尽管上周已经发现了恶意代码的存在，但直到今天安全专家才理清这个严重混乱的恶意代码，了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门JavaScript库，通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。 这个可以加载恶意程序的JavaScrip库叫做Event-Stream，非常受者欢迎，在npm.org存储库上每周下载量超过200万。但在三个月前，由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员Right9ctrl。Event-Stream，是一个用于处理Node.js流数据的JavaScript npm包。 根据Twitter、GitHub和Hacker News上用户反馈，该恶意程序在默认情况下处于休眠状态，不过当Copay启动（由比特币支付平台BitPay开发的桌面端和移动端钱包应用）之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息，并将其发送至copayapi.host的8080端口上。 目前已经确认9月至11月期间，所有版本的Copay钱包都被认为已被感染。今天早些时候，BitPay团队发布了Copay v5.2.2，已经删除Event-Stream和Flatmap-Stream依赖项。恶意的Event-Stream v3.3.6也已从npm.org中删除，但Event-Stream库仍然可用。这是因为Right9ctrl试图删除他的恶意代码，发布了不包含任何恶意代码的后续版本的Event-Stream。 建议使用这两个库的项目维护人员将其依赖树更新为可用的最新版本–Event-Stream版本4.0.1。此链接包含所有3,900+ JavaScript npm软件包的列表，其中Event-Stream作为直接或间接依赖项加载。   稿源：cnBeta，封面源自网络；

据外媒 3 月 16 日报道，在最近一系列利用漏洞插件的攻击之后，SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限，并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器（Sublime、Vim、Emacs、Gedit、pico / nano）。经过研究发现，除 pico / nano 之外，所有受检查的编辑器都受到了一个关键的特权升级漏洞影响，攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。 据悉，大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能，以此其增大攻击面。 研究人员认为这种情况非常严重，因为第三方插件可能会受到关键的特权升级漏洞影响，波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。 目前该漏洞被认为与这些文本编辑器加载插件的方式有关，因为它们在加载插件时没有正确分离常规模式和高级模式。 SafeBreach 的研究表明，这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式，并且无论编辑器中是否打开了文件，使用这种方式来获得提升都能成功，即使是在 sudo 命令中运用常用的限制也可能无法阻止。 因此 SafeBreach 提供了的一些缓解措施： ○ 实施 OSEC 监督规则 ○ 拒绝为非提升用户编写权限 ○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。 ○ 在编辑器升级时阻止加载第三方插件 ○ 提供一个手动界面来批准提升的插件加载 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

一加 3T 凭借着超高的性价比等优势获得了外媒 PhoneArea 的青睐，并评为 2017 年春季最佳手机，然而在众多荣耀和光环的背后却隐藏着一个安全隐患。近日，来自 Aleph Security 的安全研究专家发现一加 3/3T 存在安全问题，能够让攻击者在用户完全不知情的情况下使用恶意适配器来入侵手机。 攻击本质上依赖于两项已经曝光的漏洞，编号分别为能够绕过设备的防御机制并注入恶意代码，而且更为糟糕的是攻击者在破解过程中完全掩盖他们的足迹。 专家通过两段视频证明已经成功破解一加 3 和一加 3T 手机，可以从视频中观察到：只有在设备完全关闭的情况下恶意适配器才能执行入侵设备。即使下次重启过程中并没有连接恶意适配器，攻击者依然能够临时获得设备的 root 权限，从而让用户进入包含有恶意程序的系统。 在攻击者更改完成之后，受害者在不知情的情况下进入包含有恶意程序的系统，从而让攻击者掌握各种隐私数据和相关信息。好消息是这个漏洞仅限于一加 3 和 3T ，使用相同 Oxygen OS 的一加 2 并不存在该问题。Aleph Security 已经将这两个漏洞的详细信息提交给一加公司，在最新发布的 4.0.3 Oxygen OS 系统已经修复了这个 BUG。 稿源：cnBeta；封面源自网络

据外媒报道，在过去的几个月里，数以百万计的用户可能已经在访问主流新闻网站时遭到恶意广告攻击。攻击者在网页广告图片的单个像素中嵌入恶意代码。 安全公司 ESET 的研究员将这起恶意广告事件称为“ Stegano ”。这起事件从 10 月开始，攻击者利用这种技术针对流行的新闻网站。将恶意代码隐藏在定义像素透明度的参数（ Alpha Channel）内 ，由于修改幅度较小，用户肉眼几乎无法发现图像的外观改变。 恶意代码首先会检查确定自己不是运行在虚拟机、沙箱或安全软件中，随后将受害者的浏览器重定向至另一页面并利用三个（已修复的） Adobe Flash 漏洞 入侵电脑。此外，对于使用 IE 浏览器访问新闻网站的用户，脚本会利用 IE 漏洞 CVE-2016-0162 进行入侵。 恶意广告攻击波及加拿大，英国，澳大利亚，西班牙和意大利。为避免成为“ Stegano ”活动的受害者，用户必须及时更新系统、软件漏洞，启用安全软件。 稿源：本站翻译整理，封面来源：百度搜索