FreeBuf早报 | GitHub Copilot漏洞致私有仓库数据泄露;"隐藏文本盐化攻击"注入恶意代码
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
近期全球网络安全事件包括GitHub Copilot漏洞导致敏感数据泄露、黑客利用CSS属性攻击、微软365服务中断、Android木马威胁及AWS账户劫持。微软警告Teams被滥用,GoAnywhere漏洞被利用进行勒索软件攻击,Figma和Lua引擎漏洞需及时修复。
🎯
关键要点
- GitHub Copilot漏洞导致私有仓库敏感数据泄露,攻击者利用隐藏注释诱导泄露AWS密钥。
- 黑客利用CSS属性实施隐藏文本盐化攻击,绕过邮件安全检测,影响钓鱼和APT攻击。
- 微软365服务中断,Teams等功能瘫痪,原因是目录操作异常。
- 高危Android木马在GitHub上现身,具备完全免杀能力,威胁全球移动设备安全。
- Crimson Collective利用泄露的IAM密钥劫持AWS账户,实施数据窃取和勒索。
- 微软警告Teams被滥用,黑客利用其进行勒索软件和社会工程攻击。
- GoAnywhere关键漏洞被利用,攻击者部署Medusa勒索软件,建议立即升级补丁。
- Salesforce推出AI Agent,强化企业安全监控与合规管理,自动检测异常。
- Figma MCP服务器曝命令注入漏洞,攻击者可远程执行代码,需及时修复。
- Lua引擎发现高危漏洞,可能导致远程代码执行和权限提升,建议立即升级修复。
➡️
