新闻1:60 个恶意软件包“入侵”NuGet 供应链,你的软件还安全吗?
自2023年8月开始的持续活动中,威胁行为者被发现向NuGet包管理器发布了一系列新的恶意软件包,同时还增加了一个新的隐蔽层以逃避检测。
软件供应链安全公司ReversingLabs表示,新发现的软件包约有60个,涵盖290个版本,与2023年10月曝光的前一批软件包相比,这些软件包展示了更为精细的手法。
安全研究员Karlo Zanki表示,攻击者从使用NuGet的MSBuild集成转向了“一种策略,该策略使用简单的、经过混淆的下载器,这些下载器使用中间语言(IL)编织技术插入到合法的PE二进制文件中,这是一种在编译后修改应用程序代码的.NET编程技术。”
新旧假冒软件包的最终目标都是交付一个现成的远程访问木马,名为SeroXen RAT。所有已确定的软件包都已被删除。
最新一批软件包的特点是使用了一种称为IL编织的新技术,该技术可以将恶意功能注入到从合法NuGet软件包中获取的合法可移植执行文件(PE).NET二进制文件中。
这包括采用流行的开源软件包,如Guna.UI2.WinForms,并使用上述方法对其进行修补,以创建一个名为“Gս翅a.UI3.Wіnfօrms”的假冒软件包,其中使用同形文字将字母“u”、“n”、“i”和“o”替换为等效的“ս”(\u057D)、“翅”(\u0578)、“і”(\u0456)和“օ”(\u0585)。
技术关键词:NuGet供应链攻击、恶意软件包、MSBuild集成、中间语言(IL)编织技术、.NET编程技术、远程访问木马(RAT)、同形文字
https://thehackernews.com/2024/07/60-new-malicious-packages-uncovered-in.html
新闻2:GitLab 关键漏洞曝光!攻击者竟能这样执行管道作业?
GitLab已经发布了另一轮更新,以解决其软件开发平台中的安全漏洞,包括一个允许攻击者以任意用户身份运行管道作业的关键漏洞。
该漏洞编号为CVE-2024-6385,其CVSS评分为9.6(满分为10.0)。
该公司在周三的一份咨询报告中表示:“在GitLab CE/EE中发现了一个问题,该问题影响15.8之前至16.11.6、17.0之前至17.0.4以及17.1之前至17.1.2的版本,该问题在某些情况下允许攻击者以另一个用户的身份触发管道。”
值得注意的是,该公司上个月底修补了一个类似的漏洞(CVE-2024-5655,CVSS评分:9.6),该漏洞也可能被利用来以其他用户的身份运行管道。
主要技术关键词:GitLab、安全漏洞、管道作业、CVSS评分、CVE-2024-6385、CVE-2024-5655
https://thehackernews.com/2024/07/gitlab-patches-critical-flaw-allowing.html
新闻3:警惕!PHP 漏洞被利用,恶意软件、DDoS 攻击泛滥成灾!
据观察,多个威胁行为者正在利用最近披露的PHP安全漏洞来传播远程访问木马、加密货币挖矿程序和分布式拒绝服务(DDoS)僵尸网络。
所涉及的漏洞是CVE-2024-4577(CVSS评分:9.8),它允许攻击者在使用中文和日语语言环境的Windows系统上远程执行恶意命令。该漏洞于2024年6月初被公开披露。
Akamai的研究人员Kyle Lefton、Allen West和Sam Tinklenberg在周三的分析中说:“CVE-2024-4577是一个允许攻击者逃避命令行并将参数直接传递给PHP进行解释的漏洞。该漏洞本身在于如何将Unicode字符转换为ASCII。”
主要技术关键词:PHP、安全漏洞、远程访问木马、加密货币挖矿程序、分布式拒绝服务(DDoS)僵尸网络、CVE-2024-4577、CVSS评分、Unicode字符、ASCII
https://thehackernews.com/2024/07/php-vulnerability-exploited-to-spread.html
新闻4:小心!RADIUS 协议漏洞让网络陷入中间人攻击危机!
网络安全研究人员发现,RADIUS网络认证协议中存在一个名为BlastRADIUS的安全漏洞,攻击者可利用该漏洞在某些情况下发动中间人(MitM)攻击并绕过完整性检查。
“RADIUS协议允许某些访问请求消息不进行完整性或身份验证检查,”FreeRADIUS项目的创始人、InkBridge Networks首席执行官Alan DeKok在一份声明中表示。
“因此,攻击者可以在不被发现的情况下修改这些数据包。攻击者将能够迫使任何用户进行身份验证,并向该用户提供任何授权(VLAN等)。”
RADIUS是远程身份验证拨入用户服务的缩写,它是一种客户端/服务器协议,为连接和使用网络服务的用户提供集中的身份验证、授权和计费(AAA)管理。
在面对这样严峻的安全威胁时,模糊测试工具成为了检测和防范此类漏洞的有力武器。模糊测试工具可以通过向 RADIUS 协议发送大量的随机和异常数据,来快速探测协议在处理各种复杂和异常情况时的稳定性和安全性。它能够有效地模拟攻击者可能使用的各种恶意数据输入,从而快速检测出潜在的漏洞和薄弱环节,包括像 BlastRADIUS 这样的安全漏洞。
利用模糊测试工具对 RADIUS 协议进行检测,可以在短时间内对协议的各个方面进行全面的压力测试。其高效的测试速度和全面的覆盖范围,能够大大提高发现漏洞的概率和效率。相比传统的检测方法,模糊测试工具更加主动和积极,能够在攻击者有机会利用漏洞之前,帮助网络安全人员提前发现并修复问题,为 RADIUS 协议的安全性提供了有力的保障。
主要技术关键词:RADIUS、网络认证协议、BlastRADIUS、安全漏洞、MitM攻击、完整性检查、访问请求消息、身份验证、FreeRADIUS项目
https://thehackernews.com/2024/07/radius-protocol-vulnerability-exposes.html
新闻5:npm、GitHub 和 jsDelivr 惊现被木马化的 jQuery 包,你的网站危险了!
在看似“复杂且持久”的供应链攻击事件中,身份不明的威胁行为者被发现在npm、GitHub和jsDelivr上传播被木马化的jQuery版本。
“这次攻击之所以引人注目,是因为各个包之间存在高度差异性,”Phylum在上周发布的一份分析中表示。
“攻击者巧妙地将恶意软件隐藏在jQuery中很少使用的’end’函数中,该函数由更受欢迎的动画实用程序中的’fadeTo’函数内部调用。”
多达68个包与该活动有关。它们从2024年5月26日至6月23日发布到npm注册表,使用了诸如cdnjquery、footersicons、jquertyi、jqueryxxx、logoo和sytlesheets等名称。
有证据表明,由于各种账户发布的大量包、命名规范的差异、包含个人文件以及上传时间跨度长,每个虚假包都是手动组装和发布的。
这与攻击者通常遵循的预定模式不同,该模式强调了创建和发布包时涉及的自动化元素。
据Phylum称,恶意更改已引入名为“end”的函数中,允许威胁行为者将网站表单数据泄露到远程URL。
进一步调查发现,被木马化的jQuery文件托管在与名为“indexsc”的账户关联的GitHub存储库中。同一存储库中还存在包含指向修改后的库版本的脚本的JavaScript文件。
主要技术关键词:jQuery、npm、GitHub、jsDelivr、供应链攻击、木马化、包、end函数、fadeTo函数、自动化
https://thehackernews.com/2024/07/trojanized-jquery-packages-found-on-npm.html
