【資安週報】0323~0327，大規模供應鏈攻擊爆發，不僅開源弱點掃描工具Trivy遭滲透，還有LiteLLM遭植入後門事件

RSAC資安盛會登場，臺灣資安產業擴大參與

國際資安展會RSA Conference（RSAC）於3月23日至26日於美國舊金山舉行，今年臺灣資安產業明顯加大國際布局力道，由數位發展部部長林宜敬領軍，攜手8家本土資安業者進駐展場，包括中華資安、全景軟體、杜浦數位安全、匯智安全、奧義智慧、優倍司、鴻璟與一安智能，設立臺灣資安館展示我國在AI資安防禦、後量子密碼與零信任架構等關鍵領域的自主研發成果。

此外，趨勢科技也於大會期間正式向全球資安界人士，宣布新的品牌與策略調整，例如，針對企業資安事業群打出全新TrendAI品牌識別，而在該公司去年底的投資者關係大會上，他們也揭露集團旗下其他子公司品牌與市場定位，像是專注AI工廠整合的MagnaAI，以及消費者品牌TrendLife。

全球科技大廠頻頻揭露PQC遷移新進展

在後量子密碼學（PQC）方面，全球遷移進程持續加速。Google過去已經聚焦於瀏覽器與雲端服務的PQC升級，如今則進一步宣布，目標提前於2029年前完成PQC遷移，且其最新進展是規畫在Android 17導入PQC數位簽章標準ML-DSA，並整合至開機驗證、裝置身分驗證與金鑰管理等核心安全機制。

電腦設備商亦同步推進相關防護。Dell宣布將在商用電腦導入3項後量子防護措施，包括強化嵌入式控制器（EC）、於韌體供應鏈導入LMS演算法，以及提供主機外（off-host）BIOS驗證機制，以進一步提升平臺完整性與韌體安全；HP則針對商用電腦推出TPM Guard，保護TPM與CPU之間的通訊，防止TPM匯流排竊聽及TPM插入式攻擊，並強調硬體信任根是PQC遷移的優先項目。

臺灣3家上市公司發布資安重訊

在資安事件方面，臺灣有3家上市公司發布資安重訊，國際間的重要事件則包括汽車大廠馬自達、資安廠商Aura揭露資料外洩事件。
●居家貿易業者特力揭露海外子公司通報資安事件
●不織布大廠南六表示資訊系統遭受勒索病毒攻擊
●工業電腦廠融程電指出，公司使用第三方雲端平臺有部分資料遭非法存取，並收到相關勒索訊息，經查核心系統、營運資料與客戶隱私均不受影響。
●日本汽車大廠馬自達（Mazda）揭露其內部一套用於管理「泰國採購零件」的倉儲系統，於3個多月前遭入侵，致使約700筆員工與夥伴資料外洩，近日揭露調查結果，是營運系統安全漏洞讓駭客得以入侵資料庫。
●身分防護服務商Aura發生資料外洩事件，指出一名員工遭目標鎖定型的電話釣魚攻擊手法，導致其帳號遭駭，在一小時內有近90萬筆客戶聯絡資料遭存取。

Langflow漏洞修補後隨即遭攻擊者鎖定

在漏洞消息方面，根據CVEDetails.com統計，這一星期有1,700多個CVE漏洞公開揭露，除了關注上述Trivy的漏洞（CVE-2026-33634），需要特別留意LLM開發工具Langflow修補的重大漏洞CVE-2026-33017。因為資安公司Sysdig隨後指出，在修補釋出後僅20小時，便偵測到駭客開始大規模掃描，試圖尋找網路上存在漏洞的伺服器。

此外，電商平臺Adobe Commerce與Magento Open Source資安風險升溫，因為被揭露具有可用於網路攻擊行動的漏洞PolyShell，資安公司Sansec警告，該攻擊活動自3月19日出現跡象後，24日有56.7%網站遭植入惡意PHP程式碼，目前尚未有CVE編號公開。

另有2則已知漏洞首度發現遭利用的消息，包括：微軟在1月修補的SharePoint漏洞CVE-2026-20963，以及F5去年10月修補BIG-IP漏洞CVE-2025-53521，被美國CISA列入已知漏洞利用（KEV）清單。

特別的是，還有臺灣研究人員闡釋去年底協助React2Shell因應的消息。戴夫寇爾3月舉行年度研討會，除了警示企業AI應用莫輕忽Web防護，剖析Wi-Fi晶片與軟體供應鏈安全之餘，其壓軸演說更是展現臺灣研究人員亦有協助React2Shell因應，並獲得近1,000萬元的獎勵。這項揭露，不僅讓運用WAF協助暫時緩解漏洞攻擊受關注，也呈現全球面臨關鍵漏洞造成嚴重衝擊時，整個資安生態系的聯防體系運作，如同跨越「漏洞發現修補、多方緩解、促進修補與用戶行動」的防禦接力賽，需要各個環節共同承擔責任。

其他重要威脅與防禦態勢

●Google發布最新「M-Trends 2026」報告，指出全球有4成企業能在一星期內發現入侵，但2025年出現逆轉訊號，原因是更多網路間諜活動、北韓IT工作者、支付轉帳詐騙的入侵事件，延長全球整體駭客潛伏時間。
●微軟示警報稅季成網釣高峰，主要是近期發現數種型態的攻擊活動，其中一種是透過名為Energy365的網釣服務平臺（PhaaS），並搭配註冊會計師為誘餌的活動，鎖定納稅人和會計師發動攻擊。
●南韓資安公司AhnLab示警，發現駭客組織Larva-26002今年初鎖定微軟SQL Server，並利用合法工具在系統內植入惡意掃描工具ICE Cloud Scanner。
●資安公司Aikido示警，指出前述發動Trivy遭供應鏈攻擊的駭客組織TeamPCP，近期針對將CanisterWorm蠕蟲程式升級，增加具資料破壞攻擊的能力。
●有資安研究人員揭露名為Zombie ZIP的新攻擊手法，指出攻擊者可利用特製壓縮檔繞過防毒軟體與EDR端點偵測工具
●在盤點本星期資安週報消息時，我們另發現美國NIST發布SP 800-81r3《安全域名系統部署指南》，這是12年來的首次內容更新，因此值得留意，其核心重點涵蓋：將DNS納入零信任架構體系，賦予其政策執行點（PEP）與存取評估情資來源的雙重角色；此外，新版指南同步強化了權威DNS的DNSSEC部署與完整性驗證，並針對遞迴查詢首度提出用戶隱私與機密性的防護規範。

【3月23日】Oracle發布Identity Manager例外更新引起關注

上週末Oracle發布緊急公告，針對身分驗證管理平臺Identity Manager與網路服務管理平臺Web Services Manager推出更新，修補重大漏洞CVE-2026-21992，不過並未進一步說明其他細節。

【3月24日】駭客組織TeamPCP對程式碼掃描工具、NPM儲存庫從事供應鏈攻擊

上週末相當不平靜，駭客團體TeamPCP接連犯案，先是入侵開源漏洞掃描工具Trivy的GitHub Actions流程，藉此散布竊資軟體，後續在NPM儲存庫從事蠕蟲CanisterWorm活動，並針對伊朗的開發環境進行資料破壞；最新的動態是這些駭客又對另一款掃描工具KICS下手，甚至進一步染指Open VSX延伸套件。

【3月25日】大型語言模型串接套件LiteLLM慘遭駭客TeamPCP毒手

駭客組織TeamPCP針對開源生態系的攻擊仍持續進行，最新的消息是該團體染指大型語言模型串接套件LiteLLM，滲透開發工程團隊上架於PyPI的套件，有資安公司指出，攻擊者疑似已竊得50萬個憑證。

【3月26日】Google宣布將在2029年完成PQC遷移

針對後量子密碼學（PQC）的遷移，Google公布他們的規畫，他們將於2029年完成相關作業，而首波將在接下來推出的Android 17當中，導入美國國家標準暨技術研究院（NIST）提出的數位簽章標準。

【3月27日】數發部首度於RSA大會設立臺灣資安館

為了讓臺灣資安產業拓展國際市場，這次由數位發展部部長林宜敬領軍，帶領8家臺灣資安公司於國際資安展會RSA Conference（RSAC），在展場設立臺灣資安館（Cyber Taiwan Pavilion），向國際展示臺灣資安領域的實力。