过去多年，苹果的iOS生态系统都因技术和商业模式更封闭、（已知）漏洞和恶意软件更少，以及较为严格的应用审核而给人“更安全”的印象，但是近日美国司法部打破了“苹果更安全”的神话，在对苹果公司提起的反垄断诉讼中，司法部的调查结果显示iPhone的垄断已经威胁到了用户的隐私和信息安全。 美国司法部反垄断局近日提起诉讼，指控科技巨头苹果公司违反谢尔曼法第二条，涉嫌从事反竞争行为。该诉讼由来自16个州和地区的总检察长联合提起，于周四提交给新泽西州地方法院。诉状的核心是苹果通过其封闭的iPhone“生态系统”非法维持智能手机垄断地位，损害了开发者创新、消费者选择权和隐私安全。 阻止安全创新的“巨魔” 长期以来，苹果一直坚称对第三方（包括iOS应用和浏览器的开发者）的要求是必要的，可以维护其“业内最佳”的安全和隐私标准。但是，美国司法部引用调查结果和内部苹果文件中的内容，指控苹果通过限制开发人员的功能，阻止他们跨平台（非iPhone和iOS系统）运行程序，以此将竞争对手拒之门外。美国司法部声称，苹果对第三方的诸多限制会抑制用户使用更私密、更安全的第三方选项，从而削弱用户安全和隐私。诉状还指出，苹果故意不为iPhone发送到安卓手机的短信提供加密功能，部分原因是为了阻止用户转向安卓阵营。“（由于iPhone的垄断）智能手机用户正在错失创新的安全功能，这些功能可以降低对昂贵硬件的需求，解锁重大技术进步，并实现更安全的通信，”美国司法部助理部长JonathanKanter在诉讼提交后的新闻发布会上表示。 一个显著的例证是，本月《欧盟数字市场法案》（DMA）生效对欧盟区iPhone浏览器市场产生了显著影响。在iOS17.4中，苹果为了合规增加了第三方浏览器选择屏幕，欧盟用户可从随机列出的浏览器列表中选择默认网络浏览器，仅这一点变化就导致Opera和Brave等安全性和功能出色的第三方浏览器下载量暴增（法国苹果用户的Opera下载激增402%）。 第三方应用商店战火烧到美国本土 本月初，苹果宣布遵守欧盟DMA法案启动欧盟市场的第三方应用商店计划，这标志着苹果密不透风的垄断生态系统在欧盟被打开缺口。但苹果警告称，DMA法案要求苹果允许（第三方应用商店）应用侧载会削弱用户保护并给网络犯罪分子更多可乘之机。事实上，苹果以安全为由，对欧盟区的第三方应用商店的用户和开发者设置了很多“黑手党条款”，不但限制用户的全球漫游（时间），而且新的佣金条款还“恐吓”流行应用的开发者不要贸然转移到第三方应用商店。苹果对欧盟DMA法案的阳奉阴违策略是为了维持其高利润的垄断应用生态，但是越来越多的国家开始加入欧盟对苹果应用商店的“围剿”，美国司法部也不例外。 除了指控苹果故意阻止iPhone用户向安卓用户发送安全短信之外，美国司法部也将矛头对准了苹果应用商店。诉状指出，苹果通过强制第三方应用和服务开发者使用苹果自己的数字钱包和应用商店，进而削弱了隐私保护。 美国司法部声称，这使苹果能够收集用户财务和个人数据，以便用户使用这些应用或服务，并限制公众寻求更注重隐私和精选的替代应用商店。 司法部诉状认为，苹果将安全和隐私作为“挡箭牌”来为自己辩护，同时又将这些价值观置于一边，以“维持其垄断地位”。 “苹果标准”面临全球监管挑战 “司法部诉讼强调了苹果设定安全标准的角色与开发者选择独立、潜在的更灵活和更具成本效益的安全和支付解决方案的权利之间的平衡，”移动安全公司Approov的首席执行官Ted Miracco评论道。Miracco认为，随着美国、欧盟和英国都对苹果提起反垄断诉讼，全球监管机构正在传递一个信息，即苹果认为“只有他们自己才能为移动生态系统提供安全”的想法是不现实的，这会让苹果用户产生“虚假的安全感”。 “过去一年，苹果修补的零日漏洞数量惊人，这表明苹果用户对高级威胁行为者（例如飞马软件和APT组织）而言极具吸引力，”Miracco说道：“所有移动用户都应该认识到，苹果设备过去曾遭到恶意软件和其他网络攻击，未来也将会继续被攻击和利用，因为如今没有任何一款设备或应用程序是真正不可破解的。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/xLzgkr300xdIOApLnG5yjg 封面来源于网络，如有侵权请联系删除

2024年，18个非洲国家准备进行大选。与此同时，针对非洲的网络虚假信息攻击激增。遏制威胁的关键是加强网络安全工作。 安全内参3月27日消息，针对非洲国家和驻非洲国际组织的网络虚假信息攻击近年来急剧上升，网络安全专家们亟需寻求解决方案，来应对这一不断加剧的问题。 根据美国国防部下属学术机构国防大学非洲战略研究中心的数据，2023年，非洲至少发生了189起有记录的虚假信息攻击活动，这一数字是前一年的四倍。《经济学人》报道称，接下来的一年内，至少有18个非洲国家将举行大选。对于依赖经济稳定的现有政府和企业来说，虚假信息已经成为主要威胁。 非洲战略研究中心研究助理Mark Duerksen指出，随着这些威胁的扩散，网络安全专家需要探讨保护策略，但不能期望通过单一解决方案解决所有问题。 Duerksen表示：“虚假信息不仅是技术问题，更是社会和政治问题。我们需要采取多层次的应对措施来增强韧性。因此，网络专家的工作只能是解决方案的一部分。然而，虚假信息攻击活动正日趋复杂，它们利用网络攻击来放大、洗白和煽动虚假信息。” 今年，超过50个非洲国家在不同程度上继续改进其网络安全水平。例如，拉各斯大学和肯尼亚女性网络安全机构Shehacks Ke等组织致力于提升该地区的网络安全人才水平。然而，许多非洲国家在网络卫生方面仍然相对落后。 外国干预占主导地位 根据非洲战略研究中心的最新报告，虽然全球都面临虚假信息问题，但非洲同时面临来自外国和国内的虚假信息双重打击。报告显示，外国政府主导了大部分针对非洲的虚假信息攻击活动。2023年，约60%的攻击活动归咎于俄罗斯、阿联酋、沙特阿拉伯和卡塔尔。 大西洋理事会旗下的数字取证研究实验室（DFRLab）的一份报告显示，23起针对某个非洲国家的攻击活动中，有16起来自与俄罗斯有关的团体。特别是法国从马里和其他萨赫勒国家撤军后，非洲国家面临的189次攻击活动大多数得到了俄罗斯的幕后支持。 报告引用了俄乌战争作为例证。Duerksen表示，当时，一些尼日利亚记者的社交媒体账户被黑客攻击，用于传播亲普京的标签和虚假信息，制造出非洲支持俄罗斯的假象。 当前，非洲有6亿互联网用户，其中4亿是活跃的社交媒体用户。非洲公民是全球最热衷于社交媒体的用户之一，尤其是尼日利亚和肯尼亚的用户在社交媒体上花费的时间最长。根据大西洋理事会/DFRLab的报告，非洲国家的互联网普及率不同，中非共和国的普及率最低，仅为7%，而尼日利亚的普及率最高，达到了51%。 最近，卡内基国际和平基金会发布了题为《有效对抗虚假信息：基于证据的政策指南》的报告，指出要保护公民和企业免受虚假信息攻击，需要采取一系列措施，包括支持本地新闻和媒体素养、提高选举的网络安全，以及检测、报告和移除不真实的社交媒体用户。 以用户为中心的安全策略 尽管有些专家质疑虚假信息攻击是否属于网络安全专家的职责，但大多数人认为这是以人为中心的综合安全学科的一部分。专家需要为用户提供有效的安全警告，并加强员工对复杂网络钓鱼攻击的抵御能力。 Duerksen表示：“我们有一个重要的教训——需要培养通过分布式和可互操作的方法来追踪和分析虚假信息的能力，并建立信息分享和分析中心（ISACs）。ISACs这个概念直接来源于网络安全，将成为反虚假信息的核心。我们在创建标准化框架和定义方面已经取得了进展。研究人员可以分享数据集，共同分析虚假信息背后的行为者和策略。” 他强调，与政府机构合作的网络安全专家应当深入研究虚假信息的威胁。与网络钓鱼培训一样，提高媒体素养可以帮助提升员工抵御这些攻击的能力。 Duerksen进一步表示：“这意味着，我们需要积极开发对新兴数字信息空间的情境意识，而不是等待攻击事件发生。目前看来，制定预防虚假信息攻击的应对计划，例如编制战略通信手册、与社交媒体公司联系等，似乎显得过于谨慎。但是，许多大公司已经亲身体验到，这些攻击一旦发生，会迅速严重损害其声誉和财务状况。”   转自安全内参，原文链接：https://www.secrss.com/articles/64750 封面来源于网络，如有侵权请联系删除

3月25日（本周一），网络安全与基础设施安全局（CISA）和联邦调查局（FBI）发布了 “安全设计 “警报。他们将 SQL 注入漏洞（SQLi）归入”不可饶恕的 “一类漏洞。 警报指出：尽管在过去二十年中，人们普遍了解并记录了 SQLi 漏洞，而且也有了有效的缓解措施，但软件制造商仍在继续开发存在这一缺陷的产品，这使许多客户面临风险。 在 SQL 注入攻击中，威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令如提取、操作或删除存储在数据库中的敏感数据。 因与目标数据库交互的 web 应用或软件中的输入验证和清理不当，这可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管，CISA 和 FBI 建议使用实现写好语句的参数化査询，阻止SQL注入漏洞。 这种方法将SQL代码与用户数据加以区分，使得恶意输入不可能被解释为 SQL语句。与输入清理技术相比，参数化査询时设计安全方法的更好选择，因为前者可被绕过且难以大规模执行。 SQL注入漏洞在MITRE 于2021年和2022年发布的“前25个最危险的漏洞”中排行第三，仅次于越界写入漏洞和跨站脚本攻击。越界写入漏洞是一种软件漏洞，会导致程序在分配的内存区域边界之外写入。端点崩溃，或者执行任意代码等后果。威胁行为者通常通过写入比分配的内存区域的大小更大的数据或将数据写入内存区域内的错误位置来滥用此漏洞。 CISA 和 FBI 指出，”如果他们发现代码存在漏洞，高管们应当确保所在组织机构的软件开发人员立即开始执行缓解措施，从所有当前和未来软件产品中消除整个缺陷类型。在设计阶段直到开发、发布和更新阶段集成该缓解措施，可以缓解客户的网络安全负担以及公众所面临的风险。 几十年来，软件行业一直知道如何大规模消除 SQLi 缺陷。然而，威胁分子去年就利用了开发商 Progress 的 MOVEit 文件传输软件中的这样一个漏洞，造成了毁灭性的后果。 去年5月， Clop 勒索团伙利用了 Progress MOVEit Transfer文件传输管理 app 中的一个 SQLi 零日漏洞，该漏洞影响全球数千家组织机构，随后 CISA 和 FBI 立即发布了联合告警。尽管此案的受害者众多，但Coveware认为仅有少部分受害者可能会支付赎金。即便如此，据估计该勒索团伙可能获得的赎金仍在750万到1亿美元之间。 据 CISA 称，SQLi 攻击之所以能够得逞，是因为开发人员没有将用户提供的内容视为潜在的恶意内容。它不仅会导致敏感数据被盗，还会使坏人篡改、删除数据库中的信息或使其不可用。 警报敦促技术制造商遵循三项指导原则： 通过执行正式的代码审查并使用“带有参数化查询的预制语句”作为标准做法，对客户安全结果负责 通过确保 CVE 记录的正确性和完整性、记录漏洞的根本原因并努力消除整个类别的漏洞，实现“彻底”的透明度和问责制 将业务目标重新调整为安全设计软件开发，包括进行正确的投资和建立激励结构。这最终有助于降低财务和生产力成本以及复杂性 CISA 和 FBI 督促技术制造企业管理层对所在组织机构的软件提起正式审计并执行缓解措施，在软件交付前消除SQL注入(SQLi) 漏洞。   转自会freebuf，原文链接：https://www.freebuf.com/news/396035.html 封面来源于网络，如有侵权请联系删除

安全内参消息称，美国民主党参议员Mark R. Warner日前提出《2024年医疗保健网络安全改进法案》，建议针对满足最低网络安全标准的医疗提供商，在网络事件后提供预付款和加急付款。 这项立法是对Change Healthcare遭受勒索软件攻击做出的回应。此次攻击导致美国全国医疗提供商结算服务中断，使许多提供商面临财务破产风险。据美国医院协会报告统计，几乎所有医院都感受到了此次事件对其财务或患者护理服务的影响。 这项法案提出者Mark R. Warner是参议院财政委员会成员，也是参议院网络安全小组的共同主席。法案提出，修改现有的《医疗保险医院加急付款计划》和《医疗保险B部分预付款计划》，要求卫生与公众服务部长确定付款需求是否由网络事件导致。   该法案提出，如果付款需求确为网络事件导致，接收付款的医疗提供商必须满足部长确立的最低网络安全标准，才有资格收到付款；如果提供商的中介是事件目标，中介也必须满足部长确立的最低网络安全标准，提供商才能收到付款。这些规定将在方案生效后两年内实施。该法案规定：“自2024年《医疗保健网络安全改进法案》生效之日起两年后，如果部长确定网络事件导致医院中介的运营中断或医院运营出现异常情况，造成严重的现金流问题，只有医院满足部长确立的最低网络安全标准，方可向该医院提供加急付款；如果受影响的是医院中介的运营，只有中介满足部长确立的最低网络安全标准，提供商才能获得付款。”法案进一步规定：“自本法案生效之日起两年后，如果卫生与公共服务部长确定网络事件导致根据第742号联邦法规的421.214节（或任何后续法规）描述的计划付款，只有服务提供商或供应商满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款；如果提供商或供应商的中介是此类事件的目标，只有中介满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款。” 医疗行业极为脆弱，需要针对性保护措施 参议员Warner在媒体声明中说：“我一直在警告医疗保健领域的网络安全问题。能够中断全国范围内患者护理能力的重大攻击早晚会发生。最近Change Healthcare黑客攻击事件提醒我们，整个医疗行业都很脆弱，需要提高防御水平。这项法案将为提供商和供应商提供一些重要的财务激励，帮助他们采取行动。” 他还强调，在极少数情况下，某些无法控制的事件（比如新冠疫情）会给医疗保险A部分的提供商（如急诊医院、康复护理机构和其他住院护理设施）和B部分的供应商（包括医生、非医生从业者、耐用医疗设备供应商和其他提供门诊服务的人员）带来现金流困难。 自20世纪80年代以来，美国医疗保险与医疗补助服务中心（CMS）通过加急付款和预付款（AAP）计划为这些计划参与者提供临时财务救济。救济期间，这些提供商和供应商从联邦政府获得预付款，后续政府会通过扣留后续索赔的付款的形式收回资金。 2022年，Warner参议员撰写了一份政策选择文件《网络安全即患者安全》，概述了当前医疗提供商和系统面临的网络安全威胁，并提供了一系列政策解决方案供讨论，以改进整个行业的网络安全。自发布以来，Warner参议员与跨党派同僚成立了医疗保健网络安全工作组，负责审查并提出潜在的立法解决方案，从而加强医疗和公共卫生领域的网络安全。   转自安全内参，原文链接：https://www.secrss.com/articles/64725 封面来源于网络，如有侵权请联系删除

德国当局查封了暗网市场 Nemesis Market，并没收了价值 94,000 欧元的数字资产。 德国当局采取行动，成功打击了位于德国和立陶宛的非法暗网市场 Nemesis Market，并查获了其服务器和基础设施。 Nemesis Market是一个非法暗网市场，专门用于进行欺诈获取数据交易和其他网络犯罪服务（包括DDoS攻击、网络钓鱼和勒索软件等）。 该平台在全球范围内拥有超过150000名用户和1100个注册卖家账户，其成立于2021年，约20%的卖家来自德国。 Nemesis Market可通过Tor网络访问，其运营商以涉嫌在互联网上进行犯罪交易并且违反麻醉品法的犯行被关闭。在扣押过程中，价值94000欧元的加密货币数字资产被没收。 根据新闻稿，查获Nemesis Market是德国、美国和立陶宛执法当局进行的联合调查的一部分。 “被查获的市场数据将用于进一步调查该平台的犯罪卖家和用户。这一行动是对在暗网上运作的地下经济参与者的打击，展示了国际执法在数字空间中的有效性。”新闻稿说到。 同时，这并非当局首次查封类似Nemesis Market的暗网平台。 据 ALPHV（又称 BlackCat）暗网博客上发布的通知，称当局于 2023 年 12 月查封了该网站。据称，此举是联邦调查局在针对 ALPHV/BlackCat 勒索软件采取的协调执法行动的一部分。 虽然网站在 2023 年 12 月关闭引发了平台被关闭或更名的传言，但后来证实，该勒索软件团伙的网站确认是被执法部门关闭，但在后续过程中，据称该勒索团伙已通过更换网络域名方式重新上线。 消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

被追踪为MuddyWater （又名 Mango Sandstorm 或 TA450）的伊朗APT组织与 2024 年 3 月的一次新网络钓鱼活动有关，该活动旨在提供名为 Atera 的合法远程监控和管理 (RMM) 解决方案。 Proofpoint 安全研究人员表示，该活动从 3 月 7 日到 3 月 11 日这一周进行，针对的是跨越全球制造、技术和信息安全领域的以色列实体。 该企业安全公司表示：“TA450 发送的电子邮件带有包含恶意链接的 PDF 附件。” “虽然这种方法对 TA450 来说并不陌生，攻击者最近依赖于直接在电子邮件正文中包含恶意链接，而不是添加此额外步骤。” MuddyWater 被认为是自 2023 年 10 月下旬以来针对以色列组织的攻击活动中，使用了 N-able 的远程管理工具。 这并不是该组织第一次因其依赖合法远程桌面软件来实现其战略目标而受到关注，还观察到使用 ScreenConnect、RemoteUtilities、Syncro 和 SimpleHelp。 最新的攻击链涉及 MuddyWater 嵌入指向 Egnyte、Onehub、Sync 和 TeraBox 等文件共享网站上托管的文件链接。据称，一些以付费为主题的网络钓鱼邮件是从与“co.il”（以色列）域相关的可能已受感染的电子邮件帐户发送的。 在下一阶段，单击 PDF 诱饵文档中的链接将导致检索包含 MSI 安装程序文件的 ZIP 文件，该文件最终会在受感染的系统上安装 Atera Agent远程管理软件。MuddyWater 对 Atera Agent 的使用可以追溯到2022 年 7 月。 MuddyWater 策略发生转变之际，一个名为 Lord Nemesis 的伊朗黑客组织针对以色列学术界发起了软件供应链攻击，对一家名为 Rashim Software 的软件服务提供商进行了攻击。 OP Innovate 安全研究团队在一份报告中称，Lord Nemesis 组织使用从 Rashim 泄露事件中获得的凭证渗透到该公司的多个客户，包括众多学术机构。该组织声称在攻击活动中获得了敏感信息，他们可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。 Lord Nemesis 通过劫持管理员帐户并利用该公司不完善的多重身份验证 (MFA) 保护来获取 Rashim 基础设施的未经授权的访问权限来获取感兴趣的个人数据。 该公司还于 2024 年 3 月 4 日（即初次泄露事件发生四个月后）向 200 多名客户发送了电子邮件，详细说明了事件的严重程度，攻击者访问 Rashim 系统的确切方法尚未披露。 安全研究员 Roy Golombick 表示：“该事件凸显了第三方供应商和合作伙伴（供应链攻击）带来的重大风险。” “这次袭击突显了国家背景的黑客组织日益增长的威胁，他们以规模较小、资源有限的公司为目标，以此作为推进其地缘政治议程的手段。” “通过成功入侵 Rashim 的管理帐户，Lord Nemesis 黑客组织有效规避了众多组织实施的安全措施，使自己获得更高权限并不受限制地访问敏感系统和数据。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/tkwD-AAo5HvRhFzDvT1TaQ 封面来源于网络，如有侵权请联系删除

近日，StrelaStealer 恶意软件发起了大规模的攻击行动，试图窃取电子邮件帐户凭据，行动波及到了美国和欧洲的一百多个组织。 2022 年 11 月，StrelaStealer 被首次披露，它是一种新型信息窃取恶意软件，可从 Outlook 和 Thunderbird 中窃取电子邮件帐户凭据。该恶意软件的一个显著特点是能够使用多文件感染方法来逃避安全软件的检测。当时，StrelaStealer 主要针对西班牙语用户。 但根据 Palo Alto Networks 的 Unit42 最近发布的一份报告显示，StrelaStealer 扩大了其攻击目标，现在以美国和欧洲的组织为目标。 StrelaStealer 是通过网络钓鱼活动传播的，据统计，去年 11 月该组织发起恶意活动的次数显著上升，其中有多次攻击是针对美国 250 多个组织发起的。 根据折线图，可见钓鱼邮件分发量的趋势上升一直持续到了今年年初，Unit42 分析师在 2024 年 1 月底至 2 月初又记录到了大规模的活动。 StrelaStealer 最新攻击数据统计 在此期间，美国遭遇的攻击次数超过了 500 次。 Unit42 表示已确认美国和欧洲至少曾发生了 100 次入侵事件。恶意软件操作员使用英语和其他欧洲国家的语言，并根据需要调整其攻击。 用德语书写的发票主题电子邮件 据统计，该恶意软件的大多数攻击目标都锁定了 “高科技 “领域运营，其次是金融、法律服务、制造、政府、公用事业和能源、保险和建筑等行业。 攻击目标 新的感染方式 2022年年底，StrelaStealer 的原始感染机制开始演变，但该恶意软件仍使用恶意电子邮件作为主要感染载体。以前，电子邮件会附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件，利用多语言调用 “rundll32.exe “并执行恶意软件有效载荷。 最新的感染链则使用了 ZIP 附件将 JScript 文件植入受害者系统。执行时，脚本会投放一个批处理文件和一个解码为 DLL 的 base64 编码文件。该 DLL 会再次通过 rundll32.exe 执行，以部署 StrelaStealer 有效载荷。 新旧感染链 此外，该恶意软件的最新版本在其包装中采用了控制流混淆技术，使分析复杂化，并删除了 PDB 字符串，以逃避依赖静态签名的工具的检测。 StrelaStealer 的主要功能保持不变：从常用的电子邮件客户端窃取电子邮件登录信息，并将其发送到攻击者的指挥和控制（C2）服务器。 所以如果用户收到声称涉及付款或发票的未经请求的电子邮件时应保持警惕，同时尽量避免下载来自未知发件人的附件。   转自Freebuf，原文链接：https://www.freebuf.com/news/395752.html 封面来源于网络，如有侵权请联系删除

近期，安全公司 Sucuri 发现一个名为 Sign1 的未知恶意软件感染了 39000 多个 WordPress 网站，致使网站访问人员看到了很多“强制性”的重定向链接和弹出式广告。 Sign1 恶意软件活动 从以往的 WordPress 网站攻击案例来看， Sign1 恶意软件可能采用了暴力攻击或者利用了插件漏洞，一旦威胁攻击者获得了网站访问权限，就会立刻使用 WordPress 自定义 HTML 小工具，或者安装合法的 Simple Custom CSS and JS 插件来注入恶意 JavaScript 代码。 通过简单自定义 CSS 和 JS 插件注入 Sign1 恶意软件来源 在对 Sign1 恶意软件详细分析后，Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL，每 10 分钟就会更新一次，以躲避安全拦截。（威胁攻击者在开展网络攻击前不久才会注册域名，因此域名不在任何拦截列表中） 这些 URL 被用来获取更多的恶意脚本，并在访问者的浏览器中运行。Sucuri 强调，这些域名一开始都是托管在 Namecheap 上，目前威胁攻击者已经将其转移到 HETZNER 上托管了，并且使用了 Cloudflare 进行 IP 地址混淆。 注入的代码采用 XOR 编码和看似随机的变量名，这样就使得安全工具更难检测到恶意软件。恶意代码在执行前还会检查特定的推荐人以及 cookie，其主要目标是谷歌、Facebook、雅虎和 Instagram 等主要网站的访问者，而在其他情况下则处于休眠状态。 此外，代码还会在目标浏览器上创建一个 cookie，这样弹出式窗口对每个访客只显示一次，从而降低了向被入侵网站所有者生成报告的可能性。随后，脚本会将访问者重定向到诈骗网站，例如假冒的验证码，试图诱骗访问者启用浏览器通知。（这些通知会将一些广告直接发送到访问者的操作系统桌面上） 值得注意的是，Sucuri 警告称，Sign1 容易软件在过去六个月中不断演变，每当新版恶意软件发布时，感染率就会激增。 每日下载量 过去 6 个月中，Sucuri 的扫描仪在 39000 多个网站上检测到了 Sign1 恶意软件。随着时间推移， Sign1 恶意软件活动已经变得更加隐蔽，对拦截的抵御能力也更强了。 最后，网络安全专家指出，为了保护网站免受 Sign1 恶意软件的攻击，网站管理员应当尽量使用强大/冗长的管理员密码、将插件更新到最新版本，并当尽快删除不必要的附加组件。   转自Freebuf，原文链接：https://www.freebuf.com/news/395610.html 封面来源于网络，如有侵权请联系删除

editorialist.com（原名 Project YX）是一个奢侈时尚电子商务平台，2023 年 9 月 26 日，Cybernews 研究团队发现了一个暴露的云存储（即 Amazon S3 存储桶），考虑到其中包含的敏感数据，该存储空间很可能不会对公众开放。 这个看似由于配置不当而意外打开的储藏室属于Editorialist.com。里面存放着7000多张客户发票，上面记录了Editorialist.com客户的姓名、地址和购物项目描述。 在“信用卡表”文件夹下，包含了316个电子表格（XLSX/CSV 文件），其中公开了以下信息： 用户身份：名字和姓氏 卡信息：卡名称和类型、支付卡的最后四位数字、卡有效期 持卡人的电子邮件 账户余额 发现这一情况后，我们立即联系了该公司。然而，不幸的是，这些数据暴露了五个月之久。我们的情报显示，这些数据仅在2月底至3月初受到保护，目前尚未收到对该事件回复。 由于Editorialist.com是一家奢侈时尚购物网站，其客户成为利润丰厚的目标。根据我们的研究人员表示，“购物信息和交易数据会极大地加剧网络钓鱼攻击。” 因此，受害者应该留意冒充编辑或相关公司的欺诈者发送的有针对性的网络钓鱼电子邮件。切勿点击未经请求的电子邮件中的链接或附件。   转自安全客，原文链接：https://www.anquanke.com/post/id/294187 封面来源于网络，如有侵权请联系删除

近日，GitHub 推出了一项新的 AI 功能，能够有效提升编码时的漏洞修复速度。目前该功能已进入公开测试阶段，并在 GitHub 高级安全（GHAS）客户的所有私有软件源中自动启用。 该功能名为代码扫描自动修复，可利用 Copilot 与 CodeQL（注：CodeQL 是 GitHub 开发的代码分析引擎，用于自动执行安全检查）发现你的代码中可能存在漏洞或错误，并且对其进行分类和确定修复的优先级。可帮助处理 JavaScript、Typescript、Java 和 Python 中超过 90% 的警报类型。 值得一提的是，“代码扫描”需要消耗 GitHub Actions 的分钟数。 据介绍，“代码扫描”还可防止开发者引入新问题，还支持在特定日期和时间进行扫描，或在存储库中发生特定事件（例如推送）时触发扫描。 如果 AI 发现你的代码中可能存在漏洞或错误，GitHub 就会在仓库中进行告警，并在用户修复触发警报的代码之后取消告警。 要监控你的仓库或组织的“代码扫描”结果，你可以使用 web 挂钩和 code scanning API。此外，“代码扫描”也可与输出静态分析结果交换格式 (SARIF) 数据的第三方代码扫描工具互操作。 目前，对“代码扫描”使用 CodeQL 分析有三种主要方法： 使用默认设置在存储库上快速配置对“代码扫描”的 CodeQL 分析。默认设置自动选择要分析的语言、要运行的查询套件和触发扫描的事件，如果需要也可以手动选择要运行的查询套件以及要分析的语言。启用 CodeQL 后，GitHub Actions 将执行工作流运行以扫描代码。 使用高级设置将 CodeQL 工作流添加到存储库。这会生成一个可自定义的工作流文件，该文件使用 github / codeql-action 运行 CodeQL CLI。 直接在外部 CI 系统中运行 CodeQL CLI 并将结果上传到 GitHub。 GitHub 的 Pierre Tempel 和 Eric Tooley 表示：出现漏洞时，修复建议将包括对建议修复的自然语言解释，以及代码建议的预览，开发人员可以接受建议、编辑或驳回。该功能提供的代码建议和解释可以包括对当前文件、多个文件和当前项目依赖关系的修改。采用这种方法可以大大降低安全团队每天必须处理的漏洞频率。 GitHub 承诺，这一 AI 系统可以修复其发现的三分之二以上的漏洞，所以一般来说开发人员无需主动编辑代码。该公司还承诺，代码扫描自动修复将覆盖其支持的语言中超过 90% 的告警类型，目前包括 JavaScript、Typescript、Java 和 Python。该公司计划在未来几个月内增加对其他语言的支持，下一步将支持 C# 和 Go。 不过，还需要注意的是，开发人员应始终核实安全问题是否已得到解决，因为 GitHub 的 AI 功能很可能会建议仅部分解决安全漏洞的修复方法，或无法保留预期的代码功能。 Tempel和Tooley补充道：代码扫描自动修复功能使开发人员在编写代码时更容易修复漏洞，从而帮助企业减缓这种 “应用程序安全债务 “的增长。 上个月，该公司还为所有公共源默认启用了推送保护功能，以防止在推送新代码时意外暴露访问令牌和API密钥等机密。   转自Freebuf，原文链接：https://www.freebuf.com/news/395466.html 封面来源于网络，如有侵权请联系删除