惡意 Python 庫被發現會竊取 SSH 和 GPG 金鑰

Python 安全團隊從  PyPI 移除了兩個被發現會竊取 SSH 和 GPG 金鑰的惡意 Python 庫。兩個庫都由同一名開發者建立，利用名字相似的方法去模仿已知的流行庫的：python3-dateutil 試圖模仿流行的 dateutil 庫，jeIlyfish 模仿 jellyfish 庫。

德國開發者 Lukas Martini 上週日發現了這兩個惡意庫，在通知安全團隊之後它們被立即移除。

Martini 稱，惡意程式碼只存在於 jeIlyfish 中，python3-dateutil 本身不包含惡意程式碼，但它會匯入  jeIlyfish 庫。

dateutil 開發團隊成員 Paul Ganssle 分析後認為，惡意程式碼是嘗試從使用者計算機上竊取 SSH 和 GPG 金鑰，然後傳送到一個 IP 地址。               

來源：solidot.org

更多資訊

100 款違法違規 APP 下架整改

據國家網路安全通報中心的通報，11 月以來，公安部組織開展APP違法違規採集個人資訊集中整治，重點針對無隱私協議、收集使用個人資訊範圍描述不清、超範圍採集個人資訊和非必要採集個人資訊等情形，集中發現、偵辦、查處整改了100款違法違規APP及其運營的網際網路企業，光大銀行、更美、考拉海購、微店、晉江小說閱讀、飛牛網等在列。

來源：中新網
詳情連結：https://www.dbsec.cn/blog/article/5519.html 

谷歌技術故障導致美國三大航空公司網站短暫當機

北京時間 12 月 5 日早間訊息，由於谷歌提供的飛行資料軟體發生技術故障，導致美國三大航空公司的網站週三短暫關閉。美國航空公司、達美航空公司和美國聯合航空公司網站週三都遭遇當機。

來源：新浪科技
詳情連結：https://www.dbsec.cn/blog/article/5520.html 

資訊洩露的潘多拉魔盒開啟後：騙子盲發快遞，30 萬人不出門也中招

劉女士收到一個 99 元的到付快遞，她以為是家人買的，於是便付款簽收。開啟快遞，裡面是一個壁燈，一問，家人都沒買過。花了 99 元，得到一個用不上的燈，劉女士感覺被騙了。儘管家人都勸她算了，但她還是堅持報了警。

來源：電商報
詳情連結：https://www.dbsec.cn/blog/article/5521.html 

8 人團伙被抓！安全技術人員變身駭客，專黑金融網站資料庫

今年以來，廣州警方共發起偵破“淨網”專案 7 次，參與全國專項叢集戰役 10 次，偵破網路主偵案件 1500 餘起，打掉團伙 224 個，依法刑事拘留犯罪嫌疑人 5313 名，繳獲被洩露竊取買賣的公民個人資訊 13 億餘條，極大地震懾了網路犯罪分子的囂張氣焰。

來源：羊城派
詳情連結：https://www.dbsec.cn/blog/article/5522.html 

（資訊來源於網路，安華金和蒐集整理）