
iThome 新聞
- 北韓駭客Lazarus發動NPM供應鏈攻擊,偽裝Rollup建置工具以竊取機密資料與加密貨幣資產 2026-07-07資安廠商JFrog近日發現北韓駭客團體Lazarus於NPM發起攻擊活動,他們上架一組偽裝成Rollup Polyfill建置工具的惡意套件,而所謂的Rollup Polyfill建置工具,是指用於Rollup打包流程當中處理相容性修補(Polyfill)的外掛工具,此次攻擊採用多層次酬載的部署架構,最終將開發者導向遠端存取木馬(RAT),竊取瀏覽器與加密貨幣錢包資料,以及監控剪貼簿,對開發與CI/CD環境構成嚴重威脅。周峻佑
- 北韓駭客發動PolinRider攻擊活動,於NPM、Packagist、Go、Chrome Web Store上架惡意套件 2026-07-07被稱為Contagious Interview、Famous Chollima、Dev#Popper的北韓駭客團體,原本從事的攻擊行動大致有兩種,一種是應徵歐美企業的遠距工作者,謀取北韓當局研發核武的資金,並對這些企業從事破壞,另一種是鎖定求職者從事網路釣魚,藉此滲透企業組織,不過從今年開始,這些駭客專門針對開發生態圈從事供應鏈攻擊,且已出現多起活動,如今這些駭客同時在多種生態圈橫行。周峻佑
- OpenSSH 10.4正式發布,修補多項漏洞並導入混合式PQC簽章 2026-07-07Linux與Unix常用的開源遠端存取工具OpenSSH,於7月6日發布10.4版,提供一系列安全性功能更新,包括修補8項漏洞,同時引進混合式的後量子密碼學(PQC)演算法,建議用戶儘速升級。張明德
- AI重塑紅隊演練執行模式,DEVCORE指出未來轉變路線 2026-07-07隨著AI技術重塑資安攻防格局,紅隊演練(Red Team Assessment)也正邁向全新的發展階段。臺灣該領域指標性廠商戴夫寇爾(DEVCORE)近日對此提出最新觀察,指出人機協作將打破過往紅隊演練難以規模化的限制,實現更具持續性與深度的防禦體系缺口評估。 DEVCORE執行長翁浩正強調,紅隊演練的執行方式正迎來一場深刻的典範轉移。過去,多數企業的資安檢測多遵循固定的頻率與範圍,例如每年進行兩次滲透測試、一次紅隊演練;然而,隨著AI技術的介入,紅隊演練的執行方式正在發生根本性的質變。羅正漢
- AWS Certificate Manager支援ACME,自動化公開TLS憑證管理 2026-07-07隨著公開TLS憑證有效期限持續縮短,企業若仍以人工方式追蹤與續約憑證,將更容易因憑證過期、遺漏或設定錯誤影響服務運作。Let's Encrypt等憑證機構採用的自動化協定ACME(Automatic Certificate Management Environment)可將TLS憑證申請、網域驗證、續約與撤銷流程自動化與標準化,降低人工管理憑證生命週期的負擔。王珮瑤
- NIST更新系統規畫指引,強化安全、隱私與供應鏈風險治理 2026-07-07美國國家標準暨技術研究院(NIST)針對組織建立與維護系統規畫文件的指引NIST SP 800-18,6月30日發布更新版本為Rev. 2,文件全名為《Developing Security, Privacy, and Cybersecurity Supply Chain Risk Management Plans for Systems》。王珮瑤
- Java遠端存取木馬QuimaRAT現身,以MaaS模式販售並鎖定Windows、Linux與macOS 2026-07-07資安業者LevelBlue近日揭露新型Java遠端存取木馬(RAT)QuimaRAT,以惡意程式即服務(MaaS)模式在暗網論壇販售,每月收費150美元起,永久授權為1,200美元,顯示跨平臺RAT正朝模組化、商業化方向發展。王珮瑤
- Adobe揭露的滿分ColdFusion漏洞傳出兩小時後就出現實際攻擊 2026-07-076月底Adobe發布網頁應用開發平臺ColdFusion、行銷自動化平臺Campaign Classic更新,修補多達7個10分滿分漏洞成為焦點,有資安公司警告,他們在Adobe公布不久之後,就發現有人試圖利用的情形。周峻佑
- 微軟宣布裁撤4,800名員工,主要集中於企業業務與Xbox 2026-07-07微軟本周一(7/6)宣布,為了重新配置人力、投資與資源,以因應快速變化的產業,正裁撤4,800個職位,約占微軟全球員工數的2.1%,主要集中於微軟企業業務(Microsoft Commercial Business)及Xbox部門。微軟人資長Amy Coleman強調,這次被取消的職位並不會被AI取代。陳曉莉
- Akira勒索軟體攻擊者以搜尋引擎最佳化中毒手法,誘導IT管理員下載惡意安裝程式 2026-07-07一起涉及Akira勒索軟體的攻擊案例顯示,駭客透過針對Bing的搜尋引擎最佳化中毒(SEO Poisoning)手法,假冒企業IT維運工具下載頁,鎖定正在搜尋相關工具的IT管理人員,藉此接觸可能具備高權限的企業帳號。 資安事件分析團隊The DFIR Report指出,攻擊者透過仿冒網路監控工具ManageEngine OpManager的下載頁,誘使受害者下載並執行木馬化MSI安裝程式。王珮瑤
