最近几年锁定开发人员而来的恶意套件攻击相当泛滥,这些攻击的范围相当广,涵盖NPM、PyPI,以及Visual Studio Code(VSCode)等,多半都是上架市集引诱开发者上当,但最近资安业者OX发现,IDE对于延伸套件验证机制存在缺陷,攻击者可制作显示已通过验证(Verified)的套件,目的是诱骗开发者上当。
而在今天的资安新闻,有数则与台湾有关的消息,首先针对近日有人兜售全支付测试环境帐密资料的情况,我们独家采访该公司并取得回应,他们也进一步透露掌握的情况及调查结果;再者,有数家殡葬业者为了抢生意,竟找骇客来监听消防救护系统,相当不可取;数发部警告有歹徒假冒买家、客服、第三方支付网站的情况,消费者须提高警觉。
【攻击与威胁】
根据资安媒体Hackread报导,名为G_mic的人士于地下网路犯罪论坛兜售两家电信公司Verizon、T-Mobile的美国客户资料,其中Verizon资料包含6,100万笔(档案大小3.1 GB),而T-Mobile则有5,500万笔(未提及档案大小)。
HackRead取得骇客提供卖家比对的部分资料,Verizon的资料内容相当详尽,包括城市、州、性别、IP位址、电话号码、所在位置经纬度等。从资料年份来看,部分资料为2025年的更新数据。Verizon为全美最大行动电信业者,用户数达1.46亿,这批资料将占总用户数的41%。
T-Mobile部分的资料包括姓名、性别、出生日期、装置ID、cookie ID、IP位址、电子邮件、电话号码、完整住家地址,甚至有税籍编号,且显然于2025年更新。这家电信业者在美国订阅用户有1.31亿,这批资料将占总用户数的42%。
根据资安新闻网站Cybernews报导,一名骇客在骇客论坛上宣称取得了俄罗斯国防外包商250 GB内部文件,包括提供给俄罗斯海军的作战软体资料。这名骇客宣称,手上持有的资料来自俄国最大国防外包商NPO MARS。NPO MARS提供了多项俄国海军指挥控制系统,包括自动资讯交换系统TRASSA、扫雷舰自动控制系统DIEZ,以及船舰资讯管理系统等。
这名骇客声称存取了NPO MARS数个系统,并公布了10 GB资料供买家检验。经过分析,这批资料有部分PDF为2017到2018年的PDF扫描档,大部分技术文件为2024年,也有今年3月才建立或更新的档案。但不确定是否所有资料都是最新版本。NPO MARS并未回应此事。
为了牟取经济利益,近期台湾出现有企业组织寻求电脑工程师、网路骇客入侵公务系统的情况,例如:郭姓网球教练因经营网球学院需要使用相关场地,找上电脑工程师攻击台北市公有场地租借系统,并借由网路爬虫程式大量抢租热门时段场地得逞。如今殡葬业者为了抢客,竟借由骇客长期监听消防单位的救护即时资讯。
7月1日法务部调查局宣布破获殡葬业者伙同骇客长期窃取消防局救护即时资讯的案件,曾担任民间EMT救护车驾驶的潘姓嫌犯受到殡葬业者请托,从2021年开始研究内政部消防署救护派遣有关系统,从中取得派遣及出勤资讯,隔年又入侵维运厂商的测试机取得参考资料,从中截取民众报案时间、派遣分队、案件类型、案发地址、座标等资讯,且以相同手法陆续扩大至全国21个县市。
究竟殡葬业者拿到这些资料又会如何运用?他们安排员工24小时排班监看这些资料,只要出现重伤或是到院前心肺功能停止(OHCA)伤者资讯,业务员就会依照相关座标资讯前往现场等候抢客。
诈骗手法不断推陈出新,数发部发现近期出现诈骗者假冒买家,向真卖家进行诈骗,向卖家要求使用知名第三方支付付款,伪冒知名第三方支付业者网站,并假冒支付业者客服人员,诱导卖家操作,造成卖家财产损失,数发部为加强数位支付建立的信任关系,今天(7月4日)与国内第三方支付业者共同合作,加强对新的诈验手法的防诈工作,主动扫描伪造网站下架处理。
资安院主动扫描网路上的类似网域名称,侦测到超过200件类似网域名称,并由TWNIC利用DNS RPZ下架处理,以避免有心人士假冒第三方支付业者网站,诱骗造成卖家金钱损失。根据数发部统计,从6月初扫描发现超过200件类似网域名称,经过下架处理后已降到6月底的3件,降幅达9成。
为确保数位支付的信任不受新的诈骗手法影响,数发部今天也与第三方支付业者合作,包括蓝新、绿界、红阳、统一数网、连加(Line Pay),宣示打击诈骗,数发部及第三方支付业者定期扫描网路上的类似网域名称,向数发部通报后,进行下架处理,同时第三方支付业者也在其网站,以盖版广告向使用者宣传假买家诈骗的手法,提高民众的警觉心。
其他攻击与威胁
【漏洞与修补】
为了让开发人员加入额外的功能,许多整合式开发环境(IDE)支援延伸套件的机制,但有资安业者发现,这些IDE工具验证延伸套件的流程存在弱点,使得攻击者有机会将恶意套件标记为已通过验证(Verified),引诱开发人员下载、安装,从而在电脑执行恶意程式码。
资安业者OX指出,他们在今年5月至6月,发现Visual Studio Code(VSCode)、Visual Studio、IntelliJ IDEA、Cursor等IDE工具,在检验延伸套件的验证方式存在瑕疵,导致攻击者能让恶意套件伪装成已经过验证的状态,进而引诱开发人员安装,而能在开发环境执行任意程式码。
针对上述的发现,OX向微软、Cursor、JetBrains通报此事,三家厂商都表示他们不会进一步处理,对此该资安业者呼吁,开发人员最好直接从官方市集安装延伸套件,并避免以套件是否具备通过验证的徽章,做为主要确认的依据。
其他漏洞与修补
◆Meta旗下的脸书(Facebook)因广告管理系统出现缺失,部分广告未依防诈法揭露广告托播者相关讯息,数发部调查后以情节重大为由,依违反防诈条例开罚1,500万元。
今年5月,Meta旗下脸书因未依诈欺犯罪危害防制条例,揭露广告托播者相关资讯,数发部邀各部会开会讨论后,以脸书上2则广告违反防诈条例第31条第1项第2款,依同条例第40条第1项第4款规定,对Meta每案裁罚50万元,也是国内防诈条例上路后首次对大型网路广告平台业者开罚。
数发部对于Meta的开罚,原本认为仅是个案,但后续又接获内政部移送23件脸书广告违法案件,因数量较前次更多,数发部与相关部会开会,并邀Meta说明,最后认定为脸书的广告管理系统有缺失,导致部分广告无法在刊登或推播时即时揭露委托刊播者、出资者资讯,为系统性的缺失,依防诈条例第40条第2项予以连续处罚。