锁定WordPress网站的攻击行动不时传出,大多是针对外挂程式的漏洞而来,借此入侵网站,并植入恶意程式进行控制,但最近有一起攻击行动相当不同,骇客将计就计,反过来以此引诱管理者上当,他们谎称网站有漏洞,要管理者尽快套用「修补程式」。
值得留意的是,虽然骇客煞有其事地指出网站漏洞CVE编号,但其实是完全不存在的漏洞,对方也未提供进一步的细节,留下破绽;然而若是网站管理者一时不察,还是很有可能落入圈套,被诱骗安装恶意软体。
【攻击与威胁】
值得留意的是,上述外挂程式会隐匿恶意管理者帐号,网站管理员难以察觉其踪迹。PatchStack研究人员发现,骇客为了取信网站管理者,在外挂程式的留言区列出了多则假评论,并且将Automattic公司的知名人士列为开发人员。
资料来源
1.
2.
对此,Tipalti也于12月4日向资安新闻网站Bleeping Computer提出说明,他们正在著手调查骇客的说法;Roblox发言人表示正与Tipalti合作调查此事,该公司系统并未受到影响,此外,他们也没有收到骇客的通知。 值得留意的是,这次骇客在向受害组织进行勒索之前,先行公布组织名称,这样的做法相当不寻常。骇客声称这么做的原因,在于Tipalti的资安险保单并未涵盖赎金,而且,他们认为该公司不会付钱。这些骇客也打算对Tipalti其他客户进行勒索,但没透露掌握那些公司的资料。 今年6月,资安业者Aqua Security提出警告,GitHub多达数百万个软体专案可能面临储存库挟持(Repojacking)的威胁,他们呼吁曾经更换储存库名称的企业组织要特别防范,如今有新的调查指出,以Go语言开发的套件模组特别容易成为目标。 资安业者VulnCheck针对逾8万个Go模组的GitHub储存库进行调查,结果发现至少有1.5万个面临储存库挟持的风险,其中有9千个是因为更换了GitHub使用者名称,6千个是GitHub帐号已经删除而曝险。 研究人员指出,采用Go语言打造的套件特别容易受到这种攻击,原因是这类套件不像NPM、PyPI有专属的套件储存库,Go开发者大多透过GitHub或Bitbucket进行程式码管理、版本控制,然而,任何人都有可能使用Go Module Mirror或pkg.go.dev暂存、同步复制这些套件的资料,开发人员一旦变更原本专案的使用者名称或是删除GitHub、Bitbucket帐号,导致帐号名称遭到弃用而被释放出来,后续攻击者一旦注册这个名称,就能夺得原本被弃用的软体专案,再进行滥用,例如,上传新的恶意套件,并透过前述的同步复制系统散布。 【其他新闻】
近期资安日报