各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. 出资 2000 万美元！谷歌将在全美推广免费网络安全诊所

谷歌声明将投入 2000 万美元，用于在美国各地开设更多的网络安全实践诊所，以帮助填补美国的网络安全劳动力缺口，并在不断变化的威胁面前保持领先地位。

2. 既能挖矿又能窃取敏感信息，《超级马里奥》游戏被植入恶意软件

堪称经典的《超级马里奥 3：永远的马里奥》游戏正被网络攻击者植入恶意软件，导致众多玩家设备受到感染。

3. 重名的风险！GitHub 上数百万个存储库可能被劫持

新的研究显示，许多企业在重命名项目时，不知不觉地将其代码库的用户暴露在重载劫持之下。GitHub 上数以百万计的企业软件存储库容易受到劫持，这是一种相对简单的软件供应链攻击，攻击者会将某个特定存储库的项目重定向到一个恶意的存储库。

4. 研究发现，电源指示灯的闪烁也能泄露密码

内盖夫本古里安大学和康奈尔大学的研究人员在一项研究中表示，CPU 执行的密码计算会改变设备的功耗，从而影响设备电源 LED 的亮度。通过利用这一观察结果，攻击者可以利用视频摄像设备，如联网的监控摄像头，从智能卡读卡器中提取加密密钥。

5. Anatsa 安卓木马正在窃取美国、英国用户的银行账户信息！

2023 年 3 月以来，一个新手机恶意软件向美国、英国、德国、奥地利和瑞士等国的网上银行客户推送 Android 银行木马 "Anatsa"。

安全事件

1. 西门子能源遭遇勒索软件攻击，大量数据被盗！

西门子能源称其遭遇了一次Clop勒索软件攻击，该软件利用MOVEit Transfer平台的一个零日漏洞窃取了公司数据。

2. 大众汽车车载娱乐系统曝安全漏洞，可被远程控制

根据 GitHub 的一份报告，大众汽车 Discover Media 信息娱乐系统的漏洞是在 2023 年 2 月 28 日发现的。该漏洞可能会使未打补丁的系统遭到拒绝服务（DoS）攻击。该漏洞起初是由大众汽车的用户发现的，随后大众汽车方面确认了该漏洞，漏洞的标识为 CVE-2023-34733。

3. 受害者猛增，新勒索软件团伙 8Base 开始“声名鹊起”

8Base 勒索软件团伙正在针对世界各地的企业组织进行双重勒索攻击，自 6 月初以来，新增受害者正源源不断地增加。

4. Brave 将引入新的限制控制，以提高用户隐私保护！

Brave 团队近日宣布，以隐私为中心的浏览器将引入新的限制控制，允许用户指定站点访问本地网络资源的时间。

5. 研究人员发出警告，小心 Akira 勒索软件的 Linux 变体

Cyble 研究和情报实验室的研究人员发现了 Akira 勒索软件一个复杂的 Linux 变体。在最近的一份报告中，Cyble 研究和情报实验室（CRIL）详细介绍了 Akira 勒索软件的一个复杂的 Linux 变体，引起了人们对 Linux 环境越来越容易受到网络威胁的关注。

一周好文共读

1. 网暴致人死亡！这届网友戾气太重了

据《2021年全国未成年人互联网使用情况研究报告》数据显示，未成年网民在网上遭到讽刺或谩骂的比例为16.6%；自己或亲友在网上遭到恶意骚扰的比例为7.0%；个人信息未经允许在网上被公开的比例为6.1%。【阅读原文】

2. 一文带你看懂网络安全能力成熟度模型(C2M2)

最近无意看到了网络安全能力成熟度模型(C2M2)，有种相见恨晚的感觉。它是一套自成体系的模型，内容比较全面，更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全，并加强其运营弹性。【阅读原文】

3. 车辆网络安全架构——安全通信协议

车载总线（Automotive Bus）是指在车辆内部用于不同电子控制单元（ECU）之间进行通信和数据传输的系统。它充当了车辆内部各个电子模块之间的数据传输媒介，使得不同的车辆系统可以相互协作和交换信息。【阅读原文】

省心工具

1. 如何使用 KoodousFinder 搜索和分析 Android 应用程序中的安全威胁

KoodousFinder 是一款功能强大的 Android 应用程序安全工具，在该工具的帮助下，广大研究人员可以轻松对目标 Android 应用程序执行安全研究和分析任务，并寻找出目标应用程序中潜在的安全威胁和安全漏洞。【阅读原文】

2. PentestGPT：一款由 ChatGPT 驱动的强大渗透测试工具

3. 如何使用 Acheron 修改 Go 程序中并尝试绕过反病毒产品的检测