| iThome

Dormakaba Exos 9300門禁系統爆20項CVE漏洞，攻擊者入侵內網可任意開門

Dormakaba Exos 9300門禁系統被揭露超過20項漏洞，其中20項已分配CVE編號，攻擊者要是先入侵內網或接觸硬體，便可能竄改門禁規則並重設控制器，廠商現已推出修補，並提供安全指引

新聞 | 資安日報

【資安日報】5月19日，惡意NPM套件為藏匿攻擊意圖，濫用Unicode字元、Google行事曆

惡意NPM套件攻擊手法推陳出新，如今有駭客準備一個多月，結合Unicode特殊字元及Google行事曆，讓資安人員難以察覺其攻擊意圖

2025-05-19

新聞 | AWS | .NET現代化 | 自動化搬遷 | 跨平臺 | Transform for .NET

AWS推Transform for .NET自動化工具，助企業現代化.NET Framework舊應用

AWS釋出Transform for .NET自動化工具，助企業高效搬遷.NET Framework舊應用至跨平臺.NET，支援多儲存庫及私有元件，降低搬遷難度與成本

2025-05-19

新聞 | 殭屍網路 | DDoS | Windows | HTTPBot

殭屍網路HTTPBot鎖定Windows裝置而來，對遊戲產業從事DDoS攻擊

中國資安業者綠盟科技（Nsfocus）針對殭屍網路HTTPBot的攻擊行動提出警告，指出攻擊者專門綁架Windows設備而來，意圖攻擊當地的遊戲產業、科技公司、教育機構

2025-05-19

新聞 | MIT | 人工智慧 | 學術誠信 | arXiv

AI促進科學創新重要研究遭MIT審查否決，要求arXiv標註撤回

MIT經內部審查認定一篇自家學生發表的人工智慧創新論文資料與結論不可信，隨後請求arXiv將該論文標註撤回，並呼籲業界謹慎引用相關研究，以維護學術誠信

2025-05-19

新聞 | Evil-AI as Service | AI agent | Deepfake | Check Point

Check Point揭露新型AI駭客兵團雛型

隨著暗網興起的AI犯罪服務（Evil AI as a Service），Check Point執行長Nadav Zafrir進一步示警，再加上AI Agent的興起，有心人士更有可能進一步發展出具備高度自主能力的AI駭客兵團。

2025-05-19

新聞 | Google Calendar | npm | Unicode PUA

惡意NPM套件濫用Unicode字元、Google行事曆，隱匿攻擊意圖

可疑的NPM套件os-info-checker-es6被資安業者盯上、調查，結果發現，駭客經過一個多月的布局終於顯露意圖：他們濫用Google Calendar活動（Event），埋藏惡意程式的有效酬載

2025-05-19

新聞 | 勒索軟體 | INC | 南非航空 | South African Airways

勒索軟體INC聲稱攻擊南非航空

南非航空5月初遭網路攻擊，勒索軟體駭客組織INC聲稱犯案並取得南非航空內部資料

2025-05-19

【資安週報】0512~0516，多組中國駭客組織、勒索軟體駭客鎖定SAP NetWeaver漏洞入侵關鍵CI與企業組織

回顧2025年5月第三星期的資安新聞焦點，共有多達8個零時差漏洞遭攻擊者利用的消息，涵蓋微軟、SAP、Fortinet與Google等；上月SAP修補NetWeaver滿分重大漏洞，發現不只中國駭客Chaya_004利用，至少還有3組中國駭客CL-STA-0048、UNC5221，以及UNC5174，以及2組勒索軟體駭客組織將其用於實際攻擊

2025-05-19