資安公司Checkmarx遭供應鏈攻擊,掃描工具KICS的Docker映像檔、VS Code延伸套件被入侵
一個月前,資安公司Checkmarx開發的開源基礎架構掃描工具KICS遭遇供應鏈攻擊,駭客團體TeamPCP滲透KICS的GitHub Actions,植入可竊取憑證的惡意程式碼,影響使用該工具進行CI/CD流程的開發人員,如今KICS再度傳出遭遇供應鏈攻擊。
資安公司Socket近日接獲Docker的通報,得知KICS的Docker Hub儲存庫出現惡意映像檔,Socket進一步調查此事,發現攻擊者覆寫了原本的標籤,並引入與上游版本不符的新標籤。而且,映像檔內的KICS二進位檔被竄改,駭客加入了原本不具備的資料收集與外洩功能,使得惡意的KICS能產生未經審查的掃描報告,進行加密處理後傳送到外部。企業若是利用KICS掃描Terraform、CloudFormation或Kubernetes的組態,就有可能受到這波攻擊影響。
本月22日資安公司Socket發現,有人攻擊開源基礎架構掃描工具KICS的Docker映像檔,以及資安公司Checkmarx開發的Visual Studio Code(VS Code)延伸套件,後續Checkmarx證實此事,並公布影響範圍。
根據Checkmarx初步調查結果指出,駭客的惡意元件僅影響特定時間上傳的Docker映像檔,以及VS Code延伸套件,其餘他們先前發布的正常版本未遭到覆蓋。因此,使用者若是採用在攻擊發生之前的版本,將不受影響。而對於疑似受到影響的用戶,Checkmarx呼籲儘速封鎖特定網域,並暫時關閉IDE市集的自動更新功能,以SHA雜湊值進行確認,若認為系統可能已部署惡意軟體,就應該更換憑證與相關資料。
Checkmarx供應鏈攻擊事故擴大,密碼管理解決方案公司Bitwarden證實NPM套件遭駭
資安公司Socket、JFrog、StepSecurity與OX Security,以及獨立研究員Adnan Khan提出警告,密碼管理軟體開發公司Bitwarden推出的NPM套件Bitwarden CLI遭遇供應鏈攻擊,駭客發布了惡意版本2026.4.0,目的是搜刮開發環境的機密資料,其特徵與Checkmarx事故一致,疑似該起攻擊活動的延伸。
Bitwarden當天隨即發布聲明證實此事,該公司在美國東部時間(ET)4月22日晚間5時57分至7時30分,識別惡意套件活動並進行控制,並表明此事與廣泛的Checkmarx供應鏈攻擊事故有關。Bitwarden強調,根據初步調查的結果,終端使用者的密碼保險庫(Vault)資料未出現遭到存取或是曝險的跡象,該公司生產環境的系統與資料也未遭入侵。僅在特定時間下載Bitwarden CLI並安裝的使用者,才會受此事故影響,該公司也準備為本起事故登記CVE編號。
NPM套件Bitwarden CLI遭駭,疑與Shai-Hulud軟體供應鏈攻擊有關
資安公司Socket、JFrog、StepSecurity與OX Security,以及獨立研究員Adnan Khan,揭露密碼管理軟體開發公司Bitwarden遭遇供應鏈攻擊事故,並指出是資安公司Checkmarx大規模攻擊的一部分,而且得到Bitwarden證實。至於攻擊者的身分,上述研究人員提出不同看法。
JFrog先是於社群網站X發文指出,這起事故是TeamPCP攻擊Checkmarx的延續,不過他們後來發布部落格文章表示,有效酬載內含與小說《沙丘(Dune)》有關的種族、人名,以及巨型生物,駭客使用的GitHub儲存庫的名稱與說明也有類似情形,並聲稱是Shai-Hulud的第三波攻擊(Shai-Hulud: The Third Comingsardaukar)。對此,他們認為這起事故的攻擊者可能與Shai-Hulud有所交集。
資安公司還原Bitwarden CLI事故發生經過,駭客滲透工程師GitHub帳號而得逞
4月23日密碼管理軟體開發商Bitwarden遭遇供應鏈攻擊,該公司發布的命令列工具Bitwarden CLI遭到入侵,駭客透過GitHub Actions發布惡意NPM套件。有許多資安公司與研究人員試圖拼湊事件發生的經過,不過多半聚焦於惡意軟體帶來的危害,以及攻擊者的身分,不過,有資安公司嘗試透過NPM套件的活動監控,還原攻擊初期發生的過程,並指出這是首度出現濫用NPM受信任發布機制OIDC Trusted Publishing的攻擊活動。
資安公司StepSecurity指出,這起事故最初是1名Bitwarden工程師的GitHub帳號被入侵,駭客在儲存庫建立新分叉(Branch),存放事先建構完成的惡意Tarball檔案,然後竄改工作流程,透過NPM儲存庫的API,將GitHub Actions的OIDC權杖(Token)交換為NPM身分驗證權杖。接著,工作流程利用交換而來的權杖將Tarball檔案發布到NPM,得逞後駭客刪除所有工作流程的運行記錄、分支與發布標記。
NPM蠕蟲供應鏈攻擊竊取開發環境憑證與加密貨幣資產,透過遭駭帳號擴散
資安公司Socket發現新一波NPM供應鏈攻擊,駭客疑似針對AI系統建置服務及顧問公司Namastex Labs旗下的NPM套件進行竄改,挾帶的惡意軟體具備下列類似蠕蟲程式CanisterWorm的特性:套件安裝完成後即自動執行惡意程式,會從開發環境挖掘各式憑證、採用Canister智慧合約驅動的服務,以及透過自我複製的方式滲透其他的套件。
本次駭客使用的惡意程式具備4大功能,首先,會從開發環境收集各式機密資料,包括AWS、Azure與GCP雲端憑證,以及Kubernetes與Docker組態配置、SSH金鑰與組態、資料庫密碼檔,以及.npmrc、.git-credentials、.netrc與.env*等開發環境組態檔案,還有Terraform、Pulumi、Vault等平臺的資料。
蘋果修補iOS通知服務漏洞,試圖弭平已刪訊息仍保留於裝置內的爭議
不久前的4月初,蘋果才發布iOS 26.4.1與iPadOS 26.4.1,以及iOS 18.7.7與iPadOS 18.7.7,但僅僅兩週之後,又於4月22日釋出iOS 26.4.2與iPadOS 26.4.2,以及iOS 18.7.8與iPadOS 18.7.8。蘋果這次在正常更新週期之外的緊急更新,目的是修補通知服務(Notification Services)的漏洞,此弱點的存在,可能導致原本已標記為刪除的通知訊息內容,仍保留於用戶裝置,進而產生隱私疑慮。
這次修補的漏洞編號為CVE-2026-28950,蘋果在公告中指出此漏洞涉及的問題為:被標記為刪除的通知訊息內容,可能會意外地保留在裝置上,該公司則透過改進資料遮蔽機制(data redaction),以及修正日誌紀錄(logging)解決問題。
macOS終端機工具iTerm2存在執行任意指令漏洞,用戶需儘速修補
自從部分資安研究人員用Anthropic AI工具Claude發現大量資安漏洞,也讓利用AI輔助發掘軟體漏洞,成為資安領域的熱門議題,在這股熱潮下,資安研究機構Calif Global也與OpenAI合作,藉由結合研究人員與大型語言模型,尋找知名開源軟體中的漏洞,近日公布的macOS終端機工具iTerm2漏洞,便是這項計畫的成果之一。
Calif Global的報告指出,iTerm2存在可能導致執行任意指令的漏洞CVE-2026-41253,CVSS嚴重性評分為6.9分,問題源自iTerm2透過SSH整合功能處理遠端連線的conductor機制,未能驗證遠端連線來源,攻擊者可透過偽造特定格式的DCS 2000p與OSC 135序列訊息,誘使終端機執行任意指令。此漏洞影響3.6.9版以前的所有版本iTerm2,iTerm2開發團隊已發布修補的3.6.10版本。
Firefox的IndexedDB隱私漏洞恐成跨網站指紋,Tor Browser也受影響
裝置指紋與詐騙偵測資安公司Fingerprint揭露,所有以Firefox為基礎打造的瀏覽器受到IndexedDB隱私漏洞影響。問題發生在IndexedDB資料庫清單查詢功能的回傳順序,網站可藉此推導出穩定且可重現的瀏覽器程序識別資料,在沒有Cookie或其他共用儲存機制的情況下,辨識是否為同一個執行中的瀏覽器實體。該隱私漏洞不僅影響Mozilla基金會發布的Firefox,也波及主打隱私隔離設計的Tor Browser。
Mozilla針對此漏洞釋出修補,Firefox 150與ESR 140.10.0已納入修正。修正方式是讓API回傳結果改以固定順序排序,避免內部儲存結構的排列差異繼續外露成隱私風險。由於問題根源來自Gecko的IndexedDB實作,其他下游採用相同核心的產品若未額外處理,皆可能受到相同影響。
高德地圖在臺圖資紅綠燈倒數秒數精準惹議,資安署啟動檢測評估機制
中國導航服務高德地圖近期在臺灣快速竄紅,由於其可精準顯示紅綠燈倒數秒數等功能,但也因此引發資料來源與個資蒐集疑慮,引發資安與國安層級關注。數發部資安署已啟動檢測機制,評估是否對公部門甚至整體使用進行限制。
高德地圖近期在臺正式發布紅綠燈倒數功能,,且準確度極高,引發外界質疑其資料來源。由於臺灣各地方政府並未對外提供即時號誌資料API,也未與該業者合作,引發「資料從何而來」的疑慮,成為外界關心的重點。根據國內媒體的報導,業者回應,相關功能主要透過用戶定位資訊與歷史行車數據,結合演算法推估而成,而非直接介接政府系統,該說法證實並沒有直接取用地方政府的交通號誌控制系統數據,但也進一步引發對用戶數據蒐集的疑慮。
去年9月,印度塔塔汽車(Tata)旗下的英國車廠Jaguar Land Rover(JLR)遭遇勒索軟體攻擊,而受到全球高度關注,工廠被迫停止生產車輛1個月,損失慘重,金額高達19億英鎊,而成為英國史上損失最大的資安事件,英國政府提供15億英鎊貸款擔保,以協助JLR供應鏈恢復運作。有資安公司警告,勒索軟體對汽車產業的威脅加劇,過去一年勒索軟體是汽車產業成長最快的資安威脅,每兩起事故約有一起是勒索軟體攻擊。
資安公司Halcyon近日發布調查報告,指出汽車產業的資安事故自2023年開始不斷上升,2025年整體事件數量較2024年多出近50%。值得留意的是,勒索軟體是竄升速度最快的資安威脅,2025年的攻擊行動數量是2024年的兩倍。整體來說,2025年汽車產業遭遇的網路攻擊活動,有44%是勒索軟體攻擊。
其他資安威脅
◆CISA證實Microsoft Defender漏洞BlueHammer已遭利用,要求聯邦機構兩週內完成修補
◆惡意程式FireStarter鎖定思科防火牆已知漏洞發動攻擊
◆中國駭客GopherWhisper鎖定蒙古,利用多種雲端服務從事網路間諜活動
◆中國駭客綁架大量物聯網裝置建置固定代理伺服器網路,隱匿攻擊活動
◆UNC6692冒充IT服務臺,透過Teams散布惡意軟體Snow
◆勒索軟體Trigona利用自製的命令列工具從受害組織竊取資料
近期資安日報
