近年来，网站服务被黑客入侵并暴露数百上千万密码的事件已经屡见不鲜。而为了帮助用户了解自己的密码是否已经被泄露到了互联网上，Google Chrome 浏览器正在采用一种更加标准的方法。如果被 Google 检查到您的密码已被暴露，只需点击一个按钮，浏览器就会跳转到正确的网址来帮助你轻松修改密码。 据悉，这项功能采用了“众所周知”的解决方案，因为大多数网站都有提供标准的“修改密码”页面。而 Chrome 浏览器做到了更进一步 —— 帮助用户一件跳转！ 以 WordPress 为例，该网站的密码修改 URL 为【https://wordpress.com/.well-known/change-password】。 此外知名社交媒体平台 Twitter 的密码修改网址为【http://twitter.com/.well-known/change-password】。 通过集成密码泄露检查和一件跳转修改功能，Chrome 可以免除中间过程的许多麻烦。如果某些网站不支持这项功能，则谷歌会将你引导至它的主页。 按照计划，谷歌将在 2020 年 10 月发布的 Chrome 86 版本中引入这项功能，届时感兴趣的朋友可尝试手动开启或关闭该标记（flags）。 此外作为一项标准功能，其已在 Apple Safari 中得到使用，后续也将很快登陆其它基于 Chromium 内核的马甲浏览器中。     （稿源：cnBeta，封面源自网络。）

根据信息安全研究员的一份最新报告，苹果意外批准了伪装成Adobe Flash播放器更新的常见恶意软件在macOS系统上运行。 信息安全研究员帕特里克·沃德尔（Patrick Wardle）指出，苹果批准的一款应用中包含知名恶意软件Shlayer中使用的代码。Shlayer是一款木马下载器，通过伪装成其他应用来传播，用户中招后会遭到大量广告的轰炸。反病毒公司卡巴斯基2019年表示，Shlayer是Mac电脑面临的“最常见威胁”。 沃德尔说，这是在苹果启动新的应用认证流程后，他首次听说苹果错误认证了恶意软件。苹果于2019年公布了macOS的应用认证流程，要求所有应用在macOS上运行前都要经过苹果的审核和开发者签名，即使这些应用来自Mac App Store以外。 在发现恶意软件之后，沃德尔联系了苹果。苹果随后禁用了与该应用相关的开发者帐号，吊销了对帐号的认证。有消息称，攻击者试图再次对该恶意软件进行认证，但苹果表示，各个版本的恶意软件认证都已被撤销。     （稿源：新浪科技，封面源自网络。）

援引彭博社报道，全球最大的暗网之一 Empire Market 于三天前宕机。目前尚不清楚引发本次宕机的原因是什么，也不清楚该网站的管理员是谁。报道中采访的一位网络安全专家表示，像 Empire Market 这样的暗网宕机通常有两个原因，其一是管理员被逮捕，其二就是窃取了用户押金后跑路。 暗网 Empire Market 主要销售毒品，并提供包括护照、恶意软件在内的其他内容。彭博社报道称，在 Silk Road 和 AlphaBay 等暗网关闭之后，Empire Market 成为交易量最大的暗网市场。 帝国市场上的商品被换成了加密货币。为了在这样的市场上经营，任何想要出售的人都必须交纳押金。这笔钱会被托管，让网站的管理员对其进行控制。这使得他们有可能直接关闭网站，然后带着钱走人。一位接受彭博社采访的安全专家表示，帝国市场托管的金额很难估计，但至少是 “数百万美元”。     （稿源：cnBeta，封面源自网络。）

据外媒报道，美国政府日前提起诉讼以此来控制280个比特币和以太坊账户，据悉这些账户持有朝鲜黑客从两家加密货币交易所窃取的资金。法庭文件没有指明被黑的交易所，但官员表示，这两次黑客攻击分别发生在2019年7月1日和2019年9月25日。 在第一次事件中，朝鲜黑客窃取了价值27.2万美元的加密货币和代币，包括Proton代币、PlayGame代币和IHT Real Estate代币。而在第二次事件中，黑客窃取了多个虚拟货币，总价值超过250万美元。 美国官员表示，他们使用区块链分析追踪到两家被黑交易所门户网站被盗资金进入了280个账户中。 根据法庭文件，美国政府表示，朝鲜黑客使用了一种名为chain hopping的技术来洗黑钱。这种技术也被称为blockchain hopping，指的是从一种加密货币中获取资金并将其转换为另一种加密货币。 美司法部表示，朝鲜黑客通常会从一家交易所窃取资金然后将资金转移到另一家交易所，在那里他们会进行数次连锁交易，最终则将所有资金汇入他们追踪到的280个BTC和ETH账户中。 根据法庭文件了解到，这280个地址中的许多地址目前都被冻结在了它们建立的加密货币门户上。由于加密货币交易门户网站之间有着合作关系，它们会在遭到黑客攻击后立即冻结问题账户。 现在，美国政府想要正式控制这些账户以便将资金返还给被黑客攻击的交易所或用户。 美国司法部表示，这两起黑客攻击跟他们在2019年3月曝光的其他朝鲜黑客攻击和洗钱活动有关。 2019年9月，美国财政部曾制裁了三家朝鲜黑客组织，并冻结了跟其空壳公司相关的金融资产。美财政部官员表示，这三家组织参与了对加密货币交易所的黑客攻击，其目的是窃取资金然后转移给平壤政权手中。     （稿源：cnBeta，封面源自网络。）

Slack 及其几十个桌面应用程序刚刚躲过一劫。这款被记者、科技工作者和 D&D 爱好者广泛使用的通讯工具本周五披露了一个“关键漏洞”，允许黑客在用户电脑上肆意妄为。这个安全漏洞并不是由 Slack 的内部安全团队发现的，而是由第三方安全研究人员报告的，在 1 月份通过漏洞赏金平台 HackerOne 报告的。 该漏洞被称之为“远程代码执行”，在Slack修复之前，使用该漏洞的攻击者可以做一些非常疯狂的事情，比如获得 “对私人文件、私钥、密码、秘密、内部网络访问等的访问权”，以及 “对Slack内部私人对话、文件等的访问权”。 更为重要的是，根据披露的细节有恶意倾向的黑客可能会让他们的攻击变得“wormable”。也就是说，如果你团队中的一个人被感染了，他们的账户会自动将该危险的有效载荷重新分享给所有同事。 值得强调的是，发现这个漏洞的安全研究人员决定做一个很多人认为正确的事情，通过HackerOne向Slack报告。对于这位安全研究人员来说，他的 HackerOne 账号是oskars，这让他获得了 1750 美元的漏洞赏金。 当然，如果那个人愿意，他们很可能通过把它卖给第三方漏洞中介，得到更多更多的钱。像Zerodium这样的公司，出价数百万美元购买零日漏洞，再把这些漏洞卖给政府。 外媒联系了Slack，试图确定它是如何决定其bug赏金的规模，以及它是否对安全社区成员提出的批评有回应。对此，该公司发言人回答说，Slack为bug赏金支付的金额并非一成不变。 “我们的bug赏金计划对于维护Slack的安全至关重要，”该发言人在部分内容中写道。”我们非常重视安全和开发者社区的贡献，我们将继续审查我们的支付规模，以确保我们认可他们的工作并为客户创造价值。”     （稿源：cnBeta，封面源自网络。）

据科技媒体 ZDNet 的报道，npm 安全团队近日发现了一个恶意的 JavaScript 库，该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。 这个名为 “fallguys” 的 JavaScript 库声称提供了 “Fall Guys: Ultimate Knockout” 游戏的 API 接口。但实际上它附带恶意程序，用户在运行后即被感染。 根据 npm 安全团队的说法，此代码将尝试访问五个本地文件，读取其内容，然后利用 Discord Webhook 将数据发布到 Discord 通道内。Discord 的内置 Webhooks 是一种简便的方法，可以将消息和数据更新自动发送到服务器中的文本通道。 程序包尝试读取的五个文件分别是： /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/discord/Local\x20Storage/leveldb 前四个文件是特定于 Chrome、Opera、Yandex Browser 和 Brave 等浏览器的 LevelDB 数据库。这些文件通常存储特定于用户浏览历史记录的信息。 最后一个文件也是类似的 LevelDB 数据库，但用于 Discord Windows 客户端，该数据库类似地存储有关用户已加入的频道以及其他特定于频道的内容的信息。 令人寻味的是，该软件包并未收集存储凭据一类的更敏感信息，而似乎是在观察受感染者，评估他们经常访问的站点，再根据此来更新软件包，提供更有针对性的代码。 该软件包上架了两个星期，被下载近 300 次。目前，npm 安全团队已将此软件包删除。 相关链接 npm 的详细介绍：点击查看 npm 的下载地址：点击下载     （稿件与封面来源：开源中国）

摘要 自容器诞生以来，安全专家就将不安全的Docker daemons 称为主要威胁。我们最近还撰写了有关Graboid（第一个Docker密码劫持蠕虫和不安全的Docker daemons）的文章。我通过设置Docker daemons蜜罐进行了进一步的研究，以研究在野外寻找普通Docker daemons的情况，并了解由COVID-19导致的向云的转移是否增加了针对性云攻击的普及率和复杂性。 本文将详细介绍Cetus的发现，Cetus是针对Monero的一种新的和改进的Docker密码劫持蠕虫挖掘，可在我们创建的Docker daemons蜜罐中找到。 蜜罐 为了进行研究，我设置了受限的Docker daemons，并记录了5月份的所有流量。在这段时间里，我目睹了各种各样的攻击，从僵尸网络到蠕虫，一切都在进行，其中大多数是为了进行加密劫持，特别是对门罗币。 最常见的攻击之一引起了我的注意，因为它具有蠕虫的潜在特征。与其他攻击不同，蜜罐在这里受到来自许多不同的不安全Docker daemons实例的攻击。根据我的honeypot部署和其他有关容器安全性的研究项目，看到蠕虫针对不安全的Docker daemons的情况并不常见。我分析有效负载，并确定这是一个新的Docker蠕虫：恶意软件的每个实例都试图发现和感染本地网络和外部的其他Docker daemons实例。 Cetus如何运作     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1322/ 消息与封面来源：paloalto ，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

即使没有可利用的软件漏洞，黑客也总是会找到入侵的方法。 FBI逮捕了一名俄罗斯公民，他最近前往美国，并向目标公司的一名员工行贿100万美元，以帮助他将恶意软件手动安装到该公司的计算机网络中。 8月1日至8月21日，27岁的Egor Igorevich Kriuchkov作为一名游客进入美国，他曾多次与内华达一家未透露姓名的公司的雇员会面，讨论这起阴谋，之后在洛杉矶被捕。 法庭文件提到： “大约在7月16日左右，Egor Igorevich Kriuchkov用他的WhatsApp帐户联系了受害公司的雇员，并安排亲自去内华达州探望。” “大约在7月28日左右，Egor Igorevich Kriuchkov使用了他的俄罗斯护照和B1 / B2旅游签证进入了美国。” Kriuchkov还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。 根据美国司法部公布的法庭文件，Kriuchkov要求安装的恶意软件旨在从该公司的网络中提取数据，使攻击者能在以后威胁该公司，要求该公司支付赎金。 Kriuchkov和他在俄罗斯的同谋向该雇员承诺，在成功植入上述恶意软件后，将支付100万美元比特币，并提出对该公司网络发起DDoS攻击，以转移人们对该恶意软件的注意力。 “如果CHS1 [员工]同意这一安排，他们将提供用于插入电脑的u盘或带有恶意软件附件的电子邮件。” “身份不明的同谋讨论了支付雇员的各种方式，包括使用加密货币，担保人保证金或现金支付。” “在与联邦调查局联系后，Kriuchkov一夜之间从内华达州里诺开车到洛杉矶。克里奥科夫要求一位熟人为他购买飞机票，以试图飞出该国。” 在被联邦调查局逮捕后，联邦调查局对Kriuchkov及其会议进行了实时监视，Kriuchkov列出了该团伙之前针对的公司，并透露每一个目标公司中都有人在代表该团伙安装恶意软件。 我们需要注意的是，一些高调的勒索软件和数据泄露攻击很有可能是由内部人士以同样的方式实施的。 最终，Kriuchkov被控一项共谋罪，意图故意对受保护的计算机造成损害。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

恶意网络攻击者对软件供应链的攻击，正向“上游”组件蔓延，再借助开源软件的“信任链”和影响力，导致的结果之一就是破坏性更大。Sonatype 的《2020软件供应链报告》报告提出，下一代软件供应链攻击正在到来，显著特点就是刻意针对“上游”开源组件，进行更主动的攻击。而此类攻击出现的背景正是开源组件和容器的广泛采用。 软件供应链及攻击 软件供应链一词常出现在科技公司和研究人员的表述中，Dell EMC 的产品管理总监 John Mark Walker 曾通过对比硬件供应链，描述传统软件供应链。 他认为，硬件的供应链是来源于不同地区的、许多不同合作伙伴的零部件，传统软件供应链大多是定义企业内部制作软件，以及从第三方获得一些商业软件的过程。在此模式下，供应链上的大部分来源于公司内部，可能来自多个工程团队，一小部分软件来源于公司外部，因此供应链主要由内部产品定义，工程团队负责管理。另外来自第三方供应商的软件在组合时需要做合规检查，获得许可。 （简单的、一般的传统软件供应链） 另一个流传较广的定义是按照阶段划分，认为软件供应链通常包括三个阶段：软件研发阶段、软件交付阶段、软件使用阶段。 这种划分通常也有助于区分不同种类的软件供应链攻击，许多大型科技公司对此都有专门的讨论。腾讯安全平台曾总结软件供应链攻击环节，阿里巴巴的工程师也曾例举不同阶段的攻击面： 一是生产节点被攻击，包括软件开发涉及到的软硬件开发环境、开发工具、第三方库、软件开发实施等等，软件开发实施的具体过程还包括需求分析、设计、实现和测试等，软件产品在这一环节中形成最终用户可用的形态。软件研发阶段的攻击面包括 IDE 开发工具污染攻击、三方库漏洞和后门攻击、直接源码污染攻击。 二是交付阶段，交付节点被攻击，如软件上线的平台、硬件。用户通过软件官网、公共仓库、在线商店、免费网络下载、购买软件安装光盘等存储介质、资源共享等方式获取到所需软件产品的过程。受攻击对象比如著名的软件下载站、Python 官方镜像源、Github 等。 攻击面如软件存储替换和篡改攻击、传输劫持和捆绑下载攻击。 三是软件使用阶段，使用节点即软硬件的使用者被攻击。使用软硬件产品的整个生命周期，包括产品更新升级、维护等过程。 攻击面包括升级劫持污染攻击、运行环境后门和了漏洞攻击、三方库 0Day 漏洞攻击。 以上是从定义方面，较为宽泛地看传统软件供应链以及一般软件供应链攻击。但随着云原生和开源的发展，一些新的看法与攻击出现了。 开源与云原生时代的软件供应链 前文 John Mark Walker 所说的传统软件供应链，是在对比包含更多开源组件的软件供应链。John Mark Walker 认为，随着开源软件应用在增多，情况已经变得混乱了：未经验证的许可证、未经测试的仓库、以及狂野的开发者，这些要素使得软件供应链看上去似乎不可管理。开源导致至少增加了一个额外的层次： 某个角度看，开源组件插入到产品中，和第三方商业组件插入到产品中，并没有本质差别。但实际上，关于上游开源组件，多数源代码仓库没有任何商业保证。此时要么是建立自己内部的审核代码和应用产品管理流程的方法，或者是靠中间厂商，即采用开源软件的商业发行版，如 RedHat 和 SUSE 提供的 Linux 企业版产品。 与开源密切相关，并改变传统软件供应链的还有云原生。容器概念和 Docker、Kubernetes 等项目的出现，改变了软件的交付方式，进而影响到软件供应链。 阿里技术团队曾总结容器和 Kubernetes 的引入带来的安全软件供应链管理变化： 发布和迭代更加频繁，容器的易变性也使得安全风险稍纵即逝； 更多的不可控三方依赖，一旦一个底层基础镜像有了安全漏洞，会向病毒一样传递到上层； 更大范围的全球快速分发，在分发过程中的攻击也会使得在末端执行的时造成大规模安全风险。 《2020软件供应链报告》中提到的“下一代软件供应链”攻击的变化，也正是基于开源和与原生的发展——下一代软件攻击数量激增的背景是，开源加速了创新，也带来大规模的使用，到2020年，世界各地的开发者对开源软件组件和容器的需求，将超过1.5万亿个。同时，攻击也正在积极针对开源项目。 下一代软件供应链攻击已主动向“上游”感染 供应链成为攻击媒介已经不是新发现了。Symantec 的调查显示，2017年供应链网络攻击激增200%；2018年，CrowdStrike 的供应链安全性调查结果显示，80％的 IT 专业人员认为软件供应链攻击将是企业组织在未来三年中将面临的最大网络威胁之一…… 这次的《2020软件供应链报告》提出了“下一代”的软件供应链攻击正在到来，特点是攻击更加主动，波及范围更广。 数据显示，在过去12个月，旨在大举渗透开源的下一代网络攻击数量增加了430%。攻击者正在利用软件供应链达成杠杆和规模效应。同时，下一代的软件供应链攻击更加险恶，因为攻击者不再是等待公开披露的开发源码漏洞，而是主动、积极地将恶意代码注入为全球供应链提供信息的开源项目，通过感染“上游”组件，向“下游”扩散。 出现此种情况的可能原因有三个： 开源项目是协作的，有时难区分良好和恶意的社区成员； 开源项目通常包含来自其他开源项目成百上千的依赖项，依赖项中可能含有已知漏洞； 开源精神是建立在全球社区的“共同信任”之上，这便于攻击者轻松达成目的。 最常见的是类型攻击，这是一种间接攻击向量。此类攻击在搜索流行组件时攻击开发人员，是他们犯一些无辜的错误。如开发人员想要获取“Iodash”源代码，却意外地输入了“Iodahs”，那么他们可能会意外地安装一个名称类似的恶意组件。 另一常见的是恶意代码注入。如今年5月，GitHub 安全博客警告了针对 Apache NetBeans IDE 项目的开源供应链攻击 Octopus Scanner。最终统计显示，有26个开源项目被植入了 Octopus Scanner 后门。一旦感染，恶意程序会寻找用户开发系统上的 NetBeans 项目，然后将恶意负荷嵌入项目文件，每次构建都会执行恶意负荷。 如何使开源软件供应链更可信 事实上，随着软件供应链攻击的增加，企业和开发者也需要做些什么来保障安全，提高软件供应链的可信度。 《2020软件供应链报告》认为，选择开源项目应该是企业软件开发团队的重要战略决策。包括识别模范的开源供应商，具有更新依赖性的项目更加安全。报告建议项目团队应该力争每年至少发布4个版本，并在每个版本中升级至少80%的依赖项，更高频率的依赖更新会带来更高的质量和更安全的代码。 报告还指出，面对更加恶意的软件供应链攻击，防御的速度仍是关键。一直以来，所有开发者和企业都牢记面对恶意攻击时，要积极响应。不过该报告此处尤指开源软件，组织必须建立起一个“快速升级态势”，这样他们就可以通过发现和修复生产应用程序中、脆弱的开源依赖关系，来快速响应新的漏洞披露。 除了报告中提到的“快速升级态势”，态势感知也是近年来常被用于确保网络安全的方式。 “态”强调当前状态，“势”强调未来发展的趋势。网络安全领域的态势感知，最重要的是全局视角提升对威胁的发现识别、理解分析、响应处置。态势感知基于基于环境的、动态、整体地洞悉风险的能力，以大数据为基础，最终是为了决策与行动，是预测能力的落地，也可看做一种“事前”发现的方式。 具体方式包括通过收集云上安全组件信息、关联分析组件提供的海量日志等，全面感知威胁，得出可被理解的安全事件。又或是通过人工智能技术，深度挖掘数据，预测云上资产可能面临的风险。 最后报告再次提及开源及其安全的重要度：10个开源软件下载中有1个是脆弱的，而开源组件占到了现代应用的90%。其研究发现生产力不一定要以降低安全性为代价。在供应端，通过对部分开源项目的研究发现，频繁的代码更新、依赖更新和发布会带来更好的结果，更新越频繁，开源项目通常越安全。 综上，无论是供应端还是需求端，建议都是快速行动，包括快速更新、快速应对。开源或许在某种层面上导致风险更大，但合理利用开源的协同开发，快速发布，也是解决这些风险的绝佳方式。     (稿源：OSCHINA，封面来自网络）

360公司表示，AI关键基础设施正面临三重风险，包括某些人脸识别设备能让任意人通过，不仅AI算法存在漏洞，其所依赖的关键基础设施也同样会被攻击。 360 AI安全研究院表示，目前AI的三重风险包括：学习框架风险、硬件风险及云平台风险。 第一，针对深度学习框架安全风险。深度学习框架主要可以划分为云端学习框架和终端学习框架。云端框架安全风险主要来自于自身代码的实现以及第三方的依赖库问题；终端框架安全风险主要存在于模型网络参数、模型网络结构，以及模型转换过程。 第二，针对硬件相关的安全风险。据英伟达官网统计，截至今年7月，关于GPU驱动漏洞的数目达到数百个；芯片漏洞以幽灵、熔断为例，幽灵漏洞可以造成泄露敏感数据、执行特定代码，熔断漏洞导致用户态获取特权内存的数据，这些漏洞影响了Intel、部分ARM的处理器。 第三，针对云平台的安全风险。用于深度学习任务的节点性能强大，因此总会有一些攻击者想要非法使用这些资源进行挖矿。比如，今年6月，微软通报部分Kubeflow存在未授权访问的问题，导致大量设备被非法挖矿。 “只有在确保AI系统的安全，才有可能放心享受AI的便利，那么保证系统中AI关键基础设施的安全至关重要”，360 AI安全研究院表示，AI关键基础设施的安全问题可以通过权限控制、访问隔离、参数过滤等措施进行缓解，针对AI关键基础设施的安全问题，需要建立多维度、一体化风险评估方法以及对应防御措施。(大鹏)     (稿源：新浪科技，封面来自网络）