全球动态

1. 工信部通报 55 款 App（SDK）存在侵害用户权益行为，小米穿戴、YY、2345 浏览器等在列

工信部组织第三方检测机构对群众关注的生活服务、休闲娱乐、实用工具等移动互联网应用程序（App）及第三方软件开发工具包（SDK）进行检查，发现 55 款 App（SDK）存在侵害用户权益行为，现予以通报。【阅读原文】

2. 法拉利称遭黑客勒索并被索要赎金，不会向其付款

意大利豪华汽车制造商法拉利公司在其网站上发布了一条消息，该消息表示近日遭到了不明来源的黑客攻击。【外刊-阅读原文】

3. ChatGPT Plus 服务存在 BUG：支付页面会随机曝光用户注册邮箱

国外网友 James Laidler 本周尝试注册 ChatGPT Plus 服务的时候，发现 OpenAI 网站泄露了用户的电子邮件地址。【阅读原文】

4. 黑客利用恶意 NuGet 包攻击.NET 开发人员

威胁攻击者通过 NuGet 存储库提供的加密货币窃取程序瞄准并感染 .NET 开发人员，并通过打字抓取模拟多个合法软件包。【外刊-阅读原文】

5. Google 将拼多多应用标记为恶意程序

Google 将拼多多的多个应用标记为恶意程序，Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用，对于已经安装的应用，Google 将建议用户卸载。【阅读原文】

6. 从勒索软件到网络间谍：2022 年武器化 55 个零日漏洞

2022 年，多达 55 个零日漏洞被野外利用，其中大多数缺陷是在微软、谷歌和苹果的软件中发现的。【外刊-阅读原文】

安全事件

1. 打码也不安全，Google Pixel 手机照片编辑工具被曝安全漏洞

安全研究人员 Simon Aarons 和 David Buchanan 最近在推特披露称，Google Pixel 自带的照片编辑工具Markup存在一个名为“Acropalypse 的安全漏洞，能够还原用户照片中已经打码或裁剪掉的内容。【外刊-阅读原文】

2. 黑客利用零日漏洞从普通字节比特币 ATM 窃取超过 160 万美元的加密货币

比特币 ATM 制造商 General Bytes 披露，身份不明的威胁行为者利用其软件中的零日安全漏洞，从热钱包中窃取了加密货币。【外刊-阅读原文】

3. 美国政府发布 LockBit 3.0 勒索软件内幕资料

美国政府机构发布一份联合网络安全咨询，详细介绍 LockBit 3.0 勒索软件相关的妥协指标(IoC)以及策略、技术和程序(TTP)。【阅读原文】

4. 研究人员警告称，亲俄黑客越来越多地将目标对准医院

网络安全研究人员表示，他们观察到亲俄罗斯的黑客组织 Killnet 自 11 月以来越来越多地针对医疗机构发起分布式拒绝服务（DDoS）攻击。【外刊-阅读原文】

5. 利用同一漏洞，多个黑客组织入侵美国联邦机构

多个威胁行为者，包括一个民族国家组织，利用 Progress Telerik 中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。【外刊-阅读原文】

6. 2026 年，IT 安全支出将达到近 3000 亿美元

受持续的网络攻击威胁、提供安全混合工作环境的需求以及满足数据隐私和治理要求的需求的推动，2026 年，与网络安全相关的硬件、软件和服务的投资预计将达到近 3000 亿美元。【外刊-阅读原文】

优质文章

1. 小心黑客攻击！你的电动汽车“安全”吗

研究人员强调机载安全关键电子控制单元 (ECU) 的操纵会干扰制动、转向、发动机和电池控制；车辆数据也面临风险，包括远程信息处理、跟踪、客户、经销商和保险数据等。【阅读原文】

2. 2023 年最流行的道德黑客工具

道德黑客工具和软件是由开发人员设计的计算机程序或复杂类型的脚本，由安全专业人员用于识别机器操作系统、web 应用程序、服务器和网络中的弱点。如今，许多企业都依赖这种道德黑客工具来更好地保护数据免受各种攻击。【阅读原文】

3. SideCopy 组织近期以印度国防部相关文档为诱饵的攻击活动分析

2020 年 9 月，Quick Heal 披露了一起针对印度国防军和武装部队陆军人员的窃密行动并将其命名为 Operation SideCopy。该行动始于 2019 年初，其攻击者主要以复制 Sidewinder APT 组织的 TTPs 进行攻击，故被命名为 Operation SideCopy。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。