Click Studios遭供应链攻击，产物更新服务器被劫持；HashiCorp遭Codecov供应链攻击，GPG签名密钥泄露

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Click Studios遭供应链攻击，产物更新服务器被劫持；HashiCorp遭Codecov供应链攻击，GPG签名密钥泄露

宣布时间 2021-04-25

1.Click Studios遭供应链攻击，产物更新服务器被劫持

Click Studios通知客户其遭到了供应链攻击，其Passwordstate的更新服务器被劫持。Passwordstate是一种当地密码管理解决方案，已被全球29000家公司的370000多名宁静和IT人员使用，涉及政府、国防、金融、航空航天、医疗保健、执法和媒体等行业。该公司称，黑客在Passwordstate的原始代码中增加了一段旨在从C2中下载payload的'Loader'代码，因此其客户可能在4月20日至4月22日之间下载了已被改动的升级法式。

原文链接：

https://www.bleepingcomputer.com/news/security/passwordstate-password-manager-hacked-in-supply-chain-attack/

2.HashiCorp遭Codecov供应链攻击，GPG签名密钥泄露

开源软件工具和基础设施提供商HashiCorp遭到Codecov供应链攻击，GPG签名密钥泄露。据视察，此次供应链攻击最初危害发生在1月31日，并连续了约莫两个月，HashiCorp用于签名来验证HashiCorp的产物的GPG私钥便是在这段时间泄露的。该公司称，目前尚未有证据表明有人使用了该密钥，但在宁静起见仍对其进行了更换，现已宣布新的GPG密钥对：C874 011F 0AB4 0511 0D02 1055 3436 5D94 72D7 468F。但是，其Terraform产物尚未打补丁来使用新的GPG密钥。

原文链接：

https://www.bleepingcomputer.com/news/security/hashicorp-is-the-latest-victim-of-codecov-supply-chain-attack/

3.阿根廷的谷歌搜索引擎因域名被意外出售而瘫痪数小时

上周三，阿根廷的谷歌搜索引擎瘫痪了近三个小时。凭据MercoPress的资料显示，此次中断的原因是一个名为Nicolas DavidKuro?a的阿根廷公民以540阿根廷比索（约合5.81美元）的价格购置了google.com.ar域名的所有权。Kuro?a在当日晚上10:45左右宣布推文体现，他是合法的购置了该域名。这个域名之所以可以使用，是因为谷歌阿根廷公司没有在到期后续期，使得用户可以合法抢注。但是该域的过期日期是7月，目前尚未过期，因此该公民如何合法的购置它成为了一个谜。

原文链接：

https://www.hackread.com/google-argentina-domain-bought/

4.新Linux僵尸网络使用IaC和DevOps等工具挖掘门罗币

趋势科技的研究人员发现了一个新的Linux僵尸网络，使用了基础架构代码（IaC）工具、Tor署理和合法的DevOps工具来挖掘XMRig Monero。该Linux僵尸网络从Tor网络下载它所需的所有文件，包罗ss、ps和curl等合法的二进制文件，还使用了Shell脚本和Unix系统设计执行HTTP请求，以获取有关受熏染系统的更多信息。此外，研究人员称这是第一个利用了基础架构代码（IaC）工具，诸如Ansible、Chef和Salt Stack进行流传的僵尸网络。

原文链接：

https://securityaffairs.co/wordpress/117155/malware/linux-botnet-emerging-techniques.html

5.新钓鱼活动伪装成猎头公司Michael Page分发Ursnif

新一轮钓鱼活动伪装成职业介绍所Michael Page分发数据窃取恶意软件Ursnif。Michael Page的业务遍及美洲、英国、欧洲大陆、亚太地域和非洲，是英国的PageGroup的子公司。PageGroup称，其IT系统并未遭到攻击，这些钓鱼邮件是利用果然信息生成的然后随机发送给目标的。这些邮件利用嵌入式链接将受害者重定向到具有GeoIP和反机器人检查功效的钓鱼页面，然后，要求其下载启用了宏的XSLM文件并具有DocuSign标志的文档，最后下载Ursnif。

原文链接：

https://www.bleepingcomputer.com/news/security/phishing-impersonates-global-recruitment-firm-to-push-malware/

6.研究人员披露Homebrew Cask存储库中的代码执行漏洞

日本宁静研究人员RyotaK于4月18日披露Homebrew Cask存储库中存在代码执行漏洞。Homebrew是一个开源软件保证理器解决方案，可在Apple的macOS操作系统和Linux上安装软件。该漏洞是由于review- cask -pr GitHub Action的git_diff中用于解析pull请求的diff依赖项存在缺陷，因此解析器可能会被欺骗而批准恶意的pull请求，可被用来将任意代码注入到容器中。目前，该漏洞已于4月19日被修复。

原文链接：

https://thehackernews.com/2021/04/critical-rce-bug-found-in-homebrew.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究