DEV Community
·
2024年10月25日安全新闻周报
原文英文,约1000词,阅读约需4分钟。
📝
内容提要
本周安全评测涵盖多个主题,包括微软创建假Azure租户捕捉网络钓鱼者、Google Voice诈骗、云存储安全漏洞、WordPress网站被黑、恶意npm包攻击开发者以获取以太坊钱包。此外,研究人员揭示了利用AI模型生成有害内容的方法,以及Lazarus集团利用Chrome漏洞控制受感染设备的攻击。
🎯
关键要点
-
微软创建假Azure租户以捕捉网络钓鱼者,收集攻击者的操作数据。
-
网络钓鱼者通过Google Voice进行诈骗,利用2FA代码获取用户信息。
-
研究人员发现主要端到端加密云存储服务存在严重安全漏洞。
-
超过6000个WordPress网站被黑,安装恶意插件推送信息窃取器。
-
恶意npm包攻击开发者的以太坊钱包,需开发者主动使用包才能触发恶意代码。
-
研究人员揭示了利用AI模型生成有害内容的方法。
-
Lazarus集团利用Chrome漏洞控制受感染设备,Google已在2024年修复该漏洞。
❓
延伸问答
微软是如何捕捉网络钓鱼者的?
微软创建假Azure租户,吸引网络钓鱼者登录,从而收集他们的操作数据。
Google Voice诈骗是如何运作的?
诈骗者通过Google Voice连接到受害者的号码,利用2FA代码获取用户信息。
云存储服务的安全漏洞有哪些?
研究人员发现主要端到端加密云存储服务存在严重安全漏洞,攻击者可以利用这些漏洞进行攻击。
WordPress网站被黑的情况有多严重?
超过6000个WordPress网站被黑,安装了恶意插件以窃取信息。
恶意npm包是如何攻击开发者的以太坊钱包的?
恶意npm包需要开发者主动使用,才能触发其中的恶意代码。
Lazarus集团是如何利用Chrome漏洞的?
Lazarus集团通过伪装成合法网站,利用Chrome漏洞控制受感染设备,Google已在2024年修复该漏洞。
🏷️
