Market Information

Home Market Information

RSS iThome 新聞

  • CISA警示Drupal的SQL注入漏洞已被用於實際攻擊 2026-05-24
    上週內容管理系統Drupal開發團隊修補SQL注入漏洞CVE-2026-9082,根據Drupal本身的風險評估結果為20分(滿分25分),被評為最危險的超重大等級(Highly Critical),顯示其威脅程度極高,兩天後美國網路安全暨基礎設施安全局(CISA)掌握遭到利用的跡象,將其加入已遭利用漏洞清單(K
    周峻佑
  • TeamPCP滲透資料圖形化程式庫AntV,影響逾600個套件 2026-05-24
    多家資安公司Aikido、Endor Labs、
    周峻佑
  • 駭客團體TeamPCP兜售GitHub近4千個儲存庫資料,底價為5萬美元 2026-05-24
    根據資安新聞網站Bleeping Computer報導,駭客團體TeamPCP近日聲稱竊得GitHub近4千個內部儲存庫的程式碼,並以5萬美元底價公開競標,並聲稱只會有一位買家得標,一旦買賣成立,他們就會提供資料並銷毀手上的備份。若無買家出價競標,將直接公布這批檔案。
    周峻佑
  • 為AI與量子運算做好準備,全面強化資安治理已成當務之急 2026-05-24
    【2026臺灣資安大會直擊】生成式AI的快速發展與普及,固然帶來眾多創新的機會,卻也重新定義當代資安防護的範疇,而在先進AI模型陸續問世的此刻,雖然大幅提升發現與修補漏洞的能力,更是對資安造成前所未有的衝擊,緊接在後的下一波技術趨勢變革,還有量子運算即將崛起,該如何繼續確保資安,也成為整個IT領域的重要議題,Palo Alto Networks日本暨亞太地區政策與政府事務副總裁Nicole Quinn認為,攻擊是可以預防的,資安問題是能夠解決的,關鍵在於能否充分運用AI進行防禦, 我們必須掌握三大策略:提升事件偵測與遏制的速度、降低基於身分與AI代理而導致的風險暴露,以及建立涵蓋整個網路環境的運作狀態觀測分析視野,改善雲端服務、端點
    李宗翰
  • Nx Console的VS Code延伸套件被植入竊資軟體 2026-05-24
    5月18日Nx Console的Visual Studio Code(VS Code)延伸套件nrwl.angular-console傳出遭遇供應鏈攻擊,駭客在VS Code延伸套件市集上架有問題的v18.95.0。揭露此事的資安公司StepSecurity指出,一旦開發者不慎安裝,他們只要開啟VS Code的任意工作區,此延伸套件就會從特定GitHub儲存庫的提交內容取得經混淆處理的惡意酬載,檔案大小為498 KB。
    周峻佑
  • 針對內部儲存庫遭駭事故,GitHub證實為受到Nx Console的供應鏈攻擊波及 2026-05-24
    5月20日GitHub於社群網站X透露近3,800個內部儲存庫遭駭,事故發生的源頭,是一名員工不慎安裝有問題的Visual Studio Code(VS Code)延伸套件,所以引發事故。由於駭客團體TeamPCP對TanStack發動攻擊之後,有許多開發團隊遭受波及,很容易讓人聯想這起事故也與TanStack事故有關,如今這樣的推測成真。
    周峻佑
  • CISA宣布提供研究人員通報漏洞已遭利用的管道 2026-05-23
    5月21日美國網路安全暨基礎設施安全局(CISA)發布公告,表示為了讓研究人員、供應商,以及產業合作夥伴能更容易通報遭到利用的漏洞,他們推出已遭利用漏洞列表(KEV)的漏洞提報表單(Nomination Form)系統,期望這種新的通報機制能增加CISA快速識別、驗證、共享KEV相關的重要威脅情資。
    周峻佑
  • Anthropic悄悄修補已存在近半年的Claude Code沙箱漏洞,未公開揭露引發研究人員批評 2026-05-22
    資安研究人員Aonan Guan近日發布報告,揭露Anthropic旗下AI輔助程式開發工具Claude Code,其網路沙箱(Network Sandbox)機制存在漏洞,可能導致原始碼與憑證洩漏,Anthropic雖已在
    張明德
  • 因應軟體供應鏈攻擊,NPM新增套件暫存發布機制,降低惡意版本散布風險 2026-05-22
    2025年下半NPM生態系發生Shai-Hulud 2.0供應鏈攻擊後,GitHub公告將強化NPM套件發布流程安全性,其中一項措施是套件暫存發布(staged publishing)。這項機制讓維護者可在套件正式公開前,先檢查暫存套件的內容,再決定是否核准發布。
    王珮瑤
  • 外界擔憂Mythos恐助長大規模網路攻擊,部分資安專家認為風險被高估 2026-05-22
    Anthropic於4月公布Claude Mythos Preview後,外界開始關注這類先進AI模型若被用於攻擊情境,是否可能加速漏洞發現與利用,進而使政府系統、金融服務等關鍵基礎設施面臨更大的防禦壓力。這項疑慮也引起多國政府與金融監理機關關注。 然而,有部分資安專家認為,外界擔心Mythos將大幅推升駭客攻擊能力的看法,可能被高估。
    王珮瑤
More