报道称，Linux内核中出现了一个新的安全漏洞，可能允许用户在目标主机上获得更高的权限。 该漏洞被称为StackRot（CVE-2023-3269，CVSS评分：7.8），影响Linux 6.1至6.4版本。迄今为止，没有证据表明该漏洞已经在野外被利用。 北京大学安全研究员李瑞晗说：”由于StackRot是一个在内存管理子系统中发现的Linux内核漏洞，它几乎影响到所有的内核配置，且仅需要最少的功能来触发”。 在2023年6月15日漏洞披露之后，经过两周努力，截至2023年7月1日，该漏洞已经在稳定版本6.1.37、6.3.11和6.4.1中得到解决。 一个概念验证（PoC）漏洞和有关该漏洞的其他技术细节预计将在本月底公开。 该漏洞的根源在于一个名为maple tree的数据结构，它在Linux内核6.1中被引入，作为rbtree的替代品，用于管理和存储虚拟内存区域（VMA），这是一个连续的虚拟地址范围，可以是磁盘上的文件内容或程序执行时使用的内存。 具体来说，它被描述为一个使用后的错误，本地用户可以利用maple tree在没有正确获得MM写锁的情况下进行节点替换，从而来破坏内核并提升他们的权限。 Torvalds指出：我想将所有堆栈扩展代码移动到自己的全新文件中，而不是将其拆分为 mm/mmap.c 和 mm/memory.c，我试图保持补丁最小化，但由于无论如何都必须回传到最初的maple treeVMA 介绍中。     转自Freebuf，原文链接：https://www.freebuf.com/news/371340.html 封面来源于网络，如有侵权请联系删除

越来越多接受过安全意识培训的员工不再轻易点击邮件中的可疑链接，但是网络钓鱼攻击者又找到了新的方法：二维码钓鱼邮件。 近日，安全公司Inky的研究人员发现，网络钓鱼攻击者开始发送大量包含二维码图片的钓鱼邮件，这些电子邮件将二维码嵌入邮件正文，以成功绕过安全保护，并可针对目标进行某种程度的定制，从而更容易欺骗收件人。研究人员表示，在许多情况下，这些钓鱼邮件来自收件人工作的企业内部被盗电子邮件账户，这种来自内部（可信）邮件地址的钓鱼邮件会进一步提高攻击的成功率。 Inky检测到的二维码钓鱼邮件的主题大多是要求员工解决安全问题（下图），例如缺少双因素身份验证注册或更改密码，并警告如果收件人未能及时操作，可能会产生后果。上当受骗的员工会用手机扫描邮件中的二维码并被引导至一个伪装成该公司合法站点的钓鱼网站，用户在钓鱼网站输入的账户密码会被发送给攻击者。 研究人员指出，此类二维码钓鱼邮件多为“喷射攻击”，攻击者会将邮件发送给尽可能多的目标用户，以期待提高攻击成功率。Inky的研究人员观察到多个行业都受到了二维码钓鱼邮件的攻击。在Inky检测到的545封二维码钓鱼邮件中，目标受害者主要位于美国和澳大利亚，其中包括非营利组织、多家财富管理公司、管理顾问、土地测量师、建材公司等。 二维码钓鱼邮件的两大特点 首先，二维码钓鱼邮件邮件不包含任何文本，只有一个图片文件附件，能够绕过基于文本分析的电子邮件安全方案。由于默认情况下，某些电子邮件程序和服务会自动直接在正文中显示附件图片，收件人通常不会意识到自己看到的邮件“正文”实际上是图片（不包含文本）。二维码钓鱼邮件的另一个显著特征是：图像中嵌入了一个二维码，指向凭证收集站点。这加快的访问钓鱼站点的速度，并能够有效降低员工意识到问题的可能性。二维码指向的钓鱼网站往往还会在登录框的用户名字段中预填收件人的电子邮件地址，这进一步产生安全错觉，让员工相信钓鱼网站是合法站点。 对于注重隐私的人来说，修改电子邮件设置阻止加载远程存储的图像不但是可行的，而且是值得推荐的。钓鱼邮件攻击者通过使用外部图像来确定他们发送的消息是否已被打开，因为收件人的设备会与托管图像的服务器建立连接。一些电子邮件服务，例如Gmail和Thunderbird不会在正文中显示附件图片，但其它很多邮件客户端或服务会显示图片附件。如果可能，建议企业和个人关闭此类客户端或服务的图片显示功能。（编者：禁止在电子邮件正文中显示图片是柄双刃剑，可能会产生用户体验问题或麻烦。） 二维码钓鱼邮件的防范 对于二维码钓鱼邮件的防御，安全专家们给出如下建议： 格外警惕含有二维码的电子邮件 通过其它渠道（即通过电子邮件以外的渠道）与发件人核实，确认消息是否真实 小心检查发件人地址，确保电子邮件来自其声称的地址 单击电子邮件正文，查看是否可以复制和粘贴文本。如果没有可复制的文本，需要格外警惕 在相关网络安全意识培训中增加对新型钓鱼邮件内容和攻击方法的培训内容 人们往往误以为网络钓鱼攻击并不复杂，只要稍加注意（培训）就能避免上当受骗。事实上，调查研究表明网络钓鱼是网络攻击最有效和最具成本效益的手段之一。根据AGG IT Services的数据，全球每天发送高达34亿封垃圾邮件，而Tessian的数据显示，四分之一的员工表示他们在工作中点击过网络钓鱼电子邮件。 无论企业投入多少预算构筑强大的网络安全防线，都可能因为一封钓鱼邮件而土崩瓦解。因此，企业安全团队需要对新型钓鱼邮件攻击的技术和策略保持高度关注。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/58x3NvnF8nyzJ1gPNqqv3w 封面来源于网络，如有侵权请联系删除

Check Point最近发现，网络攻击者在微软的 VSCode Marketplace中上传了3个恶意扩展，并被Windows 开发人员下载了 46600 次。 Check Point称，攻击者能够利用这些恶意扩展窃取凭据、系统信息，并在受害者的机器上建立远程 shell。 Check Point 发现的3个恶意扩展如下： Theme Darcula dark——被描述为“尝试提高 VS Code 上的 Dracula 颜色一致性”。此扩展用于窃取有关开发人员系统的基本信息，包括主机名、操作系统、CPU 平台、总内存和有关中央处理器。到被发现时，该扩展程序已被下载超过 45000 次。 python-vscode——对其代码的分析表明，这是一个 C# shell 注入器，可以在开发人员的设备上执行代码或命令。 prettiest java——根据描述，很可能是为了仿冒流行的“ prettier-java ”代码格式化工具而创建，但实际上却能从 Discord、谷歌 Chrome、Opera、Brave 浏览器和 Yandex 浏览器窃取保存在上面的凭证或身份验证令牌，然后通过 Discord webhook 将其发送给攻击者。 除此以外，Check Point 还发现了多个可疑扩展，这些扩展不能确定为恶意，但表现出不安全的行为，例如从私有存储库中获取代码或下载文件。 Check Point已经将情况报告给了微软，5月14日，VSCode从市场中删除了这3个恶意扩展。但任何仍在使用恶意扩展的软件开发人员必须手动将它们从系统中删除，并运行完整扫描以检测感染的任何残余。 软件存储库的安全风险 Visual Studio Code (VSC) 是微软发布的源代码编辑器，  全球很大一部分专业软件开发人员都是其用户。微软还为 IDE 运营一个名为 VSCode Marketplace 的扩展市场，里面提供了超过 50000 个扩展应用程序功能，并提供更多自定义选项的附加组件。 虽然允许用户上传的软件存储库（例如 NPM 和 PyPi）已经一次又一次地被证明存在安全风险，但针对VSCode Marketplace的恶意软件渗透还没有太多先例。而AquaSec 已在 1 月份证明，将恶意扩展上传到 VSCode Marketplace 相当容易，并提出了一些高度可疑的案例，但是最终没能找到任何确凿的恶意程序。 Check Point 发现的案例表明，如同攻击者在NPM 和 PyPI 等软件存储库中的做法，他们正积极尝试通过上传恶意程序感染 Windows 开发人员，Check Point 建议 VSCode Marketplace 和其他所有支持用户上传的软件存储库用户，在下载时仅选择可信、下载量大且拥有较好社区评分的程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366833.html 封面来源于网络，如有侵权请联系删除

近日，研究人员发现Python软件包索引（PyPI）中存在四个不同的流氓软件包，包括投放恶意软件，删除netstat工具以及操纵SSH authorized_keys文件。 存在问题的软件包分别是是aptx、bingchilling2、httops和tkint3rs，这些软件包在被删除之前总共被下载了约450次。其中aptx是冒充高通公司比较流行的同名音频编、解码器，而httops和tkint3rs则分别是https和tkinter的盗版。不难看出这些软件包的名字都是刻意伪装过的的，目的就是为了迷惑人们。 经过对安装脚本中注入的恶意代码分析显示，存在一个虚假的Meterpreter有效载荷，它被伪装成 “pip”，可以利用它来获得对受感染主机的shell访问。 此外，还采取了一些步骤来删除用于监视网络配置和活动的netstat命令行实用程序，以及修改.ssh/authorized_keys 文件以设置用于远程访问的 SSH 后门。 但是有迹象表明，潜入软件存储库的恶意软件是一种反复出现的威胁，Fortinet FortiGuard 实验室发现了五个不同的 Python 包——web3 -essential、3m-promo-gen-api、ai-solver-gen、hypixel-coins、httpxrequesterv2和httpxrequester 旨在收集和泄露敏感信息。 这些威胁是在 ReversingLabs 揭示了一个名为 aabquerys 的恶意 npm 模块时发布的，该模块伪装成合法的 abquery 包，试图诱骗开发人员下载它。 就其本身而言，经过混淆的 JavaScript 代码具有从远程服务器检索第二阶段可执行文件的功能，而远程服务器又包含一个 Avast 代理二进制文件 (wsc_proxy.exe)，已知该文件容易受到 DLL侧载攻击。 这使攻击者能够调用一个恶意库，该恶意库被设计为从命令和控制（C2）服务器上获取第三阶段的组件Demon.bin。 ReversingLabs研究员Lucija Valentić说：”Demon.bin是一个具有典型的RAT（远程访问木马）功能的恶意代理，它是使用一个名为Havoc的开源、后开发、命令和控制框架生成的。 此外，据说aabquerys的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本，它们有可能是aabquerys的早期迭代。 Havoc 远非唯一在野外检测到的 C2 利用框架，犯罪分子还在恶意软件活动中利用 Manjusaka、Covenant、Merlin 和 Empire 等自定义套件。 调查结果最后还强调了恶意软件包潜伏在npm 和 PyPi 等开源存储库中的风险越来越大，这可能会对软件供应链产生严重影响。     转自 Freebuf，原文链接：https://www.freebuf.com/news/357434.html 封面来源于网络，如有侵权请联系删除

反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上，这款恶意程序并不是新病毒，而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序，即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。 卡巴斯基表示现阶段只有 Windows 系统受到攻击：“现阶段发现的所有攻击设备都运行 Windows 系统：每次电脑重启，在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2（命令和控制）服务器，并下载额外可执行的恶意程序”。 卡巴斯基在深度剖析 Securelist 文章中，对该恶意程序的运行机制进行了详细的描述： 工作流程包括连续设置钩子，使恶意代码持续到OS启动后。涉及的步骤是： 1. 整个链条的起始是感染固件引导 2. 该恶意软件在启动管理器中设置了恶意钩，允许在执行Windows的内核加载程序之前修改它。 3. 通过篡改OS加载器，攻击者可以在Windows内核的功能中设置另一个钩子。 4. 当后来在OS的正常启动过程中调用该功能时，恶意软件最后一次控制执行流程。 5. 它在内存中部署了一个壳牌码，并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1297309.htm 封面来源于网络，如有侵权请联系删除

当开发人员在GitHub上寻找开源项目时，会习惯对其元数据进行检查，但研究发现，这些元数据很容易被伪造，并以此用来传播恶意代码。 Checkmarx 的研究人员在一份新报告中警告说，开发人员在查看元数据时应当尽力核实背后贡献者的身份，而不应仅停留于对元素据表面的检查。 通常，开发人员在GitHub上寻找开源项目时，会倾向于选择那些活跃的、有积极维护记录的贡献者所提供的项目，Git对每一次更改分配了一个唯一的 ID，该ID记录了由谁更新、具体的更新内容以及时间戳，相对而言，拥有较多的更新反映了贡献者对这个项目的重视，项目得到了较好的维护与优化。 但根据Checkmarx的说法，攻击者可以轻松伪造这些记录。报告称，衡量 GitHub 上用户活动的一个重要指标是用户个人资料页面上的活跃热图，显示用户在一段时间内的活跃程度，而攻击者能在注册的全新账户上通过伪造带有时间戳的提交记录，使之看起来已经平台上活跃了很长时间。 利用git set更改本地两个环境变量，从而在 GitHub 上显示伪造的时间戳 类似的，攻击者还可以“借用”一些知名的、信誉度良好的贡献者身份上传包含恶意代码的项目，攻击者只需要找到这些贡献者的电子邮件地址，然后在 Git 命令行上设置用户名和电子邮件地址并提交更改。报告称，尽管 GitHub 提供了隐藏电子邮件地址的方法，但大多数人并没有使用这些功能，从而让攻击者可以相对容易地获取这些邮件地址。此外，被借用身份的贡献者也不会收到任何关于他们的账户被添加为另一个项目的贡献者的通知。 Checkmarx的供应链安全主管Tzachi Zornstain强调，开发人员在选择开源项目时，要重视这些项目贡献者的身份是否已被验证，如果一个项目包含多个贡献者提交的代码，要确保这些贡献者也是必须真实可靠。 他还建议这些项目贡献者使用GitHub的数字签名功能，对自己的代码进行签名，这样他们的贡献就会被验证。该功能包括一个 “警惕模式”，显示所有在其名下贡献的代码的状态，包括其他人可能在其名下提交的代码。GitHub指出，如果所有贡献者希望能够这样做，就需要在2023年前开启双因素认证。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339431.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个广泛应用于 Windows、 Linux 和 Mac 环境的开源模块的维护者最近破坏了它的功能，以抗议乌克兰的战争，大众再次将注意力集中在与软件代码依赖相关的潜在的严重安全问题上。 Node-ipc 是一个用于进程间通信的 JavaScript 模块，数百万开发者在开发软件时使用这个模块。最近，该模块的作者 Brandon Nozaki Miller 在软件中插入了代码，用于删除定位于俄罗斯和白俄罗斯的开发者系统的所有文件。 后来，他迅速从 npm JavaScript 注册表中删除了包含雨刷代码的模块版本，但随后又发布了另一个名为“ peacenotwar”的模块，并使其成为 node-ipc 的依赖项。因此，下载了 node-ipc 的开发人员最终在桌面目录中放置了一个与乌克兰战争相关的消息传递文件。所有版本统计起来，node-ipc 模块平均每周的下载量超过一百万次。 应用程序安全供应商Snyk 本周调查了这起事件，并将其描述为破坏全球开源社区的行为的一个例子。“这起安全事件涉及一名维护人员破坏磁盘文件的破坏性行为，以及他们试图隐藏和重申以花式蓄意破坏的企图,”Snyk的开发商宣传总监 Liran Tal 在博客中说。“虽然这是一种出于抗议动机的攻击，但它突显了软件供应链面临的一个更大的问题: 代码关联的依赖关系可能会对您的安全产生巨大影响。” Node-ipc 事件是近几个月来第二起说明企业使用开放源码和第三方组件构建软件之后面临的严重风险的事件。 今年1月，Marak Squires——两个广泛使用的开源库—— colors.js 和 faker.js 的维护者——故意在模块中引入代码，导致依赖它们的应用程序多次打印输出“ liberty”一词，后面还跟着胡言乱语。Sonatype负责维护 Maven 中央 Java 包存储库并调查 Squires 事件，据称，‘ colors’有超过33亿次的下载量，在超过19000个项目中使用，而‘faker’则有超过2.72亿次的下载量和大约2500个依赖项目。因此，成千上万的应用程序受到了 Squires 的行动的影响，Sonatype 推测这可能是 Squires 对他认为的大公司和商业项目免费从他的工作中获益的一种抗议形式。 危险的干预 Snyk 对最新 node-ipc 事件的分析表明，Miller，使用了 RIAEvangelist 这个名字，在2021年3月7日的几个小时内发布了包含破坏性代码(10.1.1和10.1.2)的两个 node-ipc 版本。被破坏的模块在被移除之前，可以在 npm JavaScript 注册表上下载，下载不到24小时就被删除了。尽管如此，与 node-ipc 相关的大量下载使得至少一些在代码中使用该模块的开发人员受到了影响，Tal 在 Dark Reading 的评论中说。 他说: “破坏性的10.1.1和10.1.2版本已经从 npmjs 的注册表中删除了，我们没来得及为它们收集任何下载数据。”但是，node-ipc 的10.x 版本分支每周大约有3,000次下载，因此可以有把握地假定，包含的雨刮器代码的下载量也是这样的数量。 一天后，也就是3月8日，米勒在 NPM 上发布了这个peacenotwar包。他说，这个模块既是对俄罗斯入侵乌克兰的抗议，也是一个“非破坏性”的例子，正说明开发人员需要对节点模块实施更多控制。这应该作为一个有益的例子，说明团队应该使用显式依赖版本,”Miller 在一个 GitHub 线程中说。“升级与否永远是我们来决定。” Tal 表示，peacenotwar 模块最初只有几十到几百次下载，但是，当它被添加为主流 node-ipc 分支的一个依赖项，下载量就超过了4万次。“不过请记住，这个模块的破坏性较小，但对终端用户来说仍然相当令人担忧。” 在一份声明中，Sonatype 首席技术官 Brian Fox 说，最近的事件表明了开发人员在选择使用开源模块时应该审查维护人员。他建议开发人员应该只从基金会支持的项目中选择代码，而不是从个人项目中选择代码。选择一个只有一个维护人员的项目意味着要完全信任一个开发人员。他指出，由基金会支持的开源项目往往更可控，这使得单个开发人员很难以一己之力改变代码。 Tal说，之前的研究表明，关联的依赖关系与每个被添加到正在构建的软件中的模块显著息息相关。他指出，2019年的一项研究显示，由于可传递的依赖关系，开发人员平均安装一个 npm 包就隐式信任其他80个包。他表示: “一些非常受欢迎的软件包可以达到10万多个其他软件包，这使得它们成为主要的攻击目标。” 供应链安全问题已经增加，应该是任何开发者，创业者，或企业的头等大事，Tal说。安全问题与维护者的声誉、许可证、安全漏洞和项目的可维护性都有关。“开发人员应该仔细检查开源组件的总体健康评分，其中包括上述所有标准，或许还不止。” 消息来源：DarkReading，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在流行的包管理器中已经揭露多个安全漏洞，如果被潜在黑客利用，可能被滥用来运行任意代码和访问敏感信息，包括受感染设备的源代码和访问令牌。 然而，值得注意的是，这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 SonarSource 的研究员 Paul Gerste 说: “这意味着攻击不能远程直接针对开发人员的机器，并且需要欺骗开发人员来加载格式不正确的文件。”“但你是否总是足够了解并信任来自互联网或公司内部仓库的所有软件包的提供者呢?” 包管理器指的是用于自动安装、升级和配置开发应用程序所需的第三方依赖项的系统或一组工具。 虽然流氓库将存储库打包存在自带的安全风险——需要对依赖关系进行适当的审查，以防止出现类型定义错误和依赖混淆攻击——但“管理依赖关系的行为通常不被视为具有潜在风险的操作” 但是，在各种软件包管理器中新发现的问题表明，攻击者可以将这些软件包武器化，诱骗受害者执行恶意代码。这些漏洞已经在以下软件包管理器中被识别出来： Composer 1.x < 1.10.23 and 2.x < 2.1.9 Bundler < 2.2.33 Bower < 1.8.13 Poetry < 1.1.9 Yarn < 1.22.13 pnpm < 6.15.1 Pip (no fix), and Pipenv (no fix) 其中最主要的漏洞是 Composer 的 browse 命令中的命令注入漏洞，这个漏洞被滥用，通过向已发布的恶意程序包插入 URL 来实现任意代码执行。 如果包利用类型定位或依赖关系混淆技术，它可能会导致这样一种情况，即运行库的浏览命令可能导致检索下一阶段的有效负载，然后该有效负载用来发动进一步的攻击。 在 Bundler、 Poetry、 Yarn、 Composer、 Pip 和 Pipenv 中发现的附加参数注入和不可信搜索路径漏洞意味着，黑客可以通过添加恶意软件的 git 可执行文件或攻击者控制的文件(如用于指定 Ruby 程序依赖项的 Gemfile)获得代码执行。 在2021年9月9日的披露之后，针对 Composer，Bundler，Bower，Poetry，Yarn 和 Pnpm 中的问题已经发布了修复程序。但是 Composer、 Pip 和 Pipenv 都受到不可信搜索路径漏洞的影响，他们选择不解决这个 bug。 “开发者是网络犯罪的香饽饽，因为他们可以访问公司的核心知识产权资产: 源代码,”Gerste 说。“攻击他们可以让攻击者进行间谍活动，或者在公司的产品中嵌入恶意代码。这甚至可能被用来实施供应链攻击。”     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文