近期骇客滥用微软开源IDE编辑器Visual Studio Code(VS Code)的情况不时传出,在我们本周报导
继NPM、PyPI套件库成为骇客偏好散布恶意软体的管道后,有人也锁定微软开源IDE编辑器Visual Studio Code(VS Code)的扩充套件下手,于市集上架恶意套件散布勒索软体。
资安业者ReversingLabs发现两个恶意套件ahban.shiba、ahban.cychelloworld,并指出开发人员如果在自己的电脑部署这些套件,电脑就有可能被植入勒索软体。他们向VS Code市集通报此事,这些套件已经下架。
研究人员分析套件的内容,发现内含与PowerShell命令有关的程式码,功能是从C2下载PowerShell指令码型态的有效酬载,并于受害电脑执行。
主机代管业者GoDaddy的资安研究团队指出,他们发现自2016年开始的网站恶意软体攻击行动DollyWay,迄今已入侵超过2万个网站。骇客透过恶意流量导向系统(Traffic Direction System,TDS)、C2节点形成的分散式网路基础设施,锁定WordPress网站而来。而在最新一波攻击行动,骇客进一步采用加密资料传输、复杂的注入手法,以及自动化的重复感染机制。
特别的是,这批骇客还会帮受害网站更新WordPress、移除其他恶意软体,而这么做的目的是为了进一步完全控制,不让其他骇客瓜分受害网站的资源。
为了持续在受害网站活动,骇客设置了重复感染机制,首先他们将恶意PHP程式码以WPCode小工具的形式,注入所有启用的外挂程式。一旦受害网站遭到感染,骇客的活动就不会停止,因为每次只要有任意的WordPress网页开启,就会启动重复感染链,即使网站管理员察觉,也很难彻底清除。
去年3月有研究人员公布ChatGPT commit f9f4bbc存在伺服器伪造请求(SSRF)漏洞CVE-2024-27564,此漏洞被列为中度风险层级,存在名为pictureproxy.php的元件,CVSS风险为6.5,近期有资安业者警告,该漏洞已被用于实际攻击。
资安业者Veriti发现有人从今年1月开始将这项漏洞用于实际攻击,恶意行为源自单一恶意IP位址,总共发动10,479次尝试利用,主要目标是金融机构,原因是攻击者偏好寻找以AI为基础的服务及API整合的环境下手,但医疗照护、政府机关也有灾情。
根据受害产业与地理位置来看,骇客的头号目标是美国的政府机关。三分之一的攻击行动针对美国企业组织而来占大宗,但德国、泰国、印尼、哥伦比亚、英国也有灾情。
其他攻击与威胁
【漏洞与修补】
备份与资料保护软体厂商Veeam,于3月19日揭露影响备份软体的重大漏洞,并释出修补。
这个编号为CVE-2025-23120的漏洞,是由watchTowr安全研究人员Piotr Bazydlo发现与通报,为严重性等级9.9的重大漏洞,存在于Veeam Backup & Recovery备份软体12.3.0.310版以前,所有12.x版软体中,会导致经过验证的网域使用者,能够从远端存取系统,并且任意执行各种程式码胡搞瞎搞,进而影响整个Veeam备份环境。
其他漏洞与修补