台灣資安新聞彙整 2024.02.19-03.03

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

2/21

新的 Wi-Fi 漏洞使 Android 及 Linux 裝置暴露於駭客之下

資安研究人員發現了兩個存在於 Android、Linux 和 ChromeOS 裝置中的開源 Wi-Fi 軟體的認證繞行漏洞。這些漏洞可能誘使用戶加入偽裝成合法網路的惡意複製網路，或讓攻擊者無需密碼即可加入受信任的網路。這些漏洞被追蹤為 CVE-2023-52160 和 CVE-2023-52161。尤其是 CVE-2023-52161，它能讓對手未經授權便能進入受保護的 Wi-Fi 網路，將既有的用戶和裝置暴露於潛在攻擊如惡意軟體感染、資料竊取，以及商業郵件欺詐（BEC）等風險之中。

https://thehackernews.com/2024/02/new-wi-fi-vulnerabilities-expose.html

2/22

網路犯罪分子利用開源 SSH-Snake 工具作武器

一款名為 SSH-Snake 的新近開源的網路映射工具，被威脅行為者改為進行惡意活動的用途。SSH-Snake 由其開發者描述為一個「強大的工具」，可以利用在系統上發現的 SSH 私鑰自動進行網路遍歷。該雲端安全公司表示，它觀察到威脅行為者在現實的攻擊中部署 SSH-Snake，收割憑證，收集目標的 IP 地址，以及在發現資料主機的指揮與控制（C2）伺服器後，追蹤 bash 命令的歷史。

https://thehackernews.com/2024/02/cybercriminals-weaponizing-open-source.html

2/23

閒置的 PyPI 套件被調包散播惡意軟體

一款在 Python 套件索引（PyPI）指南繼放置近兩年後，最近被利用來散播名為 Nova Sentinel 的資訊竊取惡意軟體。這個套件名為 django-log-tracker，最初在 2022 年 4 月在 PyPI 指南上發布。到目前為止，django-log-tracker 已被下載 3,866 次，而其中潛藏惡意的版本（1.0.4）在發布當天就被下載了 107 次。這個套件現在已經不能從 PyPI 指南上下載。安全公司 Phylum 指出，在這次的惡意更新中，攻擊者大篇幅地去除了套件的原始內容，只留下了一個和檔案。

https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html

Insomniac Games 提醒員工資料外洩

Sony 的子公司 Insomniac Games 正向在 Rhysida 勒索軟體攻擊後，其個人資訊被竊並在網路上外洩的員工發出資料外洩通知。該遊戲工作室最近的專案是為 PlayStation 5 發行的 Marvel's Spider-Man 2。在遊戲工作室拒絕支付 200 萬美元的贖金導致談判失敗之後，Rhysida 在其暗網洩漏網站上公布了 1.67 TB 的文件。

https://www.bleepingcomputer.com/news/security/insomniac-games-alerts-employees-hit-by-ransomware-data-breach/

2/27

WordPress 外掛漏洞威脅超過 20 萬個網站

一個受歡迎的 WordPress 外掛 Ultimate Member 揭露了一項重大的安全漏洞，該外掛有超過 20 萬次安裝。該漏洞被追蹤為 CVE-2024-1071，其中 CVSS 分數為最大值 10 中的 9.8。未經認證的攻擊者可以利用這個漏洞，在已經存在的查詢中添加額外的 SQL 查詢，並從資料庫中取出敏感資料。

https://thehackernews.com/2024/02/wordpress-plugin-alert-critical-sqli.html

2/28

FBI 警告針對性的 BlackCat 勒索軟體攻擊

美國政府警告說，針對醫療保健行業的 BlackCat（又名 ALPHV）勒索軟體攻擊正在重新出現。政府表示，在近期近 70 宗的資料外洩受害者中，醫療保健業是最常見的受害者。

https://thehackernews.com/2024/02/fbi-warns-us-healthcare-sector-of.html

2/29

GitHub 預設啟用推送保護

為了在推送新程式碼時預防像是存取權杖和 API 金鑰等秘密資訊的意外洩露，GitHub 現已為所有公開儲存庫預設啟用推送保護。推送保護在接受 'git push' 操作前主動偵掃秘密資訊以防漏洩，並在偵測到秘密資訊時即封鎖提交。GitHub 表示，這個秘密偵測功能能自動防止秘密洩漏，它可以辨識超過 200 種來自超過 180 個服務提供商的權杖類型和模式。

https://www.bleepingcomputer.com/news/security/github-enables-push-protection-by-default-to-stop-secrets-leak/

3/1

新的網路釣魚工具包利用簡訊與語音通話

有一種新出現的釣魚工具包在一個名為 CryptoChameleon 的攻擊群中，偽裝成知名加密貨幣服務的登入頁面，主要目標是行動裝置。一份報告表示，這個工具包讓攻擊者可以複製單一登入（SSO）頁面，再透過結合 email、簡訊，和語音釣魚的方式來騙取目標者提供使用者名稱、密碼、密碼重設 URL，甚至是來自數百名受害者的照片 ID，其中大部分在美國。

https://thehackernews.com/2024/03/new-phishing-kit-leverages-sms-voice.html