| PyPI | Telegram | AWS | 阿里雲 | Starjacking | Typosquatting
駭客鎖定Telegram、AWS、阿里雲用戶發動供應鏈攻擊,散布惡意PyPI套件
有人針對使用Telegram、AWS、阿里雲的開發人員,透過PyPI套件發動攻擊,值得留意的是,攻擊者針對許多資安工具的檢測流程下手,而有可能逃過偵測
2023-10-22
PyPI新用戶皆需要啟用雙因素驗證,才能執行諸如上傳套件和修改套件資訊等管理操作,藉此提高帳戶安全性
2023-08-10
駭客入侵PyPI用戶帳號以散布惡意專案的安全事件層出不窮,促使官方決定強制該平臺今年底全面啟用雙因素身分驗證(2FA)
2023-05-29
Python軟體基金會回應法院傳票,承諾重新檢視資料政策以保護社群隱私
Python軟體基金會遵循美國法院傳票要求,提供了5位PyPI用戶資料,但基金會隨後重新審視用戶資料留存政策,希望未來能更好地保護用戶隱私
2023-05-26
PyPI套件維護者現可選用OpenID Connect可信發布方法
PyPI開始支援OpenID Connect(OIDC),維護者無需與外部系統共享長期密碼或API權杖,可改以更安全的單點登入發布套件,提升軟體供應鏈安全
2023-04-21
| 資安日報 | Tonto Team | Royal Road | GMX | Pig Butchering | CryptoRom | PyPI | Chrome | DDoS | DOS | iOS | MacOS | ICS
【資安日報】2023年2月14日,資安業者Group-IB遭到中國駭客Tonto Team攻擊、美國2022年7萬人因愛情詐騙損失13億美元
資安業者Group-IB公布於2022年6月的釣魚郵件攻擊行動,並指出背後的駭客組織是Tonto Team;美國聯邦貿易委員會(FTC)提出警告,歹徒進行愛情詐騙的情況相當嚴重,光是去年美國通報的受害者就超過7萬人
2023-02-14
| 資安日報 | Nobelium | MagicWeb | AD FS | AdSense | Namecheap | SendGrid | DHL | MetaMask | 供應鏈攻擊 | 勒索軟體 | Clop | GoAnywhere | MFT | Log4Shell | SonicWALL | TerraMaster | PyPI | W4SP | 資料外洩 | 華航 | ICS | ChatGPT | AI Bot
【資安日報】2023年2月13日,俄羅斯駭客Nobelium發起攻擊行動MagicWeb鎖定AD聯邦服務、逾2成工控系統漏洞不會被修補
微軟公布近期俄羅斯駭客Nobelium的攻擊行動,駭客鎖定受害組織的AD聯邦服務(AD FS)而來;有資安業者針對CISA發布的工控系統資安通告進行分析,結果發現,超過2成的漏洞「永遠不會得到修補」
2023-02-13
| 資安日報 | OCPP | EV | IOS XE | iRent | LockBit | 供應鏈攻擊 | 烏克蘭戰爭 | Lazarus | CVE-2022-27925 | ICS | Modbus | Malvertising | MalVirt | PyPI | VSTO | CVE-2022-37042
【資安日報】2023年2月3日,駭客濫用Visual Studio的附加工具VSTO執行惡意巨集、惡意PyPI套件被用於竊取開發者電腦資料
為了於目標電腦執行惡意巨集,駭客濫用Visual Studio的附加工具來產生有關元件,突破微軟Office辦公室軟體的限制;有惡意PyPI套件被用於竊取開發者資料,或是成為駭客部署惡意軟體途徑
2023-02-03
| 軟體供應鏈攻擊 | PyTorch | PyPI | 惡意套件
PyPI軟體儲存庫新年假期間被上傳PyTorch冒牌相依性套件
PyTorch團隊在12月30日發現惡意的相依性套件torchtriton被上傳到PyPI,如果開發人員在12月25日到12月30日之間透過pip管理員安裝Linux 版PyTorch-nightly測試套件,應立即移除
2023-01-03
Check Point於10月底偵測到一隻PyPI出現的惡意套件,該套件運用隱寫術(steganography),將惡意程式碼藏在圖片中
2022-11-21
| PyPI | Python套件 | W4SP Stealer | 惡意程式
資安公司Phylum發現近期透過PyPI、所出版的29個Python套件含有惡意程式,會蒐集下載者在瀏覽器上所儲存的Cookie、密碼與憑證
2022-11-03