微軟發現惡意 npm 軟體包，可從 UNIX 系統竊取資料

Microsoft 的漏洞研究團隊在 npm 儲存庫中發現了一個惡意 JavaScript 程式包，可從 UNIX 系統竊取敏感資訊。該惡意軟體包名為 1337qq-js，於 2019 年 12 月 30 日上傳到 npm 儲存庫中。目前，該惡意軟體包已被 npm 的安全團隊刪除。在此之前，該軟體包至少被下載了 32 次。

根據 npm 安全團隊的分析，該軟體包通過安裝指令碼來洩漏敏感資訊，並且僅針對 UNIX 系統。

它收集的資料型別包括：

• 環境變數
• 執行過程
• /etc/hosts
• 使用者名稱
• npmrc檔案

其中，竊取環境變數則被視為重大安全漏洞。npm 團隊建議所有在其專案中下載或使用此 JavaScript 程式包的開發人員從其系統中刪除該程式包，並輪換使用任何 compromised 的憑據。

事實上，這是惡意軟體包第六次被放入 npm 儲存庫索引，此前的五次分別為：

• 2019 年 6 月 黑客將電子本地通知庫進行後門操作，以插入到達 Agama 加密貨幣錢包的惡意程式碼。
• 2018 年 11 月 一名黑客借殼了 event-stream npm 程式包，以將惡意程式碼載入到 BitPay Copay 桌面和移動錢包應用程式內部，並竊取加密貨幣。
• 2018 年 7 月 黑客利用旨在竊取其他開發人員的 npm 憑據的惡意程式碼破壞了 ESLint 庫。
• 2018 年 5 月 黑客試圖在名為 getcookies 的流行 npm 包中隱藏後門。
• 2017 年 4 月 黑客利用敲詐手段在 npm 上載了 38 個惡意 JavaScript 庫，這些庫被配置為從使用它們的專案中竊取環境細節。

來源：開源中國

更多資訊

博通晶片元件出現漏洞 約 2 億電纜調變解調器受影響

據zdnet報導，丹麥安全公司Lyrebirds的研究人員在一份報告中稱，使用博通晶片的有線調變解調器容易受到一個名為“Cable Haunt”的新漏洞的攻擊。報導稱，該漏洞僅在歐洲就影響了大約 2 億個電纜調變解調器。

來源：ChinaZ 站長之家
詳情連結：https://www.dbsec.cn/blog/article/5733.html 

本月補丁星期二將修復嚴重安全漏洞 Windows 7 或無緣獲得

援引外媒 KrebsonSecurity 報導，在 2020 年 1 月的補丁星期二活動中，微軟可能已準備好修復存在於 Windows 系統中的嚴重加密漏洞，而該漏洞能夠讓惡意程式偽裝成為受信任的元件欺騙使用者進行安裝感染。而重點是，今天正式停止支援的Windows 7系統可能不會修復該漏洞。

來源：cnBeta.COM
詳情連結： https://www.dbsec.cn/blog/article/5734.html 

安全公司發現俄黑客成功入侵Burisma網路：或對美大選產生干擾

據《紐約時報》報導，矽谷一家名為 Area1 的安全公司表示，他們發現有跡象表明，由國家資助的俄羅斯黑客成功入侵了烏克蘭天然氣公司Burisma。該公司在美國政治中扮演了核心角色，因為它跟民主黨總統候選人領跑者約瑟夫·拜登關係密切。拜登的兒子亨特則是該公司的董事。

來源：cnBeta.COM
詳情連結： https://www.dbsec.cn/blog/article/5735.html 

研究發現五家美國電信企業易受 SIM 卡交換攻擊

普林斯頓大學昨日發表的一項學術研究指出，美國五家主要的預付費無線運營商，極易受到 SIM 卡劫持攻擊。其特指攻擊者致電移動服務提供商，誘使電信企業員工將電話號碼更改為攻擊者控制的 SIM 卡，使之能夠重置密碼並訪問敏感的線上賬戶，比如電子郵件收件箱、網銀門戶、甚至加密貨幣交易系統。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5736.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視