資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1208~1212,React2Shell漏洞遭大規模利用,攻擊活動升溫

回顧2025年12月第二星期資安新聞,React2Shell漏洞攻擊態勢擴大成為主要新聞焦點,另需特別關注的是,Git伺服器Gogs有零時差漏洞被利用,且目前尚未釋出修補;在資安事件方面,國內有傳出4家企業遇害,其中炎洲及其子公司炎洲流通的揭露格外引人關注,因為這又是集團兩家公司同遭資安事件的情況

2025-12-15

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1201~1205,臺灣有6家業者分別傳出遭勒索軟體攻擊的消息

在2025年12月第一星期資安新聞中,最多人關注的是勒索軟體針對臺灣產業攻擊的狀況,有6家業者遭入侵;韓國金融業前陣子亦遭受勒索軟體Qilin襲擊,如今指出是當地MSP業者GJTec遭駭成為入侵管道,此供應鏈攻擊導致超過20家資產管理公司的資料遭竊,研判是北韓國家級駭客發動

2025-12-08

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊

【資安週報】1122~1126,LINE資安弱點揭露受關注。Salesforce針對Gainsight遭駭示警

回顧2025年11月最後一週資安新聞,最多人關注的消息是即時通訊軟體LINE被揭露存在資安弱點;還有兩起攻擊事件與威脅研究值得留意,包括Salesforce示警Gainsight遭駭導致相關威脅再度浮現,以及首次發現言論審查會影響開發安全,DeepSeek-R1處理政治敏感議題的提示時,產生嚴重資安弱點程式碼的機率顯著上升

2025-12-01

資安重訊 | 奈米醫材 | BEC | 商業郵件詐騙

上櫃公司奈米醫材子公司遭遇商業郵件詐騙,預估損失高達140萬美元

本週上櫃公司奈米醫材發布資安重訊指出,他們旗下的海外投資公司AST VisionCare Inc.(ASTVC-US)遭到歹徒冒名,要求Millennium Biomedical, Inc.(MBI)將現金股利匯款到歹徒的帳號,恐損失142.5萬美元

2025-09-09

GitHub | GhostAction | 供應鏈攻擊

供應鏈攻擊GhostAction鎖定GitHub而來,竊取逾3千個帳密及金鑰

資安業者GitGuardian揭露大規模供應鏈攻擊GhostAction,駭客從遠端端點發出HTTP POST請求,於GitHub儲存庫注入惡意工作流程,從而竊得3,325組憑證或金鑰,橫跨PyPI、NPM、DockerHub等開發市集

2025-09-09

Nx | 供應鏈攻擊 | GitHub | 憑證外洩 | npm | 資料外洩

Nx供應鏈攻擊影響範圍擴大,6,700多個GitHub私有儲存庫被公開

Nx供應鏈攻擊持續擴大,資安公司Wiz發現攻擊者除竊取憑證外,還濫用GitHub權杖公開逾6,700個私有儲存庫,影響至少480個帳號,其中多為組織,事件已從惡意套件散布升級為大規模資料外洩

2025-09-09

思科 | 防火牆 | ASA | Adaptive Security Appliance

研究人員警告以思科ASA裝置為對象的掃描活動激增 可能爆出新漏洞

資安廠商GreyNoise警告,近日觀察到網路上針對思科防火牆ASA(Adaptive Security Appliance)的掃描活動有激增跡象

2025-09-09

npm | 惡意程式

逾18個熱門NPM套件因網釣攻擊而被駭客接管

Aikido Security揭露駭客假冒NPM市集客戶支援部門,向眾多NPM套件開發者發送釣魚郵件以騙取憑證,並成功在至少18個熱門套件中植入惡意程式

2025-09-09

TamperedChef | Google廣告 | 竊取憑證

假PDF編輯器藏惡意軟體TamperedChef,靠Google廣告擴散竊憑證

攻擊者以Google廣告推假PDF編輯器,延遲啟用TamperedChef竊資程式竊取瀏覽器憑證與Cookie,歐洲多家組織已受害

2025-09-09

數位發展部 | 林宜敬 | 胡貝蒂 | AI產業

數發部長林宜敬:以五大政策工具發展AI產業,共築數位韌性社會

數發部積極推動「主權AI」,從算力、資料、人才、行銷媒合及資金等五大面向著手,鼓勵公私協力,並透過AI基本法、風險分類框架及先進評測環境,打造安全可信賴的AI生態系統;同時,數位發展部積極建構T-Road加密管道,確保政府資料傳輸安全,力求實現全民共享的數位韌性社會。

2025-09-08

資安日報

【資安日報】9月8日,Salesloft揭露供應鏈攻擊事故發生的源頭

針對延燒超過半個月的Salesloft Drift供應鏈攻擊事故,週末Salesloft公布最新調查結果,指出這起事故最初發生的原因,在於駭客入侵了他們的GitHub儲存庫,導致後續能竊得用戶的OAuth憑證

2025-09-08

SAP | CVE-2025-42957 | S/4HANA

上個月SAP修補的S/4HANA程式碼注入漏洞傳出已被用於實際攻擊

今年8月SAP修補S/4HANA重大層級的程式碼注入漏洞CVE-2025-42957,近期通報這項漏洞的資安業者SecurityBridge發現,已有實際利用漏洞的情況,呼籲IT人員要儘速修補

2025-09-08

Salesloft Drift | Salesloft | Drift | Salesforce | 供應鏈攻擊 | OAuth

Salesloft Drift供應鏈攻擊事故引爆點找到了!駭客入侵GitHub儲存庫而得逞

Salesloft針對8月下旬爆發的Drift供應鏈攻擊事故公布調查結果,指出這起事故發生的源頭,可追溯到他們的GitHub儲存庫在上半年就遭駭,而引發後續客戶Salesforce系統被入侵的情況

2025-09-08

捷克 | 中國 | 資料傳輸 | 遠端維運風險 | NUKIB | 關鍵基礎設施

從IP攝影機到雲端AI,捷克資安主管機關把對中資料傳輸與遠端維運列高風險

捷克國家數位資訊安全局NÚKIB警示,中國跨境資料傳輸與遠端維運構成高風險,要求受《資安法》納管單位採取相對應安全措施

2025-09-08

零時差漏洞 | Sitecore | CVE-2025-53690 | ViewState | WeepSteel

Sitecore零時差漏洞遭到利用,攻擊者用於植入後門

上週客戶體驗管理平臺Sitecore的用戶傳出遭遇零時差漏洞CVE-2025-53690攻擊,通報此事的資安業者Mandiant表示,駭客針對特定組態的Sitecore平臺下手,在進行一連串偵察後,植入後門程式WeepSteel

2025-09-06

AI閘道 | AI Guardrails

強化LLM應用效能與資安防護,F5推出容器化部署的AI閘道

因應企業積極導入生成式AI應用的市場需求,F5發展AI閘道產品,提供效能強化與資安防護功能

2025-09-06

奈米香蕉 | Gemini | 公仔提示 | google | 生成式AI | Nano Banana

奈米香蕉模型爆紅,上線10天生成破2億張圖,下周小改版將支援更高解析度的圖片

上線十天,全球產生破2億張圖片,亞太地區用戶最愛用。下周模型將有小改版,可以提供比現在更高解析度的圖片,正在嘗試如何讓生成圖片自動製作影片,但還沒有時間表

2025-09-05

CISA | KEV | TP-Link | CVE-2025-9377 | CVE-2023-50224

CISA示警TP-Link Archer C7、TL-WR841N兩漏洞已遭利用

CISA警告TP-Link兩路由器漏洞CVE-2023-50224與CVE-2025-9377遭利用,FCEB須9月24日前修補或停用,同時也建議企業比照辦理

2025-09-05