==== 资安双周报 (240401) ==== 初一十五除了呷菜喔外 也要关心一下安全圈的消息 - 社交工程 (Social Engineering) 的成功案例 - 缺钱吗？可以试着现实 bounty program - 又一次 Supply-chain 攻击吗? ## CVE-2024-3094 三月份最热门的资讯安全消息 - CVE0-2024-3094。一个用年为单位的社交工程案例 有人整理的[图文记录][0] 从 2022 开始第一笔 commit 到 2024-03-09 上传最终恶意档案 花了两年的社交工程 让 xz 终於释出一个包含後门的版本 ## 现实 bounty program 美国政府提供[1]最高奖金 $10m 悬赏七名中国人的资讯 据称这七名骇客攻击美国官员与批评中国的企业与政界人士 发动大范围的网路攻击 ## PyPI 再次 (短时间) 暂时停止新开发者注册 PyPI 再次停止新开发者的注册[2] 来暂停恶意套件上传 常见的 Python 恶意套件透过错误的套件名称 让开发者下载恶意版本的套件 这次仅花费 10小时就恢复开放 (上次[] 花费 10天的时间修复) 透过拼音错误或者错误的套件名称 让开发者下载恶意套件 bs4[4] 就是 beautifulsoup4 用来避免开发者错误安装的 dummy package ---- 之前想说不要让板上都是我的发文 也要让其他人多分享一些文章 但是过了这麽久... 应该是 PTT 使用者人数变少很多 :) 小弟我开始会用双周形式分享这段时间的资安消息 [0]: https://x.com/fr0gger_/status/1774342248437813525?s=20 [1]: https://www.bbc.com/news/world-us-canada-68659095 [2]: https://thehackernews.com/2024/03/pypi-halts-sign-ups-amid-surge-of.html [3]: https://status.python.org/incidents/0th66lc1l8by [4]: https://pypi.org/project/bs4/ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.242.218.231 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1711932733.A.A41.html