北韩黑客针对开发人员从事攻击行动的情况，不时传出有关事故，其中一种攻击类型，就是上架恶意NPM、PyPI套件，引诱开发人员上当而下载、安装，于受害电脑植入恶意软件。过往这种攻击的目的，主要是为了洗劫开发人员的加密货币资产，如今黑客的目的出现变化。

本周资安业者Palo Alto Networks揭露的资安事故，就是这种例子，黑客真正的目的，是为了发动供应链攻击。

【攻击与威胁】

北韩黑客Citrine Sleet上传恶意Python套件，意图散布RAT木马PondRAT

北韩黑客近年来锁定软件开发人员的攻击行动变得更加频繁，这包含了针对正在求职的开发人员散布恶意软件，以及借由恶意软件套件发动攻击的情况，而最近，有研究人员揭露针对Linux、macOS用户的攻击行动。

资安业者Palo Alto Networks指出，他们看到别名为AppleJeus、Gleaming Pisces的北韩黑客Citrine Sleet，于PyPI上传恶意Python套件real-ids、coloredtxt、beautifultext、minisound，一旦开发人员上当，在开发环境部署，电脑就有可能被植入恶意软件PondRAT。

而对于黑客的目的，研究人员评估，很有可能是为了要借由开发人员的端点电脑从事供应链攻击，将受害电脑作为存取软件业者的主要媒介，接着进一步挖掘入侵软件公司客户的管道。

其他攻击与威胁

◆勒索软件Mallox扩大攻击版图，使用Kryptina代码打造Linux版加密工具

◆安卓木马Necro上架Google Play市集，感染逾1千万台设备

◆黑客假借提供应用程序及破解软件，散布窃资软件RecordStealer

◆针对2023年数据外泄事故，AT&T向FCC支付1,300万美元寻求和解

◆美国卡巴斯基用户电脑的杀毒软件遭到无预警删除，并被植入「UltraAV」

【漏洞与修补】

Grafana修补软件开发套件信息泄露漏洞

上周图像化数据分析系统Grafana开发团队发布资安公告，指出他们提供的插件程序软件开发套件（SDK）grafana-plugin-sdk-go，存在重大层级的信息泄露漏洞CVE-2024-8986，0.249.0版及之前版本都受到影响，4.0版CVSS风险评分达到9.1，开发团队目前已发布0.250.0版进行修补。

关于这项漏洞发生的原因，Grafana指出，问题出在此开发套件在编译二进位文件的过程当中，会同时加入相关中继数据，其中包含插件程序的程序库URI信息，若是URI含有帐密数据，就有可能导致此类数据随着编译完成的文件流出，发生数据外泄危机。

Microchip进阶软件框架存在重大RCE漏洞

卡内基美隆大学所属的电脑网络危机处理暨协调中心（CERT/CC）指出，Microchip进阶软件框架（Advanced Software Framework，ASF）存在可被用于远程运行任意代码（RCE）的重大层级漏洞CVE-2024-7490，影响3.52.0.2574版以下所有的ASF，4.0版CVSS风险评分为9.5。值得留意的是，因Microchip已不再提供ASF相关支持，将不会对该漏洞进行修补。

这项漏洞存在于tinydhcp服务器组件，发生的原因在于，ASF的DHCP通信协定实作无法进行输入验证，导致攻击者有机会借此导致内存缓冲区溢出，进而能够远程运行代码。

【资安产业动态】

Telegram调整隐私政策，同意交出用户IP位址及电话予执法机构

上个月Telegram创办人暨首席执行官Pavel Durov在法国被捕，并以500万欧元交保，外传原因是Telegram拒绝交出嫌犯数据，Durov被控共谋散布儿童性剥削内容（Child Sexual Abuse Material，CSAM），此事近期出现新的发展。

本周一（9月23日）Durov通过自己的频道宣布，为了进一步扼止不法份子滥用Telegram Search，他们更新服务条款及隐私政策，倘若违反该平台的政策，将会把用户的IP位址及电话号码，提供给提出执法要求的执法机构。Durov强调，该公司将在全球市场采用一致的服务条款与隐私政策。

美国商务部提议禁止中国与俄罗斯连网汽车的软硬件

美国商务部（Department of Commerce，DoC）9月23日提出了「法规命令订定通知」（Notice of proposed rulemaking，NPRM），为了保护美国不受特定国家连网汽车技术的危害，将禁止来自中国与俄罗斯的连网汽车硬件及软件，特别是当今在中国汽车制造商企图主导全球连网汽车市场，假若该法规通过，软件禁令将于2027年生效，硬件禁令则会在2029年生效。

商务部认为，有鉴于连网汽车上的某些软件及硬件能够捕获有关地理位置或关键基础设施的信息，替攻击者提供破坏车辆或基础设施的机会，特别是来自中国及俄罗斯的连网汽车中所使用的某些技术构成了极为严重的威胁，因而提议禁止进口或销售源自中国或俄罗斯的实体设计、开发、制造或供应的某些连网汽车系统。

近期资安日报

【9月23日】中国声称遭我国成立的黑客组织攻击

【9月20日】中国黑客Earth Baxia利用GeoServer已知漏洞，攻击台湾政府机关

【9月19日】FBI接管中国黑客架设的大型僵尸网络Raptor Train