1019-发现针对 Telegram、AWS 和阿里云用户的供应链攻击-美国高中生的网络安全竞赛-D-Link 确认发生数据泄露

发现针对 Telegram、AWS 和阿里云用户的供应链攻击；

标签：Telegram，AWS ,阿里云用户，供应链攻击

网络安全公司 Checkmarx 发现了新一波利用流行通信和电子商务平台中的漏洞进行的供应链攻击。目标平台包括 Telegram、阿里云和 AWS。

攻击者正在将恶意代码注入开源项目并破坏系统。他们利用 Starjacking 和 Typosquatting 技术来引诱开发人员使用恶意软件包。该活动在 2023 年 9 月持续活跃。网络安全公司 Checkmarx 将该攻击者被追踪为 kohlersbtuh15。

最近这些恶意攻击的激增促使开源安全基金会 (OpenSSF)于上周推出了其最新举措——恶意软件包存储库。

根据 Yehuda Gelb 撰写的 Checkmarx报告，攻击者使用 Python 编程软件存储库 (Pypi) 并使用 Starjacking 和 Typosquatting 技术发起攻击。

攻击是如何发起的？

进一步调查显示，该攻击者正在利用 Telegram、Amazon Web Services (AWS) 和阿里云弹性计算服务 (ECS) 等平台中的漏洞来攻击开发人员和用户。他们正在利用阿里云的服务，而这三个平台都是其中的一部分。

攻击者将恶意代码注入这些平台用来危害用户设备并窃取敏感数据、财务和个人信息以及登录凭据的开源项目中。恶意代码被注入特定的软件功能中，这使得检测恶意行为并解决问题变得非常困难。

嵌入到这些包中的代码不会自动执行，而是策略性地隐藏在不同的函数中，并在调用这些函数之一时触发。据报道，kohlersbtuh15 向 PyPi 包管理器启动了一系列针对开源社区的恶意包。

攻击者利用域名仿冒技术制作一个镜像合法包的包，但假包具有隐藏的恶意依赖项，从而触发在后台运行的恶意脚本。受害者不会怀疑任何事情，因为一切都发生在幕后。

Starjacking 是指将包管理器上托管的包链接到 GitHub 上不相关的包存储库。通过这种技术，毫无戒心的开发人员会被欺骗，认为它是一个真实的包。为了扩大这种攻击的范围，威胁行为者将这两种技术组合在同一个软件包中。

例如，Telethon 2 软件包是流行的 Telethon 软件包的误植版本，它还通过官方 Telethon 软件包的 GitHub 存储库执行明星劫持。这表明威胁行为者已完全复制官方包中的源代码，并将恶意行嵌入到 telethon/client/messages.py 文件中。恶意代码仅通过“发送消息”命令执行。

信源：https://hackernews.cc/archives/46258

美国高中生的网络安全竞赛；

标签：美国，网络安全竞赛

美国社会目前存在近 60 万个网络安全职位空缺，为了满足这一需求，美国国家标准与技术研究院（NIST）与社会各界合作建立了国家网络安全教育倡议（NICE）。国家网络安全宣传周中发布的《网络安全人才实战能力白皮书》中指出，到 2027 年我国网络安全人员缺口将达 327 万。

美国人认为在高中阶段就进行网络安全竞赛，可以在人才发展早期就培养网络安全人才。2021 年只有11000 名学生参加了全美最大的高中网络安全竞赛，只占全部高中生的 0.07%。而与中国相比，中国已经开始将编程语言整合到高考当中，美国人认为其教育工作做的还远远不够。（PS：美国人简直是被迫害妄想症，且不说纳入编程的省份没几个，而且在信息技术之内。就连最早施行的浙江也是选考，而且选考的人数也就是七科处于中间位置的状态。美国人这么一说，好像我国每年上千万的考生都掌握了编程语言）

过去三年中，加利福尼亚州 Del Norte 高中的学生俱乐部连续赢得了全美最大的高中网络安全竞赛CyberPatriot。由美国空军协会组织的 CyberPatriot 已经举办了十四届，调查者表示在参加竞赛的3242 名参与者中已经有502 个参与者正在上大学或者已经大学毕业。

信源：https://www.secrss.com/articles/59703

Discord：针对关键基础设施的民族国家黑客的游乐场；

标签：Discord，关键基础设施

在威胁行为者滥用合法基础设施达到邪恶目的的最新演变中，新的调查结果表明，民族国家黑客组织已经加入了利用社交平台针对关键基础设施的竞争。

近年来，Discord 已成为一个利润丰厚的目标，它成为利用其内容交付网络 (CDN)托管恶意软件的沃土，并允许信息窃取者从应用程序中窃取敏感数据，并通过网络钩子促进数据泄露。

Trellix 研究人员 Ernesto Fernández Provecho 和 David Pastor Sanz在周一的一份报告中表示：“Discord 的使用很大程度上仅限于任何人都可以从互联网上购买或下载的信息窃取程序和抓取程序。”

但这种情况可能正在改变，因为这家网络安全公司表示，它发现了针对乌克兰关键基础设施的工件的证据。目前没有证据表明它与已知的威胁组织有关。

研究人员指出：“利用 Discord 功能的 APT 恶意软件活动的潜在出现给威胁环境带来了新的复杂性。”

该样本是一个 Microsoft OneNote 文件，通过冒充非营利组织 dobro.ua 的电子邮件进行分发。

该文件一旦打开，就会包含对乌克兰士兵的引用，这些士兵会通过点击一个诱杀按钮来诱骗接受者捐款，从而导致执行 Visual Basic 脚本 (VBS)，该脚本旨在提取并运行 PowerShell 脚本，以便下载另一个 PowerShell来自 GitHub 存储库的脚本。

就其本身而言，在最后阶段，PowerShell 利用 Discord Webhook 来窃取系统元数据。

研究人员表示：“最终有效载荷的唯一目标是获取有关系统的信息，这表明该活动仍处于早期阶段，这也符合使用 Discord 作为[命令和控制]。”

Trellix 的分析进一步显示，SmokeLoader、PrivateLoader 和 GuLoader 等加载程序是最流行的恶意软件家族之一，它们利用 Discord 的 CDN 下载下一阶段的有效负载，包括 RedLine、Vidar、Agent Tesla 和 Umbral 等窃取程序。

最重要的是，使用 Discord Webhook 观察到的一些常见恶意软件家族包括 Mercurial Grabber、Stealerium、Typhon Stealer 和 Venom RAT。

研究人员表示：“滥用 Discord 的 CDN 作为额外恶意软件有效负载的分发机制，展示了网络犯罪分子利用协作应用程序获取利益的适应性。”

信源：https://www.anquanke.com/post/id/290743

D-Link 确认发生数据泄露；

标签：D-Link

台湾网络设备制造商 D-Link 证实了一起数据泄露事件，该事件与从其网络中窃取的信息有关，并于本月早些时候在 BreachForums 上出售。

攻击者声称窃取了 D-Link 的 D-View 网络管理软件的源代码，以及数百万个包含客户和员工个人信息的条目，其中包括该公司首席执行官的详细信息。

据称，被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。威胁行为者提供了 45 条被盗记录的样本，时间戳在 2012 年至 2013 年之间，这促使该线程中的另一位参与者评论说这些数据看起来非常陈旧。

自 10 月 1 日起，这些数据就可以在黑客论坛上购买，威胁行为者索要 500 美元来购买被盗的客户信息和所谓的 D-View 源代码。

信源：https://www.anquanke.com/post/id/290794

光刻机巨头 ASML 第三季度净利润 19 亿欧元，今年销售额预计增长 30%；

标签：ASML

10 月 18 日消息，光刻机巨头 ASML 今日公布了第三季度财务业绩，净销售额为 67 亿欧元（IT之家备注：当前约 517.91 亿元人民币），净利润为 19 亿欧元（当前约 146.87 亿元人民币），环比都稍有下降，毛利率为 51.9%。ASML 第三季度季度净预订额为 26 亿欧元（当前约 200.98 亿元人民币），其中 EUV 预订额为 5 亿欧元（当前约 38.65 亿元人民币）。ASML 预计 2023 年第四季度净销售额在 67 亿至 71 亿欧元（当前约 517.91 亿至 548.83 亿元人民币）之间，毛利率在 50% 至 51% 之间。ASML 再次确认 2023 年净销售额增长 30% 的预期，没有进行预期变更。

信源：https://www.ithome.com/0/725/732.htm