今年到目前为止，专家们已经发现了88000个恶意开源包，比2019年的同一数字增加了三位数，表明企业的攻击面正在快速增长。这些数字来自Sonatype的第八次年度软件供应链状况报告，该报告是根据公共和专有数据分析编制的，包括1310亿次Maven Central下载和成千上万的开源项目。 报告详细介绍了企业系统面临的日益增长的风险，这些风险既来自于威胁者插入软件库的恶意软件包，也来自于开发团队不知不觉中下载的意外漏洞。恶意活动的激增证明了这些团队越来越多地使用开放源代码包来加快上市时间。Sonatype估计，今年的开源请求将超过三万亿。 该供应商认为，开放源码消费的巨大规模和软件依赖性带来的额外复杂性可能意味着威胁和漏洞会被开发者遗漏。目前，平均每个Java应用程序包含148个依赖项，比去年多了20个。据Sonatype估计，由于Java项目平均每年更新10次，开发人员必须为他们的每个应用程序每年跟踪近1500个依赖性变化的情报。 然而，对这些开发环境的可见性似乎是缺乏的：在过去的一年里，每七个影响开源项目的错误中，就有六个是由反式依赖引起的。 报告指出，总体而言，96%的含有已知漏洞的开源Java下载是可以避免的，因为有更好的版本，但由于某种原因没有被使用。不幸的是，许多组织似乎是在错误的安全意识下运作。 该报告显示，68%的调查对象确信他们的应用程序没有使用有漏洞的库。然而，对企业应用程序的随机抽样显示，68%的应用程序包含已知的漏洞。”不成熟的组织希望他们的开发人员在履行正常工作职责的同时，还能保持对许可证合规性的关注、多个项目的发布、依赖性的变化以及开源生态系统的了解。这是除了速度等外部压力之外，”Sonatype首席技术官Brian Fox解释说。 工作满意度与软件供应链实践的成熟度有很大关系。这一令人清醒的现实表明，企业急需优先考虑软件供应管理，以便更好地处理安全风险，提高开发人员的效率，并实现更快的创新。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/l7TTWCLw-CvCU53bHhv4gA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，法国、西班牙和拉脱维亚的警方联合捣毁了一个汽车盗窃团伙，该团伙利用一种欺诈性软件，在不使用物理钥匙的情况下盗窃车辆。 此次行动共逮捕包括软件开发者、转售商、汽车盗贼在内的31名犯罪嫌疑人。 据悉，该犯罪团伙以使用无钥匙进入和启动系统的汽车为目标，利用其无钥匙技术在不使用遥控钥匙的情况下打开车门，启动发动机，将汽车偷走。 法国国家宪兵队（FNG）网络空间指挥部查获了用于入侵汽车无钥匙技术的欺诈性软件域名。值得一提的是，在欧洲刑警组织发布的新闻稿中并未提及该网站的 URL 或其所在域名，也没有提供有关嫌疑人如何入侵无钥匙车辆的任何细节。 此次调查是由法国宪兵队网络犯罪中心(C3N)发起。自 2022 年 3 月以来，欧洲刑警组织一直在大力支持这一案件、期间不仅进行了大量情报信息分析并向所有受此犯罪影响的国家分享情报，还积极协调法国、拉脱维亚和西班牙国家当局之间的跨境抓捕。 此外，在抓捕行动当天，欧洲刑警组织还将一个流动办公室派往法国以协助法国当局采取调查措施。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347226.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer 10月18日消息，FBI发布警告称，网络诈骗分子很可能会利用刚刚施行的美国学生贷款减免计划，对目标群体进行钓鱼攻击。 今年8月，拜登政府正式颁布了学生贷款减免计划，该计划于上周末开始投入测试运行，并于当地时间10月17日正式开放免费申请，目前已有超过800万人提交了减免还款申请。 FBI表示，网络诈骗分子可能建立虚假的申请网站，并向受害者发送符合申请资格的钓鱼邮件和短信，而他们的目的可分为两种，一是搜集受害者个人信息进行其他网络犯罪活动，二是以注册该计划或处理申请为由从中骗取费用。 此外，在申请的第一阶段，正规的申请流程不需要用户登录任何账户，也不需要个人上传任何个人或财务文件。当进入下一阶段时会被要求提供一些个人信息和文件，并会通过noreply@studentaid.gov、 noreply@debtrelief.studentaid.gov等官方邮件联系申请者。 真正的官方申请网站 FBI强调，政府不会向申请者发送通知，因此任何关于申请表的电子邮件、电话或短信涉嫌诈骗。 据悉，美国共有约4500万人申请了学生贷款，总计借贷金额达1.6 万亿美元。拜登表示，超过4000万人将从学生贷款减免计划中受益，受益者中90%的人年收入不足7.5万美元。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347236.html 封面来源于网络，如有侵权请联系删除

援引 Bleeping Computer 报道，存在于 Windows Mark of the Web (MotW) 中的零日漏洞正被攻击者积极利用。MotW 应用于提取 ZIP 存档文件、可执行文件和源自网络上不受信任位置的文档。 MOTW 是 The Mark of the Web 的英文简称，MOTW 是 Windows Internet Explorer通过强制使IE浏览器浏览存储下来的网页在安全的位置的一种机制，目的是增强安全性。MOTW 是一个注释作为标签添加到HTML网页中的，当用户打开存储在本地的HTML文档时，IE浏览器通过读这个注释判断是否在安全区域。 因此，由于攻击者阻止了 MotW 标签的应用，警告信号将不会被执行，从而使用户忘记了文件可能存在的威胁。值得庆幸的是，虽然微软仍然没有关于这个问题的官方修复，但 0patch 现在已经提供了该漏洞的修复补丁。 0patch 联合创始人兼 ACROS 安全首席执行官 Mitja Kolsek 表示：“攻击者更喜欢他们的恶意文件没有被 MOTW 标记；此漏洞允许他们创建 ZIP 存档，这样提取的恶意文件将不会被标记。攻击者可以在下载的 ZIP 中传送 Word 或 Excel 文件，由于没有 MOTW（取决于 Office 宏安全设置），它们的宏不会被阻止，或者会逃避 Smart App Control 的检查”。 该问题首先由 IT 解决方案公司 Analygence 的高级漏洞分析师 Will Dormann 报告。有趣的是，Dormann 在 7 月份首次向微软介绍了这个问题，但尽管在 8 月份阅读了报告，但仍然无法为每个受影响的 Windows 用户提供修复程序。 适用系统包括： ● Windows 11 v21H2 ● Windows 10 v21H2 ● Windows 10 v21H1 ● Windows 10 v20H2 ● Windows 10 v2004 ● Windows 10 v1909 ● Windows 10 v1903 ● Windows 10 v1809 ● Windows 10 v1803 ● Windows 7 with or without ESU ● Windows Server 2022 ● Windows Server 2019  ● Windows Server 2016 ● Windows Server 2012 ● Windows Server 2012 R2 ● Windows Server 2008 R2 with or without ESU 转自 cnBeta，原文链接：https://static.cnbetacdn.com/article/2022/1018/70f368e7d6c5635.webp 封面来源于网络，如有侵权请联系删除

据securityaffairs消息，保加利亚政府机构的基础设施遭到大规模 DDoS 攻击，包括内务部、国防部、司法部、宪法法院等多个政府部门受到严重影响。本轮攻击自10月15日开始，保加利亚专家认为是由具有俄罗斯政治背景的攻击者者精心策划。 目前，保加利亚政府表示已对该事件展开调查，并警告称这些袭击正在威胁国家的基础。首席检察官伊万·格舍夫（Ivan Geshev）在有关该主题的特别简报中将此次DDoS攻击定义为刑事犯罪。 Ivan Geshev表示，“在本次网络攻击中，包括总统府在内的网站遭遇攻击，对方的目标是整个保加利亚国家，是欧洲大家庭的一部分。甚至宪法法院也遭到了网络攻击，但我不知道他们为什么把检察官办公室排除在外（开玩笑）。” 众所周知，DDoS 攻击会发送过多的请求，从而使目标网站不堪重负，最终导致这些网站无法被访问，会响应速度变的十分缓慢。数字事务部表示，已采取措施减少攻击对保加利亚政府网站的影响，目前网络攻击已经停止，并未泄露敏感内容。 初步调查显示，DDoS攻击起源于俄罗斯马格尼托哥尔斯克，副首席检察官兼国家调查局局长鲍里斯拉夫·萨拉福夫解释称，仅仅依靠这些信息不足以将攻击归因于特定的威胁行为者。“无论是某些人的倡议还是国家机构的要求，我现在都不能承诺，因为这也是调查保密的问题。” 萨拉福夫补充到，地方当局已经确定了至少一名参与袭击的攻击者，保加利亚当局将会要求引渡，但可以预见的是，俄罗斯政府永远不会支持保加利亚当局的要求。这也不是俄罗斯第一次发生此类事件，此前来自俄罗斯的网络攻击还对保加利亚邮政系统发动了突袭。 据广播公司 Dnevnik 报道称，俄罗斯黑客组织 KillNet 声称对此负责，并在其 Telegram 频道上宣布了这次攻击。KillNet 的成员称自己是站在克里姆林宫这边的爱国者，而保加利亚正在俄乌战争中对乌克兰进行援助，他们攻击的目的是吸引注意力和传播虚假信息。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347110.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 日本科技公司Oomiya的IT基础设施感染了LockBit 3.0勒索软件。 LockBit 3.0 RaaS的一家附属公司攻击了日本科技公司Oomiya。Oomiya专注于微电子和设施系统设备的设计和制造。 Omiya Kasei的业务分为四大领域，化学和工业产品的制造和设计、电子材料设计、药物开发和工厂制造。 Lockbit 3.0运营商声称窃取了该公司的数据，并威胁说，如果该公司不支付赎金，他们将在2022年10月20日前泄露数据。目前，勒索软件团伙尚未公布涉嫌被盗文件的样本。 这起事件可能会对第三方组织产生重大影响，因为Oomiya在全球多个行业的主要组织的供应链中，包括制造业、半导体、汽车、通信和医疗保健。 Lockbit附属公司是这一时期最活跃的，DarkFeed共享的数据显示恶意软件已经袭击了数百个组织。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 新的研究揭示了Microsoft 365中所谓的安全漏洞，由于使用了损坏的加密算法，该漏洞可能被利用来推断邮件内容。 芬兰网络安全公司WithSecure在上周发布的一份报告中表示：“[Office 365消息加密]消息是在不安全的电子密码本（ECB）操作模式下加密的。” Office 365邮件加密（OME）是一种安全机制，用于在组织内外的用户之间发送和接收加密的电子邮件，而不会透露任何有关通信本身的信息。 新披露的问题的影响是，获得加密电子邮件访问权限的流氓第三方可能能够破译这些消息，从而有效地破坏了机密性保护。 电子密码本是最简单的加密模式之一，其中每个消息块由密钥单独编码，这意味着相同的明文块将被转换为相同的密文块，因此不适合作为加密协议。 事实上，美国国家标准与技术研究院（NIST）今年早些时候指出，“欧洲央行模式独立加密明文块，无需随机化；因此，检查任何两个密文块可以揭示相应的明文块是否相等。” 也就是说，WithSecure发现的缺陷与单个消息本身的解密无关，而是依靠分析加密被盗邮件的的泄漏模式，然后对内容进行解码。 该公司表示：“拥有大型消息数据库的攻击者可以通过分析截获消息重复部分的相对位置来推断其内容（或部分内容）。” 这些发现加剧了人们的担忧，即以前泄露的加密信息可能会被解密并在未来用于攻击，这种威胁被称为“现在入侵，稍后解密”，这促使人们需要切换到抗量子算法。 就微软而言，OME是一个遗留系统，该公司建议客户使用名为Purview的数据管理平台，通过加密和访问控制来保护电子邮件和文档。 Redmond在其文档中指出:“尽管两个版本可以共存，但我们强烈建议您编辑使用规则操作的旧邮件流规则，应用上一个版本的OME以使用Microsoft权限消息加密。” WithSecure说：“由于微软没有修复此漏洞的计划，唯一的缓解措施是避免使用微软Office 365邮件加密。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

谷歌宣布推出安全操作系统 KataOS，作为他们最新专注于运行环境侧重于机器学习工作负载的嵌入式设备的操作系统。出于将安全性放在首位的宗旨，KataOS 专门使用 Rust 语言开发，并基于 seL4 微内核进行了构建。 通过 seL4 CAmkES 框架，我们还能够提供静态定义和可分析的系统组件。KataOS 提供了一个可验证安全的平台来保护用户的隐私，因为应用程序在逻辑上不可能违反内核的硬件安全保护，并且系统组件是可验证安全的。KataOS 也几乎完全用 Rust 实现，它为软件安全性提供了一个强有力的起点，因为它消除了 entire classes 错误，如 off-by-one errors 和缓冲区溢出。 目前，谷歌已经在 GitHub 开源了大部分 KataOS 核心部分。具体包括用于 Rust 的框架（例如 sel4-sys crate，它提供了 seL4 系统调用 API），一个用 Rust 编写的备用 rootserver（用于动态系统范围的内存管理），以及对 seL4 的内核修改，可以回收 rootserver 使用的内存。 谷歌方面透露，在内部，KataOS 还能够动态加载和运行在 CAmkES 框架之外构建的第三方应用程序。但运行这些应用程序所需的组件暂时还未开源，他们计划或将在不久的未来发布这些功能。 为了完整地证明一个安全的环境系统，谷歌还为 KataOS 构建了一个名为 Sparrow 的参考实现，它将 KataOS 与一个安全的硬件平台相结合。因此，除了逻辑安全的操作系统内核之外；Sparrow 还包括一个逻辑安全的信任根，该信任根是使用 OpenTitan 在 RISC-V 架构上构建的。但是就初始版本而言，其目标是使用 QEMU 在模拟中运行更标准的 64 位 ARM 平台。 公告称，谷歌的目标是开源所有 Sparrow，包括所有硬件和软件设计；现下发布的 KataOS 早期版本只是一个开始。 转自 安全内参，原文链接：https://www.secrss.com/articles/48023 封面来源于网络，如有侵权请联系删除

墨西哥检察官在一份声明中提到，他们一直关注前律师工会以2300万美元收购“飞马”（Pegasus ）间谍软件的事件。墨西哥律师检察院提到它正在调查“飞马”间谍软件的收购，以及它是否是合法进行的。 在周日的声明中，检察官提到了目前对两个人和一位杰出的前官员对PegASUS 间谍软件的使用进行的调查，几天前，现任当局否认它对记者或评论家进行了间谍活动。 Pegasus属于以色列间谍软件机构NSO集团。该集团有时仅将软件程序出售给政府或执法机构。 在声明中，墨西哥检察官表示，他们一直关注前律师工会的工作场所以 4.57 亿墨西哥比索（2300 万美元）的价格收购 Pegasus。 他们一直试图确定这是否是在正确的理由下完成的，并采取了必要的公开招标程序。 在第二次调查中，工作场所提到司法当局已获得 NSO 一直在“非法推广”Pegasus 的证据，但没有提供额外的细节。 报道称，NSO没有立即回复评论请求。 NSO否认参与 本月早些时候，NSO 告知路透社信息公司， 在以色列当局批准后，它仅将 Pegasus 许可给主权国家和当局公司的执法和情报公司 ，并在发现不当行为时终止合同。 NSO称它没有运行 Pegasus，对其利用率没有任何可见性，也没有获取有关潜在客户的详细信息。 在监督机构报告称至少三名调查墨西哥侵犯人权行为的人的电话被“飞马”感染后，墨西哥总统安德烈斯·曼努埃尔·洛佩斯·奥夫拉多尔否认他的官员监视记者或反对者后近两周发布了律师工会的公告。 洛佩斯·奥夫拉多尔在 2018 年当选总统，他在整个竞选活动中承诺结束联邦政府对其居民的监视。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1327983.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 国际刑事警察组织，也被称为国际刑警组织，宣布逮捕75人，这是针对有组织网络犯罪集团“Black Axe”的全球协调行动的一部分。 该机构表示：“‘Black Axe和其他西非有组织犯罪集团已经发展了跨国网络，诈骗数百万受害者，同时将获得的利润用于奢侈的生活方式和其他犯罪活动中，从贩毒到性剥削。” 代号为“豺狼行动”的执法行动有阿根廷、澳大利亚、科特迪瓦、法国、德国、爱尔兰、意大利、马来西亚、尼日利亚、西班牙、南非、阿联酋、英国和美国的参与。 其中两名被指控的网络诈骗犯上个月底在南非被捕，据信他们策划了一系列欺诈计划，从受害者那里净赚了180万美元。 调查进一步导致49起财产搜查，查封了12000张SIM卡和其他奢侈品资产，包括住宅、三辆汽车和数万现金。它还截获了嫌疑人银行账户中的120万欧元。 国际刑警组织的Stephen Kavanagh说：“非法金融资金是跨国有组织犯罪的生命线，我们目睹了像Black Axe这样的组织如何将从网上金融诈骗中获得的资金转移到其他犯罪领域，如毒品和人口贩运。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文