云代码托管平台GitHub宣布，它将为易受攻击的GitHub Actions发送Dependabot警报，以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O'Shea和Kate Catlin说：“在行动中报告安全漏洞时，我们的安全研究团队会创建一个文件来记录该漏洞，这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付（CI/CD）解决方案，使用户能够自动执行软件生成、测试和部署管道。...

Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 黑客声称从思科窃取数据...

网络安全和基础设施安全局与澳大利亚网络安全中心合作，于周四发布了网络安全咨询， 详细介绍了去年观察到的主要恶意软件。根据该公告，2021 年最常见的恶意软件包括远程访问木马、银行木马、信息窃取程序和勒索软件。

具体来说，...

根据指导方针，在任何情况下，数字贷款公司应停止访问手机资源，如文件和媒体、联系人名单、通话记录、电话功能等。只有在借款人明确同意的情况下，才可以对摄像头、麦克风、位置或任何其他必要的设施进行一次性访问。

近年来，在印度出现了许多草率的借贷应用程序和非银行金融机构向客户收取高额费用的情况下，...

近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间，并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高，并且是目录遍历漏洞，可以帮助攻击者在目标系统上植入恶意软件。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的，但他的报告被错误地归类为未描述安全风险，因此被驳回。今年，安全研究员j00sean再次引起了公众的关注，他总结了攻击者可以通过利用它实现的目标，并提供了视频证明。...

Hackernews 编译，转载请注明出处： VMware警告其客户，在多个产品中存在针对关键身份验证绕过漏洞的概念验证漏洞利用代码，该漏洞追踪为CVE-2022-31656。VNG security的安全研究员Petrus Viet发现了这个漏洞，并且今天发布了针对该漏洞的概念验证（PoC）漏洞利用代码，并提供了有关该漏洞的技术细节。 上周，这家虚拟化巨头解决了CVE-2022-31656漏洞，该漏洞影响了多个产品的本地域用户，未经身份验证的攻击者可以利用此漏洞获取管理员权限。...

Check Point的安全研究人员在Python软件包索引（PyPI）上发现了10个恶意软件包，这是Python开发人员使用的主要Python软件包索引。 第一个恶意软件包是Ascii2text，这是一个通过名称和描述模仿流行艺术包的恶意包。在Check Point的公告中称攻击者为了防止用户意识到这是个恶意假包，因此复制了整个项目描述，而非过去常见的部分复制描述。一旦下载了Ascii2text，其将会通过下载一个脚本， Check Point在其公告中还提到了Pyg-utils、Pymocks和PyProto2这三个独立的软件包，其共同目标是窃取用户的AWS凭证。...

根据Cloudflare在官方博客发布的说明，大约在 Twilio 遭到攻击的同时， Cloudflare 的员工也遭到了具有非常相似特征的攻击 ，有至少 76 名员工的个人或工作手机号码收到了钓鱼短信，一些短信也发送给了员工的家人。虽还无法确定攻击者是以何种方式收集到了员工手机号码，...

Hackernews 编译，转载请注明出处： 卡巴斯基的网络安全研究人员将Maui勒索软件与朝鲜支持的Andariel APT组织联系起来，后者被认为是Lazarus APT集团的一个部门。 朝鲜民族国家黑客使用Maui勒索软件对提供医疗服务的服务器进行加密，包括电子健康记录服务、诊断服务、成像服务和内联网服务。...

由于外包供应商遭受网络攻击，导致英国111医疗急救热线发生重大持续性中断，官方建议民众使用111网站来访问急救服务。 安全内参消息，由于受到网络攻击影响，英国国家医疗服务体系（NHS）的111急救热线（注：类似我国的120热线）发生重大持续性中断。 这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示，111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。...