尽管开源项目有着“众人拾柴火焰高”的特性，但也难防有人使坏。Bleeping Computer 报道称：近日一位开发者似乎故意破坏了 GitHub 和软件注册 npm 上的一对开源库（faker.js 和 colors.js）。由于成千上万的用户依赖这些库，本次恶意更新导致所有相关项目受到影响。 使用遭到破坏的版本，会导致应用程序无限输出奇怪的字母与符号。从第三行文本开始，上面会呈现“LIBERTY LIBERTY LIBERTY”。 尽管 color.js 看似已更新到新版本，但 faker.js 可能还需再等待一段时间，着急的朋友可尝试降级到先前的 5.5.3 版本。...

据CNBC报道，加密货币交易所BitMart此前承诺向全平台2亿美元黑客攻击事件的受害者提供全额补偿，但一些用户仍未拿回他们的钱。12月4日，黑客利用盗取的隐私密钥进入BitMart的一个热钱包，也就是连接到互联网上的加密货币钱包，然后盗取了各种代币。 事件发生后不久，BitMart宣布，它将使用自己的资金“来支付这一事件并赔偿受影响的用户”。然而，据CNBC报道，仍有一些沮丧的用户尚未看到他们的资金返回。...

12月14日，Apache Log4j 2团队发布了Log4j 2.16.0以修复这些漏洞。在补丁应用之前，所有现有的Apache Log4j运行服务器都将成为黑客的潜在目标。微软最近更新了预防、检测和解决Log4j 2漏洞的指南，向客户给出了解决和预防方案。 据微软称，攻击者正在积极利用Log4j漏洞，而且在12月的最后几周，利用的尝试仍然很多。微软提到，许多现有的攻击者在他们现有的恶意软件工具包和战术中增加了对这些漏洞的利用，扩大利用Log4j漏洞的可能性很大。 微软为客户发布了以下指导：...

时间已正式迈入 2022 年，分析公司 Chainalysis 表示在过去一年中与加密货币有关的犯罪达到了历史最高水平，非法地址获得了惊人的 140 亿美元。收到的绝大部分资金是通过诈骗、盗窃和暗网市场获得的，而另一个不断增长的被盗资金来源则是赎金。 非法资金从 2020 年的 78 亿美元增长到 2021 年的 140 亿美元，而且同期的加密货币总交易量增长了 567%。有了这些统计数据，Chainalysis 表示，非法活动在加密货币交易量中的份额从未降低过。...

作者：知道创宇404实验室 （转载本文请注明出处：https://hackernews.cc/archives/37193） 在网络安全领域，2021年注定是不平静的一年。世界各地频发网络安全事件，诸如数据泄漏、勒索软件、黑客攻击等等层出不穷，有组织、有目的的网络攻击形势愈加明显，网络安全风险持续增加。另外，我国也颁布了多项网络安全相关法律法规，为我国互联网安全领域法律法规的完善之路拉开了序幕。本文以“创宇资讯”视角出发，...

美国Broward Health公共卫生系统近日披露了一起大规模数据泄露事件，影响到1357879人。Broward Health是一个位于佛罗里达州的医疗系统，有三十多个地点提供广泛的医疗服务，每年接收超过60000名入院病人。 该医疗系统在2021年10月15日披露了一起网络攻击事件，当时一名入侵者未经授权访问了医院的网络和病人数据。该组织在四天后，即10月19日发现了这次入侵事件，并立即通知了美国联邦调查局和美国司法部。 同时，所有员工被建议更改他们的用户密码，Broward Health与第三方网络安全专家签约，帮助进行调查。...

Hackernews 编译，转载请注明出处： 我们发现一个以前未知的rootkit，它瞄准了惠普企业的Integrated Lights Out（iLO）服务器管理技术，并进行攻击，篡改固件模块并彻底清除受感染系统中的数据。
伊朗网络安全公司Amnpardaz本周记录了这一发现，这是iLO固件中第一个真实恶意软件的实例。 名为iLOBleed的rootkit自2020年开始用于攻击，其目标是操纵大量原始固件模块，以秘密阻止固件更新。具体地说，对固件例程所做的修改仿造了固件升级过程——据称显示了正确的固件版本并添加了相关日志——而实际上没有执行更新。
研究人员说：“仅此一点就表明，...

在今年 8 月出现大规模数据泄露之后，美国电信运营商 T-Mobile 在此遭受网络攻击。根据 The T-Mo Report 公布的文件，这一次攻击者进入了“少数”客户的账户。 在这份报告中，受影响的客户要么成为 SIM 卡交换攻击的受害者（这可能允许某人绕过由短信驱动的双因素认证），要么个人计划信息被暴露，或者两者都有。文件显示，被查看的客户专有网络信息可能包括客户的账单账户名称、电话和账户号码，以及他们的计划信息，包括他们账户上有多少条线路。...

针对有用户报告称存在未经授权的登录尝试之后，LastPass 方面表示目前并没有证据表明存在数据泄漏。LogMeIn 全球公关部高级主管 Nikolett Bacso-Albaum 向 The Verge 表示，用户收到的警报和“相当常见的机器人活动”有关。 他表示涉及到使用电子邮件地址和密码登录 LastPass 账户的恶意尝试，这些密码是破坏者从过去第三方服务（即不是 LastPass）的漏洞中获得的。...

有使用LastPass的用户报告说，有多人试图使用正确的主密码从不同地点登录，表明该公司可能存在数据泄露。Hacker News论坛的多名用户报告称他们的LastPass的主密码似乎被泄露了。 目前还不知道这些密码是如何泄露的，但在用户中已经出现了一种类似的情形。 大多数报告似乎来自拥有过时的LastPass账户的用户，这意味着他们已经有一段时间没有使用该服务，也没有改变密码。这表明正在使用的主密码列表可能来自早期的数据库。...