FreeBuf早报 | Open WebUI被滥用于隐藏恶意软件;谷歌紧急发布安卓安全更新
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
全球网络安全事件包括:AI界面被滥用进行挖矿,谷歌发布安卓安全更新,Lyrix勒索软件攻击Windows,Roundcube高危漏洞未修复,IBM QRadar与Cloud Pak存在漏洞,WordPress恶意软件伪装插件,npm恶意包窃取加密货币,汽车行业使用弱密码,伪造网站传播木马,恶意RubyGems窃取CI/CD数据。
🎯
关键要点
- AI界面被滥用进行挖矿,攻击者利用配置错误的Open WebUI部署恶意软件。
- 谷歌发布安卓安全更新,修复多项高危漏洞以防止权限提升和远程代码执行。
- 新型Lyrix勒索软件采用机器学习技术,针对Windows用户加密文件并索要赎金。
- Roundcube Webmail存在高危漏洞,认证用户可远程执行恶意代码,已发布修复补丁。
- IBM QRadar与Cloud Pak曝高危安全缺陷,建议立即升级以修复漏洞。
- 新型WordPress恶意软件伪装成合法插件,具备数据窃取与远程代码执行能力。
- npm恶意包窃取加密货币,攻击手法升级,凸显开源供应链风险。
- 汽车行业普遍使用弱密码,建议启用多因素认证和密码管理器。
- 伪造网站通过多阶段攻击传播木马,诱导用户执行恶意脚本。
- 恶意RubyGems仿冒Fastlane插件,窃取CI/CD流水线敏感数据,影响全球开发者。
➡️
