資安

零信任已成美國政府看重的網路安全策略，如何實踐該國政府正接連提出具體計畫，近期美國行政管理和預算局在9月已經推出「聯邦零信任戰略」草案，將逐步要求整合身分驗證系統、採用避免釣魚的MFA，EDR也成必須，並要求加密所有DNS請求與HTTP流量，以及制定網路分隔計畫等，草案中從五大面向提出具體行動。

2021年下半舉行的Pwn2Own駭客競賽在ZDI德州奧斯汀總部舉行，總計有來自22個國家的58個隊伍參賽，攻擊目標涵蓋Google Pixel 5、Samsung Galaxy S21、蘋果iPhone 12，以及印表機、NAS、智慧喇叭及網路電視等22種裝置

歹徒利用加密貨幣的分散式特性提高警方偵查難度，一旦受害者誤入騙局，被騙走的加密貨幣恐無法被追回

駭客對bZx平臺開發人員成功進行網釣攻擊後，得以駭入系統並竊取在bZx協定上所部署的BSC與Polygon私鑰，並清空該協定上的錢包

又是駭客挾持熱門Npm套件開發者帳號，並發布帶有惡意程式碼的套件！許多開源專案採用的COA（Command-Option-Argument）Npm套件出現惡意版本，攻擊者企圖在開發人員的電腦上進行竊密

今年8月底公開BrakTooth漏洞細節的研究人員，在本周（11/1）進一步將概念性驗證攻擊程式發布於GitHub平臺

在本日的資安新聞中，包含了熱門Npm套件遭挾持加入惡意程式碼、Magecart信用卡側錄攻擊再度升溫，以及Linux核心出現重大漏洞等

竊密軟體Snake在全球橫行的態勢，引起不少資安人員關注，但究竟為何會有這麼多攻擊者使用Snake？資安業者Cybereason指出，其中一個原因，就是駭客取得這項工具的成本不高，卻能偷取受害電腦50種應用程式的帳密