Skip to main content
← Back to board (業界新聞)

【資安日報】6月3日,紅帽NPM套件遭遇蠕蟲Miasma供應鏈攻擊

by
iThome
iThome Bot ·
Posted in 業界新聞
新聞

資安公司OX Security與Aikido揭露,紅帽(Red Hat)在NPM套件庫的雲端服務相關套件遭植入惡意程式Miasma,此為Shai-Hulud新變種,開發者一旦安裝遭污染的套件,電腦或開發環境中的登入權杖、雲端服務憑證及其他敏感資料,都可能被惡意程式讀取並外傳。OX Security研究人員分析,該事件影響@redhat-cloud-services至少31個套件,GitHub上也已發現超過210個含有遭竊憑證的儲存庫。Aikido指出,受影響範圍可能達32個套件、96個版本。

俄羅斯駭客GreyVibe濫用生成式AI,攻擊烏克蘭企業組織

隨著AI應用普及,許多駭客也開始濫用這些工具,從事網路攻擊活動。最近資安公司WithSecure揭露的俄羅斯駭客組織GreyVibe,就屬這種型態的例子。活動最早可追溯到2025年8月,駭客利用多種攻擊途徑,攻擊烏克蘭軍事機構、政府機關、企業組織,以及一般民眾。值得留意的是,GreyVibe在整個運作的過程裡,系統性地運用生成式AI與大型語言模型(LLM),這些駭客高度依賴大型語言模型,並反覆發生操作安全錯誤,其中一款該組織開發的惡意程式LegionRelay,存在設計上的缺陷。

GreyVibe借助生成式AI,發起3種型態的攻擊行動

資安公司WithSecure近日揭露俄羅斯駭客團體GreyVibe,並指出這些駭客借助AI與大型語言模型(LLM)的力量從事網路攻擊活動,值得留意的是,這些駭客至少透過3種管道散布惡意軟體。其中最早出現的是PhantomMail網釣活動,GreyVibe從2025年8月開始,至今已發動6次攻擊;GreyVibe於2025年10月初短暫嘗試ClickFix手法的攻擊行動PhantomClick,他們利用假的CAPTCHA驗證網頁來散布惡意軟體;還有一種是GreyVibe假冒女性引誘烏克蘭軍人上當的PrincessClub。

國家級駭客濫用ROADtools,鎖定微軟雲端身分識別環境

網路資安廠商Palo Alto Networks旗下威脅情報團隊Unit 42指出,原本用於紅隊演練與資安研究的開源工具組ROADtools,已被攻擊者整合至雲端攻擊行動,用於列舉Microsoft Entra ID、註冊Entra ID裝置,以及取得、交換與操控Microsoft Entra ID權杖。攻擊者利用ROADtools時,並非透過記憶體破壞漏洞或在主機植入惡意程式,而是濫用企業日常使用的驗證流程與API,因此防禦重點應放在身分識別控管。企業可啟用Microsoft Entra ID權杖保護、透過條件式存取限制裝置驗證碼流程等措施因應。

駭客組織DriveSurge劫持數千個合法網站,結合運用ClickFix與FakeUpdates手法散布惡意軟體

以軟體更新或修復問題為誘餌,誘導受害者下載惡意軟體或執行惡意指令的FakeUpdates與ClickFix攻擊手法,近來出現結合運用的案例。資安公司Silent Push近日發布報告,揭露新興網路犯罪組織DriveSurge劫持數千個合法網站,藉此發動大規模惡意軟體散布活動,並能分析受害者情境,切換使用FakeUpdates與ClickFix手法來誘導受害者。DriveSurge主要扮演初始入侵管道掮客(IAB)角色,採用按安裝次數計費(Pay-Per-Install,PPI)模式運作。

Windows銀行木馬Grandoreiro出現新進化,利用WebRTC網頁即時通訊與DLL側載技術強化隱匿能力

肆虐近十年的Windows銀行木馬軟體Grandoreiro,出現新一波攻擊活動。資安業者WatchGuard近日揭露Grandoreiro出現強化隱匿性的新版本,並鎖定歐洲與拉丁美洲金融服務與銀行用戶發動攻擊。Grandoreiro具備竊取銀行認證資訊、攔截金融交易等能力,WatchGuard發現的新版本進一步提高規避偵測能力,使用網頁即時通訊技術WebRTC,以及常用於視訊會議的STUN協定(Session Traversal Utilities for NAT)進行通訊,藉此降低活動被偵測到的機率。

Android遠端控制木馬BTMOB鎖定金融服務用戶,可竊取帳號資訊與遠端控制受害裝置

資安業者ESET上週發布警示,呼籲大家注意針對Android平臺的遠端控制木馬BTMOB正在拉丁美洲散播,這款惡意程式是從早期銀行木馬SpySolr演化而來,其功能不僅限於竊取金融憑證 ,已擴展為具備完整遠端控制能力的Android惡意程式,並具備跨區域擴散潛力。BTMOB主要透過假冒串流服務、加密貨幣與熱門網站等釣魚網頁散布,誘導受害者安裝惡意APK套件。安裝完成後,BTMOB會濫用Android無障礙服務(Accessibility Services)取得高權限。

Google發布6月Android例行更新,修補存在於系統框架的零時差漏洞

6月1日Google發布Android每月例行更新(Android Security Bulletin),總共修補124個資安漏洞,從危險程度來看,有19個是重大等級,其餘大部分為高風險等級。值得留意的是,該公司提及,其中一個漏洞已被用於目標式攻擊。這項弱點的編號是CVE-2025-48595,存在於Android系統的框架元件,為高風險等級的權限提升漏洞,影響Android 14、15、16,以及16-qpr2版作業系統。不過,對於攻擊者如何利用弱點,Google並未進一步說明。

CISA警告兩年前修補的Oracle WebLogic Server高風險漏洞已被用於攻擊行動

6月1日美國網路安全暨基礎設施安全局(CISA)發布公告,他們已掌握CVE-2024-21182遭到積極利用的證據,將其列入已遭利用的漏洞名單(KEV),要求聯邦機構必須在6月4日前完成修補。CVE-2024-21182存在於Oracle WebLogic Server的核心元件,未通過身分驗證的攻擊者,只要透過T3或IIOP協定進行網路存取,就有機會入侵WebLogic Server,CVSS風險評為7.5分,為高風險等級,Oracle於2024年7月每季例行更新修補。

Oracle首度發布每月例行更新,修補77個漏洞

5月28日Oracle發布5月份當月更新(CSPU),提供35個修補程式,這些受影響的應用程式涵蓋:Oracle Communications Unified Assurance、Oracle Database Server、Oracle E-Business Suite、Oracle Hospitality OPERA 5 Property Services,以及Oracle REST Data Services。雖然Oracle公布了35個漏洞的危險程度及影響範圍,但部分修補程式同時也解決了另外42個資安弱點,因此實際上該公司本次修補的漏洞數量,總共達到77個。

Anthropic修補Claude Code GitHub Actions權限繞過弱點,降低權杖外洩風險

Anthropic修補Claude Code GitHub Actions的權限繞過與設定錯誤風險,資安公司GMO Flatt Security指出,該問題可能讓攻擊者透過GitHub議題或拉取請求(Pull Request)提交惡意內容,誘導Claude Code在自動化開發流程中讀取不應外洩的資訊,取得權杖或其他機密資料。該工具原本會檢查觸發者是否具有儲存庫寫入權限,但過去在代理模式下,對GitHub應用程式的檢查不夠嚴格。攻擊者可自行建立GitHub應用程式,並以該App的安裝權杖在公開儲存庫建立議題或拉取請求觸發弱點。

Gitea修補套件登錄庫漏洞,逾3萬自架站點恐暴露私有容器映像檔

開源程式碼託管平臺Gitea釋出1.26.2版,修補與套件登錄庫權限有關的安全漏洞CVE-2026-27771。資安業者NoScope指出,該漏洞可能讓自行架設Gitea的組織,在未要求使用者登入的情況下,讓外部人員存取原本應屬私有的容器映像檔。研究人員估算,公開可從網際網路找到的受影響站點可能超過3萬個。若管理者無法立即更新,可暫時啟用所有內容都必須登入後才能查看的設定,降低未登入者存取內容的風險。

Project Glasswing擴大範圍至15國,近150個合作夥伴可使用Claude Mythos找出漏洞

Anthropic周二(6月2日)宣布Project Glasswing擴大實施,將具備強大資安能力的Claude Mythos Preview提供給15國將近150家企業組織使用。這批合作夥伴多半是關鍵基礎架構相關領域,包括電力、供水、通訊、醫療及硬體業的企業,或是協助其他單位(如政府)維護程式碼的非營利機構,這些組織攸關國家社會運作,一旦遭網路攻擊可能影響全球穩定及國家安全。不過,他們必須符合Anthropic的安全要求,才能使用此前沿語言模型。

Mistral AI助理改名為Vibe,預告將推出程式碼遠端代理功能

法國AI新創公司Mistral AI宣布,旗下AI聊天機器人Le Chat改名為Vibe,預計將新增工作(Work Mode)及程式碼(Code Mode)模式的代理功能,其中尚未推出的程式模式,其代理機制將可在用戶電腦關機時自主執行任務。Mistral AI將以單獨的網頁應用程式,提供用戶執行Vibe程式模式以啟動遠端代理,代理程式會在隔離沙箱執行工作階段,確保資料安全,開發人員可連結GitHub管理專案,即使電腦關機仍會繼續運作。

微軟推出.NET版MCP治理擴充套件,強化AI代理工具呼叫控管

微軟公開預覽適用於.NET的Agent Governance Toolkit MCP擴充套件,支援.NET 8以上應用程式,並可搭配官方MCP C# SDK使用,協助開發者在MCP伺服器加入工具定義掃描、工具呼叫政策控管與回應內容清理機制。微軟表示,Agent Governance Toolkit可為AI代理系統提供治理層,用於執行政策、檢查輸入與輸出,並讓工具呼叫的信任判斷更明確。此擴充套件可透過WithGovernance()方法,將相關控管整合到既有IMcpServerBuilder管線。

員工自建Vibe Coding應用成影子AI新風險,有兩千個企業用途工具暴露敏感資料

資安業者Red Access先前向媒體揭露,大量透過Vibe Coding方式建立的網路應用程式缺乏身分驗證等基本安全措施,導致企業敏感資料可能暴露於公開網路。該公司後續發布完整研究報告指出,影子AI風險已從員工將敏感資料輸入AI聊天工具,擴大到員工自行建立AI應用、匯入內部資料,甚至串接正式生產系統。Red Access發現,數量多達2,000個應用系統,含有企業營運、個人或敏感資料,卻未設置基本身分驗證與存取控管機制。

MITRE將自動化攻擊模擬平臺Caldera移交Apache基金會

開源自動化模擬工具Caldera自多年前MITRE ATT&CK框架興起以來,即備受資安人員關注,開發該平臺的美國非營利組織MITRE於5月20日宣布,將這項發展近十年的平臺正式捐贈給Apache軟體基金會(ASF),並進入孵化器(Incubator)階段。MITRE表示,轉移至ASF的主要目的,是為了擴大全球資安與開源社群的協作、提升平臺普及率,並透過「廠商中立」的治理模式,確保Caldera能持續成長為全球性的資安資源。

譴責Chaotic Eclipse未經協調公開零時差漏洞惹議,微軟說明不會對公布成果的研究員採取法律行動

5月27日微軟資安回應中心(MSRC)發布部落格文章,公開譴責研究人員Chaotic Eclipse(Nightmare-Eclipse)在未經協調揭露的情況下,公布BlueHammer、RedSun、UnDefend等一系列零時差漏洞的行為,該文引起資安圈高度關注,原因在於微軟提及可能會對該名研究員採取法律行動,引起不少研究人員討論其漏洞通報制度的問題,對此,6月1日MSRC在X發布推文表示,他們無意對研究人員採取法律行動。

衛福部發布醫療GenAI指引,聚焦6大風險與供應鏈透明度

衛福部在5月29日發布首份《醫療機構應用生成式人工智慧指引》,針對醫院與診所導入生成式AI提出風險治理框架,涵蓋風險盤點、資料保護、系統驗證、供應商管理與持續監測等面向。衛福部除了聚焦模型偏差、資料品質、AI幻覺、資安攻擊、使用者過度依賴及服務中斷等6類常見生成式AI風險,也首度要求醫療機構建立AI產品與系統清冊,掌握院內生成式AI系統的用途、應用場景、風險等級及管理措施,並依臨床影響程度進行分級管理。

【2026臺灣資安年鑑|國家安全會議諮詢委員李育杰】國家資通安全戰略2025的訂定,是臺灣資安體制的轉型

國家安全會議諮詢委員李育杰說:「2025年,每日臺灣遭受到的網路侵擾大約263萬次。但民眾出門都覺得臺灣運作得好好的。」他提醒,「缺乏危機意識」就是臺灣最危險的地方。目前最大的威脅,不只是中共網軍的日夜叩關,更是臺灣社會對於「表面和平」的習以為常。李育杰將駭客區分為兩類:一是以勒索與竊密為目的的網路犯罪集團,另一是國家級駭客,目標在於關鍵時刻癱瘓防空雷達、電網與通訊系統。他直言:「所有的戰爭都從網路上先發生。」

近期資安日報

【6月2日】捷克參議院率團訪臺前夕,傳出中國駭客從事網路間諜活動

【6月1日】偽冒FIFA世足的詐騙網域激增

【5月29日】Linux傳出新的本機權限提升漏洞CIFSwitch

Preview image for 俄羅斯駭客GreyVibe濫用生成式AI,攻擊烏克蘭企業組織

俄羅斯駭客GreyVibe濫用生成式AI,攻擊烏克蘭企業組織

資安公司WithSecure揭露新興駭客組織GreyVibe,並指出該組織借助AI的力量,開發惡意程式並展開攻擊活動

www.ithome.com.tw
View original 0 Likes 0 Boosts

Comments (0)

No comments yet.