国外：一周网络安全态势回顾之第43期

类似于 XZ 后门的 OpenSSF 和 OpenJS 事件、摩尔多瓦僵尸网络运营商被指控、FIN7 瞄准的美国汽车公司。

以下是本周回顾

以下是本周的故事：

OpenSSF和OpenJS基金会报告类似XZ后门的事件

开源安全(OpenSSF)和OpenJS基金会报告称，它们可能已成为后门尝试的目标，类似于XZ Utils项目。他们收到了几封来自个人的可疑电子邮件，敦促他们更新一个流行的JavaScript项目以“解决任何严重漏洞”，但没有提供具体信息。就像XZ后门等类似事件一样，他们要求被指定为项目维护者。

网络安全初创公司第一季度融资27亿美元

Crunchbase的分析显示，网络安全初创公司在2024年第一季度通过154笔交易筹集了近27亿美元。与前三个季度相比，这是一个显着增长。Crunchbase强调了大型融资轮的卷土重来，九家初创公司筹集了1亿美元或更多资金。

广告。滚动以继续阅读。

漏洞可能允许人工智能供应链攻击

CERT/CC公告显示，基于TensorFlow的第三方Keras模型中的Lambda Layer可能允许攻击者注入任意代码，然后这些代码可能会以与正在运行的应用程序相同的权限运行。在一种可能的攻击场景中，攻击者可以木马化流行模型并进行分发，从而污染相关AI/ML应用程序的供应链。

HackerOne要求DOJ扩大善意CFAA和DMCA保护

HackerOne已致函美国司法部，请求将其善意的安全研究保护范围从安全扩展到包括人工智能工件的研究。人工智能需要接受“偏见、歧视、有毒内容、错误信息和其他算法缺陷”的测试，这些缺陷可能不属于当前安全研究的保护范围。这可能会让善意的人工智能研究人员容易因暴露安全问题而承担刑事责任。

OSS AI/ML供应链中的漏洞

Protect AI发布了2024年4月漏洞报告，描述了在OSS AI/ML供应链中发现并通过其错误赏金计划报告的48个漏洞。这比2023年11月报告的数量增加了220%。已为17个漏洞分配了“严重”严重性评级。

要求从第三方获取数据的授权法案众议院通过

众议院通过了一项法案，限制政府从第三方获取数据的方式。该立法被称为“第四修正案不可出售法案”，要求执法部门和其他政府实体在从数据经纪人处购买信息之前必须获得搜查令。

LLM代理自主利用漏洞

一组研究人员表明，LLM代理可以自主利用现实系统中的漏洞。他们对包含15个一日漏洞的数据集进行了测试。当提供CVE描述时，GPT-4能够利用87%的漏洞。

FIN7网络犯罪分子瞄准美国汽车行业

黑莓报告称，FIN7网络犯罪组织已针对一家位于美国的大型汽车制造商发起攻击，并警告称，此次攻击可能是更大规模活动的一部分。FIN7对IT部门工作并拥有更高级别管理权限的员工使用鱼叉式网络钓鱼。他们利用了免费IP扫描工具的诱惑。

摩尔多瓦僵尸网络运营商在美国被指控

摩尔多瓦国民亚历山大·莱夫特罗夫(Alexander Lefterov)在美国被指控参与网络犯罪活动，该活动涉及由数千台受感染计算机组成的僵尸网络。网络犯罪分子从被黑客入侵的系统中窃取了金融账户的凭据，并允许其他人利用僵尸网络传播勒索软件和其他恶意软件。该僵尸网络尚未被命名。莱夫特罗夫仍然逍遥法外，他已被列入联邦调查局的头号通缉名单。