==== 資安雙週報 (240401) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - 社交工程 (Social Engineering) 的成功案例 - 缺錢嗎？可以試著現實 bounty program - 又一次 Supply-chain 攻擊嗎? ## CVE-2024-3094 三月份最熱門的資訊安全消息 - CVE0-2024-3094。一個用年為單位的社交工程案例 有人整理的[圖文記錄][0] 從 2022 開始第一筆 commit 到 2024-03-09 上傳最終惡意檔案 花了兩年的社交工程 讓 xz 終於釋出一個包含後門的版本 ## 現實 bounty program 美國政府提供[1]最高獎金 $10m 懸賞七名中國人的資訊 據稱這七名駭客攻擊美國官員與批評中國的企業與政界人士 發動大範圍的網路攻擊 ## PyPI 再次 (短時間) 暫時停止新開發者註冊 PyPI 再次停止新開發者的註冊[2] 來暫停惡意套件上傳 常見的 Python 惡意套件透過錯誤的套件名稱 讓開發者下載惡意版本的套件 這次僅花費 10小時就恢復開放 (上次[] 花費 10天的時間修復) 透過拼音錯誤或者錯誤的套件名稱 讓開發者下載惡意套件 bs4[4] 就是 beautifulsoup4 用來避免開發者錯誤安裝的 dummy package ---- 之前想說不要讓板上都是我的發文 也要讓其他人多分享一些文章 但是過了這麼久... 應該是 PTT 使用者人數變少很多 :) 小弟我開始會用雙週形式分享這段時間的資安消息 [0]: https://x.com/fr0gger_/status/1774342248437813525?s=20 [1]: https://www.bbc.com/news/world-us-canada-68659095 [2]: https://thehackernews.com/2024/03/pypi-halts-sign-ups-amid-surge-of.html [3]: https://status.python.org/incidents/0th66lc1l8by [4]: https://pypi.org/project/bs4/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.218.231 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1711932733.A.A41.html