研究人員針對北韓駭客鎖定開發人員散布惡意軟體套件的情況提出警告,指出這些駭客的目的,其實是為了針對軟體公司的客戶而來
北韓駭客針對開發人員從事攻擊行動的情況,不時傳出有關事故,其中一種攻擊類型,就是上架惡意NPM、PyPI套件,引誘開發人員上當而下載、安裝,於受害電腦植入惡意軟體。過往這種攻擊的目的,主要是為了洗劫開發人員的加密貨幣資產,如今駭客的目的出現變化。
本週資安業者Palo Alto Networks揭露的資安事故,就是這種例子,駭客真正的目的,是為了發動供應鏈攻擊。
【攻擊與威脅】
北韓駭客Citrine Sleet上傳惡意Python套件,意圖散布RAT木馬PondRAT
北韓駭客近年來鎖定軟體開發人員的攻擊行動變得更加頻繁,這包含了針對正在求職的開發人員散布惡意軟體,以及藉由惡意軟體套件發動攻擊的情況,而最近,有研究人員揭露針對Linux、macOS使用者的攻擊行動。
資安業者Palo Alto Networks指出,他們看到別名為AppleJeus、Gleaming Pisces的北韓駭客Citrine Sleet,於PyPI上傳惡意Python套件real-ids、coloredtxt、beautifultext、minisound,一旦開發人員上當,在開發環境部署,電腦就有可能被植入惡意軟體PondRAT。
而對於駭客的目的,研究人員評估,很有可能是為了要藉由開發人員的端點電腦從事供應鏈攻擊,將受害電腦作為存取軟體業者的主要媒介,接著進一步挖掘入侵軟體公司客戶的管道。
其他攻擊與威脅
◆勒索軟體Mallox擴大攻擊版圖,使用Kryptina程式碼打造Linux版加密工具
◆安卓木馬Necro上架Google Play市集,感染逾1千萬臺裝置
◆駭客假借提供應用程式及破解軟體,散布竊資軟體RecordStealer
◆針對2023年資料外洩事故,AT&T向FCC支付1,300萬美元尋求和解
◆美國卡巴斯基用戶電腦的防毒軟體遭到無預警刪除,並被植入「UltraAV」
【漏洞與修補】
Grafana修補軟體開發套件資訊洩露漏洞
上週圖像化資料分析系統Grafana開發團隊發布資安公告,指出他們提供的外掛程式軟體開發套件(SDK)grafana-plugin-sdk-go,存在重大層級的資訊洩露漏洞CVE-2024-8986,0.249.0版及之前版本都受到影響,4.0版CVSS風險評分達到9.1,開發團隊目前已發布0.250.0版進行修補。
關於這項漏洞發生的原因,Grafana指出,問題出在此開發套件在編譯二進位檔案的過程當中,會同時加入相關中繼資料,其中包含外掛程式的程式庫URI資訊,若是URI含有帳密資料,就有可能導致此類資料隨著編譯完成的檔案流出,發生資料外洩危機。
Microchip進階軟體框架存在重大RCE漏洞
卡內基美隆大學所屬的電腦網路危機處理暨協調中心(CERT/CC)指出,Microchip進階軟體框架(Advanced Software Framework,ASF)存在可被用於遠端執行任意程式碼(RCE)的重大層級漏洞CVE-2024-7490,影響3.52.0.2574版以下所有的ASF,4.0版CVSS風險評分為9.5。值得留意的是,因Microchip已不再提供ASF相關支援,將不會對該漏洞進行修補。
這項漏洞存在於tinydhcp伺服器元件,發生的原因在於,ASF的DHCP通訊協定實作無法進行輸入驗證,導致攻擊者有機會藉此導致記憶體緩衝區溢位,進而能夠遠端執行程式碼。
【資安產業動態】
Telegram調整隱私政策,同意交出用戶IP位址及電話予執法機構
上個月Telegram創辦人暨執行長Pavel Durov在法國被捕,並以500萬歐元交保,外傳原因是Telegram拒絕交出嫌犯資料,Durov被控共謀散布兒童性剝削內容(Child Sexual Abuse Material,CSAM),此事近期出現新的發展。
本周一(9月23日)Durov透過自己的頻道宣布,為了進一步扼止不法份子濫用Telegram Search,他們更新服務條款及隱私政策,倘若違反該平臺的政策,將會把用戶的IP位址及電話號碼,提供給提出執法要求的執法機構。Durov強調,該公司將在全球市場採用一致的服務條款與隱私政策。
美國商務部提議禁止中國與俄羅斯連網汽車的軟硬體
美國商務部(Department of Commerce,DoC)9月23日提出了「法規命令訂定通知」(Notice of proposed rulemaking,NPRM),為了保護美國不受特定國家連網汽車技術的危害,將禁止來自中國與俄羅斯的連網汽車硬體及軟體,特別是當今在中國汽車製造商企圖主導全球連網汽車市場,假若該法規通過,軟體禁令將於2027年生效,硬體禁令則會在2029年生效。
商務部認為,有鑑於連網汽車上的某些軟體及硬體能夠捕獲有關地理位置或關鍵基礎設施的資訊,替攻擊者提供破壞車輛或基礎設施的機會,特別是來自中國及俄羅斯的連網汽車中所使用的某些技術構成了極為嚴重的威脅,因而提議禁止進口或銷售源自中國或俄羅斯的實體設計、開發、製造或供應的某些連網汽車系統。
近期資安日報
【9月23日】中國聲稱遭我國成立的駭客組織攻擊
【9月20日】中國駭客Earth Baxia利用GeoServer已知漏洞,攻擊臺灣政府機關
【9月19日】FBI接管中國駭客架設的大型殭屍網路Raptor Train
