[閒聊] 資安雙週報 240401

看板NetSecurity (資安資訊安全)作者CMJ0121 (不安全研究員)時間7月前 (2024/04/01 08:52)推噓11(11推 0噓 0→)

留言11則, 11人參與討論串1/1

==== 資安雙週報 (240401) ==== 初一十五除了呷菜喔外也要關心一下安全圈的消息 - 社交工程 (Social Engineering) 的成功案例 - 缺錢嗎？可以試著現實 bounty program - 又一次 Supply-chain 攻擊嗎? ## CVE-2024-3094 三月份最熱門的資訊安全消息 - CVE0-2024-3094。一個用年為單位的社交工程案例有人整理的[圖文記錄][0] 從 2022 開始第一筆 commit 到 2024-03-09 上傳最終惡意檔案花了兩年的社交工程讓 xz 終於釋出一個包含後門的版本 ## 現實 bounty program 美國政府提供[1]最高獎金 $10m 懸賞七名中國人的資訊據稱這七名駭客攻擊美國官員與批評中國的企業與政界人士發動大範圍的網路攻擊 ## PyPI 再次 (短時間) 暫時停止新開發者註冊 PyPI 再次停止新開發者的註冊[2] 來暫停惡意套件上傳常見的 Python 惡意套件透過錯誤的套件名稱讓開發者下載惡意版本的套件這次僅花費 10小時就恢復開放 (上次[] 花費 10天的時間修復) 透過拼音錯誤或者錯誤的套件名稱讓開發者下載惡意套件 bs4[4] 就是 beautifulsoup4 用來避免開發者錯誤安裝的 dummy package ---- 之前想說不要讓板上都是我的發文也要讓其他人多分享一些文章但是過了這麼久... 應該是 PTT 使用者人數變少很多 :) 小弟我開始會用雙週形式分享這段時間的資安消息 [0]: https://x.com/fr0gger_/status/1774342248437813525?s=20 [1]: https://www.bbc.com/news/world-us-canada-68659095 [2]: https://thehackernews.com/2024/03/pypi-halts-sign-ups-amid-surge-of.html [3]: https://status.python.org/incidents/0th66lc1l8by [4]: https://pypi.org/project/bs4/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.218.231 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1711932733.A.A41.html