【資安日報】4月28日，資安院宣布第二屆漏洞獵捕活動，為公務機關最常使用的軟體抓漏

為鼓勵國內業者重視產品資安，數發部資安院在去年12月舉辦首屆漏洞獵捕（Bug Bounty）活動，邀請研華、威強電等11家業者參加，超過20項產品參與，共有179名資安研究人員參與，發現約20個漏洞，資安院為引導資安社群與產業建立機制，預告今年第四季將舉辦第二屆漏洞獵捕活動，鼓勵研究人員使用AI工具輔助，以增加找到漏洞的機會，針對的產品也從首屆活動以硬體、網通產品為主，第二屆活動將以公務機關使用最多的軟體產品為對象。

Checkmarx證實GitHub資料遭駭客團體Lapsus$流入暗網

4月22日資安公司Checkmarx發生供應鏈攻擊，VS Code延伸套件與掃描工具KICS的Docker映像檔被入侵，後續調查結果出現新的進展，4月26日Checkmarx公布新的調查結果，他們在第三方鑑識公司的協助下進行調查，有網路犯罪團體將該公司的資料於暗網公開。根據相關證據，這些資料來自Checkmarx的GitHub儲存庫。隔天Checkmarx發布新的內容，表示這是源自Trivy供應鏈攻擊的事故，該公司研判，攻擊者藉此取得憑證，而能夠未經授權存取他們的GitHub儲存庫，並以此發布惡意程式碼。

蠕蟲程式GlassWorm透過73個VS Code延伸套件潛伏於Open VSX儲存庫

資安公司Socket指出，他們在3月於Open VSX發現73個惡意VS Code延伸套件，這些套件大部分看起來無害，但有6個已顯露真正的意圖，被用來傳送GlassWorm。該公司指出，這些惡意套件與今年3月揭露（1月發現）的活動有關，並遵循近期GlassWorm的攻擊模式，那就是惡意套件本身最初發布時，都不會出現明顯的有效酬載，之後駭客再透過延伸套件的更新機制傳遞惡意軟體。

RPC零時差漏洞PhantomRPC可被用於提升權限

資安公司卡巴斯基近日公布零時差漏洞PhantomRPC，此漏洞與Windows作業系統的遠端程序呼叫（RPC）有關，攻擊者有機會以此提升本機權限至SYSTEM，所有版本的Windows作業系統都可能受影響。由於該弱點源自系統架構的弱點，潛在的攻擊手法近乎無限多種，原因是只要透過任何RPC的處理程序或服務，都有可能引入一種權限提升的路徑而觸發漏洞。

Linux作業系統套件管理器存在資安漏洞Pack2TheRoot，攻擊者能取得root權限

德國電信公司Deutsche Telekom紅隊團隊近日公布高風險資安漏洞Pack2TheRoot，此漏洞存在於套件管理工具PackageKit的處理程序，影響Ubuntu、Debian、Fedora等多個Linux發行版，非特權攻擊者可在未經授權的情況下，安裝或移除系統套件，而有機會取得受害主機的root權限，或是透過其他管道入侵受害電腦。此漏洞被登記為CVE-2026-41651，CVSS風險評為8.8分，屬高風險等級，PackageKit開發團隊獲報後發布1.3.5版予以修補。

Linux惡意軟體GoGra濫用Microsoft Graph API隱匿活動蹤跡

賽門鐵克與Carbon Black威脅獵捕團隊發現，APT駭客組織Harvester近期開發了Linux後門程式GoGra，此惡意軟體具備高度迴避偵測的能力，利用微軟Graph API與電子郵件信箱服務Outlook建立C2通訊，疑似打算在印度與阿富汗從事網路間諜活動。由於此駭客組織的活動最早可溯到2021年，當時使用後門程式Graphon攻擊Windows電腦，GoGra的出現，代表Harvester採取跨平臺攻擊的策略。

中國駭客Tropic Trooper鎖定臺灣、日本、韓國，透過Adaptix C2與VS Code隧道控制受害電腦

資安公司Zscaler於3月12日發現鎖定臺灣使用者發動攻擊的惡意ZIP檔，該項行動由Tropic Trooper發起，並使用軍事相關的誘餌發動多階段攻擊，他們竄改PDF檢視器SumatraPDF的二進位檔案，用來部署AdaptixC2的Beacon代理程式，最終目的是下載與部署Visual Studio Code（VS Code）隧道。根據分析的結果，這些駭客的主要目標是使用中文的臺灣用戶，不過也有日本與韓國用戶受害。

中國駭客GopherWhisper鎖定蒙古，利用多種雲端服務從事網路間諜活動

資安公司ESET揭露中國駭客GopherWhisper，這些駭客使用多種以Go語言撰寫而成的工具於蒙古某個政府機構部署並執行各種後門程式LaxGopher、RatGopher、SSLORDoor與BoxOfFriends，這些駭客也濫用Discord、Slack、Microsoft 365 Outlook，以及雲端檔案共享服務file.io等合法服務，進行C2通訊與資料外洩。

醫療設備製造商美敦力資料外洩，駭客聲稱竊取逾900萬筆個資

4月24日醫療器材大廠美敦力（Medtronic）發出聲明，證實資訊系統的資料遭到未經授權的第三方存取，事發後該公司立刻採取遏止措施、啟動事件應變程序，並找出疑似被存取的個人資訊。不過，該公司強調，這起事故對於他們的產品、病人安全、與客戶的連結、製造與分銷、財務報告系統未受到影響，也不影響他們因應病人需求的能力。資安新聞網站Bleeping Computer指出，聲稱入侵美敦力的駭客團體就是ShinyHunters。

網路學習平臺Udemy傳資料外洩，ShinyHunters聲稱竊得140筆個資

惡名昭彰的駭客團體ShinyHunters於4月24日宣稱，他們手上握有大型網路學習平臺Udemy的內部資料，並要求該公司必須在4月27日前取得聯繫並支付贖金，不然就要將竊得資料公諸於世（Pay or Leak）。針對外洩的資料，ShinyHunters聲稱包含超過140萬筆個人可識別資訊（PII），以及該公司的企業內部資料。不過，駭客並未公布部分資料供買家確認。

CISA警告D-Link路由器命令注入漏洞被用於實際攻擊

上週資安公司Akamai揭露殭屍網路Mirai變種tuxnokill攻擊行動，駭客利用命令注入漏洞CVE-2025-29635，綁架產品生命週期已經結束（EOL）的D-Link路由器DIR-823X，現在美國政府也證實該漏洞遭到利用的情況。4月24日美國網路安全暨基礎設施安全局（CISA）將4個資安漏洞列入已遭利用的漏洞名冊（KEV），並要求聯邦機構必須於5月8日完成修補，其中一個漏洞就是CVE-2025-29635。

Notepad++修補字串輸入漏洞，未更新可能導致資訊洩漏或程式當機

開源文字編輯器Notepad++近日發布公告，揭露可能導致資訊外洩或應用程式當機的漏洞，會影響8.9.3以前版本，解決辦法是升級到已修補的8.9.4版。這項漏洞的編號為CVE-2026-3008，問題源自Notepad++的FindInFiles功能未妥善處理特定輸入字串，攻擊者可利用此漏洞讀取記憶體內容，或觸發應用程式異常終止。

Tenable修補Nessus弱點掃描代理程式漏洞，未更新可能導致攻擊者取得SYSTEM權限

資安廠商Tenable近日發布公告，揭露旗下弱點掃描工具Nessus的Windows版代理程式存在高風險漏洞CVE-2026-33694，是由外部研究人員發現並向Tenable通報，CVSS嚴重性評分達8.2分，源自於Nessus代理程式執行檔案存取前，未妥善驗證檔案連結，在Windows系統環境中，擁有本機存取權限的攻擊者可以建立惡意的連接點（junction），誘使Nessus代理程式以SYSTEM權限刪除任意檔案，並進而以SYSTEM權限執行任意程式碼。

CrowdStrike修補LogScale重大漏洞，未更新可能導致遠端讀取任意檔案

端點防護與雲端資安平臺廠商CrowdStrike近日發布安全公告，修補旗下日誌分析與監控平臺LogScale重大漏洞CVE-2026-40050，一旦該系統暴露在網際網路，遠端攻擊者可利用此漏洞，在未通過身分驗證的狀態下，讀取伺服器檔案系統的任意檔案，CrowdStrike表示尚未發現此漏洞的濫用跡象，但仍建議所有自行建置版用戶升級，以降低攻擊風險。

LMDeploy LLM推論工具SSRF漏洞公開後13小時內即遭利用

資安公司Sysdig指出，InternLM開發的LMDeploy大型語言模型推論工具，在伺服器端請求偽造（SSRF）漏洞公開後，不到13小時就出現利用嘗試。該漏洞編號為CVE-2026-33626，影響LMDeploy 0.12.3之前版本，官方已在0.12.3版修補。CVE-2026-33626漏洞風險在於，攻擊者可透過模型請求中的image_url欄位，讓LMDeploy伺服器代為存取雲端中繼資料服務（metadata service）、內部網路或其他原本不應對外暴露的資源。

Python存在高風險的記憶體存取漏洞，未修補可能導致越界寫入與記憶體資料損毀

廣泛使用的高階程式語言Python存在高風險漏洞CVE-2026-3298，可能導致越界寫入（Out-of-Bounds Write）問題，進而造成記憶體資料毀損，此漏洞已由Python軟體基金會登記CVE編號，並於CPython程式碼庫提交修補程式，建議使用者儘速更新。這項漏洞的CVSS嚴重性評分達8.8分，是在4月21日由研究人員Seth Larson揭露，他透過Python安全公告郵件清單（security announcement mailing list）公開此事。

用AI發現漏洞還不夠，Google指出自動化大規模修補才是防禦核心

將AI用於資安防禦以對抗AI攻擊，已成為各界關注焦點，特別是近期AI在漏洞挖掘能力上的高速推進，然而，AI大廠Google認為，解決資安漏洞風險的關鍵，不只在於大規模「找出」漏洞，更關鍵的是，如何運用AI大規模且高效率地「修補」漏洞。近日Google工程部門副總裁Royal Hansen來臺，揭露自動化防禦的最新發展。

【2026 企業資安大調查｜資安預算變化】整體資安預算大增13％，金融業更加碼近2成

資安管理向來是企業資訊長和資安長的年度優先目標，近兩三年來，加上主管機關對上市櫃公司的資安法遵要求，如資安長設置要求，訂定資安事件重大訊息揭露標準等，促使企業投入更多資源來落實資安管理。根據2026 iThome CIO&CISO大調查，多數產業的資安預算皆成長，平均資安預算成長率高達13%，只有政府學校的資安預算比去年略減了4%。

【2026 企業資安大調查｜資安人才需求】因應資安人才缺口， 3成CIO想靠AI緩解

過去幾年，資安人才更成了超級搶手的人才，不分產業也都吹起了資安人才荒。在去年大調查中，我們開始調查資訊長和資安長對於AI緩解IT人才荒的看法，尤其是資安人才和開發人才缺口的緩解。去年已超過7成資訊長和資安長認同AI的確可以緩解IT人力需求，今年這個比例再次上升，達到77%之高，幾乎每五位資訊長，就有四位認為可以藉助AI來分擔人力。

【2026 企業資安大調查｜企業AI資安挑戰】人才和資料治理是AI資安兩大難題

隨著越來越多企業擁抱生成式AI，AI資安風險也成了資訊長和資安長當前最大的新挑戰。根據2026年iThome CIO&CISO大調查，從生成式AI發展成熟度來看，臺灣大型企業中，有23%的企業已經在正式環境中運用生成式AI，另有33%企業正在導入和驗證階段，26%的企業今年才開始計畫。換句話說，超過2成資安長日常工作已經開始面臨種種AI資安挑戰，另有5成資安主管至少得開始準備因應。

近期資安日報

【4月27日】後門程式FireStarter鎖定思科防火牆發動攻擊

【4月24日】資安公司Checkmarx遭遇供應鏈攻擊

【4月23日】近1,300臺SharePoint伺服器尚未修補已遭利用的欺騙漏洞