在这里插入图片描述

新闻1:FBI出手!自创加密货币,揭秘市场操纵黑幕

美国司法部(DoJ)已宣布逮捕并指控多名个人和实体,他们涉嫌作为一起广泛欺诈行动的一部分而操纵数字资产市场。

此次执法行动——代号为“Token Mirrors”行动——是美国联邦调查局(FBI)采取“前所未有的步骤”,创建了自己的加密货币代币和公司,名为 NexFundAI。

根据网站上的信息,NexFundAI 被宣传为重新定义了“金融与人工智能之间的交集”,并且其目标是“创建一种加密货币代币,它不仅作为安全的价值储存手段,而且作为人工智能世界中积极变化的催化剂”。

来源:https://thehackernews.com/2024/10/fbi-creates-fake-cryptocurrency-to.html

新闻2:警惕!Python、npm等开源系统成供应链攻击新入口

网络安全研究人员发现,在 PyPI、npm、Ruby Gems、NuGet、Dart Pub 和 Rust Crates 等多个编程生态系统中,入口点可能会被滥用,以发动软件供应链攻击。

“当运行特定命令时,攻击者可以利用这些入口点执行恶意代码,这在开源领域中构成了广泛的风险,”Checkmarx 研究人员 Yehuda Gelb 和 Elad Rapaport 在与 The Hacker News 共享的一份报告中表示。

这家软件供应链安全公司指出,入口点攻击为威胁行为者提供了一种更隐蔽且持久的方法来破坏系统,这种方式可以绕过传统的安全防御。

在 Python 等编程语言中,入口点指的是一种打包机制,允许开发人员将某些功能作为命令行包装器(即 console_scripts)公开。或者,它们也可以用于加载增强包功能的插件。

来源:https://thehackernews.com/2024/10/supply-chain-attacks-exploit-entry.html

新闻3:中国反击!揭露美国“伏特台风”黑客攻击谎言

中国国家计算机病毒应急处理中心(CVERC)再次声称,名为“伏特台风”的威胁行为者是美国及其盟友的捏造。

该机构与国家计算机病毒防治技术工程实验室合作,指责美国联邦政府、情报机构和“五眼”国家对中国、法国、德国、日本以及全球互联网用户进行网络间谍活动。

该机构还表示,有“铁证”表明美国实施伪装攻击,试图掩盖其自身的恶意网络攻击,并捏造“所谓的中国网络攻击危险”,且已建立“大规模的全球互联网监控网络”。

“美国采用供应链攻击、在互联网产品中植入后门以及进行‘预先部署’的事实,完全揭穿了‘伏特台风’——这是一场由美国联邦政府编写、导演和演出的政治闹剧,”该机构表示。

来源:https://thehackernews.com/2024/10/china-accuses-us-of-fabricating-volt.html

新闻4:Kubernetes镜像构建器惊现高危漏洞,root权限岌岌可危

Kubernetes镜像构建器中存在一个严重的安全漏洞,如果该漏洞被成功利用,则可能在某些情况下被滥用以获得root访问权限。

此漏洞被追踪为CVE-2024-9486(CVSS评分:9.8),并已在0.1.38版本中得到了修复。项目维护者向发现并报告该漏洞的Nicolai Rybnikar表示感谢。

“在Kubernetes镜像构建器中发现了一个安全问题,即在镜像构建过程中启用了默认凭据,”Red Hat的Joel Smith在警报中表示。

“此外,使用Proxmox提供商构建的虚拟机镜像并未禁用这些默认凭据,使用这些镜像的节点可能通过这些默认凭据进行访问。这些凭据可用于获得root访问权限。”

来源:https://thehackernews.com/2024/10/critical-kubernetes-image-builder.html

新闻5:微软揭秘macOS漏洞,Safari隐私控制形同虚设

微软公布了苹果macOS系统中透明度、同意和控制(TCC)框架内一个现已修复的安全漏洞的详情,该漏洞很可能已被利用以绕过用户的隐私偏好并访问数据。

这一漏洞被技术巨头微软赋予代号“HM Surf”,并被追踪为CVE-2024-44133。苹果在macOS Sequoia 15中通过删除易受攻击的代码来解决了这一问题。

微软威胁情报团队的Jonathan Bar Or表示,“HM Surf涉及移除Safari浏览器目录的TCC保护,并修改该目录中的配置文件以访问用户数据,包括浏览过的页面、设备的摄像头、麦克风和位置,而无需用户同意。”

微软表示,新的保护措施仅限于苹果的Safari浏览器,并且它正在与其他主要浏览器供应商合作,进一步探索加强本地配置文件的好处。

来源:https://thehackernews.com/2024/10/microsoft-reveals-macos-vulnerability.html

推荐阅读:Meta遭重罚!9100万欧元为明文存储密码买单;Avro SDK惊现严重漏洞,Java应用面临远程代码执行危机!OpenAI大显神威,AI助力阻断20起全球网络犯罪 |安全周报1011

# python # npm # 开源 # 安全 # microsoft # 程序人生
Logo
开放原子开发者工作坊

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐

cover

人工智能在库存管理中的应用

avatar 开放原子开发者工作坊

dubbo启动报错failed to bind nettyserver on

dubbo报错今天启动项目的时候,关掉了custom服务,<dubbo:consumer check="false"/>并且关掉了spring的elastic-job,<!--<import resource="cloud-elastic-job.xml"/>-->但是还是报错,看了下错误代码,原因是因...

avatar 开放原子开发者工作坊
cover

【Windows】redis安装

avatar 开放原子开发者工作坊