資安廠商Aikido研究人員發現開源NPM程式庫rand-user-agent被植入RAT木馬，攻擊者竊得發布權限，針對開發者常用的NPM套件進行供應鏈攻擊。由於rand-user-agent套件每周下載量達4萬5千次，推估已有部分用戶系統遭入侵。

受影響的rand-user-agent版本包含1.0.110、2.0.83與2.0.84，均非由原開發團隊透過GitHub推送，疑似有第三方在原作者未維護套件期間竊用發布權限，將惡意版本上架至NPM。

惡意程式碼在該套件內部以混淆工程隱藏，使用極長的字串與加密邏輯繞過靜態分析。攻擊者植入的後門程式可與遠端指令伺服器建立連線，並具備上傳本機檔案、切換工作目錄以及執行任意系統指令等能力。初始惡意程式會檢查系統中是否存在axios與socket.io-client套件，若無則自動於使用者主目錄下的隱藏路徑.node_modules，安裝所需模組以方便後續運作，並避免被開發者注意。

遠雄發生系統異常的資安事故，出現郵件發送給外部無關人員的狀況

5月12日跨足營造與不動產領域的遠雄集團於股市公開觀測站發布重大訊息，指出該公司發生系統異常的情況，導致郵件發送給無關的外部人員。對此，該公司表示事發後已啟動相關防禦機制及復原作業因應。

而對於這起事故可能造成的影響，遠雄表示根據初步的調查結果，未有資通訊系統、網站遭到攻擊的跡象，也沒有出現無法營運，該公司系統皆正常提供服務，因此未造成重大損害或是影響。但為何會發生系統異常的現象，遠雄並未說明，是否與網路攻擊有關？有待進一步釐清。

其他攻擊與威脅

◆惡意軟體Noodlophile佯裝AI工具散布，透過臉書鎖定逾6萬用戶

◆SEO中毒攻擊鎖定Azure管理員而來，意圖左右HPC及AI工作負載

◆惡意NPM套件鎖定IDE工具Cursor用戶，在macOS平臺植入後門

◆駭客試圖對Linux用戶發動ClickFix網釣攻擊

【漏洞與修補】

華碩主機板存在遠端程式碼執行漏洞

5月9日華碩發布資安公告，他們為驅動程式管理工具DriverHub發布更新，修補資安漏洞CVE-2025-3462、CVE-2025-3463，呼籲用戶儘速安裝最新版軟體，也可存取DriverHub並按下立即更新（Update Now）來進行。

這些漏洞為紐西蘭程式開發員MrBruh發現，並指出攻擊者有機會遠端利用，並於受害電腦執行任意程式碼，發生的原因在於外部發送的呼叫請求檢查不周全，以及欠缺嚴謹的安全檢查，未經授權的攻擊者可發送惡意HTTP呼叫，從而影響受害電腦的系統行為，或是與軟體功能進行互動，而對於CVE-2025-3462、CVE-2025-3463的危險程度評估，根據華碩以4.0版CVSS進行風險評分，分別得到9.4、8.4分（滿分10分）。

值得留意的是，華碩特別強調上述漏洞只影響主機板，不影響筆電、桌上型電腦，以及其他端點裝置。但究竟有那些主機板用戶會受到影響，以及DriverHub是否預設安裝於華碩電腦，該公司並未說明。

微軟修補Azure DevOps滿分重大漏洞，攻擊者恐挾持Token存取特定專案

5月8日微軟發布資安公告，表示他們近期修補Azure DevOps、Azure Automation、Azure Storage、Power Apps的重大漏洞，其中有3項弱點特別危險，風險分數接近滿分10分而受到關注。

其中最嚴重的漏洞是CVE-2025-29813，此為Azure DevOps權限提升漏洞，起因是Visual Studio對於管線工作（Pipeline Job）所使用的Token，出現處理不當的情況，一旦攻擊者成功利用，就可能存取特定的專案，CVSS風險達到10分。不過，利用這項弱點存在必要條件，那就是攻擊者必須事先存取專案，並置換特定的Token。

另外兩個風險達到9.9分的漏洞CVE-2025-29827、CVE-2025-29972，分別存在於Azure Automation與Azure Storage。其中，CVE-2025-29827為權限提升漏洞，而CVE-2025-29972則是伺服器請求偽造（SSRF）漏洞，可被用於欺騙資源供應者。

其他漏洞與修補

◆蘋果針對行動裝置、電腦、穿戴裝置、Apple TV發布更新

【資安產業動態】

Google將自動把桌機、手機用戶密碼升級為通行密鑰

Google積極推動無密碼登入，將利用桌機Chrome及手機版的密碼管理工具Password Manager，自動將用戶密碼升級通行密鑰（passkey）。

上周Android Authority首先在25.19.31 beta版Google Play Services App發現，Android版Password Manager包含一個新功能，會自動將用戶密碼在用戶登入時轉成通行密鑰，而且，這項功能預設開啟。

隨後Google宣布，Chrome加入Google密碼管理器自動建立通行密鑰的功能，並將這項功能稱為Automatic Passkey Upgrade。啟用該功能後，當用戶以密碼管理器儲存的密碼登入網站，此應用程式就會將密碼升級為通行密鑰，並傳送通知給用戶。這項功能將先透過桌機版Chrome 136釋出，Android版則即將推出。

為防止敏感資訊外流，微軟替Teams加入新功能，防止視訊畫面遭擷圖

本週微軟預告，他們預計在7月為Teams加入防止視訊時螢幕擷取的功能，防止敏感資訊外洩。

微軟說明，為解決視訊會議時未經授權的螢幕擷取疑慮，新增的「防止螢幕擷取」功能可在用戶試圖擷取螢幕時，視訊視窗會變黑，防止敏感資訊外流。這項新功能將會同時提供給Teams網頁版、電腦版（Windows及Mac），以及行動裝置版（iOS、Android）用戶。

近期資安日報

【5月12日】中國駭客利用SAP NetWeaver滿分漏洞攻擊製造業

【5月9日】臺灣未來4年國家資通安全發展方案正式出爐，將從4大層面著手

【5月8日】勒索軟體駭客Play旗下團體利用CLFS零時差漏洞犯案