网络新闻研究小组发现，近200万个包含重要项目信息的.git文件夹被暴露在公众面前。 Git是最流行的开源分布式版本控制系统（VCS），由Linus Torvalds在近20年前为Linux内核的开发而开发，其他内核开发者也为其最初的开发做出了贡献。它允许协调开发源代码的程序员之间的工作，并允许跟踪变化。 一个.git文件夹包含了项目的基本信息，如远程仓库地址、提交历史日志和其他基本元数据。让这些数据处于开放状态会导致漏洞和系统暴露。例如，Cybernews最近的另一项研究发现，美国的流媒体服务CarbonTV将一台服务器的源代码开放，危及用户安全和公司的声誉。由于对.git文件夹的访问控制不佳，...

微软于本周三承认，由于服务器配置错误导致包括联系信息和电子邮件内容在内的未统计客户数据泄露，黑客可能已经通过网络访问了这部分数据。微软没有透露数据可能在泄漏中暴露的公司数量或涉及的数据量的细节。 网络安全供应商 SOCRadar 在一篇博文中表示，它已经向微软报告了本次数据泄露事件，并预估有超过 65000 家客户公司的数据受到影响。不过，微软在自己的帖子中表示，SOCRadar“大大夸大了这个问题的范围”。...

The hacker news 网站披露，黑客组织“国内小猫”（Domestic Kitten）正在进行一项新的恶意攻击活动，该活动伪装成一个翻译应用程序，分发更新版本的 FurBall的Android 恶意软件。
“国内小猫”介绍
Domestic Kitten，也称 APT-C-50， 趋势科技（Trend Micro）在 2019 年一项分析报告中表示，APT-C-50 可能与另一个名为“弹跳高尔夫”（Bouncing Golf）的黑客组织有联系。（Bouncing Golf主要针对中东国家进行网络间谍活动）。
针对部分伊朗公民发动攻击
据 Check Point 报道，...

“防护环”示意（图自：Wikipedia / Hertzsprung） 卖家宣称 BlackLotus 是一款固件级 rootkit 恶意软件，能够绕过 Windows 防护措施、并在 x86 架构的最底层运行恶意代码。

率先曝光此事的安全研究人员指出，单个 rootkit 的许可证费用高达 5000 美元，而后续代码重建则只需 200 美元。...

加强电子邮件安全 设置复杂的登录密码和凭据 提高网络安全意识...

泄露的数据可能与全球 65000 个实体有关 搜索泄露数据的在线工具 SOCRadar发布的数据泄露搜索工具名为 BlueBleed，它允许公司查找其敏感信息是否与泄露的数据一致。除了在微软配置错误的服务器中发现的内容外，BlueBleed 还允许搜索从其他五个公共存储桶收集的数据。

仅在微软的服务器中，SOCRadar 就声称已经发现了包含敏感信息的 2....

Hackernews 编译，转载请注明出处： 周二，美国网络安全和基础设施安全局（CISA）发布了两份工业控制系统（ICS）报告，涉及Advantech R-SeeNet和日立能源APM Edge设备的严重漏洞。 这包括R-SeeNet监控解决方案中的三个漏洞，成功利用这些漏洞“可能导致未经授权的攻击者远程删除系统上的文件或允许远程代码执行”。...

该漏洞的根源在于，具有通过SFX客户端“创建撰写应用程序”权限的用户可以利用这些权限创建恶意应用程序，并滥用“应用程序名称”字段中存储的跨站点脚本 （XSS） 漏洞来传递有效负载。 利用此漏洞，攻击者可以在应用程序创建步骤中发送特制输入，最终导致其执行。 Orca Security研究人员Lidor Ben Shitrit和Roee Sagi说：“这包括执行群集节点重置，删除所有自定义设置，如密码和安全配置，允许攻击者创建新密码并获得完全的管理员权限。”...

美国网络司令部于10月3日至14日实施了一项新的防御性网络空间行动。全球网络防御行动是美国网络司令部领导的与合作伙伴的持久防御战役活动，以寻找和识别恶意网络空间行为者通常在指定网络上使用的危害指标，支持联合部队在全球的后勤和力量投送能力。 此项行动在美国防部各种网络执行，并与参与伙伴在全球范围内同时执行；以内部为重点，旨在搜索、识别和缓解可能影响网络安全的众所周知的恶意软件及相关变体，并改进与作战司令部、跨机构、国际、行业和学术合作伙伴的流程和协调；旨在突出和增强与合作伙伴的互操作性，加强与合作伙伴共享信息和见解， 奇安网情局编译有关情况，供读者参考。...

今年到目前为止，专家们已经发现了88000个恶意开源包，比2019年的同一数字增加了三位数，表明企业的攻击面正在快速增长。这些数字来自Sonatype的第八次年度软件供应链状况报告，该报告是根据公共和专有数据分析编制的，包括1310亿次Maven Central下载和成千上万的开源项目。 报告详细介绍了企业系统面临的日益增长的风险，这些风险既来自于威胁者插入软件库的恶意软件包，也来自于开发团队不知不觉中下载的意外漏洞。恶意活动的激增证明了这些团队越来越多地使用开放源代码包来加快上市时间。Sonatype估计，今年的开源请求将超过三万亿。...