【资安日报】9月24日,北韩骇客散布恶意PyPI套件,意图发动供应链攻击

北韩骇客针对开发人员从事攻击行动的情况,不时传出有关事故,其中一种攻击类型,就是上架恶意NPM、PyPI套件,引诱开发人员上当而下载、安装,于受害电脑植入恶意软体。过往这种攻击的目的,主要是为了洗劫开发人员的加密货币资产,如今骇客的目的出现变化。

本周资安业者Palo Alto Networks揭露的资安事故,就是这种例子,骇客真正的目的,是为了发动供应链攻击。

 

【攻击与威胁】

 

【漏洞与修补】

卡内基美隆大学所属的电脑网路危机处理暨协调中心(CERT/CC)指出,Microchip进阶软体框架(Advanced Software Framework,ASF)存在可被用于远端执行任意程式码(RCE)的重大层级漏洞CVE-2024-7490,影响3.52.0.2574版以下所有的ASF,4.0版CVSS风险评分为9.5。值得留意的是,因Microchip已不再提供ASF相关支援,将不会对该漏洞进行修补。

这项漏洞存在于tinydhcp伺服器元件,发生的原因在于,ASF的DHCP通讯协定实作无法进行输入验证,导致攻击者有机会借此导致记忆体缓冲区溢位,进而能够远端执行程式码。

 

【资安产业动态】

美国商务部(Department of Commerce,DoC)9月23日提出了「法规命令订定通知」(Notice of proposed rulemaking,NPRM),为了保护美国不受特定国家连网汽车技术的危害,将禁止来自中国与俄罗斯的连网汽车硬体及软体,特别是当今在中国汽车制造商企图主导全球连网汽车市场,假若该法规通过,软体禁令将于2027年生效,硬体禁令则会在2029年生效。

商务部认为,有鉴于连网汽车上的某些软体及硬体能够捕获有关地理位置或关键基础设施的资讯,替攻击者提供破坏车辆或基础设施的机会,特别是来自中国及俄罗斯的连网汽车中所使用的某些技术构成了极为严重的威胁,因而提议禁止进口或销售源自中国或俄罗斯的实体设计、开发、制造或供应的某些连网汽车系统。

 

近期资安日报