Microsoft 的漏洞研究团队在 npm（Node Package Manager） 存储库中发现了一个恶意 JavaScript 程序包，可从 UNIX 系统窃取敏感信息。 该恶意软件包名为 1337qq-js，于 2019 年 12 月 30 日上传到 npm 存储库中。目前，该恶意软件包已被 npm 的安全团队删除。在此之前，该软件包至少被下载了 32 次。 根据 npm 安全团队的分析，该软件包通过安装脚本来泄漏敏感信息，并且仅针对 UNIX 系统。...

上周三，Cisco Systems 发布了14个产品漏洞修补程序，其中包括12个中危漏洞和2个高危漏洞。日前，已修复了2个高危漏洞，其中一个漏洞位于Webex视频会议平台，它在内部网络安全测试中被发现，对Cisco Webex Video Mesh软件在2019.09.19. 该漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中，该功能可用于视频会议的本地基础结构来增强音频、视频和内容，并在此基础上进行远程攻击。Cisco本周发布安全公告称：成功利用此漏洞可使攻击者在目标节点上以根用户权限对潜存的Linux操作系统执行任意命令。...

为美国低收入家庭提供的智能手机近日被发现存在恶意程序，更严重的是无法在不影响手机正常工作的情况下，清除该恶意程序。援引Malwarebytes Labs本周三公布的博文，详细披露了预装在UMX U686CL手机中的恶意程序。这是一款由美国政府生命线救援项目牵头， 博文中称，这款低端Android手机上存在两款恶意程序，而且都是通过预装方式直接嵌入到系统代码中的。尽管其中一款恶意程序可以被移除，但是需要繁琐的步骤并需要阻止未来的版本更新；而另一个恶意程序将其自身硬编码到设置应用中，意味着如果将其删除会导致手机无法使用。...

由于未及时支付赎金，Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来，Sodinokibi（也称为REvil）公开表示，他们将开始效仿Maze，如果受害者不支付赎金，就公开从受害者那里窃取的数据。 攻击者称：这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司，同时也是美国较大的IT公司之一)，如果该公司不支付赎金，他们将发布更多的数据。
“这些数据只是我们所拥有数据一小部分。如果还不采取任何行动，我们将向第三方出售剩余的更重要以及更有趣的数据，...

每天，数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统，以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。 在所有曝光的图像（包括X射线，超声波和CT扫描）中，约有一半属于美国患者。尽管安全研究人员就该问题向医院和医生办公室发出多次警告，但依然有很多人忽略了他们的警告，并继续暴露患者的私人健康信息。德国安全公司Greenbone Networks的研究工作的Dirk Schrader表示：“这种情况每天都...

包括国际隐私组织、数字权利基金会，DuckDuckGo和电子前沿基金会在内的50多个组织，近日向Alphabet和Google首席执行官Sundar Pichai发出公开信，就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中，这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序，并且具备厂商定值的特殊权限，因此可以绕过Android的权限模型。...

据外媒报道，Phil Openshaw是美国加州一名退休的牙医，他已经好几个月没上过自己的网站了，所以他并不知道它不再显示其每年会在乌干达提供免费牙科服务的细节信息。相反，该网站现在展示了一张最近遭暗杀的伊朗将军Qassem Soleimani的照片，并且上面还写着“打倒美国”的标语。 当他告知这一情况之后，Openshwa表示：“我真的不知道如何应对。我将会去看看。”...

Mozilla今天发布了紧急版本更新，重点修复了可能已经被利用的零日漏洞，允许攻击者来控制用户的计算机。在今天发布的安全通告中，Mozilla将该漏洞评为“严重”，并表示有证据表明多名黑客利用该漏洞进行了定向攻击。 美国网络安全和基础设施安全局警告称，至少有1个以上的漏洞被黑客利用，并且警告称黑客可以利用该漏洞来控制受影响的系统。Mozilla的公告中表示该漏洞的发现，主要归功于国内安全团队奇虎360，是他们向Mozilla报告了这个漏洞。...

据外媒The Verge报道，科威特国家新闻社（KUNA）周三表示，其Twitter帐户遭到黑客攻击，并被用来散布有关美军撤出该国的虚假信息。据路透社报道，现已删除的报告指出，科威特国防部长已收到美国的一封信，信中称驻科威特美军将在三天内离开该国。 该新闻社在后续的推文中说，其“绝对否认”在其社交媒体账户上发布的报道，科威特新闻部正在调查这一问题。 在伊朗将军苏莱曼尼被杀之后，有消息称美国发出了一封信，暗示该国将撤离伊拉克，但随后五角大楼官员迅速澄清该文件是错误发送的草稿信件。...

Precise Security公布的一份新报告显示，WannaCry在去年勒索软件感染排行榜当中位居第一。Precise Security称，超过23.5%的设备最终被勒索软件锁定，其中垃圾邮件和网络钓鱼邮件仍然是去年最常见的感染源。不少于67%的勒索软件感染是通过电子邮件传递的， 这份报告显示，针对政府机构，医疗保健，能源部门和教育的勒索软件攻击数量继续增加。一些简单的勒索软件以难以逆转的方式锁定系统，但更高级的恶意软件利用了一种称为加密病毒勒索的技术进行攻击。...