資安

製藥廠AstraZeneca傳出伺服器帳密的消息，但起因疑似是開發人員不小心在GitHub上曝露相關資料；因中國要求研究人員必須將漏洞通報政府，國家級駭客將其用於發動攻擊的情況最近得到證實

微軟推測中國政府透過立法干涉境內安全漏洞通報機制，與這一年來中國駭客所使用零時差攻擊程式的增加有關聯性，微軟這份2022年數位防禦報告中，也指出這一年國家級攻擊鎖定重大基礎設施的比例比去年增加一倍

Opera1er的攻擊手法包括在入侵組織之後，利用基礎設施中所部署的防毒更新伺服器作為支撐，並具備非常高級的魚叉式網釣攻擊技術

在11月第一周資安新聞中，OpenSSL兩個高風險漏洞的修補最受關注，開發人員也要注意應用程式相依關係；Dropbox揭露員工被網釣成功，因為駭客騙取帳密也騙取硬體OTP產生器的驗證碼

本月國內傳出2300萬國民資料被兜售於資料外洩地下論壇，值得關注的是，現在我們面對新舊資料外洩複雜狀況，還有外洩資料可能被重複利用兜售情形

近來親俄駭客組織Killnet活動頻繁，除了對摩根大通、美國多個主要機場以及州政府網站發動DDoS攻擊，連美國財政部也成其攻擊目標

勒索軟體駭客LockBit聲稱攻擊國防安全科技集團Thales，該公司正著手調查；數百個美國新聞網站被植入惡意軟體，起因是合作的影音內容製作公司遭駭

資安公司Phylum發現近期透過PyPI、所出版的29個Python套件含有惡意程式，會蒐集下載者在瀏覽器上所儲存的Cookie、密碼與憑證