ReversingLabs(RL)的机器学习威胁狩猎系统近日发现,PyPI中的合法外观Python包“aiocpa”被用于窃取加密货币钱包。该包伪装为同步和异步的加密支付API客户端,已被下载超过12100次。攻击者通过发布多个版本建立信任,并在版本0.1.13及之后的更新中植入恶意代码。此代码通过多层加密隐藏,旨在窃取加密交易令牌,可用于转移受害者的钱包资金。攻击者甚至试图接管已有的PyPI项目“pay”,以扩展受害者范围。传统应用安全测试工具未能检测出此攻击,因为恶意代码未出现在其GitHub代码库中。然而,RL的SpectraAssure系统通过行为分析及时识别了威胁,并于2024年11月向PyPI报告,该包随后被移除。此次事件表明,开源软件供应链威胁日益复杂,用户需定期评估第三方代码和工具。PyPI用户应警惕包名接管攻击,并通过固定依赖项及版本号来防止恶意更新。
CiscoNX-OS软件的启动加载器存在一个漏洞(CVE-2024-20397,CVSS评分:5.2),影响超过100款交换机设备。此漏洞允许攻击者绕过镜像签名验证,加载未经验证的软件。根据Cisco的安全公告,攻击者可以通过物理访问设备或使用本地管理员凭据,执行一系列启动加载器命令以触发漏洞。这一问题源于启动加载器配置的不安全设置,可能导致系统运行未经验证的NX-OS镜像,从而威胁设备的完整性。目前,Cisco尚未发现该漏洞在野利用的案例,并表示部分已停止漏洞支持的设备(如Nexus92160YC-X)将不会收到修复补丁。此外,此漏洞没有适用的临时解决方案,用户需尽快升级至补丁版本的BIOS以确保安全。此次事件警示了硬件设备启动过程安全的重要性,建议企业优先更新受影响设备,并加强设备物理安全防护。
SpecterOps团队早前发布了一篇关于绕过浏览器隔离环境的技术博客,而Mandiant的红队更进一步,提出了利用QR码完成命令与控制(C2)通信的新方法。在浏览器隔离环境中,传统的HTTP响应无法直接被本地浏览器解码,因为用户仅能接收到像素流,而非实际的HTTP数据响应。Mandiant的方案创新性地通过QR码传递命令数据。具体过程如下:恶意植入程序使用无头浏览器(如Puppeteer)向C2服务器请求页面,服务器返回包含命令数据的HTML页面,其中命令以QR码的形式嵌入。远程浏览器将页面以像素流的方式传回本地浏览器,植入程序通过截图捕获QR码并使用嵌入的QR扫描库解码命令,然后执行对应任务。植入程序将命令输出编码到URL参数中,通过浏览器访问特定URL将结果传回C2服务器。通过这一循环,攻击者可以在高度隔离的浏览器环境中实现隐蔽的数据传输。
该恶意软件似乎是Monokle的新版本,Monokle最初由Lookout在2019年发现,由总部位于圣彼得堡的特种技术中心有限公司开发。
欧盟刑警组织近日宣布,在一项代号为“Passionflower”的国际联合行动中,法国和荷兰警方成功捣毁了一个名为Matrix的非法加密通信服务。
移动安全公司iVerify在今年5月发布了一个工具,可用于扫描手机是否感染了以色列公司NSOGroup开发的间谍软件Pegasus。2500名用户扫描设备后发现了7起Pegasus感染事件。这意味着Pegasus的传播范围比以前认为的更为广泛。
微软推出了Azure防火墙和Azure标准负载均衡器之间的新集成功能,使用户能够创建更强大、更安全的网络体系结构。
流行的UltralyticsYOLO11AI模型在供应链攻击中遭到破坏,在运行Python包索引(PyPI)版本8.3.41和8.3.42的设备上部署加密挖矿程序。
领先的网络安全研究团队Zafran表示,最近在Web应用程序防火墙(WAF)服务配置中发现了一个被称为“BreakingWAF”的安全漏洞,该漏洞使许多财富1000强公司容易受到网络攻击。
大家都在学
Windows7操作系统安全
Weblogic_ssrf实例
SQL注入之绕过is_numeric过滤
指导单位:中国网络空间安全协会(CSAC)中国网络空间安全人才教育论坛(CEAC)