凯发k8

首页 > 清静研究 > 清静转达 > 清静简讯

新恶意软件伪装成Browserify NPM，，，，，，已下载超1.6亿次；；；；；研究职员披露本周的第二个Chromium中RCE 0day

宣布时间 2021-04-15

1.新恶意软件伪装成Browserify NPM，，，，，，已下载超1.6亿次

Sonatype研究团队发明，，，，，，名为web-browserify的恶意软件包伪装成正当的Browserify npm组件。。。。。。。。该恶意软件由自称为Steve Jobs的匿名者开发，，，，，，主要针对使用Linux和ApplemacOS的NodeJS开发职员，，，，，，其每周的下载凌驾130万次，，，，，，阻止现在总计下载量凌驾1.6亿多次。。。。。。。。此恶意软件包包括清单文件、package.json、postinstall.js 剧本和名为run的ELF可执行文件。。。。。。。。受害者装置web-browserify后，，，，，，该剧本就会提取并执行run Linux二进制文件，，，，，，并请求root权限。。。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/new-linux-macos-malware-hidden-in-fake-browserify-npm-package/

2.eSentire在Google在线表格上发明10万多个恶意页面

清静公司eSentire在Google在线表格上发明了凌驾10万个恶意页面。。。。。。。。eSentire发明了多起此类恶意活动，，，，，，攻击者使用了搜索重定向和驱动下载的要领。。。。。。。。当受害者搜索诸如模板、发票、收条、问卷和简历之类的特定要害字时，，，，，，并实验下载所谓的文档模板后，，，，，，会在不知不觉中被重定向到托管有RAT的恶意网站。。。。。。。。此类活动使用了SolarMarker、Jupyter、Yellow Cockatoo和Polazert等RAT，，，，，，并将Slim PDF作为诱饵。。。。。。。。

原文链接：

https://www.esentire.com/security-advisories/hackers-flood-the-web-with-100-000-malicious-pages-promising-professionals-free-business-forms-but-are-delivering-malware-reports-esentire

3.Adobe宣布清静更新，，，，，，修复4款产品中的多个误差

Adobe宣布清静更新，，，，，，修复了Photoshop、Digital Editions、Bridge和RoboHelp中的多个误差。。。。。。。。此次修复的较为严重的误差为Photoshop中的缓冲区溢出导致的恣意代码执行误差（CVE-2021-28548和CVE-2021-28549）。。。。。。。。此次还修复了Bridge中的越界写导致的代码执行误差（CVE-2021-21094和CVE-2021-21095）和内存损坏导致的代码执行误差（CVE-2021-21093和CVE-2021-21092）等。。。。。。。。

原文链接：

https://www.securityweek.com/adobe-patches-critical-code-execution-vulnerabilities-photoshop-bridge

4.研究团队披露QNAP NAS装备中的远程执行代码误差

清静公司SSD Secure Disclosure披露了QNAP NAS装备中的远程执行代码误差，，，，，，并宣布了针对该误差的PoC代码。。。。。。。。该误差被追踪为CVE-2020-2501，，，，，，是一个基于客栈的缓冲区溢出误差，，，，，，影响了运行Surveillance Station的QNAP NAS装备。。。。。。。。由于缺乏适当的界线检查，，，，，，远程攻击者可以使用特制的HTTP请求使客栈缓冲区溢出，，，，，，并执行恣意代码。。。。。。。。QNAP回应道，，，，，，现已修复该误差。。。。。。。。

原文链接：

https://securityaffairs.co/wordpress/116750/hacking/qnap-rce-exploit.html

5.研究职员披露本周的第二个Chromium中RCE 0day

研究职员Frust披露了本周的第二个Chromium中RCE 0day，，，，，，该误差影响了Chrome和Edge等基于Chromium的浏览器。。。。。。。。谷歌最新宣布了Chrome 89.0.4389.128以修复本周一果真的Chromium 0day，，，，，，时隔一天后Frust宣布了该新0day。。。。。。。。该误差需要与沙箱逃逸误差连系使用，，，，，，或者需要用户禁用沙箱功效。。。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/second-google-chrome-zero-day-exploit-dropped-on-twitter-this-week/

6.Netscout宣布2020下半年威胁情报的剖析报告

Netscout宣布了2020下半年威胁情报的剖析报告。。。。。。。。Netscout在2020年共发明了10089687次漫衍式拒绝效劳（DDoS）攻击，，，，，，每月的DDoS攻击次数已凌驾80万。。。。。。。。与2019年相比，，，，，，攻击频率同比增添了20％，，，，，，在2020年的下半年增添了22％。。。。。。。。DDoS勒索攻击的受害者数目增添了125％，，，，，，其中83％的企业因DDoS攻击导致了效劳中止，，，，，，比2019年增添了21％。。。。。。。。别的，，，，，，诸如电子商务、流媒体效劳、在线学习和医疗保健等主要的行业，，，，，，受到了攻击者越来越多的关注。。。。。。。。

原文链接：

https://www.netscout.com/blog/latest-netscout-threat-intelligence-report-highlights

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 凯发k8 版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】