安全专家分析了Docker Hub上托管的400万个共享文件夹，发现其中一半存在严重漏洞。 该网络安全公司使用其Prevasio Analyzer服务器在800台计算机上运行了一个月。在400万张文件夹中，有51％存在至少一个漏洞程序包或应用程序，13％存在高危漏洞。 “安全专家还发现了6432个潜在恶意漏洞，占Docker Hub上共享文件夹的0.16％。” Prevasio发布的分析报告显示，“这份报告解释了恶意软件类型以及相关典型示例。”...

Clop黑客组织声称已盗取包括信用卡号、有效期等相关信息，信用卡CVV代码不包含在Track 2数据中，因此只能用于复制信用卡并将其用于个人消费。

消息来源：securityaffairs；封面来自网络；译者：小江。

本文由 HackerNews.cc 翻译整理。...

据外媒报道，近日谷歌Project Zero研究人员Ian Beer演示了如何远程盗取iPhone中的照片。在视频中，Beer用iPhone拍摄了一张照片，然后打开YouTube应用。YouTube应用并不是黑客攻击的一部分--它的打开只是为了演示iPhone在被篡改时如何没有任何被篡改的迹象。 自动攻击不需要互联网连接，它确实需要iPhone连接到某种无线系统 - 在这种情况下，它连接到Wi-Fi信号。通常情况下，Wi-Fi网络是有密码保护的，所以设备和攻击者之间会有额外的安全层。Beer建议，演示绕过了他通常需要突破第一条无线连接线的那一点，但这样做只需要时间，...

IBM安全团队X-Force的安全专家表示，目前黑客盯上了那些确保冠状病毒疫苗安全运输并储存在温控环境中的组织，这一过程被称为COVID-19冷链。攻击由一个跨越6个国家的钓鱼活动组成，虽然尚未确定责任集团，但之前的类似事件与相关政府有关。 鱼叉式钓鱼邮件使用海尔生物医药公司的一名业务主管的名字进行伪装，该公司是联合国官方冷链设备优化平台(CCEOP)项目的中国公司。这些钓鱼邮件发给 销售、采购、信息技术和财务岗位的高管，他们很可能参与了公司支持疫苗冷链的工作。它们看似要求CCEOP项目的报价，但实际上包含恶意的HTML附件，...

在一周前报道 1600 万巴西 COVID-19 患者个人数据被曝光之后，巴西当地媒体 Estadao 再次放出重料--包括在世和已故的在内，有超过 2.43 亿巴西人的个人信息已经在网络上曝光。这些数据来自于巴西卫生部官方网站的源代码，开发者在其中发现了重要政府数据库。 今年巴西非政府组织 Open Knowledge Brasil（OKBR）曾在今年 6 月份提交了一份报告，指出政府网站的源代码中保留了另一个政府数据库的公开登录信息。受这份报告的启发，Estadao 对巴西卫生部的官网进行了调查，发现了这个数据库。...

网络安全研究人员发现了一个之前没有文件记录的后门和文件窃取者，该窃取者在2015年至2020年初针对特定目标进行了部署。 该恶意软件被ESET研究人员命名为“Crutch”，被归咎于Turla，这是一家总部位于俄罗斯的高级黑客组织，通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。 网络安全公司的分析报告显示：“这些工具旨在将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。”...

早在 2018 年，这家社交媒体巨头就已经提供了对于硬件安全密钥的支持，以代替另外两种双因素身份认证选项（短信 / 验证器 App）。尽管硬件密钥小巧得可以轻松挂在钥匙圈上，但仅限于 Web 登录的功能，也给移动设备用户造成了巨大的不便。好消息是，Twitter 周三表示，基于硬件安全密钥保护的账户， 硬件双因素认证需要用户在登录时插入密钥，即便被攻击者知晓了用户名和密码，这套方案也能够努力避免账户被黑客入侵。 然而此前的技术限制，意味着这类账户使用者只能从计算机端登录，而无法使用更加便捷的移动设备。...

Crutch 恶意软件架构图（来自：ESET） ESET 安全研究人员 Matthieu Faou 在今日公布的一份报告中称：“攻击的复杂性和已发现的技术细节，进一步增强了我们对 Turla 组织拥有大量资源来运营如此庞大而多样化的网络攻击武器库的看法”。...

谷歌Project Zero白帽黑客Ian Beer周二披露了一个现已修补的严重“wormable”iOS漏洞的细节，该漏洞可能使远程攻击者能够通过Wi-Fi完全控制附近的任何设备。 Beer在一篇长篇博客中说，利用这个漏洞，可以“实时查看所有照片、阅读所有电子邮件、复制所有私人信息并实时监控（设备）上发生的一切”。 苹果在今年早些时候推出的iOS 13.3.1、macOS Catalina 10.15.3和watchOS 5.3.7的一系列安全更新中解决了该漏洞（编号为CVE-2020-3843）。...

根据一项新的研究，自2012年以来，以网络间谍活动而闻名的国家性质的黑客，正在使用挖矿技术来躲避检测，并在受害者系统上建立持久性。 微软的365 Defender威胁情报团队称，今年7月至8月期间，该组织部署了Monero硬币矿工，对法国和越南的私营部门和政府机构进行攻击。 研究人员在昨天发表的一份分析报告中表示：“这些硬币矿工的背后或许隐藏着更邪恶的活动。”...