《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > Github遭大规模恶意软件攻击 超3.5万个代码库受影响

Github遭大规模恶意软件攻击 超3.5万个代码库受影响

2022-11-13
来源:安全419

  1.Github遭大规模恶意软件攻击,超3.5万个代码库受影响

  软件工程师 Stephen Lacy 在推特上表示,其发现 Github 正在遭受大规模恶意软件攻击,超 3.5 万个代码库受影响,波及范围涵盖Crypto、Golang、Pyhon、js、bash、Docker和k8s等领域。该恶意软件被发现添加到npm脚本、Docker图像和安装文档中。Stephen Lacy提醒,此攻击可能会将被攻击者的多种密钥泄露给攻击者,并建议用户使用GPG签署所有提交。

  2.最新的 Jenkins 插件公告中包含未修补的 XSS、CSRF 漏洞

  作为领先的开源自动化服务器,Jenkins 提供了数千个插件来支持构建、部署和自动化项目。该组织最新的安全公告列出了总共27个插件漏洞,其中五个被认为是“高”影响,其中大多数仍未修补。安全研究人员称在没有修复的情况下宣布漏洞是解决难题的最佳解决方案,因为它允许管理员仔细考虑他们继续使用受影响的插件。

  3.应用EvolutionCMS、FUDForum和GitBucket中发现XSS漏洞

  据外媒报道,研究人员已经发布了有关流行开源应用程序中三个跨站点脚本(XSS)漏洞的详细信息,这些漏洞可能导致远程代码执行(RCE)。研究发现进行XSS攻击的可能性与管理员面板中的内置文件管理器(或执行SQL查询)相结合可能导致系统完全受损。这些漏洞的主要困难是找到进行XSS攻击的可能性。

  4.2.88亿条印度养老基金持有人的身份数据被暴露在互联网

  据外媒报道,一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存在网上浮出水面。安全研究员发现两个独立的IP地址,这两个IP地址都公开向互联网暴露数据,但没有密码保护。目前还不清楚谁应该对网上出现的曝光数据负责。也不清楚是否还有其他人有发现这些曝光的数据。

  5.研究人员警告AitM对企业用户的大规模攻击

  据外媒报道,以中间对手(AitM)攻击技术为主,新的大规模网络钓鱼活动展开,破坏企业电子邮件账户。该活动专门设计用于覆盖使用Microsoft电子邮件服务的企业中的最终用户。其通过使用高级网络钓鱼工具包(AiTM)和巧妙地规避技术,黑客绕过传统和高级安全解决方案。

  6.VMware 修复了关键身份验证绕过漏洞

  VMware 解决了一个关键的身份验证绕过安全漏洞,该漏洞被跟踪为 CVE-2022-31656,影响多个产品中的本地域用户。未经身份验证的攻击者可以利用该漏洞获得管理员权限。该漏洞影响 Workspace ONE Access、Identity Manager 和 vRealize Automation 产品。该漏洞已被评为严重漏洞,评分为 9.8。VNG Security 的 PetrusViet 是该漏洞的发现者。VMware 还解决了其它9个安全漏洞。

  7.欧洲导弹制造商MBDA反驳遭到勒索攻击

  欧洲导弹制造商MBDA发布声明回应其遭遇勒索攻击称,虽然某些文件确实被盗,但该公司并未遭到黑客攻击,其安全系统仍然完好无损。MBDA强调称,数据来源确定是从外部硬盘获取的,同时该公司通过内部验证,泄露数据既不是机密数据也不是敏感数据。MBDA表示,他们正在配合执法部门的调查。

  8.NIST第四轮候选算法SIKE惨遭破解

  KU Leuven的两名安全研究人员在一篇新论文中将“炮火”对准了SIKE加密算法,该算法是作为一种后量子时代的加密算法,已进入到NIST的第四轮后量子密码学标准化过程当中。安全研究人员使用一款2013年的单核CPU对该算法进行了破解,他们动用一款名为Magma的程序,在62分钟的时间内,完成了安全级别为level 1的SIKEp434的有效密钥恢复攻击。对于具有更高安全级别的SIKEp503 (level 2)、SIKEp610 (level 3)和SIKEp751 (level 5),分别在2小时19分钟、8小时15分钟和21小时37分钟内被破解。



更多信息可以来这里获取==>>电子技术应用-AET<<

二维码.png


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。