資安 | iThome

資安

【資安日報】1月15日，Node.js存在資安漏洞，恐波及React、Next.js、應用程式效能監控工具

在本週二有許多廠商發布1月例行更新之外，也有許多資安公告相當值得留意，其中一個是Node.js近期發布的更新，若不處理，相關漏洞有可能波及React或Next.js應用程式伺服器，以及應用程式效能監控工具（APM）

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 國家級駭客攻擊

【資安週報】0105~0109，臺灣能源業遭受中共網駭情形在2025年暴增10倍，中國APT已形成舉國體制承包商生態系

在2026年1月第一個星期的資安新聞中，主要焦點是臺灣國家安全局情資公司TeamT5杜浦數位安全相繼公布中國駭客威脅態勢；美國NIST發布Cyber AI Profile草案，因能協助組織導入AI並控管資安風險而備受矚目

2026-01-12

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 金融資安韌性發展藍圖

【資安週報】1229~0102，金管會發布「金融資安韌性發展藍圖」，揭露未來4年將擴大及精進的各項推動措施

回顧2026年1月首週資安要聞，金管會發布「金融資安韌性發展藍圖」，規畫2026至2030年間強化金融業防護能力的關鍵推動工作；其他重要新聞焦點還包括：中華電信憑證治理議題持續受關注，MongoBleed漏洞攻擊威脅，以及多款主機板UEFI實作存在缺陷的揭露

2026-01-05

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1222~1226，羅馬尼亞水務局近千臺電腦遭勒索軟體攻擊，攻擊者濫用BitLocker將檔案惡意加密

2026年即將到來，在2025年12月第四個星期資安新聞中，有3家上市公司發布資安事故重訊引發關注；國際方面，則傳出羅馬尼亞水務局近千臺電腦遭勒索軟體攻擊，值得注意的是，攻擊者在這起事件濫用BitLocker加密保護機制進行惡意加密

2025-12-29

Cloud周報第220期：全美資料中心建案暴增但供電恐不足，Meta新全球海纜計畫比地球一圈還長，SAP瞄準AI訓練需求推資料分析雲

根據美國房產集團統計，2024年，全美資料中心建案投資金額創新，達315億美元，興建面積相當於650座標準足球場，但現有美國公共電力供應嚴重不足，只夠滿足現有與未來所有資料中心總用電量的50%

2025-02-25

WSUS

微軟針對WSUS服務棄用再度警告，2個月後將停止驅動程式同步服務

針對棄用Windows Server Update Services（WSUS）的情況，微軟2月18日再度發布公告，表示他們將在兩個月後停用WSUS的驅動程式同步服務，屆時IT人員將無法透過這種管道取得、派送新的驅動程式

2025-02-25

針對中國駭客Salt Typhoon利用思科網路設備弱點入侵美國電信業者，思科發表調查報告證實此事

針對近期資安業者Recorded Future揭露中國駭客Salt Typhoon（Earth Estrie、FamousSparrow、Ghost Emperor）於去年9月攻擊美國電信業者的事故當中，利用思科網路設備漏洞，該公司旗下威脅情報團隊Talos也公布他們的調查結果，證實駭客有攻擊該廠牌網路設備的情形

2025-02-25

資安日報

【資安日報】2月24日，2024十大網站攻擊技術臺灣專家再度稱霸第一

近期PortSwigger網站公布2024「十大網站攻擊技法」（Top 10 Web Hacking Techniques 2024），本次特別引起我們注意的是，臺灣資安研究員發表的研究成果，奪得第一、第四

2025-02-24

網站安全 | 10大網站駭客技法 | WorstFit | 歐洲黑帽大會 | 戴夫寇爾

臺灣資安專家揭開WorstFit，成功探索Windows ANSI字元轉換雷區，找出全新攻擊面與3種攻擊手法

臺灣資安研究人員在2024年12月歐洲黑帽大會上發表WorstFit攻擊研究，揭開Windows ANSI中隱藏轉換機制的神秘面紗，成功找出全新攻擊面，而且這項研究還在今年2月榮獲2024年度「十大網站攻擊技法」第4名

2025-02-24

2024十大網站攻擊技術公布，臺灣資安專家三度稱霸第一

年度十大網站駭客攻擊技法在今年2月出爐，揭露過去一年具創新與影響的重要漏洞研究發現，特別的是，臺灣資安研究人員的研究發表，從2024年度共103項提名脫穎而出，獲選為年度第1名與第4名

2025-02-24

網站安全 | 10大網站駭客技法 | Confusion Attacks | 美國黑帽大會 | Orange Tsai

全球資安社群選出2024最認可的資安漏洞研究，臺灣資安專家揭開Apache HTTP Server模組架構隱藏問題

揭開Apache HTTP Server模組架構債的全新攻擊面向，臺灣資安研究專家在2024年於美國黑帽大會提出的混淆攻擊手法，從103項提名脫穎而出，再次突顯我們的專家持續在國際舞臺發光發熱

2025-02-24

【資安週報】0217~0221，中國駭客組織Salt Typhoon入侵全球電信業後續消息不斷，思科Talos公布入侵手法

回顧2025年2月第三星期的資安新聞，中國駭客Salt Typhoon攻擊全球電信業的後續消息是主要焦點，包括Recorded Future、思科Talos相繼公布最新發現；其他網路攻擊活動的揭露，以中國駭客APT41旗下Winnti入侵該國多個產業最受矚目，當地資安業者Lac指出對方從目標組織Web伺服器上執行的ERP系統漏洞入侵

2025-02-24

網釣工具包 | MFA | AiTM | Evilginx | Astaroth

網釣工具包Astaroth同時針對Gmail及M365帳號而來，能繞過多因素驗證並挾持帳號

資安業者SlashNext揭露今年出現的新網釣工具包Astaroth，賣家號稱能同時針對Microsoft 365、Gmail、Yahoo的身分驗證機制下手，繞過多因素驗證（MFA）並挾持受害者帳號

2025-02-23

Earth Kapre | RedCurl | SysInternals Active Directory Explorer

駭客組織RedCurl利用Adobe元件側載惡意程式，意圖假借求職對法律產業發動攻擊

資安業者eSentire揭露駭客組織RedCurl（Earth Kapre）針對法律服務行業的攻擊行動，為了掩蓋攻擊意圖，駭客濫用Adobe應用程式元件來載入惡意軟體，從而進行後續的攻擊行動

2025-02-23

中國駭客 | Mustang Panda | Earth Preta | Microsoft Application Virtualization Injector | APP-V

中國駭客Earth Preta假借打擊犯罪為由散布惡意程式ToneShell，意圖利用作業系統預載公用程式迴避偵測

趨勢科技指出最近中國駭客Earth Preta（Mustang Panda）更換新的攻擊手法，透過Windows作業系統公用程式MAVInject.exe迴避特定廠牌的防毒軟體偵測，而這些駭客的誘餌是要求使用者配合防罪防治的PDF公告文件

2025-02-22

資安日報

【資安日報】2月21日，中國駭客使用勒索軟體Ghost在全球70個國家發動大規模攻擊

美國針對勒索軟體Ghost（也被叫做Cring）的攻擊行動提出警告，並指出聯邦調查局（FBI）在今年一月發現最新的攻擊行動，呼籲IT人員要嚴加戒備

2025-02-21

Pass-Back Attack | CVE-2024-12510 | \CVE-2024-12511

全錄印表機漏洞恐讓攻擊者能截取AD帳密資料，於受害組織網路環境持續活動

資安業者Rapid7揭露他們向全錄（Xerox）通報的資安漏洞CVE-2024-12510、CVE-2024-12511，並指出這些弱點都與回傳攻擊（Pass-Back Attack）有關，若不處理，攻擊者就有機會得到印表機的LDAP、SMB、FTP組態，進而在受害組織網路環境橫向移動

2025-02-21

勒索軟體NailaoLocker鎖定歐洲地區醫療機構而來，疑為中國駭客用來掩蓋竊取資料的意圖

資安業者Orange Cyberdefense揭露發生於去年下半的資安事故Green Nailao，駭客針對歐洲醫療體系下手，最終使用勒索軟體NailaoLocker加密檔案，但研究人員認為，駭客使用勒索軟體的目的其實是掩人耳目，而非為了索討贖金牟利

2025-02-21

勒索軟體 | 中國駭客 | Ghost | Cring | CVE-2009-3960 | CVE-2010-2861 | CVE-2018-13379 | CVE-2019-0604 | ProxyShell

美國警告勒索軟體Ghost橫行，駭客攻擊範圍橫跨全球70個國家

美國網路安全暨基礎設施安全局（CISA）、聯邦調查局（FBI）、各州資訊共享及分析中心（MS-ISAC）針對勒索軟體Ghost（也被叫做Cring）最新一波攻擊提出警告，指出這些駭客通常會對於面向網際網路的應用系統已知漏洞下手，從而入侵並以勒索軟體加密檔案

2025-02-21