万圣节将至，多款鬼魂狩猎应用层出不穷，如GhostDetector和Ghost Finder Tools等，它们承诺帮助用户定位周围的鬼魂并捕捉其声音。这些应用被标记为“仅供娱乐”。

报道了全球范围内的多起安全事件和优质文章，包括朝鲜黑客组织Lazarus入侵关键设施、WordPress插件后门攻击、谷歌云平台“鬼魂漏洞”、阿里云SQL数据库漏洞等。此外，CISA添加3个被积极利用的漏洞、Kubernetes RBAC被用于加密货币挖矿、Sidecopy组织对印度展开攻击。优质文章包括2023网络安全成熟度报告、攻击技术研判和apk.sh等。

本周，谷歌 TAG 公布三大威胁组织，乌克兰遭大规模网络攻击；谷歌云平台存在“鬼魂漏洞”，能让恶意软件隐身；攻击者利用废弃的 WordPress 插件，对网站进行后门攻击；印度跨国银行遭遇数据泄露，数百万敏感数据被公开访问；微软 SQL 服务器遭黑客入侵，所有文件都被加密。同时，还推荐了一些好文和省心工具，如 WAF-bypass、Graphicator 和 DataSurgeon 等。

谷歌云平台存在GhostToken漏洞，攻击者可在受害者谷歌账户中隐藏恶意应用程序，进一步读取Gmail、Google Drive、Google Photos、Google日历等信息，进行网络钓鱼攻击。该漏洞对企业和个人构成严重的信息安全风险。