React 19 漏洞 | React Server Components | Next.js | CVE-2025-55182 | CVE-2025-66478

React 19伺服端元件出現RCE零驗證漏洞,波及Next.js等多個框架

React 19伺服器端元件爆發CVSS 10分RCE漏洞,攻擊者僅需特製HTTP請求即可在伺服器執行特權程式碼,Next.js等預設啟用RSC的框架全受影響,官方敦促立即更新

2025-12-04

App | 資安 | 小紅書 | 抖音

數發部:抖音、微信、小紅書等5款App存在高資安風險,可能洩露資料至中國

數發部資安署公布,法務部調查局、刑事局根據資安署公布的檢測標準,檢測抖音、微博、微信、小紅書、百度硬盤5款App,具有蒐集敏感性資訊、讀取儲存空間、逾越使用權限、握掌生物特徵、擷取系統資訊、數據回傳與分享等6類資安風險。

2025-12-03

資安日報

【資安日報】12月3日,蠕蟲攻擊活動Shai-Hulud 2.0、GlassWorm鎖定開發環境而來

針對NPM儲存庫、Open VSX,以及Visual Studio Code(VS Code)延伸套件市集的蠕蟲行動近期不斷發生,其中NPM蠕蟲Shai-Hulud 2.0攻擊活動已持續超過一週,災情更延燒到Maven Central與Open VSX

2025-12-03

npm | Shai-Hulud 2.0 | Sha1-Hulud | 蠕蟲 | Maven | Open VSX

NPM蠕蟲Shai-Hulud 2.0攻擊活動仍在持續,恐曝露40萬組開發機敏資料

針對NPM蠕蟲活動Shai-Hulud 2.0(Sha1-Hulud),資安業者Wiz公布最新調查結果,他們指出可能有40萬組憑證、權杖,以及金鑰曝險,其中超過六成NPM權杖仍有效

2025-12-03

Open VSX | VS Code擴充 | VS Code | 蠕蟲 | GlassWorm | Rust

蠕蟲程式GlassWorm出現第三波大規模攻擊,鎖定熱門工具與開發框架而來

資安業者Secure Annex偵測到新一波蠕蟲程式GlassWorm活動,這次攻擊者一口氣上架23個惡意VS Code延伸套件,鎖定知名開發工具的用戶而來

2025-12-03

鴻海 | 鴻騰精密 | 勒索軟體 | INC Ransom

鴻海旗下連接器製造商鴻騰精密傳出遭勒索軟體INC Ransom攻擊

11月底勒索軟體集團INC Ransom於暗網網站上,將鴻海集團旗下的香港上市公司鴻騰精密科技(Foxconn Interconnect Technology,FIT)列為受害者,由於鴻海近年積極發展電動車,鴻騰精密是關鍵角色,此事格外引人矚目

2025-12-03

法國足球協會 | 網路攻擊 | 資料外洩

法國足球協會遭網攻外洩會員資料

法國足球協會(FFF)內部會員管理軟體遭攻擊者入侵,導致會員姓名、電子郵件等個資外洩

2025-12-03

google | Android | CVE-2025-48572 | CVE-2025-48633

Google發布12月安卓例行更新,修補2項零時差漏洞

Google週一發布12月份安卓例行更新,其中有2個是零時差漏洞,已被用於針對特定人士的目標式攻擊,而成為本次更新最受關注的焦點

2025-12-03

賓州大學 | Oracle E-Business Suite | EBS | 資料外洩

賓州大學Oracle EBS遭駭 1500人資料外洩

賓州大學向緬因州政府通報資安事故,該校使用的Oracle EBS系統在今年8月間遭到攻擊者入侵,導致將近1500位緬因州居民個資外洩

2025-12-03

Palo Alto Networks | Chronosphere

Palo Alto Networks斥資33.5億美元買下可觀測性平臺供應商Chronosphere

全球最大的獨立資安公司Palo Alto Networks將以33.5億美元收購新一代的可觀測性平臺Chronosphere

2025-12-03

GitLab | 憑證外洩 | TruffleHog | 秘密掃描

560萬個GitLab公開儲存庫掃描結果,超過1.7萬組雲端憑證仍有效

資安工程師Luke Marshall掃描560萬個GitLab公開儲存庫,找到超過1.7萬組仍可使用的雲端與平臺憑證,最早甚至可追溯至2009年

2025-12-03

資安日報

【資安日報】12月2日,勒索軟體Qilin透過代管服務業者對逾20家韓國資產管理公司發動攻擊

今年9月韓國傳出代管服務供應商GJTec遭駭,引發超過20家韓國資產管理公司慘遭勒索軟體入侵,近日有資安業者公布調查結果,指出這起事故是成為勒索軟體Qilin附屬團體的北韓駭客Moonstone Sleet所為

2025-12-02

惡意LLM | WormGPT | WormGPT 4 | KawaiiGPT

惡意AI工具WormGPT 4與KawaiiGPT在地下論壇與Telegram頻道出現,被用於自動化網路犯罪

今年下半網路犯罪圈出現惡意AI模型WormGPT 4與KawaiiGPT,駭客犯案門檻再度降低,他們只需支付訂閱費用,或是從GitHub下載相關的檔案建置,就能使用無防護機制的模型,快速打造所需工具

2025-12-02

ShadyPanda | Clean Master | WeTab

駭客組織ShadyPanda透過瀏覽器延伸套件市集,散布間諜軟體與後門程式

駭客利用瀏覽器延伸套件市集的審核機制,建立惡意套件合法、可信任的形象,待時機成熟再推送惡意更新,以瀏覽器完整的API功能於受害電腦從事惡意活動,有資安業者發現,有人藉此從事長達7年的活動,皆未被發現

2025-12-02

臺北市資訊局 | 趙式隆 | 零信任 | 身分鑑別 | 城市治理 | AI | 資安治理

AI時代下的北市府資安治理實務

臺北市資訊局局長趙式隆表示,當AI已經成為駭客攻擊的新利器時,臺北市政府學會利用AI來對付AI,用魔法對付魔法;目前零信任架構的推動則專注於「身分鑑別」的落地,最晚於2026年完成第一階段          

2025-12-02