資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1208~1212,React2Shell漏洞遭大規模利用,攻擊活動升溫

回顧2025年12月第二星期資安新聞,React2Shell漏洞攻擊態勢擴大成為主要新聞焦點,另需特別關注的是,Git伺服器Gogs有零時差漏洞被利用,且目前尚未釋出修補;在資安事件方面,國內有傳出4家企業遇害,其中炎洲及其子公司炎洲流通的揭露格外引人關注,因為這又是集團兩家公司同遭資安事件的情況

2025-12-15

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1201~1205,臺灣有6家業者分別傳出遭勒索軟體攻擊的消息

在2025年12月第一星期資安新聞中,最多人關注的是勒索軟體針對臺灣產業攻擊的狀況,有6家業者遭入侵;韓國金融業前陣子亦遭受勒索軟體Qilin襲擊,如今指出是當地MSP業者GJTec遭駭成為入侵管道,此供應鏈攻擊導致超過20家資產管理公司的資料遭竊,研判是北韓國家級駭客發動

2025-12-08

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊

【資安週報】1122~1126,LINE資安弱點揭露受關注。Salesforce針對Gainsight遭駭示警

回顧2025年11月最後一週資安新聞,最多人關注的消息是即時通訊軟體LINE被揭露存在資安弱點;還有兩起攻擊事件與威脅研究值得留意,包括Salesforce示警Gainsight遭駭導致相關威脅再度浮現,以及首次發現言論審查會影響開發安全,DeepSeek-R1處理政治敏感議題的提示時,產生嚴重資安弱點程式碼的機率顯著上升

2025-12-01

資安長 | iThome 2025企業資安大調查 | 資安投資 | 資安預算

【iThome 2025企業資安大調查|企業資安預算】資安預算平均金額突破2千萬創新高,占IT預算比例快要1成

各產業今年持續加碼資安預算,比去年多了2成3,醫療業成長幅度最大,整體企業資安預算占IT預算比重更是攀升至8.9%,高科技製造以14%占比領先各產業

2025-08-29

資安風險 | 網路釣魚 | 社交工程 | 資安長 | iThome 2025企業資安大調查

【iThome 2025企業資安大調查|企業資安危機】對網釣社交工程的風險意識最強,老舊系統更新躍居年度最大挑戰

今年網釣社交工程、資安漏洞濫用威脅大增,Deepfake也更明確地成為臺灣企業擔心的新興風險;在企業推動資安的挑戰上,老舊系統更新迫在眉睫,成為資安主管最憂心的資安推動難題

2025-08-29

MathWorks | MATLAB | Simulink | 資料外洩 | 勒索軟體 | 資安事故 | 網路攻擊

MATLAB軟體開發商證實勒索軟體攻擊外洩萬名用戶資料

MATLAB開發商MathWorks五月間公告遭到勒索軟體攻擊,影響IT系統運作,該公司後續調查顯示有一萬多名用戶個資因此外洩

2025-08-29

2025內政黑客松AI應用競賽 | AI驅動的詐騙集團人頭帳戶識別及警示解決方案

刑事局參加內政部黑客松:善用AI技術從源頭阻斷詐騙人頭帳戶,初估斬斷70%金流

警政署刑事局面對詐騙案件的偵辦,突顯傳統偵查模式的困境與事後追查的無力,不過,有了新型態的AI技術輔助,彙整詐騙人頭戶特徵的AI模型,可以做到在金融機構開戶的當下就進行風險預判,達到事前預警、阻斷人頭帳戶生成,預估可以有效降低高達70%的詐騙金流損失

2025-08-28

資安日報

【資安日報】8月28日,會用AI的勒索軟體PromptLock現身

資安業者ESET全球第一款導入生成式AI的勒索軟體,並將其命名為PromptLock,雖然進一步分析之後發現,開發者主要的目的應為進行概念驗證(PoC),但這也凸顯將AI用於惡意軟體攻擊行動,不再只是假設

2025-08-28

Nx | npm | 供應鏈攻擊 | GitHub Actions | Nx Console

知名開源建置工具Nx遭植入惡意程式上架NPM,開發者憑證恐外洩

開源建置工具Nx惡意版本遭發布NPM,安裝即竊取憑證並上傳至GitHub儲存庫,還改寫終端機啟動檔,官方已下架並建議用戶檢查與清理環境

2025-08-28

Storm-0501 | 勒索軟體 | Azure | Entra ID | Evil-WinRM | DCSync | AzureHound

駭客組織Storm-0501將目標延伸到關係企業,進行跨租戶資料竊取、檔案加密及勒索

微軟針對駭客組織Storm-0501從事雲端環境的勒索軟體攻擊行動提出警告,指出這些駭客不僅透過企業內部的AD環境挖掘雲端環境資源,更進一步將魔掌伸向同集團其他子公司的雲端環境

2025-08-28

OpenAI | Anthropic | 壓力測試 | 模型安全

OpenAI與Anthropic互評彼此模型的安全性

兩大AI業者破天荒合作互評彼此模型安全性,藉此補足單一實驗室可能忽略的盲點

2025-08-28

AI | 基本法 | 行政院

行政院通過AI基本法草案,將不設立AI專責機關

政院版AI基本法草案由數發部研擬,將不設立AI專責機關,交由各主管機關針對不同領域的AI應用制定作用法或指引。

2025-08-28

勒索軟體 | PromptLock | PoC

首款濫用AI生成惡意程式碼的勒索軟體PromptLock現身,可竊取資料與加密綁架文檔

資安業者ESET發現導入AI功能的勒索軟體PromptLock,經過他們的分析之後,初步認定這支惡意軟體可能屬於概念驗證(PoC),而非打算用於實際攻擊的作案工具,但也確實印證生成式AI能用於網路犯罪的流程

2025-08-28

奧義智慧科技 | CyTix | AI資安

要用生成式AI解析資安事件報告,時間資訊是最棘手的挑戰,奧義智慧公開因應之道

當我們問「最近一個月的重大資安事件有哪些?」,如何讓AI答覆更準確就是一道難題。奧義智慧科技資料科學家謝沛錫指出,時間資訊是還原攻擊過程的關鍵,因為資安事件報告與技術部落格高度依賴時間框架,只是傳統規則式的處理方法在多語言環境中難以適用,因此他們決定發展自身的因應之道

2025-08-28

思科 | CVE-2024-21887 | CVE-2024-3400 | CVE-2023-20273 | CVE-2023-20198 | CVE-2018-0171 | 資安公告 | 中國國家駭客 | 關鍵基礎設施 | 四川聚信和 | 北京寰宇天穹 | 四川智信銳捷 | 網路攻擊

美英日等13國聯合警告,中國國家級駭客滲透全球關鍵基礎設施

美、英、日等13國發布聯合資安公告,提醒外界中國駭客組織自2021年以來,利用已知漏洞針對各國重要設施建立後門以蒐集情報,涵蓋電信、政府、交通及軍事基礎設施

2025-08-28

iThome 2025 CIO大調查 | CIO大調查 | 新興技術 | 熱門技術 | RAG | AIOps | AI增強軟體工程

【iThome 2025 CIO大調查(下)|新興技術熱門趨勢】2025年整體產業新興技術雷達圖

多項AI技術今年採用率暴增,代理型AI比去年足足增加了2成企業採用,RAG、AIOps、AI增強軟體工程都值得關注

2025-08-28

Salesforce | Salesloft Drift | UNC6395 | 雲端憑證 | Google Mandiant | 資料外洩

Salesloft Drift整合遭濫用,企業Salesforce資料被大規模竊取

攻擊者UNC6395利用Salesloft Drift應用的OAuth憑證,入侵多家企業Salesforce租戶並竊取資料,目標為AWS金鑰、密碼與Snowflake權杖等機密資訊

2025-08-28

Golang | 惡意套件 | 供應鏈攻擊

惡意Go模組被用於暴力破解,將SSH帳密傳送給Telegram機器人

開發者使用能公開取得的程式模組要提高警覺!最近資安業者Socket發現在3年前推出的Go語言工具模組,表面上是協助使用者進行SSH連線暴力破解,但實際上,是讓不知情的使用者協助駭客尋找可入侵的標的

2025-08-28