| npm | 供應鏈攻擊 | 開發安全

熱門Npm套件COA疑遭劫持,恐導致數百萬專案的開發者帳密遭竊

又是駭客挾持熱門Npm套件開發者帳號,並發布帶有惡意程式碼的套件!許多開源專案採用的COA(Command-Option-Argument)Npm套件出現惡意版本,攻擊者企圖在開發人員的電腦上進行竊密

2021-11-05

| google | 供應鏈 | 攻擊 | 滲透 | APT | 資安 | SolarWinds Orion | 二進位授權 | 開發安全 | 軟體供應鏈

Google內部也用SolarWinds遭駭產品但未受影響

Google坦承有用SolarWinds產品,但強調內部有防範供應鏈安全風險的措施,產品及服務並未受相關攻擊的影響

2021-01-19

| 物聯網 | IoT | PSIRT | 開發安全 | 臺灣資安大會

【臺灣資安大會直擊】製造商想要做好連網家電資安,需要更快分析大量威脅!Panasonic建立情資平臺來改善分析工作

家電連上網路,也衍生許多資安風險。對此,Panasonic主要2大層面著手,包含從開發流程來降低裝置可能存在的風險,以及透過建立產品資安事件因應小組(PSIRT)等措施因應漏洞通報。其中,該公司對於漏洞的因應,他們特別建置了威脅情資平臺,來自動化分析漏洞,進而增加他們處理的速度

2020-08-15

| GitHub | 開發安全

供應鏈攻擊鎖定GitHub開源軟體專案,讓開發人員上傳程式碼就一併植入後門程式

駭客利用程式碼共享平臺來架設與C&C中繼站通訊的管道,又有新的手法,GitHub揭露滲透開發者電腦的攻擊事件,一旦執行程式碼編譯,惡意軟體就會在專案裡納入後門,進而汙染GitHub上的程式碼,成為駭客用來與C&C中繼站通訊的管道

2020-05-29

| Ruby | RubyGems | 開發安全

鎖定Ruby程式語言開發者下手,駭客在社群市集上架逾700款惡意軟體

駭客鎖定Ruby開發者常用的開發工具下手,發動供應鏈攻擊,他們在提供程式庫和程式的市集RubyGems上架了超過700個惡意軟體,由於使用了正牌程式的名稱和功能說明,真假難以識別,這些惡意軟體上架不久後已被開發者下載10萬次

2020-04-27

| 安華聯網 | 開發安全 | ICS/SCADA Security | SCADA

對於連網設備開發安全,安華推出可自動找出連網設備與網頁的資安弱點,並能涵蓋有線和無線網路環境的專屬設備

對於連網裝置開發安全的黑箱檢測,新創資安業者安華聯網科技推出Hercules SecDevice,能將相關流程自動化,減少所需的大量人力

2019-12-16

| 精誠資訊 | 安華聯網 | 物聯網裝置 | 開發安全

從Fintech跨足資訊安全,精誠資訊首度扶植資安新創

提供新創公司舞臺,能與知名企業客戶接洽,精誠資訊從中輔助的新創加乘器計畫(AGP),如今該公司找到了第二波合作的8間公司,其中,第一次出現資安新創業者參與這項計畫,藉此拓展海外市場。

2019-08-01

| Twilio | 開發安全 | 行動App | 個資外洩 | API使用不慎

開發不慎,1.8億用戶受害!近700個用Twilio API的通訊App外洩通訊內容

有部份使用該API的開發人員將用戶帳密寫死在app程式碼中,這麼一來,使所有利用這些App傳送、儲存於Twilio帳號的文字簡訊、通訊元資料、語音錄音檔全數對外公開

2017-11-10