專門針對開發人員，攻擊者利用 Rust 獲取操作系統信息

研究人員在 Rust 編程語言的 crate 注冊表中發現了一些惡意軟件包，專門針對開發人員。

近日，研究人員在 Rust 編程語言的 crate 注冊表中發現了一些惡意軟件包，專門針對開發人員。

西門子發布了五項新公告，共描述了37個已修補漏洞。西門子表示，這些弱點可能允許攻擊者引發DoS條件、獲取敏感數據或破壞系統完整性。施耐德電氣僅發布了一項新的公告，但該公司已更新了十多項現有公告。Rust基金會執行董事 Rebecca Rumbul在9月13日 的一份聲明中表示了這一點。

GoldPickaxe.iOS 采用了一種全新的分發方式，利用 Apple 的移動應用測試平臺 TestFlight 進行傳播。平臺將其刪除后，攻擊者采用多階段的社會工程學方式說服受害者安裝移動設備管理（MDM）配置文件，借此完全控制受害者的設備。

比利時政府官員表示，自上周五發生網絡事件后，比利時國防部的部分計算機網絡一直處于癱瘓狀態，攻擊者利用了Apache Log4j漏洞。

目前，全球使用的公共API和私有API總數估計約為2 億個。攻擊者可以在未經身份驗證的情況下向端點發送大量API請求，并在短時間內收集大量數據。這嚴重限制了它們保護API遠離基于機器人程序的攻擊的能力。這帶來了業務邏輯缺陷，機器人程序可以利用這些缺陷造成嚴重破壞，同時通過看似合法的API請求逃避檢測。監控所有入站API請求，以便在偵察階段發現并阻止異常行為。

雖然并沒有完美的安全計劃，但此類事件表明網絡安全團隊不能忽視任何事情。Harper表示，當企業領導者狹隘地看待網絡安全時將會帶來負面影響。GitLab公司在調查中發現，70%的開發團隊在開發早期就考慮了安全性。根據Verizon公司在2021年發布的一份數據泄露調查報告，2020年85%的數據泄露事件與人為因素有關。Bud

無疑Web成為領導者。隨著國家安全法的不斷完善，企業及公司對用戶隱私以及公司的重要信息逐漸加強重視。也使得暴露在網絡上的Web面臨更高的挑戰。淺談從Web安全到APT防御。如果服務端未對來自客戶端的請求進行身份屬主校驗，攻擊者可通過偽造請求，越權竊取所有業務系統的數據。

Malwarebytes威脅情報公司每月通過監控勒索軟件團伙在其暗網泄露網站上發布的信息來建立勒索軟件活動的圖景。這些信息代表的是那些成功被襲擊但選擇不支付贖金的受害者。

研究人員將惡意模塊命名為“Owowa”，并確定了位于亞洲的幾臺受感染服務器。Owowa 專門設計用于通過掛鉤 PreSendRequestContent 事件來檢查 HTTP 請求和響應。該惡意模塊實際上旨在記錄在 OWA 身份驗證網頁上成功通過身份驗證的用戶的憑證。由于有關 Owowa 部署的數據不足，研究人員找不到 Owowa 與任何已知攻擊者之間的任何聯系。