根據 Sonatype 發布的《2024年開源惡意程式威脅報告》指出，自 2019 年開始追蹤以來，惡意套件數量已突破 778,500 個。該研究特別聚焦於駭客如何利用惡意開源套件鎖定開發人員，特別是在企業逐漸增加使用開源工具建置客製化 AI 模型的趨勢下。

開源惡意程式蓬勃發展的主因，在於這類生態系統的門檻低、缺乏作者身分驗證，且擁有龐大多元的用戶群。以 npm 和 PyPI 為例，這些平台每年處理數兆次的套件請求，為駭客提供了滲透軟體供應鏈的絕佳機會。

攻擊者主要採用三種手法：鎖定熱門套件、仿冒合法套件，或接管維護者帳號以重新打包惡意程式。此外，他們會發布較高版本號碼來欺騙建置系統，讓受污染的元件得以進入 CI/CD 管道並散布惡意程式碼。

npm 開源套件倉儲占惡意套件總數 98.5%

由於 JavaScript 生態系統的套件下載量成長 70%，再加上 AI 應用與垃圾程式激增，以及新套件缺乏嚴謹的驗證機制，使其成為駭客最青睞的攻擊目標。

這類程式可能包含間諜軟體、廣告軟體或追蹤元件，危害終端使用者的資安與隱私。其他常見的開源惡意程式類型包括資安漏洞利用套件（24.2%）及資料外洩套件（7.86%）。

此外，開源惡意程式透過「影子下載」（Shadow Download）直接下載至開發人員的機器，繞過軟體儲存庫政策與資安檢查點的情況持續增加。

軟體開發人員已成為軟體供應鏈攻擊的首要目標。開源惡意程式最大的危險，在於它游走於端點防護解決方案與傳統弱點分析的灰色地帶，使防護系統難以偵測此類威脅。許多企業仍將開源惡意程式簡單視為程式碼漏洞，但若等到掃描階段才發現問題就為時已晚。因此，組織必須採取主動防禦策略，在開源惡意程式進入開發管道前即先行阻擋。

資安研究機構Rapid7最新報告指出，Black Basta勒索軟體組織自2024年10月初以來，已改變其社交工程戰術，開始分發Zbot和DarkGate等全新的惡意程式。Black Basta曾經於2023年成功攻擊工控大廠ABB。

根據觀察，這個駭客組織採用了多重攻擊手法。首先，他們會對目標進行「電郵轟炸」，同時將受害者的電子郵件地址註冊到多個郵件列表中，造成信箱氾濫。隨後，攻擊者會主動與受影響的用戶聯繫。

在社交工程方面，攻擊者會在Microsoft Teams上偽裝成組織的IT支援人員或內部員工，誘使受害者安裝AnyDesk、ScreenConnect、TeamViewer和Microsoft Quick Assist等合法遠端存取軟體。微軟已將濫用Quick Assist部署Black Basta的駭客組織編號為Storm-1811。

Rapid7的研究還發現，勒索軟體團隊嘗試利用OpenSSH客戶端建立反向shell，並透過聊天發送惡意QR碼。雖然表面上聲稱是為了新增受信任的行動裝置，實際目的可能是竊取認證憑證。資安公司ReliaQuest則推測，這些QR碼可能用於引導使用者連接更多惡意基礎設施。

一旦受害者安裝遠端存取軟體，攻擊者就會部署額外的惡意程式，包括自製的憑證竊取工具，以及Zbot（又稱ZLoader）或DarkGate等後門程式，為後續攻擊鋪路。

Rapid7表示，「攻擊者取得初始存取權後的主要目標似乎沒變：快速探查環境並竊取用戶憑證。他們也會嘗試竊取VPN配置文件。有了用戶憑證、組織VPN資訊和可能的MFA繞過方法，他們就能直接存取目標環境。」

值得注意的是，Black Basta是在2022年Conti勒索軟體組織解散後崛起的獨立團體。該組織目前已開發多款客製化惡意程式，包括：

• KNOTWRAP：用C/C++編寫的記憶體專用植入程式
• KNOTROCK：用於執行勒索軟體的.NET工具
• DAWNCRY：使用硬編碼金鑰解密記憶體中嵌入資源的植入程式
• PORTYARD：使用自訂二進位協定建立C2連線的通道工具
• COGSCAN：用於收集網路主機清單的.NET偵察工具

資安專家建議組織應加強員工社交工程防範意識，並確保遠端存取軟體的使用政策與監控機制，以降低遭受此類進階勒索軟體攻擊的風險。

全球受歡迎的網站架設平台 WordPress 再度爆發重大資安危機。知名安全外掛 Really Simple Security（前身為 Really Simple SSL）近期被發現存在嚴重的身份驗證繞過漏洞，影響範圍超過400萬個使用該外掛的 WordPress 網站。資安研究人員警告，此漏洞可能讓攻擊者在未經授權的情況下，輕易取得網站的最高管理權限。

這個被編號為 CVE-2024-10924 的漏洞，獲得了 CVSS 9.8 的最高危險評分。根據安全研究公司 Wordfence 的技術團隊調查，該漏洞影響該外掛從 9.0.0 到 9.1.1.1 的所有版本，包括免費版和付費版在內。更令人擔憂的是，研究人員指出這個漏洞可被製作成自動化攻擊腳本，可能引發大規模的網站入侵事件。

Wordfence 的資深研究員解釋，CVE-2024-10924漏洞存在於外掛的使用者驗證機制中，特別是在「check_login_and_get_user」這個關鍵函數的處理流程上。當網站啟用二階段驗證功能時，該函數在處理使用者身份驗證時會出現嚴重缺陷，讓攻擊者可以透過精心設計的請求，直接繞過身份驗證機制，以任意使用者的身份登入系統，包括擁有最高權限的管理員帳號。

Really Simple Security 的開發團隊在接獲通報後，立即著手修復這個嚴重漏洞。他們於2024年11月6日收到漏洞通報後，在一週內就推出了修補版本 9.1.2。考慮到漏洞可能被廣泛濫用的風險，開發團隊更與 WordPress 官方合作，啟動了強制更新機制，確保所有使用該外掛的網站都能在漏洞公開前獲得更新。

若網站遭到惡意攻擊者利用此漏洞入侵，後果可能相當嚴重。攻擊者不僅能完全控制受害網站，更可能將這些遭到入侵的網站用於進行進一步的惡意活動，例如散播惡意程式、架設釣魚網站，或是竊取敏感資料。

值得注意的是，這並非近期唯一的 WordPress 相關資安事件。Wordfence 同時披露了另一個影響 WPLMS 學習管理系統的重大漏洞（CVE-2024-10470），同樣獲得了 CVSS 9.8 的高危險評分。該漏洞存在於 4.963 版本之前的系統中，可能允許未經授權的攻擊者讀取和刪除伺服器上的任意檔案。更嚴重的是，攻擊者可能透過刪除關鍵的 wp-config.php 檔案，強制網站進入設定狀態，進而連接到攻擊者控制的資料庫，最終完全接管網站。

為避免網站遭到入侵，WordPress 網站管理員應立即檢查系統中 Really Simple Security 外掛的版本，確保已更新至最新的 9.1.2 版本。同時，也建議定期檢查並更新所有 WordPress 相關元件，包括核心系統、佈景主題和其他外掛，以確保網站的安全性。

隨著量子電腦技術日益進展，企業面臨一個嚴峻的資安威脅：「Q-day」(量子日)的來臨。這個轉捩點代表著量子電腦將能輕易破解現有的加密技術，對企業資安帶來前所未有的挑戰。

量子運算能力的雙面刃

量子電腦擁有驚人的運算能力，能在數秒內完成傳統電腦需要數千年才能完成的任務。然而，這項技術進展也帶來獨特的安全隱憂。惡意攻擊者可能運用量子運算能力輕易破解加密金鑰，使得靜態和傳輸中的資料都面臨風險。目前受到業界標準演算法保護的敏感資訊，在量子運算時代可能變得脆弱不堪。

面對這樣的挑戰，各大雲端服務供應商已積極採取行動。AWS、GCP、Azure 等供應商每年投入數十億美元進行資安研發，並已開始布局量子安全措施。對企業而言，善用這些資源不僅能快速提升防護能力，更能確保在快速演變的資安環境中保持長期韌性。

策略性雲端遷移的重要性

為了因應量子時代的來臨，企業首要之務是全面掌握企業架構和資料位置。這包括進行應用程式和資料全面審計，確認敏感資訊存放位置及其保護方式。雲端供應商提供的工具可協助企業進行資料分類和風險評估，讓企業能更清楚地了解自身的資安狀況。

制定策略性雲端遷移計畫同樣至關重要。將工作負載遷移至雲端不僅能獲得可擴展的量子抗性加密保護，還能建立自動化監控和應變機制。這樣的布局為未來量子安全發展奠定了堅實的基礎。

建立多層次防禦體系

在建立防禦框架方面，採用 NIST（美國國家標準與技術研究院）框架是企業可以參考的方向。該框架結合了先進加密技術與自動化部署，透過雲端服務持續更新最新的加密和安全技術。多層次的防禦策略能確保企業在面對量子威脅時有更完整的保護。

善用雲端創新也是提升量子防禦能力的關鍵。大型雲端供應商開發的量子安全加密技術，加上持續更新和安全修補的機制，能讓企業即時應對新興量子威脅。企業可以專注於核心業務，同時確保資料安全無虞。

儘管 Q-day 確切時間仍未知，但其對資料安全的潛在影響已非常明確。透過及早進行雲端遷移，企業不僅能獲得最先進的加密保護，更能在專家主導的安全框架下，以更靈活的方式因應未來的量子威脅。

在量子運算時代，單一的安全層級可能不足以應對威脅。企業需要採取積極主動的態度，現在就開始規劃並執行雲端遷移策略，為迎接後量子時代做好充分準備。唯有如此，才能確保企業在 Q-day 來臨時，仍能維持營運韌性並持續蓬勃發展。

文章來源

雲端安全公司 Aqua 近期揭露了代號為 Matrix 的威脅行動者，正在進行大規模的分散式阻斷服務（DDoS）攻擊活動。該攻擊者透過利用物聯網（IoT）設備的漏洞和錯誤配置，將這些設備納入其破壞性的殭屍網路中。

Aqua 的威脅情報總監 Assaf Morag 表示：「這個攻擊行動堪稱一站式網路攻擊服務，從掃描、漏洞利用、惡意程式部署到工具包設置，展現了完整的自助式網路攻擊方法。」

根據調查，這個攻擊行動疑似是一名俄羅斯籍的單獨行動者所為，主要針對中國、日本的 IP 位址，其次是阿根廷、澳洲、巴西、埃及、印度和美國。值得注意的是，烏克蘭並未出現在受害者名單中，這顯示攻擊者的動機純粹是財務利益。

攻擊者的主要手法包括：

• 利用已知的安全漏洞
• 利用預設或弱密碼存取各類物聯網設備，如 IP 攝影機、數位錄影機、路由器和電信設備
• 攻擊設定錯誤的 Telnet、SSH 和 Hadoop 伺服器

攻擊特別針對 AWS、Azure 和 Google Cloud 等雲端服務供應商的 IP 位址範圍。攻擊者大量使用 GitHub 上公開的腳本和工具，在被入侵的設備和伺服器上部署 Mirai 殭屍網路惡意程式和其他 DDoS 相關程式，包括 PYbot、pynet、DiscordGo、Homo Network 等工具，以及可在 Windows 機器上停用 Microsoft Defender 防毒軟體的工具。

據了解，Matrix 於 2023 年 11 月開設了自己的 GitHub 帳號，用於存放部分 DDoS 攻擊工具。這些攻擊服務透過名為「Kraken Autobuy」的 Telegram 機器人進行販售，客戶可以選擇不同等級的服務，並使用加密貨幣付款。

Morag 指出：「雖然這個攻擊活動技術含量不高，但它展示了如何利用現成工具和基本技術知識，對網路連接設備的眾多漏洞和錯誤配置發動大規模攻擊。這突顯了基本安全措施的重要性，如更改預設憑證、保護管理協定、及時更新韌體等。」

與此同時，資安公司 NSFOCUS 也揭露了另一個名為 XorBot 的殭屍網路家族，自 2023 年 11 月以來主要針對 Intelbras 攝影機以及 NETGEAR、TP-Link 和 D-Link 的路由器。該殭屍網路以 Masjesu 為名提供 DDoS 攻擊租賃服務，並採用插入冗餘程式碼和混淆樣本特徵等進階技術手段，提高檔案層級的防禦能力，使攻擊行為更難被監控和識別。

這兩起事件再次提醒企業和個人用戶，在部署物聯網設備時必須格外注意基本的資安防護措施，避免成為殭屍網路的一部分。