研究人员发现了一个名为automslc的恶意PyPI软件包,它利用硬编码凭据和C2服务器,从Deezer非法下载音乐,已被下载超过10万次。该软件包绕过Deezer的API访问限制,下载完整音频文件,违反了Deezer的服务条款。攻击者使用多个账户和GitHub账户进行操作,并通过54.39.49[.]17:8031的C2服务器协调下载活动。此事件强调了软件供应链安全的重要性,需要开发者和组织采取措施保护自身免受此类攻击。
阅读更多
cURL和Go安全团队公开批评了通用漏洞评分系统(CVSS),认为其在评估漏洞方面存在缺陷,并呼吁采用更准确、更注重情境的评估方法。CVSS的“一刀切”方法常常导致误导性结果,尤其对于像cURL这样拥有数十亿安装量的项目而言。cURL的创建者Daniel Stenberg指出,CVSS未能考虑漏洞的具体环境,导致评分过高或不准确。Go安全团队也表达了类似的观点,选择情境驱动的严重性评估而非CVSS评分。这一事件凸显了业界对CVSS的日益不满,并推动了对更有效替代方案的探索。然而,这种情境化方法也面临挑战,因为项目维护者难以准确把握所有用户的使用场景。此外,安全研究人员和开源维护者之间也存在文化冲突,前者追求公开认可,后者则更关注实际影响。NVD(国家漏洞数据库)的积压问题也加剧了这一困境。
阅读更多
域名注册商 Namecheap 关闭了 Polyfill.io 服务,因为该公司在今年早些时候被一家中国公司收购后,一直通过其 CDN 提供恶意软件。据安全公司 Sansec 的一份研究报告称,新的所有者 Funnull 几个月来一直通过任何嵌入 cdn.polyfill.io 的网站向移动设备注入恶意软件。
阅读更多
本文探讨了勒索软件攻击的严重性以及禁止支付赎金的趋势。文章指出,支付赎金助长了勒索软件攻击,并强调了英国和美国为阻止这种行为所做的努力,包括英国提出的强制性事件报告和许可证制度,以及美国正在考虑全面禁止支付赎金。文章还介绍了一些机构,如英国国家网络安全中心和Emisoft,它们支持禁止支付赎金,并强调需要建立一个框架来支持在不支付赎金的情况下从勒索软件攻击中恢复。
阅读更多