软件供应链攻击已在近年成为不可忽视的威胁，Checkmarx资安研究团队最近发现了一种新手法，过程中运用区块链技术。该攻击使用以太坊（Ethereum）区块链智能合约作为指挥与控制（C2）服务器的中介，通过NPM套件传播跨平台恶意软件。这种新手段，不仅提升了攻击的隐蔽性，也使攻击架构更难被阻断，成为软件供应链的新威胁。

该攻击行动通过NPM生态系中的仿冒套件jest-fet-mock启动，该套件伪装成为合法的JavaScript测试工具。攻击者利用名称误植（Typosquatting）技术，在NPM中发布仿冒套件，而该套件在安装过程会运行预安装脚本以自动加载恶意代码，并进行下一步攻击进程。

值得留意的是，该攻击不仅针对Windows平台，同时也影响Linux与macOS开发环境。由于开发人员通常拥有更高的系统权限，开发套件也会集成至CI/CD工作管线，因此会对开发环境和建置系统带来更高的安全性风险。

窃资软件Strela Stealer锁定欧洲而来，利用WebDAV隐匿行踪

恶意软件滥用WebDAV共用文件夹来隐匿行踪的做法，今年已有数起，例如：4月出现的恶意软件IcedID变种Latrodectus，攻击者从网页应用程序开发平台Firebase下载JavaScript文件，并于受害电脑运行，就会从WebDAV共享文件夹启动MSI安装档，而能启动该恶意软件，如今类似的手法再度出现。

资安业者Cyble发现最新一波窃资软件Strela Stealer攻击行动，黑客锁定中欧及欧洲西南部地区，假借发票通知的名义寄送钓鱼邮件。这些信件挟带ZIP附件文件，该压缩档内含经重度混淆处理的JavaScript文件，黑客在其中埋藏了经Base64处理的PowerShell命令，一旦运行，就会从WebDAV服务器启动恶意酬载，从而窃取电子邮件配置的相关信息，以及详细的系统信息，使得攻击者能对受害电脑进行下个阶段的恶意行为。

为何攻击者直接从WebDAV服务器运行Strela Stealer？主要目的就是想避免在受害电脑留下恶意的DLL文件，想要躲过资安系统的侦测。

其他攻击与威胁

◆中国黑客MirrorFace以世界博览会为诱饵，攻击欧洲外交官

◆北韩黑客针对加密货币业者而来，散布macOS恶意程序

◆Palo Alto Networks修补的迁移工具漏洞已出现攻击行动

◆Nokia坦承源码遭到外泄

【漏洞与修补】

HPE Aruba Networking修补Wi-Fi基地台系统软件漏洞，其中两个严重程度达9分以上

11月5日HPE Aruba Networking发布资安公告，修补旗下无线基地台一系列的漏洞，并指出其中的CVE-2024-42509、CVE-2024-47460为重大层级特别危险。

这两个漏洞皆涉及基地台管理协定（PAPI）存取的命令行界面（CLI）服务，一旦成功利用，攻击者可在未经身分验证的情况下，发动命令注入攻击，CVSS风险评为9.8、9.0，影响运行Instant AOS-8及AOS-10的无线基地台，至于Mobility Conductor、Mobility Controllers、SD-WAN闸道设备则不受影响。

从公告的内容来看，漏洞的发生原因、造成的影响，HPE都采用一模一样的叙述，但两者的评分却有所落差。发生这种现象的原因，也许可以从漏洞的危险程度评估看出瑞倪，CVE-2024-42509遭滥用的复杂度较低（AC:L），导致此漏洞的风险评分高于CVE-2024-47460。

Windows版Veritas网络备份工具存在漏洞，攻击者可用来提升权限

本周Veritas发布资安公告，指出Windows版网络备份系统NetBackup存在高风险权限提升漏洞（尚未取得CVE编号），影响用户端、Primary Server、Media Server等组件，具有这个漏洞的产品版本涵盖10.0至10.4.0.1版，该公司指出，不再受到支持的旧版也可能曝险。

该公司指出，这项漏洞涉及不受控制的搜索路径元素，一旦攻击者取得安装NetBackup的磁盘根目录写入权限，就有机会借由漏洞部署恶意DLL程序库，一旦用户运行NetBackup命令，就会加载此DLL，并运行攻击者的代码，此漏洞的CVSS风险评为7.8分。至于如何在适当时机让用户运行NetBackup命令，以触发攻击？Veritas指出，可利用社交工程手法达到目的。

ABB智能建筑能源管理系统存在重大漏洞，恐让攻击者接管、远程运行代码

10月底资安业者VulnCheck发布工控系统资安警告，主角是ABB智能建筑能源管理系统Cylon Aspect的漏洞CVE-2023-0636、CVE-2024-6209，根据他们的调查，全球有265套系统可通过互联网存取，但有214个尚未修补，由于近期已有公开的概念性验证代码（PoC），很有可能接下来就会有人将其用于实际攻击。

其中，命令注入漏洞CVE-2023-0636最令人担心！攻击者有机会在未经身分验证的情况下，远程利用漏洞运行代码，而且，ABB起初评为高风险层级，CVSS风险值为7.2，但后来美国国家漏洞数据库（NVD）评为9.8分。为何前后评分出现如此悬殊的差距？原因在于当时ABB认为，攻击者想要利用漏洞，前提是必须通过身分验证，但相关研究后续指出并非如此，问题在于身分验证流程并未完全强制运行，而让攻击者有机可乘。

另一个漏洞CVE-2024-6209，问题也不小，因为这是未经授权的文件泄露弱点，攻击者能借此取得用户的明文帐密数据，并用于命令注入或是远程运行代码，4.0版CVSS风险评为9.4。

【资安产业动态】

德国打算修改刑法内容，针对发现资安弱点的研究人员提供司法保障

11月4日德国联邦司法部提出新的刑法修正草案，打算为愿意协助供应商找到资安漏洞的研究人员提供法律层面的保障。联邦司法部长Marco Buschmann表示，通过新的法律，消除资安研究人员承担刑事责任的风险。

新的草案主要是调整《刑法（StGB）》第202a条的内容，当资安研究人员、资安业者，或是白帽黑客在侦测及防堵漏洞的过程中，只要不被认定为「未经授权（unauthorized）」，就有机会免除法律责任。

这项草案正寻求各州及相关机构的意见，并在12月13日前回覆，再由联邦议会进行最终审议。

其他资安产业动态

◆纬创小金鸡全景软件10月底由兴柜转为上柜

近期资安日报

【11月7日】恶意程序框架Winos 4.0锁定中国游戏玩家而来

【11月6日】国际警方破获2.2万个用于网钓及勒索软件攻击的恶意IP位址

【11月5日】脸书粉专管理员、广告管理员请提高警觉！窃资软件锁定台湾用户攻击