Npm 团队近日发布了安全警报，建议所有用户更新到最新版本（6.13.4），以防止“二进制植入”（binary planting）攻击。Npm 开发人员表示，npm 命令行界面（CLI）客户端受到了安全漏洞的影响，同时包括文件遍历和任意文件（覆盖）写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。 仅在通过 npm CLI 安装受感染的的 npm 软件包期间，才能利用此漏洞。 目前，Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包，暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过，还是得提高警惕。该团队表示将继续进行监视， “但是，我们不能扫描所有可能的 npm 软件包来源（私有注册表、镜像、git 仓库等），因此尽快更新非常重要。” 相比较之下，该问题对 npm 用户的影响比对 yarn 的影响更大。 因为 npm 不仅是最大的 JavaScript 软件包管理应用，而且还是所有编程语言的最大软件包存储库，拥有超过 350,000 个库。从浏览器到金融应用程序，从台式机到服务器，JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用，所以它经常被滥用。 黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序，这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月，npm 团队删除了 38 个 JavaScript npm 程序包，这些程序包是从其他项目中窃取环境变量而捕获的，旨在收集项目敏感信息，例如密码或 API 密钥。 最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的，他的博客上有更深入的技术报告。最后，再次提醒用户们升级到最新版本，以免遭受攻击。   （稿源：开源中国，封面源自网络。）

Sophos的安全研究团队近日发现了名为Snatch的勒索软件，利用Windows的功能来绕过安装在PC上的安全软件。这款勒索软件会让你的PC崩溃，并迫使受感染设备重新启动进入安全模式。而在安全模式下，通常会禁用防病毒和其他安全软件，从而允许该恶意程序作为服务进行自启，对PC进行全盘加密，最后向受害者勒索比特币。 在过去3个月内，Sophos已经收到了12例关于该勒索软件的反馈报告，要求比特币赎金在2900美元至51,000美元之间。在安全公告中写道：“Snatch可以在常见的Windows系统上运行，从Windows 7到Windows 10，所有32位和64位版本都受到影响。我们观察到Snatch无法在Windows以外的平台上运行。” （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/V2nDMiLegWL2wUGjcy3mUg 一、概述 腾讯安全御见威胁情报中心检测到，Rapid勒索病毒变种在国内开始再度活跃，该病毒首次出现于2017年，由于早期该病毒加密文件后缀为Rapid，因此得名。自该病毒出现起，该病毒每年都会给一些国内企业造成不可逆转的加密破坏。由于该变种病毒暂无有效解密工具，我们提醒政企机构提高警惕。 Rapid勒索病毒在国内主要通过弱口令爆破方式传播，本次检测到国内变种加密文件完成后，会对其文件添加扩展后缀.cryptolocker，同时，病毒还会将原始文件名进行10字符随机修改，导致受害者无法识别被加密文件。 相比较于老版本病毒版本，除部分环境判断变化外，勒索方式也进行了改进，由早期邮箱沟通方式更改为使用TOR浏览器访问暗网交易解密工具的模式。 二、分析 病毒运行前首先结束大量服务防止文件占用，同时尝试结束部分安全软件相关进程。 MsMpEng.exe（Windows Defender ） Ntrtscan.exe（趋势） Avp.exe（卡巴斯基） WRSA.exe（WebRoot） Egui.exe（NOD32） AvastUI.exe（avast） 加密前同样会结束大量数据占用类进程，与老版本Rapid对比序列一致，无太大变化： 病毒运行后将自身设置为计划任务，每隔1分钟运行一次，这也导致在病毒未清理完成前，可能导致系统内新文件被再次加密，同时将自身设置为的注册表run启动(HelloAV)。 病毒加密前先导入硬编码RSA公钥，该密钥使用Base64编码存放，使用前先对其进行解码 随后会生成用户RSA密钥对，将其存储在注册表 (HKEY_CURRENT_USER\Software\EncryptKeys)中，私钥被硬编码的RSA公钥加密，该注册表信息存放路径也与老版本Rapid一致 加密前会避开以下文件，主要为rapid病毒自身使用文件和部分系统文件 文件加密时会对每一个文件生成单独的AES密钥，AES密钥信息将会使用local_public_key进行加密 文件被加密后被修改为以下格式：10字符随机名.cryptolocker，而原始文件名同被加密的AES密钥信息，local_enc_private_key信息一同放置到文件末尾。 留下名为!DECRYPT_FILES.txt的勒索说明信息，要求用户使用Tor浏览器登录暗网进行解密交易流程。区别于老版本病毒使用邮件方式沟通，通过使用暗网进行自动化交易的模式也更加完善。 老版本病毒使用勒索信 新版本病毒使用勒索信 三、安全建议 企业用户： 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 对重要文件和数据（数据库等数据）进行定期非本地备份。 教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 OCs MD5: 0957e81940af57c778c863cd7340191f

据Facebook和Twitter透露，一些第三方应用未经用户同意便获取了用户的个人信息。 这些第三方iOS和Android应用程序使用了恶意SDK。SDK被用来展示广告，不过专家们注意到，一旦使用这些应用程序将社交网络的用户登录到任一服务中，SDK就会静默访问其个人资料并收集信息，包括用户名，电子邮件地址和推文。 这些恶意SDK是由营销公司OneAudience开发的。推特已经将这个消息告知其用户。 “我们最近收到了一份有关由恶意SDK的报告。 这个问题不是由于Twitter软件中的漏洞所致，而是由于应用程序内的SDK之间缺乏隔离性。我们的安全团队已经确定，可以嵌入到移动应用程序中的恶意SDK可能会利用移动生态系统中的漏洞访问并获取个人信息（电子邮件，用户名，最新一条推文）。 ” 即使专家没有发现证据表明恶意SDK会被用来控制Twitter帐户，他们仍然没有排除黑客可能使用SDK进行攻击的可能性。 Twitter知道恶意SDK已经通过Android设备访问某些Twitter帐户的个人数据，但iOS设备还没有出现过类似的事件。 Twitter向Google和Apple以及其他同行报告了此事件，并呼吁采取相对应的措施来阻止包含其代码的恶意SDK和应用。 Facebook发现了两个具有类似目的SDK，它们分别是One Audience和Mobiburn。 据称，恶意SDK收集了个人资料信息，包括姓名，性别和电子邮件地址。 Facebook发言人告诉 The Register： “安全研究人员最近向我们通报了One Audience和Mobiburn，他们收买开发人员，以在应用中使用恶意SDK。” “经过调查后，我们根据违反平台政策的原因将其应用程序从平台上删除，并向One Audience和Mobiburn发出了终止信函。如果用户的操作可能使他们的身份信息遭到泄露，我们将提示他们保护好自己的姓名，邮箱和性别等信息。我们希望用户在允许第三方应用程序访问其社交媒体帐户时保持谨慎。” oneAudience没有对此事件发表评论，但与此同时MobiBurn发表声明，否认其正在收集Facebook数据，并宣布对使用其SDK的第三方应用程序展开调查。 “MobiBurn没有收集，共享或分享来自Facebook的数据获利。 MobiBurn主要通过捆绑销售来充当数据业务的中介，例如捆绑第三方开发的SDK。 MobiBurn 无权访问移动应用程序开发人员收集的任何数据，也不处理或存储此类数据。 我们仅向移动应用程序开发人员介绍数据运营公司。不过MobiBurn目前已经停止了所有活动，直到我们结束对第三方的调查。”   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软安全工程团队今天披露了新型恶意程序Dexphot的完整信息，它主要劫持感染设备的资源来挖掘加密货币，并为攻击者牟利。微软表示自2018年10月以来不断有Windows设备受到感染，并在今年6月中旬达到峰值达到80000多台，微软通过部署相关策略以提高检测率和阻止攻击，随后每天感染的设备数量缓慢下降。 虽然Dexphot的最终目的就是利用受害者设备资源来挖掘加密货币，但是该恶意软件的复杂性非常高，其作案手法和技术也非常特别。微软Defender ATP研究团队的恶意软件分析师Hazel Kim说：“ Dexphot不是引起主流媒体关注的攻击类型。”他指的是恶意软件主要是为了挖掘加密货币的，而不是窃取用户数据。 Kim继续说道：“这是在任何特定时间都活跃的无数恶意软件活动之一。它的目标是在网络犯罪分子中非常普遍，就是安装一个窃取计算机资源的程序，通过挖矿为攻击者创造收入。然而，Dexphot是采用了远超日常威胁的复杂程度和发展速度，主要是为了绕开各种安全软件的保护非法牟利。” 在与ZDNet共享的一份报告中，Kim详细介绍了Dexphot的高级技术，例如，使用无文件执行，多态技术以及智能和冗余启动持久性机制。根据Microsoft的说法，Dexphot被安全研究人员称之为“第二阶段有效负载”，这是一种已经投放到已经被其他恶意软件感染的系统上的恶意软件。   （稿源：cnBeta，封面源自网络。）

WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞，该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。 旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞（CVE-2019-11931）容易引发DoS攻击或远程执行代码的攻击。 如果想要远程利用此漏洞，攻击者需要的只是目标用户的电话号码，并通过WhatsApp向他们发送恶意制作的MP4文件，该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。 该漏洞影响所有主要平台（包括Google Android，Apple iOS和Microsoft Windows）的WhatsApp的消费者以及企业应用程序。 根据Facebook发布的报告，受影响的应用程序版本列表如下： 低于2.19.274的Android版本 低于2.19.100的iOS版本 低于2.25.3的企业客户端版本 包括2.18.368在内的Windows Phone版本 适用于Android 2.19.104之前版本的业务 适用于iOS 2.19.100之前版本的业务 目前，所有用户需要将WhatsApp更新至最新版本，并禁止从应用程序设置中自动下载图像，音频和视频文件。 WhatsApp告诉THN：“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告，并根据行业最佳实践进行了修复。在这种情况下，没有理由相信用户受到了影响。”   消息来源：TheHackerNews， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，南加州的官员发布了一份公告，宣布公共智能手机充电座并不安全。该机构认为便捷的USB充电接口可以使用户感染恶意软件。但是，目前没有实例可以指出发生这种情况的地方。周五洛杉矶地区检察官办公室警告旅行者不要使用公共USB充电座，因为这些设备可能会感染恶意软件，从而窃取数据或锁定手机。 “在USB充电器欺诈（通常称为“juice-jacking”）中，犯罪分子将恶意软件加载到充电座上，从而可能感染毫无戒心的用户的手机和其他电子设备。恶意软件可能会锁定设备或将数据和密码直接导出给欺诈者。” 洛杉矶地区检察官办公室承认其暂时没有遇到通过洛杉矶充电座感染某人设备的任何实例。它告诉TechCrunch，在美国东海岸有一些案件，但无法提供任何可以证实的细节，例如地点或日期。 此外，安全研究员Kevin Beaumont在一条推文中表示，他从未见过证据表明公共智能手机充电座使用了恶意软件。 但这并不是说不存在这种可能性。几位研究人员开发并展示了经过修改或克隆的充电器和充电电缆，它们可以远程“嗅探”数据或在设备上执行命令，但是这些仅仅是概念验证项目。 美国当局也不是第一次基于类似理由发布咨询。早在2016年，在安全研究员Samy Kamkar演示了他的KeySweeper概念验证后，FBI发出了警告。它是一个Arduino板，尺寸小到可以放入USB充电器的外壳，该充电器可以秘密地记录附近微软无线键盘的敲击数据。   （稿源：cnBeta，封面源自网络。）

SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称，遭到勒索软件的攻击，这也是2019年遭到攻击而下线的第三家大型网络托管公司，黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。   SmarterASP.NET官方表示正在努力恢复客户数据，但尚不清楚该公司是支付了赎金，还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。 根据其官网显示的信息，该公司承认遭到了黑客攻击。该消息说：“您的托管帐户受到攻击，黑客已经加密了您的所有数据。我们现在正在与安全专家合作，尝试解密您的数据，并确保不会再发生这种情况。” 本次网络攻击不仅对客户数据进行了加密，SmarterASP.NET官网也被迫下线。在周六全天下线之后，在周日上午恢复重新上线。服务器恢复工作进展缓慢。许多客户仍然无法访问其帐户和数据，这些被加密的客户数据包括网站文件和后台数据库。   （稿源：cnBeta，封面源自网络。）

成千上万的Wi-Fi路由器可能遭到恶意软件的新型攻击，恶意软件将设备捆绑到僵尸网络中，使其具有分布式拒绝服务（DDoS）攻击功能，并以此向黑客出售。 Gafgyt恶意软件可以通过小型办公室和家庭路由器的漏洞访问到这些设备。 最近Gafgyt（也称为Bashlite）进行了更新，华为HG532和Realtek RTL81XX一直是Gafgyt的目标，现在还将Zyxel P660HN-T1A列入了攻击目标。 一般情况下，恶意软件都通过扫描程序来查找公网节点，然后利用漏洞实现入侵。专家称，为了在攻击时获得充分资源，新版本的Gafgyt会杀死JenX之类的其他恶意软件，从而使其可以充分利用设备发起攻击。Gafgyt僵尸网络似乎正在直接与另一个僵尸网络JenX竞争，后者的攻击目标正是华为和Realtek路由器。 黑客除了利用 Gafgyt 发起DDoS攻击，还主要将其用于攻击游戏服务器，尤其是那些使用Valve Source Engine的游戏，包括热门游戏《反恐精英》和《军团要塞2》。目标服务器不是由Valve部署的，而是由玩家部署的私有服务器。 很多年轻玩家出于报复对手的心态而选择攻击对方。玩家甚至不需要访问地下论坛就可以使用这些恶意服务。专家指出，僵尸网络租用服务在Instagram上使用伪造的个人资料做广告，租用费用仅为8美元。 专家介绍说：“显然，他们可以通过该平台接触到大量年轻人，所有人都可以使用这些服务，而且比地下站点更容易访问。” 随着越来越多的物联网产品连接到互联网，如果设备没有保持最新状态，将设备捆绑到僵尸网络和其他恶意活动中将会变得更加容易。 新版Gafgyt主要针对的是旧路由器，其中一些已经投放市场长达五年以上。专家建议用户将路由器升级到较新的型号，并应定期应用软件更新以确保设备受到保护，尽可能地抵抗攻击。 Davila说道：“总的来说，用户可以养成习惯，例如更新路由器，安装最新补丁程序，并设置复杂的密码，从而抵御僵尸网络的攻击。”   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒Ars Technica周三发布的一份报告称，印度核能有限公司(NPCIL)证实，库丹库拉姆核电站的管理网络存在恶意软件。Ars Technica称，这款恶意软件被认为是Lazarus网络犯罪集团所为。 NPCIL副主任A. K. Nema在一份新闻稿中说道：“当（我们）在2019年9月4日注意到此事时CERT-In已经传达过这一情况。”据悉，CERT-In是印度国家计算机应急响应小组。Nema补充称，印度原子能部门立即对此事展开了调查。 另外据Nema披露，调查显示，受感染的PC属于一名用户，其PC出于管理目的而需连接到互联网。“这些网络正在被持续监控。”   （稿源：cnBeta，封面源自网络。）