流行的Python和PHP库被劫持用以窃取AWS密钥

流行的Python和PHP库被劫持用以窃取AWS密钥 每周被下载超过20,000次的PyPI模块 "ctx "在一次软件供应链攻击中被破坏，恶意版本窃取了开发者的环境变量。 攻击者甚至用渗入开发者环境变量的代码替换了旧的安全版本的'ctx'，以收集亚马逊AWS密钥和凭证等秘密。 此外，发布在PHP/Composer软件包库Packagist上的'phpass'分叉版本也被篡改，以类似的方式窃取机密。 PHPass框架在其生命周期内已经在Packagist仓库中产生了超过250万次的下载尽管恶意版本的下载量被认为要小得多。

知名远控软件AnyDesk被攻击 黑客成功窃取源代码及代码签名证书/密钥

知名远控软件AnyDesk被攻击 黑客成功窃取源代码及代码签名证书/密钥 AnyDesk 提供远程访问解决方案，不少企业使用 AnyDesk 为客户提供远程支持或用来访问托管的服务器，其规模虽然不如 TeamViewer 不过也有超过 17 万家企业或机构客户，包括联合国。目前没有太多已知信息：该公司在发现其生产服务器上出现异常事件后才发现被攻击了，随后他们聘请了外部安全公司 CrowdStrike 并启动了安全响应计划。在进行安全审计后 AnyDesk 确认遭到黑客攻击，然而该公司没有透露与此次攻击的详细信息。安全网站 BleepingComputer 已经了解到黑客成功窃取了 AnyDesk 的源代码和私有的代码签名证书及密钥。AnyDesk 称相关情况已经得到控制，使用 AnyDesk 是安全的，最新版 AnyDesk 已经更换了新的代码签名证书，所有旧版本的代码签名证书都已经被吊销。称用户不受影响：对于此次黑客攻击是否会导致用户的服务器被黑客控制问题，AnyDesk 予以否认，该公司称 AnyDesk 设计的独特的访问令牌不会被传输到服务器上，相反，访问令牌只保留在设备上并且与设备指纹信息关联。因此当前所有客户都可以继续放心使用 AnyDesk，该公司也强调没有任何迹象表明有 AnyDesk 连接会话被劫持，毕竟这是不可能的。重置门户网站密码：但 AnyDesk 的生产系统毕竟被黑客访问了，为此 AnyDesk 重置了其门户网站注册的所有账号和密码，此时用户可能已经收到的通知邮件，需要对账号密码进行重置后才能重新登录。攻击事件：AnyDesk 从当地时间 1 月 29 日开始经历了四天的宕机，当时 AnyDesk 称需要进行维护，维护之后即可重新登录并使用 AnyDesk 客户端。AnyDesk 向 BleepingComputer 证实此次维护与安全事件有关。 ... PC版： 手机版：

中国黑客通过勒索软件掩盖活动

中国黑客通过勒索软件掩盖活动 安全公司报告，APT 组织 ChamelGang 通过勒索软件隐藏活动。ChamelGang 在数十起网络攻击中部署了勒索软件，包括在 2022 年使用勒索软件 CatB 攻击了印度医疗机构 AIIMS 和巴西总统办公室。安全研究人员认为这代表了一种令人不安的趋势：黑客将勒索软件作为其网络间谍行动的最后阶段，旨在获取经济利益、破坏、分散注意力、错误归因或删除证据。 via Solidot

#本周热读 微软安全研究人员表示，他们发现了一起由中国政府支持的针对美国关键基础设施的黑客攻击行动。

#本周热读 微软安全研究人员表示，他们发现了一起由中国政府支持的针对美国关键基础设施的黑客攻击行动。 这次攻击是由Volt Typhoon领导的，这是一个总部设在中国的组织，通常专注于间谍活动和信息收集。

研究人员发现：EKEN 制造的可视门铃容易被劫持

研究人员发现：EKEN 制造的可视门铃容易被劫持 当地时间周四，非盈利组织《消费者报告》发布了研究报告，总部位于中国深圳的公司 Eken Group Ltd 制造的可视门铃存在安全漏洞，可被黑客轻易劫持。该公司旗下至少有十个不同品牌，包括 Aiwit、Andoe、Eken、Fishbot、Gemee、Luckwolf、Rakeblue 和 Tuck。首先，这些可视门铃会在没有加密的情况下将家庭 IP 地址和 WiFi 网络名称以及摄像头捕获的静态图像暴露在互联网上。其次，任何可以物理访问门铃的人都可以接管该设备，只需要在 Aiwit 手机应用上创建一个帐户，然后前往目标的家并按住门铃按钮八秒将其置于配对模式即可控制该设备。此时做为该设备新的“所有者”，可以看到设备的序列号，即使原所有者收回控制权，也可以通过 URL+序列号继续远程访问摄像头中的静态图像，不需要密码，甚至不需要该公司的帐户。

印度杀毒软件eScan长期使用HTTP协议 被黑客用来发起中间人攻击

印度杀毒软件eScan长期使用HTTP协议 被黑客用来发起中间人攻击 时间回到 2023 年 7 月：捷克杀毒软件开发商 AVAST 的研究人员注意到一款被其他研究人员称为 GuptiMiner 的恶意软件，该恶意软件背后有着极其复杂的攻击链路，并且还盯上了 eScan 的 HTTP 明文协议。当 eScan 发起更新时复杂的攻击链路就开始了，黑客首先执行中间人攻击从而拦截 eScan 发往服务器发送的请求数据包，接着再通过伪造的服务器返回恶意数据包，返回的数据包也是 eScan 提供的更新，只不过里面已经被插入了 GuptiMiner 恶意软件。当 eScan 接到返回的数据包并执行更新时，恶意软件也被悄悄释放并执行，显然除了使用 HTTP 明文协议外，eScan 可能还没有对数据包进行签名或哈希校验 (也可能是返回的数据包里已经对哈希进行了修改)。而这家杀毒软件至少从 2019 年开始就一直使用 HTTP 明文协议提供更新，虽然无法证明黑客是什么时候利用起来的，但劫持更新来感染设备应该持续好几年了。恶意软件的目的：比较搞笑的是这款恶意软件使用复杂的攻击链发起攻击，但最终目的可能是挖矿，至少 AVAST 注意到 GuptiMiner 除了安装多个后门程序外 (这属于常规操作)，还释放了 XMrig，这是一款 XMR 门罗币开源挖矿程序，可以使用 CPU 执行挖矿。至于其他恶意目的都属于比较常规的，例如如果被感染的设备位于大型企业内网中，则会尝试横向传播感染更多设备。如何实现劫持的：这个问题 AVAST 似乎也没搞清楚，研究人员怀疑黑客通过某种手段破坏了目标网络，从而将流量路由到恶意服务器。AVAST 研究发现黑客去年放弃了使用 DNS 技术，使用一种名为 IP 掩码的混淆技术取而代之，并且还会在被感染设备上安装自定义的 ROOT TLS 证书，这样就可以签发任意证书实现各种连接都可以劫持。AVAST 向印度 CERT 和 eScan 披露漏洞后，后者在 2023 年 7 月 31 日修复了漏洞，也就是换成了 HTTPS 加密协议。 ... PC版： 手机版：