資安日報 | Page 2

| 資安日報

【資安日報】12月18日，日本電商Askul公布勒索軟體攻擊事故調查結果

兩個月前日本無印良品網路商站部分業務出現中斷，原因是日本B2B電子商務與物流公司Askul遭勒索軟體攻擊，近期Askul發布調查報告說明，整起事故發生的導火線，是業務委外端有管理者帳號未啟用多因素驗證（MFA）釀禍

2025-12-18

| 資安日報

【資安日報】12月17日，MITRE公布最危險的漏洞類型，XSS居冠

近日MITRE揭露最危險的25種型態的資安漏洞，延續去年態勢，跨網站指令碼（XSS）、SQL注入，以及跨網站請求偽造（CSRF）仍是前3大威脅，然而值得留意的是，多種記憶體緩衝區溢位類型的弱點，今年也入榜

2025-12-17

| 資安日報

【資安日報】12月16日，更多中國駭客加入利用React2Shell的行列

引起全球資安圈高度關注的重大漏洞CVE-2025-55182（React2Shell），Google威脅情報團隊（GTIG）週末揭露最新調查結果，指出有5組中國國家級駭客用於散布隧道工具、惡意程式下載工具，以及後門程式等作案工具

2025-12-16

| 資安日報

【資安日報】12月15日，開發人員在Docker Hub曝露大量憑證，有人將其收集並在地下論壇兜售

有資安公司針對開發人員在Docker Hub曝露大量憑證的情況提出警告，他們在11月上傳的約1萬個映像檔裡，發現超過4成曝露5種以上的憑證，有可能讓攻擊者完整存取雲瑞環境、Git程式碼儲存庫、CI/CD系統，以及支付系統等

2025-12-15

| 資安日報 | 台郡

【資安日報】12月12日，惡意軟體NanoRemote濫用Google Drive的API從事通訊

曾經濫用微軟Graph API的中國駭客近期再度出手，打造新的惡意程式NanoRemote，最大的不同之處，在於他們利用了Google Drive的API來進行C2通訊

2025-12-12

| 資安日報

【資安日報】12月11日，React2Shell攻擊活動持續擴大，北韓駭客、挖礦軟體、殭屍網路加入行列

資安業者Huntress與Sysdig提出警告，他們看到有人不斷投入利用CVE-2025-55182（React2Shell）的情況，其中有人試圖綁架Linux主機來挖礦及建置殭屍網路，也有北韓駭客用於散布惡意程式EtherRAT

2025-12-11

| 資安日報

【資安日報】12月10日，微軟、SAP等多家科技業者發布12月份例行更新

微軟於本月的例行更新（Patch Tuesday）修補3項零時差漏洞，其中又以出現實際攻擊行動的CVE-2025-62221最受關注，此外，由近日公布AI開發工具漏洞利用鏈IDEsaster的研究人員通報的另一項漏洞CVE-2025-64671，由於也在微軟公告前就被公布，而成為另一焦點

2025-12-10

| 資安日報 | 炎洲 | 炎洲流通

【資安日報】12月9日，AI開發工具與程式助理廣泛存在一系列資安漏洞，可串連形成攻擊鏈IDEsaster

有研究人員在多款主流的AI程式助理與IDE當中，發現超過30個資安漏洞，並統稱為IDEsaster，這項發現恐影響數百萬開發人員，而受到全球高度關注

2025-12-09

| 資安日報

【資安日報】12月8日，殭屍網路及中國駭客傳出已實際利用滿分資安漏洞React2Shell

繼上週AWS警告多組中國駭客開始利用React滿分漏洞CVE-2025-55182（React2Shell），威脅情報業者GreyNoise、資安業者Palo Alto Networks，以及Shadowserver基金會都針對相關威脅態勢提出警告；再者，雲端服務業者Cloudflare出現服務異常，傳出也是與緩解此漏洞有關

2025-12-08