韩骇客长期针对想要求职的开发人员而来,透过职场社群网站LinkedIn与其他接案平台,进行接触目标的攻击行动Contagious Interview(Dev#Popper),骇客通常会冒充招募人员,向求职者提供诱人的工作机会,借由测验技术能力为幌子要求他们对特定的NPM套件进行修改,实际上是散布恶意程式,最近活动出现升温的现象而引起资安业者的注意。
长期追踪相关攻击活动的资安业者Socket指出,他们在6月看到骇客散布恶意程式载入工具HexEval,最近又发现另一款也与这些骇客有关的恶意程式载入工具XORIndex,Socket一共找到67款NPM套件挟带此恶意软体,迄今已被下载逾1.7万次,值得留意的是,其中仍有27款NPM套件尚未下架,该公司已向NPM资安团队通报此事。
马斯克领军的AI新创xAI于7月10日发表新一代AI模型Grok 4,并在第三方AI基准测试一举胜过OpenAI、Google、Anthropic Claude、DeepSeek的高阶模型,再加上后续该公司推出伴侣模式(Companion Mode)的新功能,使用iOS版App的用户能与AI女友Ani进行互动而成为热门话题,然而,事隔不到两天,有资安业者指出,他们结合了两种大型语言模型的越狱手法,成功绕过安全防护机制,让Grok 4产生有问题的内容。
7月11日资安业者NeuralTrust宣布,他们成功越狱了Grok 4,利用的攻击手法有两种,其中是以上个月该公司公布的「回音室攻击(Echo Chamber)」为主,并结合另一种则是称做Crescendo的攻击手法来达到目的。
Google发布Chrome浏览器稳定版138.0.7204.157、138.0.7204.158,针对Windows、Mac与Linux平台推送更新,内容重点在于修补多项高风险资安漏洞,其中一项GPU元件的安全缺陷CVE-2025-6558已被证实遭到攻击者滥用,属于零时差漏洞。Google呼吁用户应尽速完成版本更新,以降低潜在风险。
根据Google官方公告,本次稳定版共修补6项安全漏洞,涵盖V8引擎、ANGLE与GPU、WebRTC等核心元件。而CVE-2025-6558为高风险漏洞,与ANGLE(Almost Native Graphics Layer Engine)和GPU元件在处理未经验证输入时的验证不足有关。Google威胁分析小组指出,已观察到攻击者锁定该漏洞发动攻击。虽然细节尚未完全公开,Google表示,相关技术资讯将待多数用户完成更新后才会公布,以防止漏洞被进一步利用。