
iThome 新聞
- 惡意軟體Amadey用於散布超過1萬種惡意程式 2026-07-04跨國執法行動Operation Endgame於6月下旬發起最新一波活動,成功破壞惡意程式SocGholish(FakeUpdates)、Amadey和StealC背後的犯罪基礎設施,參與其中的民間企業組織裡,有一家是日本資安公司三井物產安全指引(Mitsui Bussan Secure Directions,MBSD),該公司透露,他們追蹤Amadey的活動長達6年,並周峻佑
- 搭配強化VM隔離的Nitro引擎,AWS Graviton5執行個體上線 2026-07-04去年12月舉行的re:Invent 2025大會,AWS發表新的自研Arm架構處理器Graviton5,並開放首批採用這款晶片的一般用途運算服務M9g的預覽版本,他們也初步揭露運算效能的表現: 相較於前代產品M8g,M9g的提升幅度達到25%,而在網站應用程式與機器學習,以及資料庫等類型的工作負載上,李宗翰
- 加密貨幣預測市集Polymarket第三方供應鏈遭入侵,客戶損失300萬美元 2026-07-03根據資安新聞網站Bleeping Computer報導,大型加密貨幣預測市場平臺Polymarket近日證實遭遇供應鏈攻擊,駭客入侵第三方供應商,在網站前端植入惡意指令碼,造成用戶損失。對此,Polymarket承諾將全額賠償受影響的客戶。周峻佑
- Apache修補Tomcat重大漏洞,涉及憑證驗證與安全設定資訊錯誤問題 2026-07-03Apache軟體基金會近日發布資安公告,修補Java Web應用程式伺服器軟體Apache Tomcat的6個漏洞,包含憑證驗證檢查失效,以及安全設定資訊顯示錯誤的重大漏洞,9.x、10.x與11.x等分支版本都會受到影響,用戶應升級到已修補的9.0.119、10.1.56與11.0.23以上版本。張明德
- Google環境報告:AI基礎設施讓2025年用電暴增37%,但仍成功減碳2% 2026-07-03「我們正處於張力之中,一方是AI帶動的高速成長,另一方是環境永續責任」,Google永續長Kate Brandt說。Google本周發布最新環境報告,揭露其在2025年面臨歷史性的電力需求成長,但仍成功壓低營運碳排放。 根據該報告,2025年Google電力需求年增37%,主要來自AI資料中心與運算基礎設施快速擴張,然而,營運碳排放仍較前一年下降2%。「這證明我們將業務的快速成長與碳排脫鉤」,Kate說。蘇文彬
- ARToken釣魚即服務平臺鎖定Microsoft 365權杖,支援BEC攻擊操作 2026-07-03思科(Cisco)旗下威脅情報團隊Talos揭露名為ARToken的釣魚即服務(PhaaS)平臺,指出這套工具鎖定Microsoft 365帳號,並與另一個PhaaS平臺EvilTokens生態系,共用基礎架構、API介面設計與操作模式,今年初資安業者Sekoia、微軟,也針對EvilTokens發布分析報告。王珮瑤
- 駭客團體JadePuffer濫用AI從事勒索軟體攻擊,利用Langflow弱點取得初始入侵管道 2026-07-03一般而言,勒索軟體攻擊多半駭客會手動操作、下達所需的指令,或是透過指令碼將部分流程自動化執行,然而近期出現一起完全由AI代理與大型語言模型(LLM)驅動的勒索軟體行動,引起資安公司的注意。周峻佑
- Langflow重大漏洞遭利用,攻擊者試圖將AI基礎設施用於挖取門羅幣 2026-07-03去年3月圖像化大型語言模型(LLM)開發工具Langflow開發工程團隊揭露遠端程式碼執行(RCE)漏洞CVE-2026-33017(CVSS v4.0風險評分為9.3),威脅情報公司Sysdig警告在不到一天的時間內就出現首波攻擊,如今有人利用該漏洞從事新一波活動。周峻佑
- 勒索軟體Anubis利用重大漏洞CitrixBleed 2取得初始存取權限 2026-07-03一年前Citrix為NetScaler設備修補CitrixBleed 2(CVE-2025-5777),後續有研究人員警告該漏洞風險重大,不亞於一年半前造成嚴重災情的Citrix Bleed(CVE-2023–4966),後續很快就出現大規模攻擊,如今傳出有勒索軟體加入利用的行列周峻佑
- IBM修補Db2重大漏洞,未更新可能導致遠端執行任意程式碼 2026-07-03IBM於6月23日發布資安公告,修補Db2資料庫可能導致遠端執行程式碼的重大漏洞CVE-2026-10109,影響11.5.x與12.1.x的Server版,IBM未提供針對個別版本的修補程式,也沒有緩解措施, 用戶必須升級至基於最新11.5.9或12.1.4版的累積特殊版本(CSB),當中均包含修補程式。張明德
