【資安日報】5月26日，馬偕醫院再傳遭駭客竊取資料，院方表示疑為去年舊案

馬偕醫院再傳出遭駭客攻擊事件。今日國內多家媒體報導，有駭客組織宣稱取得馬偕全臺5家醫院1.2TB醫療資料。馬偕醫院今日發布聲明強調，經了解後疑似為2025年舊案，目前並未發現網路流量異常現象，並在得知此事的第一時間向臺北市調查處報案。

秘魯國家級緊急預警系統遭駭，破口是供應商帳號遭入侵

國家級緊急預警系統是政府傳遞警報的工具，若被不肖分子駭入並用於散布社會恐慌，將帶來動盪。近日秘魯的緊急預警訊息系統（SISMATE）便發生嚴重資安事故，因供應商帳號遭未經授權存取，導致大量民眾收到虛假預警。秘魯交通與通訊部（MTC）發布聲明指出，有攻擊者透過系統供應商Consorcio Everbridge的帳號非法存取SISMATE系統，發送虛假地震、海嘯警報，並夾帶與緊急應變無關的內容。

賓士德國、土耳其分公司均傳資安事件，外洩數十萬客戶資料

汽車大廠賓士（Mercedes-Benz）土耳其分公司疑似近日遭到勒索軟體攻擊，資安業者VECERT指出，有駭客組織將賓士土耳其分公司Mercedes-Benz Türk列入勒索外洩名單，研判外洩資訊可能來自賓士公司自行開發的Xentry車輛診斷系統的資料。此外，研究人員亦在4月間也發現涉及德國賓士分公司的資料外洩事件。目前賓士集團尚未證實資料外洩或資安事件一事。

Anthropic公布Project Glasswing實施一個月成果，Claude Mythos已找出超過三萬個資安漏洞

Project Glasswing計畫執行一個月後，Anthropic於5月22日公布成效，指出近50家合作夥伴利用Mythos預覽版找出逾1萬個漏洞，Anthropic亦運用Mythos掃描逾千個開源專案，共找出23,019個漏洞。另一關注焦點在於漏洞挖掘的品質，經6家資安公司與Anthropic審核其中1,752個高風險項目，確認有1,587個（90.6%）為有效弱點，並有1,094個（62.4%）被認定為高風險或重大漏洞。

資安業者Elastic揭露新型銀行木馬TCLBanker

資安業者Elastic揭露新型銀行木馬TCLBanker，研判這是既有Maverick／Sorvepotel惡意軟體家族的大幅升級版本。值得注意的是，該惡意程式會偽裝成Logitech軟體安裝程式，鎖定巴西59個銀行與加密貨幣網站，並能進行鍵盤側錄、螢幕截圖與遠端操控等遠端控制。目前該惡意軟體雖然專門針對巴西用戶，但仍存在跨區域散播的風險。

PHP開發框架Laravel的語言套件遭挾持，駭客植入竊資軟體

PHP開發框架Laravel的第三方語言套件專案Laravel Lang，其GitHub儲存庫近期遭到入侵，攻擊者針對三個套件，分別是laravel-lang/lang、laravel-lang/attributes、laravel-lang/http-statuses，發布指向帶有惡意程式碼版本的標籤，並在這些程式碼注入可竊取憑證的程式碼，並藉由composer元件的自動載入功能執行。根據資安公司Aikido的調查分析，由於惡意程式碼未曾提交到Laravel的官方儲存庫，而特別難以察覺，資安公司Socket、Step Security也著手調查此事，並指出還有一個專案Laravel-Lang/actions也遭遇攻擊。

GitHub出現大規模自動化活動Megalodon，六小時推送近6千筆惡意提交、5,500個儲存庫受害

GitHub面臨大規模自動化攻擊Megalodon，攻擊者在5月18日，於5,561個儲存庫提交5,718次惡意內容。揭露此攻擊活動的資安公司OX Security與SafeDep指出，這次駭客透過已棄用的帳號與偽造的作者身分，將經Base64編碼處理的bash酬載注入GitHub Actions的工作流程，並將CI機密、雲端憑證、SSH金鑰、OIDC權杖（token），以及原始碼等敏感資料偷偷傳出，整個過程僅花了6小時。

TrapDoor供應鏈攻擊透過NPM、PyPI、Crates散布竊資軟體

資安公司Socket揭露一起攻擊行動TrapDoor，目標鎖定加密貨幣、去中心化金融（DeFi）、Solana，以及AI社群開發者，駭客於NPM、PyPI、Crates滲透34個套件，上傳至少384個惡意套件版本，目的是竊取開發者的機密資料，包括加密貨幣錢包、SSH金鑰、雲端憑證、瀏覽器資料，以及環境變數。

Packagist遭遇供應鏈攻擊，8個套件被感染，駭客意圖透過GitHub散布Linux惡意軟體

過往軟體供應鏈攻擊多半針對NPM或PyPI儲存庫而來，如今有人將目標轉移到Packagist。資安公司Socket揭露針對Packagist的供應鏈攻擊事故，有8個套件受到影響，這些套件上游的儲存庫遭到竄改，被植入相同的惡意指令碼，其功能是從特定的GitHub網址下載Linux二進位檔案，並於系統背景執行。進一步追查攻擊者GitHub帳號，在17小時內發現777個惡意檔案，此結果顯示整起攻擊活動的規模比預期的更大。

內容管理系統Ghost的SQL注入漏洞被用於發動ClickFix網釣攻擊

內容管理平臺未及時修補的資安漏洞，有可能讓攻擊者有機可乘。中國資安公司奇安信揭露鎖定Ghost平臺的大規模攻擊活動，駭客利用已知漏洞CVE-2026-26980，取得網站的API金鑰，接著透過API大量竄改文章內容，於頁面植入惡意JavaScript載入工具，目的是建置假的Cloudflare人機驗證網頁（FakeCaptcha），進行ClickFix網釣攻擊，引誘瀏覽網頁的使用者在本機執行惡意命令。

Universal Robots修補工控機器人重大漏洞

全球主要協作機器人（cobot）廠商之一的Universal Robots，近日修補工控機器人作業系統PolyScope 5中的重大漏洞CVE-2026-8153，CVSS評分高達9.8分，漏洞存在於Dashboard Server介面，攻擊者可能透過命令注入遠端控制機器人與周邊設備。CISA也已對此漏洞發布ICS安全公告，呼籲企業儘速更新並強化網段隔離。

網路流量分析工具Wireshark發布新版本

知名開源網路流量分析工具Wireshark近日發布4.6.6版更新，修補ROHC與MACsec協定解析器漏洞，攻擊者可能利用特製封包造成程式當機與阻斷服務，主要問題影響4.6與4.4系列版本，新版本也同步修正Windows相容性與安裝問題，建議用戶儘速升級。

向量資料庫ChromaDB存在重大漏洞引發關注

開源向量資料庫ChromaDB Python FastAPI伺服器存在重大漏洞CVE-2026-45829，在GitHub相關回報中有人特別提到，這項漏洞主要影響Python實作部署方式後端，建議ChromaDB用戶改用不受影響的Rust實作版本。資安業者HiddenLayer更是指出，該漏洞從ChromaDB 1.0.0就存在，至1.5.8仍未修補，最新1.5.9也沒有明確說明是否修補。

Ubiquiti修補UniFi OS平臺三項滿分重大漏洞

網通設備商Ubiquiti修補旗下UniFi OS管理平臺的重大漏洞，這次修補包含3項CVSS嚴重性評分10.0滿分的漏洞，包括CVE-2026-34908、CVE-2026-34909、CVE-2026-34910，未修補可能導致攻擊者執行任意指令、存取系統底層敏感資訊等問題。

FBI警告Kali365釣魚即服務竊取Microsoft 365權杖

美國聯邦調查局（FBI）5月21日警告，Kali365釣魚即服務（PhaaS）正鎖定Microsoft 365環境。FBI強調，這類攻擊活動主要濫用Microsoft身分驗證機制中的合法裝置代碼流程（Device Code Flow），進而冒充可信任的雲端生產力或文件共享服務，郵件內含裝置代碼，並引導使用者前往真正的Microsoft驗證頁面輸入代碼，受害者完成驗證後，實際上是授權攻擊者控制的裝置存取其帳號。

AI是否加速Linux漏洞發現受關注，OpenSSF專家稱約三成漏洞通報為重複案例

近期Linux核心漏洞接連曝光，開源安全社群與Linux核心維護者怎麼看待？OpenSSF首席安全架構師Christopher Robinson即表示，隨著更多人使用AI工具進行漏洞研究，回報的Linux資安漏洞約有30%是重複案例。CloudLinux執行長Igor Seletskiy則指出，過去通常每年只會出現一、兩個影響多個Linux發行版的LPE漏洞，但近期一週內就出現兩個類似漏洞值得企業留意，並認為這類趨勢可能還會持續數月。

臺灣AI治理將從政府擴及產業與資料治理

臺灣《人工智慧基本法》共有20條，其中多項條文涉及全新的AI治理制度設計，國科會前瞻及應用科技處處長蔡妙慈表示，政府正討論建立資料開放、共享與再利用機制，但前提仍須兼顧個資與隱私保護。她強調，AI發展速度極快，政府希望透過《人工智慧基本法》的落實，以及國科會、數發部與各部會的分工協作，建立可信任的AI治理生態系，讓臺灣不只是AI技術供應者，也成為具備治理能力的AI應用國家。

Visa揭示支付威脅新趨勢：犯罪集團轉向攻擊「人」而非破解技術

支付安全新挑戰浮現，Visa於5月20日發布2026年春季半年度威脅報告，指出網路層面的技術防護雖有成效，但罪犯已將矛頭轉向利用AI與社交工程，誘騙使用者自行授權付款。報告中指出，詐騙已成為成長最快的受害類型，在2025年7月至12月間，共偵測到近10億美元的詐騙相關企圖。Visa指出，防禦重心必須從「偵測遭竊憑證」，轉向「偵測並瓦解欺騙行為」。

NIST發布SP 800-172第三版修訂，強化對抗APT韌性

美國國家標準與技術研究院（NIST）更新SP 800-172，於5月13日發布第三版。這套指南是建立在現行的SP 800-171基礎合規框架之上，專為保護關鍵計畫與高價值資產（HVA）所設計的增強型規範，目的是協助建立抵禦進階持續性威脅（APT）的深層防線。無論企業是為了支援CMMC的合規、強化供應鏈韌性、與風險管理框架（RMF）對接，將可參考新版指引來行動。

微軟推.NET版MCP代理治理套件，控管AI代理工具呼叫風險

微軟推出.NET版MCP代理治理擴充套件預覽版，其特色是，讓開發者在建置MCP伺服器時，就能加入治理機制，控管工具是否能被呼叫、呼叫時是否符合政策，以及啟動前掃描、回應內容遮蔽，以及稽核與指標蒐集機制，降低代理誤用工具或接收惡意輸出的風險。

近期資安日報

【5月25日】GitHub內部儲存庫的程式碼外流，確認遭供應鏈攻擊事故波及

【5月22日】微軟修補防毒軟體零時差漏洞

【5月21日】近兩個月研究人員公布的零時差漏洞已能串成攻擊鏈