FreeBuf 周报 | GitHub上数百万个存储库可能被劫持;电源指示灯的闪烁也能泄露密码

新闻资讯   2023-07-02 09:03   80   0  

FreeBuf福利群招新啦!

群内不定期开启各种抽奖活动;

FreeBuf盲盒、大象公仔......

在这里,拓宽网安边界

甲方安全建设干货;

乙方最新技术理念;

全球最新的网络安全资讯;

如群已满,请添加FreeBuf小助手微信(freebee2022)

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!



热点资讯


1. 出资 2000 万美元!谷歌将在全美推广免费网络安全诊所

谷歌声明将投入 2000 万美元,用于在美国各地开设更多的网络安全实践诊所,以帮助填补美国的网络安全劳动力缺口,并在不断变化的威胁面前保持领先地位。


2. 既能挖矿又能窃取敏感信息,《超级马里奥》游戏被植入恶意软件

堪称经典的《超级马里奥 3:永远的马里奥》游戏正被网络攻击者植入恶意软件,导致众多玩家设备受到感染。


3. 重名的风险!GitHub 上数百万个存储库可能被劫持

新的研究显示,许多企业在重命名项目时,不知不觉地将其代码库的用户暴露在重载劫持之下。GitHub 上数以百万计的企业软件存储库容易受到劫持,这是一种相对简单的软件供应链攻击,攻击者会将某个特定存储库的项目重定向到一个恶意的存储库。


4. 研究发现,电源指示灯的闪烁也能泄露密码

内盖夫本古里安大学和康奈尔大学的研究人员在一项研究中表示,CPU 执行的密码计算会改变设备的功耗,从而影响设备电源 LED 的亮度。通过利用这一观察结果,攻击者可以利用视频摄像设备,如联网的监控摄像头,从智能卡读卡器中提取加密密钥。


5. Anatsa 安卓木马正在窃取美国、英国用户的银行账户信息!

2023 年 3 月以来,一个新手机恶意软件向美国、英国、德国、奥地利和瑞士等国的网上银行客户推送 Android 银行木马 "Anatsa"。


安全事件


1. 西门子能源遭遇勒索软件攻击,大量数据被盗!

西门子能源称其遭遇了一次Clop勒索软件攻击,该软件利用MOVEit Transfer平台的一个零日漏洞窃取了公司数据。


2. 大众汽车车载娱乐系统曝安全漏洞,可被远程控制

根据 GitHub 的一份报告,大众汽车 Discover Media 信息娱乐系统的漏洞是在 2023 年 2 月 28 日发现的。该漏洞可能会使未打补丁的系统遭到拒绝服务(DoS)攻击。该漏洞起初是由大众汽车的用户发现的,随后大众汽车方面确认了该漏洞,漏洞的标识为 CVE-2023-34733。


3. 受害者猛增,新勒索软件团伙 8Base 开始“声名鹊起”

8Base 勒索软件团伙正在针对世界各地的企业组织进行双重勒索攻击,自 6 月初以来,新增受害者正源源不断地增加。


4. Brave 将引入新的限制控制,以提高用户隐私保护!

Brave 团队近日宣布,以隐私为中心的浏览器将引入新的限制控制,允许用户指定站点访问本地网络资源的时间。


5. 研究人员发出警告,小心 Akira 勒索软件的 Linux 变体

Cyble 研究和情报实验室的研究人员发现了 Akira 勒索软件一个复杂的 Linux 变体。在最近的一份报告中,Cyble 研究和情报实验室(CRIL)详细介绍了 Akira 勒索软件的一个复杂的 Linux 变体,引起了人们对 Linux 环境越来越容易受到网络威胁的关注。


一周好文共读


1. 网暴致人死亡!这届网友戾气太重了

据《2021年全国未成年人互联网使用情况研究报告》数据显示,未成年网民在网上遭到讽刺或谩骂的比例为16.6%;自己或亲友在网上遭到恶意骚扰的比例为7.0%;个人信息未经允许在网上被公开的比例为6.1%。



2. 一文带你看懂网络安全能力成熟度模型(C2M2)

最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。



3. 车辆网络安全架构——安全通信协议

车载总线(Automotive Bus)是指在车辆内部用于不同电子控制单元(ECU)之间进行通信和数据传输的系统。它充当了车辆内部各个电子模块之间的数据传输媒介,使得不同的车辆系统可以相互协作和交换信息。



省心工具


1. 如何使用 KoodousFinder 搜索和分析 Android 应用程序中的安全威胁

KoodousFinder 是一款功能强大的 Android 应用程序安全工具,在该工具的帮助下,广大研究人员可以轻松对目标 Android 应用程序执行安全研究和分析任务,并寻找出目标应用程序中潜在的安全威胁和安全漏洞。




2. PentestGPT:一款由 ChatGPT 驱动的强大渗透测试工具

PentestGPT 是一款由 ChatGPT 驱动的强大渗透测试工具,该工具旨在实现渗透测试任务执行过程的自动化。该工具基于 ChatGPT 实现其功能,允许广大研究人员以交互式的方式使用,并指导渗透测试人员进行渗透测试任务的总体进度调控并执行指定操作。



3. 如何使用 Acheron 修改 Go 程序中并尝试绕过反病毒产品的检测

Acheron是一款真的Go程序的安全产品绕过工具,该工具受到了SysWhisper3/FreshyCalls/RecycledGate等代码库的启发,其绝大部分功能都采用了Golang来实现。



文章引用微信公众号"FreeBuf",如有侵权,请联系管理员删除!

博客评论
还没有人评论,赶紧抢个沙发~
发表评论
说明:请文明发言,共建和谐网络,您的个人信息不会被公开显示。