CrossBarking攻击：Opera浏览器私有API遭挟制

首页 > 清静研究 > 清静转达 > 清静简讯

CrossBarking攻击：Opera浏览器私有API遭挟制

宣布时间 2024-11-01

1. CrossBarking攻击：Opera浏览器私有API遭挟制

10月30日，研究职员发明了一种新的浏览器攻击方法，通过使用现已修复的误差，将自界说代码注入受害者的 Opera 浏览器，从而控制其“私有”应用程序编程接口 (API)，这些 API 通常仅为最受信托的网站保存。这些私有 API 可为开发职员提供特殊权限，但也可能被黑客使用，以获得对浏览器的全权控制，包括更改设置、挟制账户、禁用清静扩展等。为了展示这种攻击方法，Guardio 研究职员开发了一个恶意的 Chrome 扩展程序，该扩展程序被设计为在具有私有 API 会见权限的网站情形中运行恶意代码。他们通过该扩展程序，将恶意代码注入到 Opera 浏览器中，并使用 settingsPrivate API 更改了受害者的域名系统 (DNS) 设置，从而周全审查和使用其浏览运动。为相识决这个问题，Opera 接纳了 Chrome 中已经实现的一种快速解决计划：阻止任何扩展程序在具有私有 API 会见权限的域上运行剧本的能力。

https://www.darkreading.com/vulnerabilities-threats/crossbarking-attack-secret-apis-expose-opera-browser-users

2. 网络垂纶电子邮件瞄准学生贷款持有人

10月30日，近4300万美国人背负着平均每人37,000美元的学生贷款债务。拜登总统曾提出一项旨在免去部分乞贷人债务的妄想，但该妄想面临重重障碍。在此配景下，网络犯法分子趁机针对学生贷款持有人提倡网络垂纶攻击。Harmony Email & Collaboration的网络清静部分发明，这类攻击在已往两周内激增，且攻击者使用了特殊的文本混淆手艺，如Unicode从左到右标记 (LRM) 和软连字符，以规避自然语言处置惩罚检测器的检测。这些邮件内容看似紧迫且可信，实则旨在诱骗受害者泄露敏感信息。此类攻击不但威胁小我私家信息清静，还可能对企业组成危害。员工若在公司装备上处置惩罚这些邮件，可能导致恶意软件入侵公司系统，进而引发数据泄露或营业信息外泄。因此，企业需接纳切实可行的步伐来提防此类攻击，包括提高员工清静意识、使用先进的电子邮件过滤和清静工具、实验多因素身份验证以及制订完善的事务响应妄想。

https://blog.checkpoint.com/harmony-email/7500-phishing-emails-use-interesting-obfuscation-method-to-target-student-loan-holders/

3. LottieFiles npm包现恶意代码，用户需紧迫升级

10月31日，LottieFiles 昨日宣布，其 npm 包中的特定版本，即 Lottie Web Player（“lottie-player”）的 2.0.5、2.0.6 和 2.0.7 版本，被发明携带恶意代码。这些版本会提醒用户毗连加密钱币钱包，意图清空钱包中的资产。发明问题后，LottieFiles 迅速宣布了纯净的 2.0.8 版本，建议用户尽快升级以阻止危害。同时，LottieFiles 指出，通过第三方 CDN 使用该库且未牢靠版本的用户会自动收到受损版本，但随着清静版本的宣布，这些用户将自动收到修复。关于无法升级的用户，LottieFiles 建议向最终用户转达危害，并忠言他们有关诓骗性加密钱币钱包毗连请求，或继续使用未受影响的 2.0.4 版本。别的，LottieFiles 宣布通告称，此次事务仅影响其 npm 包，不影响其 SaaS 服务，并确认其他开源库、代码和存储库均未受影响。该平台已剥夺改动版本上传者的 npm 帐户会见权限，并作废相关令牌，同时继续对此次入侵事务举行内部视察。现在尚不清晰该事务是否有受害者以及详细损失金额。

https://www.bleepingcomputer.com/news/security/lottiefiles-hit-in-npm-supply-chain-attack-targeting-users-crypto/

4. PTZOptics摄像机现零日误差，黑客试图使用提倡攻击

10月31日，黑客正在使用PTZOptics云台变焦实时流媒体摄像机中的两个新发明的零日误差CVE-2024-8956和CVE-2024-8957。这些误差于2024年4月被GreyNoise的Sift工具在其蜜罐网络上检测到。CVE-2024-8956涉及摄像机“lighthttpd”网络服务器中的弱身份验证问题，允许未经授权的用户会见CGI API，袒露敏感信息。而CVE-2024-8957则是由于“ntp_client”二进制文件中的输入整理缺乏，允许远程代码执行。这两个误差可能导致摄像头被完全接受、熏染恶意软件、攻击统一网络的其他装备或中止视频流。只管初始攻击运动在发明后不久消逝，但6月泛起了使用wget下载shell剧本举行反向会见的实验。GreyNoise已向受影响供应商举行认真任的披露，PTZOptics等厂商已宣布清静更新，但部分旧型号和新发明的受影响型号尚未收到补丁。GreyNoise以为可能有更普遍的装备受到影响，建议用户咨询装备供应商相识最新固件更新情形。

https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/

5. 疑似乌克兰网络攻击导致特维尔停车系统瘫痪

10月31日，俄罗斯西北部都会特维尔的住民因政府所称的数字停车支付系统“手艺故障”而得以免费停车近两天。然而，一个名为“乌克兰网络同盟”的黑客组织声称这可能是针对该市治理网络的网络攻击所致，并声称摧毁了数十台虚拟机、备份存储、网站、电子邮件和数百个事情站。特维尔市政府最初未对此揭晓谈论，但随后揭晓声明称网站和在线停车支付平台正在举行手艺维修。外地住民在实验付款时遇到过失新闻或应用程序加载失败。市政府官员厥后宣布停车付费服务已恢复，但未确认是否爆发了网络攻击。这并非亲乌克兰黑客首次声称对俄罗斯服务提倡攻击，此前也有类似事务被归罪为“手艺故障”。乌克兰网络同盟是一个亲乌克兰网络活感人士整体，自俄罗斯入侵乌克兰以来起劲加入反俄斗争，并曾声称入侵俄罗斯国家信用卡支付系统等行动。

https://therecord.media/ukraine-cyberattack-russia-parking-tver

6. Phish n' Ships网络垂纶运动熏染千家网店

10月31日，一项名为“Phish n' Ships”的网络垂纶运动自2019年起，已熏染凌驾一千家正当在线市肆，通过推广虚伪商品列表诓骗数十万消耗者，造成数万万美元损失。该运动使用误差、过失设置或受损治理员凭证入侵网站，上传恶意剧本和虚伪产品列表，使用SEO优化吸引受害者。受害者点击链接后被重定向至假市肆，履历虚伪结账流程并输入小我私家信息和信用卡详情，但购置的物品从未送达。Satori威胁情报团队发明所有假市肆毗连至一个由14个IP地点组成的网络，并滥用多家支付提供商套现。HUMAN及其相助同伴已协调回应，通知受影响组织并向Google报告虚伪列表，大大都恶意搜索效果已被整理，但威胁行为者可能会实验建设新的诓骗网络。建议消耗者注重不寻常重定向，确认市肆网址，并报告诓骗性收费。

https://www.bleepingcomputer.com/news/security/over-a-thousand-online-shops-hacked-to-show-fake-product-listings/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究