[閒聊] 資安雙週報 240401
==== 資安雙週報 (240401) ====
初一十五除了呷菜喔外 也要關心一下安全圈的消息
- 社交工程 (Social Engineering) 的成功案例
- 缺錢嗎?可以試著現實 bounty program
- 又一次 Supply-chain 攻擊嗎?
## CVE-2024-3094
三月份最熱門的資訊安全消息 - CVE0-2024-3094。一個用年為單位的社交工程案例
有人整理的[圖文記錄][0] 從 2022 開始第一筆 commit 到 2024-03-09 上傳最終惡意檔案
花了兩年的社交工程 讓 xz 終於釋出一個包含後門的版本
## 現實 bounty program
美國政府提供[1]最高獎金 $10m 懸賞七名中國人的資訊
據稱這七名駭客攻擊美國官員與批評中國的企業與政界人士
發動大範圍的網路攻擊
## PyPI 再次 (短時間) 暫時停止新開發者註冊
PyPI 再次停止新開發者的註冊[2] 來暫停惡意套件上傳
常見的 Python 惡意套件透過錯誤的套件名稱 讓開發者下載惡意版本的套件
這次僅花費 10小時就恢復開放 (上次[] 花費 10天的時間修復)
透過拼音錯誤或者錯誤的套件名稱 讓開發者下載惡意套件
bs4[4] 就是 beautifulsoup4 用來避免開發者錯誤安裝的 dummy package
----
之前想說不要讓板上都是我的發文 也要讓其他人多分享一些文章
但是過了這麼久... 應該是 PTT 使用者人數變少很多 :)
小弟我開始會用雙週形式分享這段時間的資安消息
[0]: https://x.com/fr0gger_/status/1774342248437813525?s=20
[1]: https://www.bbc.com/news/world-us-canada-68659095
[2]: https://thehackernews.com/2024/03/pypi-halts-sign-ups-amid-surge-of.html
[3]: https://status.python.org/incidents/0th66lc1l8by
[4]: https://pypi.org/project/bs4/
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.218.231 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1711932733.A.A41.html
留言