微軟發現惡意 npm 軟件包，可從 UNIX 系統竊取數據 _linux下載

Microsoft 的漏洞研究團隊在 npm 存儲庫中發現了一個惡意 JavaScript 程序包，可從 UNIX 系統竊取敏感信息。該惡意軟件包名為 1337qq-js，于 2019 年 12 月 30 日上傳到 npm 存儲庫中。目前，該惡意軟件包已被 npm 的安全團隊刪除。在此之前，該軟件包至少被下載了 32 次。

根據 npm 安全團隊的分析，該軟件包通過安裝腳本來泄漏敏感信息，并且僅針對 UNIX 系統。

它收集的數據類型包括：

環境變量運行過程/etc/hosts用戶名npmrc文件

其中，竊取環境變量則被視為重大安全漏洞。npm 團隊建議所有在其項目中下載或使用此 JavaScript 程序包的開發人員從其系統中刪除該程序包，并輪換使用任何 compromised 的憑據。

事實上，這是惡意軟件包第六次被放入 npm 存儲庫索引，此前的五次分別為：

2019 年 6 月黑客將電子本地通知庫進行后門操作，以插入到達 Agama 加密貨幣錢包的惡意代碼。2018 年 11 月一名黑客借殼了 event-stream npm 程序包，以將惡意代碼加載到 BitPay Copay 桌面和移動錢包應用程序內部，并竊取加密貨幣。2018 年 7 月黑客利用旨在竊取其他開發人員的 npm 憑據的惡意代碼破壞了 ESLint 庫。2018 年 5 月 黑客試圖在名為 getcookies 的流行 npm 包中隱藏后門。2017 年 4 月黑客利用敲詐手段在 npm 上載了 38 個惡意 JavaScript 庫，這些庫被配置為從使用它們的項目中竊取環境細節。

來源：開源中國

更多資訊博通芯片組件出現漏洞 約 2 億電纜調制解調器受影響

據zdnet報道，丹麥安全公司Lyrebirds的研究人員在一份報告中稱，使用博通芯片的有線調制解調器容易受到一個名為“Cable Haunt”的新漏洞的攻擊。報道稱，該漏洞僅在歐洲就影響了大約 2 億個電纜調制解調器。

來源：ChinaZ 站長之家詳情鏈接：https://www.dbsec.cn/blog/article/5733.html

本月補丁星期二將修復嚴重安全漏洞 Windows 7 或無緣獲得

援引外媒 KrebsonSecurity 報道，在 2020 年 1 月的補丁星期二活動中，微軟可能已準備好修復存在于 Windows 系統中的嚴重加密漏洞，而該漏洞能夠讓惡意程序偽裝成為受信任的組件欺騙用戶進行安裝感染。而重點是，今天正式停止支持的Windows 7系統可能不會修復該漏洞。

來源：cnBeta.COM詳情鏈接：https://www.dbsec.cn/blog/article/5734.html

安全公司發現俄黑客成功入侵Burisma網絡：或對美大選產生干擾

據《紐約時報》報道，硅谷一家名為 Area1 的安全公司表示，他們發現有跡象表明，由國家資助的俄羅斯黑客成功入侵了烏克蘭天然氣公司Burisma。該公司在美國政治中扮演了核心角色，因為它跟民主黨總統候選人領跑者約瑟夫·拜登關系密切。拜登的兒子亨特則是該公司的董事。

來源：cnBeta.COM詳情鏈接：https://www.dbsec.cn/blog/article/5735.html

研究發現五家美國電信企業易受 SIM 卡交換攻擊

普林斯頓大學昨日發表的一項學術研究指出，美國五家主要的預付費無線運營商，極易受到 SIM 卡劫持攻擊。其特指攻擊者致電移動服務提供商，誘使電信企業員工將電話號碼更改為攻擊者控制的 SIM 卡，使之能夠重置密碼并訪問敏感的在線賬戶，比如電子郵件收件箱、網銀門戶、甚至加密貨幣交易系統。

來源：cnBeta.COM詳情鏈接：https://www.dbsec.cn/blog/article/5736.html

（信息來源于網絡，安華金和搜集整理）