【資安日報】4月2日，手機門號語音信箱預設密碼成Line帳號盜用新破口

新聞

近期有不少Line用戶在網路上反映，他們使用的Line帳號無預警遭到強制登出，即使想要重新登入也失敗，經比對帳戶被盜的用戶背景，發現多為台灣大哥大用戶，更有些案例集中在合併前的台灣之星用戶，究其原因可能為用戶使用語音信箱預設密碼，再加上開啟可由外部電話存取的機制，讓攻擊者有機可趁，透過遠端聽取驗證碼語音訊息，進而重設帳號登入資訊。

對此，台灣大哥大宣布啟動多項強化措施。首先，全面取消語音信箱預設密碼，並強制所有用戶在啟用遠端聽取功能之前，必需設定密碼，降低未經授權存取風險。此外，針對從其他裝置啟用語音信箱的行為，導入類似KYC流程的客服驗證機制，以防止非本人操作。

Google修補今年第4個Chrome零時差漏洞

3月31日Google發布Chrome更新，其中最受到關注的部分，是修補已遭利用的CVE-2026-5281，此為今年公布的第4個Chrome零時差漏洞，Windows與macOS版用戶應更新為146.0.7680.177/178，Linux版用戶應更新為146.0.7680.177因應。

CVE-2026-5281影響Chrome的Dawn元件，此為記憶體釋放後再存取利用（Use After Free）漏洞，可讓遠端攻擊者誘使用戶造訪變造過的HTML網頁，破壞渲染流程而在用戶裝置上執行任意程式碼。4月1日美國主管機關CISA列入已遭利用漏洞（KEV）名單。

ShinyHunters宣稱竊得思科300萬筆Salesforce資料

日前資安新聞網站Bleeping Computer報導，思科傳出遭遇一起網路攻擊，駭客利用Trivy事故外流的憑證，入侵該公司的內部開發環境，並竊取該公司與其客戶的原始碼。知情人士透露，這起事故至少有兩組人馬參與，現在傳出惡名昭彰的駭客團體ShinyHunters宣稱犯案。

資安研究專家Dominic Alvieri發現，近日ShinyHunters將思科列於網站，號稱他們透過Salesforce、Aria，以及AWS帳號等3種管道，從思科的Salesforce竊得超過300萬筆記錄，內容涵蓋個人可識別資料（PII）、GitHub儲存庫、AWS儲存桶，以及其他公司內部資料。資安新聞網站Cybernews認為，這起事故疑似與Trivy供應鏈攻擊有關。

駭客透過WhatsApp散布惡意軟體，試圖繞過UAC防護機制

微軟揭露透過WhatsApp訊息接觸使用者的攻擊活動，駭客藉由傳送惡意Visual Basic Script（VBS）檔案，試圖於受害電腦啟動多階段感染鏈，目的是建立能夠持續存取的管道，並啟動遠端存取的機制。

這起事故發生於今年2月下旬，駭客結合社交工程與寄生攻擊（LotL）手法，將正常的Windows公用程式curl.exe與bitsadmin.exe，重新命名為netapi.dll和sc.exe，並試圖融入系統環境的運作。接著，攻擊者從AWS、騰訊雲，以及Backblaze B2等雲端服務擷取有效酬載，最終透過惡意MSI安裝檔維持對系統的控制。

山寨知名Chrome擴充程式使用「提示盜取」手法竊取企業敏感資訊

資安公司Expel於2月發現數十個Chrome擴充程式執行提示盜取活動。這些擴充程式看似合法，不過部分冒充知名App，且內含惡意蒐集用戶AI對話內容的功能。例如，有多個是冒充Aitopia開發的Chrome擴充程式，如Chat GPT for Chrome with GPT-5和Claude Sonnet& DeepSeek AI。有的則難以分辨真偽，如Talk to ChatGPT、AI Sidebar with Deepseek、ChatGPT、Claude等。

也有部分App疑似遭遇供應鏈攻擊，駭客在後續更新加入惡意功能。例如，Urban VPN Proxy原本是合法工具，也在Chrome及Edge程式市集上架，並曾達到600萬Chrome用戶下載量。但去年12月資安研究人員發現，在一次更新被植入惡意功能，任何安裝此擴充程式的用戶，就會被竊取AI對話內容。

Vim文字編輯器修補重大漏洞，未更新可能導致遠端執行程式碼

在開發與系統管理領域均被廣泛使用的文字編輯器Vim，絕大多數類Unix系統均將其列為標準配備，近日維護這個開源軟體專案的團隊發布安全公告，修補可能導致遠端執行任意程式碼的重大漏洞。

這個漏洞的編號為CVE-2026-34714，CVSS嚴重性評分達9.2分。問題是因Vim用於管理分頁（tab）功能的tabpanel，未套用必要的安全旗標（flag），導致攻擊者可透過內含%{expr}指令執行字串的特製檔案，一旦用戶被誘使開啟檔案，攻擊者即可藉此獲得Vim使用者的權限，從而執行任意指令。

AI再度立功，Claude找出Vim與GNU Emacs的資安漏洞

3月30日Vim開發工程團隊發布資安公告，修補高風險資安漏洞CVE-2026-34714，該問題從9.1.1391版引入，初步評估CVSS風險為8.2分，後續MITRE上修為9.2分，將其評為重大等級。通報此事的資安研究員透露，他們透過AI找到這個漏洞。

資安公司Calif研究員Hung Nguyen透過部落格文章指出，他們找出CVE-2026-34714的過程，借助了Claude的力量，下達在Vim找到漏洞的相關提示，結果AI提供了能用於遠端程式碼執行（RCE）的弱點，攻擊者只要開啟檔案，就能利用。接著，他們也如法炮製，成功透過Claude在另一個文字編輯器GNU Emacs找出RCE漏洞。

CISA要求聯邦機構限期因應Trivy重大供應鏈事故

美國網路安全與基礎設施安全局（CISA）近日警告，3月下旬揭露的重大漏洞CVE-2026-33634已被實際利用，未修補此弱點的Trivy掃描工具應用環境風險大增，CISA將其納入已知遭利用漏洞清單（KEV），要求各單位於4月9日前採取行動。

CVE-2026-33634屬於嵌入惡意程式碼類型（Embedded Malicious Code）弱點，CVSS嚴重性等級達9.4分，源自資安公司Aqua Security維護的弱點掃描工具Trivy，在3月下旬遭遇的軟體供應鏈攻擊事件，目前已調查出是駭客組織TeamPCP發動，其手法並非修改Trivy核心程式碼，而是入侵其GitHub Actions流程，藉此散布用於竊取敏感資料的惡意軟體。

Google Drive勒索軟體偵測服務全面上線，提供企業、教育用戶

去年九月，Google為Workspace用戶加入Google Drive勒索軟體偵測和檔案復原服務，如今從Beta階段邁向正式推出，該公司本週宣布，這項服務全面上線，並提升偵測能力。

這些服務運用AI偵測防範惡意程式，針對Windows、macOS電腦版Google Drive應用程式提供防護。當勒索軟體偵測服務偵測到勒索軟體時，會暫停檔案同步，且向用戶發送通知。管理員則可在管理員（Admin）控制臺安全中心看到警示。用戶和管理員都會收到通知信件。檔案回復服務則是讓使用者在發生勒索軟體加密檔案後，從雲端大量回復未受損的檔案，過去25天內有過異動（如新增或更新）的檔案皆可還原。

駭客鎖定企業雲端環境的初始入侵手法大洗牌，語音網釣居冠

隨著企業上雲漸趨普及，雲端環境亦成為駭客攻擊的首要目標之一，根據Google最新發布的M-Trends 2026報告顯示，以全球態勢而言，攻擊者針對雲端環境使用的初始入侵手法，在2025年有顛覆性的變化，最常使用的滲透手段是語音網釣（Vishing），而非以往的電子郵件網釣。

從整體排名來看，如今攻擊手法已呈現高度多元化，語音網釣（23％）的比例居於第一，第三方供應鏈入侵（17％）居於第二，其次是憑證竊取（16％）、電子郵件網釣（15％）、內部威脅（14％）、漏洞利用（6％），以及其他（14％）。

建通遭網路攻擊，集團部分資訊系統受影響

電子零組件廠建通（2460）於4月1日發布重大訊息公告，指出該公司及旗下重要子公司部分資訊系統遭受網路攻擊，目前已啟動資安應變與系統復原機制。

建通表示，此次事件影響範圍包含集團內部系統，以及重要子公司如蘇州建通光電端子與越南建通電子五金等據點，顯示攻擊可能涉及跨區域營運環境。

其他資安威脅

◆FBI針對中國行動裝置App提出警告，收集的用戶資料恐被用於網路攻擊

◆安卓惡意軟體NoVoice透過Google Play感染230萬臺裝置

◆為防堵DarkSword攻擊，蘋果對於更多iOS 18用戶提供軟體更新

◆惡意軟體CrystalRAT為駭客提供木馬、竊資軟體，以及惡作劇功能

◆惡意工具包EvilTokens具備裝置碼網釣功能，攻擊者可用於挾持微軟帳號