IconBurst:影响数百网站的NPM供应链攻击

admin 2022年7月8日18:25:51供应链安全评论1 views4096字阅读13分39秒阅读模式

IconBurst:影响数百网站的NPM供应链攻击


7月8期五


  • IconBurst:影响数百网站的NPM供应链攻击

安全研究员发现影响数百个应用和网站的NPM供应链攻击,隐秘传播达半年之久。和往常的NPM供应链攻击相同,它利用相似包名来感染粗心大意的开发者。引入项目后,它们的恶意代码就开始起作用,在各种表单提交处嵌入恶意脚本窃取密码。安全研究员已联系NPM团队报告此事,但只有少数几个包被清理,大多数还可以正常下载,一些下载量高的恶意包轻松就能突破上万下载量,最终影响估计有数百个应用和网站。为保护包安全性,最好引入时仔细鉴别,或者安装一些用于防护此类问题的包(当然安装时也要看清楚是不是真的)。


  • 深圳举行首次数字政府领域实战网络攻防演练

7月5日下午,“深蓝-2022”深圳市数字政府网络安全攻防演练闭幕式暨演练活动总结会在深圳举行。广东省政府副秘书长、省政务服务数据管理局局长杨鹏飞,深圳市政府党组成员杨胜军,市政务服务数据管理局局长刘佳晨,市通信管理局局长何承健,市委网信办副主任张忠亮,市公安局副局长景文以及各区各市直部门有关负责同志出席了闭幕式。“深蓝-2022”攻防演练以“筑牢网络安全基石,护航数字政府建设”为主题,由广东省政务服务数据管理局作为指导单位,深圳市政务服务数据管理局、深圳市互联网信息办公室、深圳市公安局、深圳市通信管理局主办,鹏城实验室、公安部第三研究所、北京永信至诚科技股份有限公司、深圳市智慧城市科技发展集团有限公司、数字政府网络安全产业联盟联合协办。本次演练将全市政务信息系统全部列入演练范围,邀请网络安全企业、央企、高校等30支顶尖队伍在5天的时间内从全国不同区域开展网络攻击行动,最大限度模拟真实攻击,大大增强了“实网、实兵、实战”的演练氛围,是深圳市首次聚焦数字政府领域的大规模实网攻防演练。

  • “2022 西湖论剑·网络安全大会——数据安全治理和个人信息保护论坛”在京举办

近日,由全国信息安全标准化技术委员会秘书处主办的“2022 西湖论剑·网络安全大会——数据安全治理和个人信息保护论坛”在北京举办。工业和信息化部网络安全管理局雷楠处长、国家市场监督管理总局标准技术管理司刘大山处长出席论坛并讲话,全国信息安全标准化技术委员会秘书长、中国电子技术标准化研究院党委书记杨建军致欢迎辞。杨建军致辞指出,党和国家高度重视数据安全和个人信息保护工作,数据安全和网络安全已一并纳入总体国家安全观。全国信息安全标准化技术委员会秘书处作为标准化专业机构,一是加快推动重点急需标准研制,有效支撑数据安全和个人信息保护相关法律法规落地实施、行业管理和产业发展;二是加强标准宣贯实施,促进标准应用与技术产业协同联动,充分发挥标准在数据安全治理和个人信息保护中的基础性、规范性、引领性作用;三是发挥自身优势,为各行业领域搭建网络安全和数据安全标准化沟通交流平台,以标准为基础提升数据安全支撑服务能力,努力营造全民数据安全和个人信息保护的良好社会氛围。


  • API安全形势严峻:38万台K8s API服务器暴露在公网

Shadowserver Foundation的研究人员发现,超过38万台开放Kubernetes API服务器暴露在互联网上,占全球可观测在线Kubernetes API实例的84%。研究是通过HTTP GET请求在IPv4基础设施上进行的。研究人员没有进行任何侵入性检查来精确衡量这些服务器所呈现的暴露程度,但研究结果表明,Kubernetes API服务器领域可能存在普遍性问题。“虽然并不意味着这些实例完全开放或容易受到攻击,但这种访问级别很可能并非有意设置,这些实例是不必要暴露的攻击面。”Shadowserver在报告中称,“甚至还暴露了版本和构建信息。”最密集的暴露API服务器集群位于美国,大约存在20.1万个开放API实例,占全部所发现开放服务器的53%。围绕API安全问题的研究越来越多,这份报告提供了又一证据,表明很多组织都没有准备好防范、响应潜在API攻击,甚至都不了解此类攻击。


  • 美国防部推出“Hack US”公网资产漏洞奖励计划,奖金池11万美元

这项新的漏洞奖励计划是国防部漏洞披露计划的一个简短延伸,在 HackerOne 平台运行。该计划将在7月4日至7月11日期间向全球的漏洞猎人和安全研究人员开放。美国国防部/HackerOne 发布消息称,“从2022年7月4日至2022年7月11日,在国防部所拥有的、运营的或控制的任何公开可访问信息系统、web财产或数据上如发现且只有发现高危和严重漏洞,可获得奖励。该计划的奖金池是11万美元,将遵循谁先提交谁得赏的原则为漏洞报告分配7.5万美元,直到该7.5万美元耗尽。3.5万美元将作为漏洞奖赏。”美国国防部指出,奖金颁发完后收到的漏洞报告将被视作国防部漏洞披露计划内的正常漏洞提交报告。它还指出,“奖励的办法速度比烟花还要快,只有高危和严重级别的漏洞成果才可获得奖赏。主题奖励适用于在国防部不同领域中的最佳研究成果。”美国国防部的最高漏洞奖励是1000美元,但它指出在这项新计划范围内,最佳漏洞研究成果将获得5000美元的奖励。


  • 苹果公司将为iPhone增加“隔离模式”,防范间谍软件

近日,苹果公司在官网发布公告称正在评估iPhone上的一项突破性安全措施——隔离模式(Lockdown Mode,又称锁定模式),为极少数面临高级间谍软件和针对性网络攻击风险的用户提供一种极端的保护模式。苹果还提供了其1000万美元赠款的详细信息,以支持揭露此类威胁的研究。根据苹果公司的公告,“隔离模式“类似于PC上的安全模式,应用、浏览器以及消息传输都将受到极大的限制。今年秋季将随iOS 16、iPadOS 16和macOS Ventura推出。苹果公司在公告中解释说:隔离模式为极少数用户提供了一个极端的可选安全级别,这些用户由于其所从事的工作性质可能会成为一些最复杂的数字威胁的目标,例如来自NSO集团和其他私营公司的威胁开发国家资助的雇佣间谍软件。在iOS 16、iPadOS 16和macOS Ventura中打开隔离模式可进一步加强设备防御并严格限制某些功能,从而大幅减少可能被高度针对性的雇佣间谍软件利用的攻击面。


  • 英国对Clearview AI处750万罚款并呼吁国际执法

5月23日,英国信息委员会(ICO)对Clearview AI处以750万英镑的罚款,原因是其违反了当地隐私法,从网络和社交媒体上收集人们的图像,并创建了一个全球数据库。此外,ICO还发布了一份执行通知,命令Clearview AI停止获取、使用在互联网上公开的英国居民个人数据,并从系统中删除英国居民的信息。英国信息专员约翰•爱德华兹(John Edwards)在发布的执法声明中表示,Clearview AI抓取网民信息,并创建了一个包含超过200亿张照片的数据库。“该公司不仅能识别这些人,还能有效地监控他们的行为,”他表示,“这是不可接受的。”此外,他还呼吁其他国家对于Clearview AI这种跨国公司进行国际执法,“无论人们的数据在哪里被使用,他们的个人信息都应得到尊重。这就是为什么跨国公司需要国际执法。”他提到,在此次对Clearview AI的处罚中,英国与澳大利亚隐私监管机构进行了合作;此外,他本周还会在布鲁塞尔会见欧洲的监管机构,以期与他们达成合作。


  • NIST发布新算法应对量子攻击,可支持下一代加密标准

近日,美国国家标准与技术研究所(NIST)正式发布四种新的加密算法,用于保护联邦政府计算机和应用系统应对新型量子计算的网络攻击。据了解,这四种新加密算法包括一种用于通用加密用途的算法:CRYSTALS-Kyber,以及另外三种用于数字签名和身份验证的算法:CRYSTALS-Dilithium、Falcon和Sphincs+,它们将在2024年之前支持NIST未来的加密标准。NIST算法项目负责人Dustin Moody表示:“我的项目团队一直在评估审核新的加密算法,安全性是我们进行评价的第一标准。所有进入到评审阶段的算法都达到了这一基准标准,最后的取舍在于速度和易用性等方面细微但又可衡量的差异,比如密钥大小、签名大小、实施时需要多少内存、参照衡量基准,以及在各平台上实施应用的便捷性等。”


  • 解读《关于构建数据基础制度更好发挥数据要素作用的意见》

2022年6月22日,中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平6月22日下午主持召开中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。习近平在主持会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等产权运行机制,健全数据要素权益保护制度。要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场。要完善数据要素市场化配置机制,更好发挥政府在数据要素收益分配中的引导调节作用,建立体现效率、促进公平的数据要素收益分配制度。

  • 中国国家互联网信息办公室与泰国国家网络安全办公室签署网络安全合作谅解备忘录

7月5日,中华人民共和国国家互联网信息办公室与泰王国国家网络安全办公室签署《关于网络安全合作的谅解备忘录》,双方同意进一步加强网络安全领域交流合作,维护网络空间稳定。

IconBurst:影响数百网站的NPM供应链攻击


    360 GT  E  NOSEC      MACFEE  Symantec    

IconBurst:影响数百网站的NPM供应链攻击

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日18:25:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  IconBurst:影响数百网站的NPM供应链攻击 http://cn-sec.com/archives/1166076.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: