【安全頭條】PyPI包keep意外引入密碼竊取模塊

1、PyPI包keep

意外引入密碼竊取模塊

安全研究員發現keep、pyanxdns、api-res-py等python模塊突然引入了密碼竊取模塊，仔細一看竟是開發者疏漏。 包之間互相依賴已經相當常見了，這次keep就在依賴上栽了跟頭。本想引入requests包，結果不小心少打了個s，就引入了一個惡意包。雖然就算善意來想是開發者手滑，出現這種較低級的錯誤也有點尷尬，但不排除開發者賬號被劫持或有他自己小心思的可能性，目前這三個包出現密碼竊取模塊的問題已分配了CVE。 

部分鏡像站也有一定的責任，request作為老牌釣魚包早就臭名遠揚，但很多鏡像仍未從索引中刪掉它，持續對粗心大意的開發者進行著釣魚攻擊。[點擊“閱讀原文”查看詳情]

2、Hello XD開始

部署更大更好

更強的后門

平底鍋安全研究員發現Hello XD組織升級了他們的后門，如今新后門更大更好更強，逃避檢測能力一流。

最初它是基于Babuk泄露代碼的一個變種，如今終于要拜托它的禁錮，走自己的路，畢竟一旦接受了自己的軟弱，那就只能作為Babuk變種度過平凡的軟生了罷。Hello XD在談判階段還是很為受害者著想的，沒有搞Tor站之類的隱匿行蹤，而是直接用Tox在線聯系，還省時省力。不過他們似乎還是有這種意向的，最新版已經開始放Tor鏈接了，但大家訪問試了試發現網站還沒上線。加密后綴如其名，就是.hello，可可愛愛的打招呼如今變成了死神的問候。至于后門，他們把開源的MicroBackdoor加入了攻擊鏈，做出了自己特色。安全研究員認為，雖然目前它的成果寥寥，但給它時間，一定能夠成長為一個頂天立地的勒索軟件。[點擊“閱讀原文”查看詳情]

3、德國漢堡大學

收集數十萬人網絡

流量測試Wifi安全性

雖然已經是2202年了，但很多基礎性的安全問題因為設備、系統等因素仍然存在，德國漢堡大學的安全研究員感覺疫情向好就跑去大街上再測試了一次。 這次實驗花了好幾天時間，共收集到數十萬人份的流量信息，分析后發現，接近四分之一的設備到處廣播之前連接過的Wifi信息。從這些信息中，安全研究員整理出近6萬個Wifi賬號和密碼，根據名稱判斷大多是知名路由器的信號與初始生成密碼。 安全研究員認為根據這些泄露的賬號密碼，可以針對性的建立釣魚熱點，用受害者自己吐出的魚餌去釣魚，豈不美哉。

不過這終究只是意外發現，這次實驗的本意是測試持續跟蹤，有些Wifi熱點會根據MAC等信息對用戶持續跟蹤，特別是老版本的設備和系統缺乏對這種跟蹤的保護，問題很大。安全研究院提醒，買最新款就可以部分解決這種隱私問題。[點擊“閱讀原文”查看詳情]

4、PACMAN：

針對M1 Mac的

CPU硬件攻擊

麻省理工學院安全研究員發現了一種針對M1 Mac的CPU推理執行功能的攻擊，可以實現任意代碼執行。 PACMAN這個名字來自于指針身份驗證中的PAC（指針身份驗證代碼），這項功能旨在將加密簽名添加到指針中允許操作系統檢測并阻止更改，但如今被用來訪問底層文件系統。

要利用該漏洞，首先需挖到一個Mac上的內存錯誤，在內存錯誤被PAC檢測到時實現繞過并擴大安全風險。壞消息是這個問題蘋果解決不了將一直存在，好消息是只要及時更新其他所有軟件不給黑客可乘之機就沒事了。相當于你家保險柜的鎖壞了，但只要大門還關著就不用想那么多。蘋果也是這么說的，認為這個漏洞對Mac用戶構不成危險所以研究員我謝謝你但就這樣吧。[點擊“閱讀原文”查看詳情]

5、Vytal Chrome

插件隱藏位置做的

還真不含糊

最近一款名為Vytal的Chrome插件上架市場，可以有效防止位置信息泄露。 雖然虛擬專用網絡可以在一定程度上做到這種等級的隱私防護，但如果網站使用JS直接從Web瀏覽器中獲取位置信息的話，虛擬專用網絡也無能為力了：比如通過一些函數獲取時區、設置、本地時間等信息，可以對真實地址做出一定準確程度的推斷。 Vytal就是修補這塊漏洞的最后一塊磚，把時區、區域、地理等相關信息都劫持隱藏掉，但有人測試了目前效果還不算完美。

從另一個角度來看，這個插件的出現也提醒了我們還有這種方法可用，估計以后通過這種方式獲取敏感信息的網站會越來越多。[點擊“閱讀原文”查看詳情]