目前未發現個資遭濫用或嘗試濫用的證據。
SandboxJS修補重大漏洞CVE-2026-23830,沙箱機制可遭繞過執行任意程式碼
主打在JavaScript環境中安全執行不受信任程式碼的開源專案SandboxJS,在1月下旬修補一項重大資安漏洞。該漏洞已被登錄為CVE-2026-23830,CVSS風險分數達滿分10分,屬於重大風險等級。資安研究人員指出,在特定條件下,攻擊者可繞過SandboxJS的沙箱限制,執行非預期的任意程式碼,對依賴該工具隔離不受信任程式碼的應用環境構成風險。
從弱點分類角度來看,NVD將CVE-2026-23830對應至多項由MITRE定義的常見弱點枚舉(CWE),包括CWE-94(程式碼注入)、CWE-693(防護機制失效),以及CWE-913(動態管理程式碼資源控管不當)。這些分類顯示,該漏洞與沙箱防護機制對動態產生與管理程式碼資源的控管不足有關,使既有安全限制在特定條件下遭到繞過。
Windows 11非安全更新KB5074105再傳災情,用戶回報效能與開始選單異常
微軟上周釋出最新Windows 11更新KB5074105,打算解決1月初Patch Tuesday引發無法開機、登入等眾多問題。但本次更新似乎又有新問題,目前微軟尚未證實。
KB5074105為針對Windows 11 24H2及25H2的非安全更新,微軟聲稱可解決之前更新造成的問題並改善,且新增安全功能。已解決的問題包括從「設定」加入Windows Insider方案時卡住、開始選單移位或顯示不全、首次登入Windows 11時檔案總管凍結及工作列消失、桌面App消失、更新Windows後無法啟用(activation)、Windows沙箱啟動到一半時停止回應、非管理員帳號欲執行終端機(Windows Terminal)會出現電腦停止回應,以及輸入問題等。不過有用戶安裝後發現,他們的系統變得異常緩慢、部分應用程式無法執行等現象。
連接器與線纜整合型供應商驊陞科技(6272)於2月2日透過公開資訊觀測站發布重大訊息公告,指出公司部分資訊系統近日遭受惡意軟體攻擊,導致系統出現異常狀況。公司已於第一時間掌握相關情形,並立即啟動資訊安全應變機制。驊陞表示,事件發生後已同步進行系統隔離、強化防護措施及全面性內部盤查作業,以防止影響進一步擴大。經初步調查,目前尚未發現公司重要資料有外洩或遺失情形,評估資安事件對公司日常營運及財務狀況並無重大影響,相關核心業務仍維持正常運作。
其他資安威脅
◆丹麥遭俄羅斯駭客聯盟Russian Legion鎖定,駭客企圖發動大規模攻擊
◆駭客組織Punishing Owl攻擊俄羅斯軍情機構,將使用者重新導向位於巴西的伺服器
◆駭客組織PeckBirdy透過寄生攻擊手法,意圖散布後門程式HoldDonut與MkDoor
◆雲端原生木馬Arsink RAT鎖定安卓裝置而來,竊取敏感資料及建立存取管道
近期資安日報
【2月2日】駭客組織ShinyHunters聲稱竊得約會App開發商逾千萬筆個資
熱門新聞
2026-02-02
2026-02-02
2026-02-03
2026-02-02
2026-02-01
2026-02-02