PyPI包keep意外引入密码窃取模块

1、PyPI包keep意外引入密码窃取模块

安全研究员发现keep、pyanxdns、api-res-py等python模块突然引入了密码窃取模块，仔细一看竟是开发者疏漏。 包之间互相依赖已经相当常见了，这次keep就在依赖上栽了跟头。本想引入requests包，结果不小心少打了个s，就引入了一个恶意包。虽然就算善意来想是开发者手滑，出现这种较低级的错误也有点尴尬，但不排除开发者账号被劫持或有他自己小心思的可能性，目前这三个包出现密码窃取模块的问题已分配了CVE。 

部分镜像站也有一定的责任，request作为老牌钓鱼包早就臭名远扬，但很多镜像仍未从索引中删掉它，持续对粗心大意的开发者进行着钓鱼攻击。[阅读原文]

2、Hello XD开始部署更大更好更强的后门

平底锅安全研究员发现Hello XD组织升级了他们的后门，如今新后门更大更好更强，逃避检测能力一流。

最初它是基于Babuk泄露代码的一个变种，如今终于要拜托它的禁锢，走自己的路，毕竟一旦接受了自己的软弱，那就只能作为Babuk变种度过平凡的软生了罢。Hello XD在谈判阶段还是很为受害者着想的，没有搞Tor站之类的隐匿行踪，而是直接用Tox在线联系，还省时省力。不过他们似乎还是有这种意向的，最新版已经开始放Tor链接了，但大家访问试了试发现网站还没上线。加密后缀如其名，就是.hello，可可爱爱的打招呼如今变成了死神的问候。至于后门，他们把开源的MicroBackdoor加入了攻击链，做出了自己特色。安全研究员认为，虽然目前它的成果寥寥，但给它时间，一定能够成长为一个顶天立地的勒索软件。[阅读原文]

3、德国汉堡大学收集数十万人网络流量测试Wifi安全性

虽然已经是2202年了，但很多基础性的安全问题因为设备、系统等因素仍然存在，德国汉堡大学的安全研究员感觉疫情向好就跑去大街上再测试了一次。 这次实验花了好几天时间，共收集到数十万人份的流量信息，分析后发现，接近四分之一的设备到处广播之前连接过的Wifi信息。从这些信息中，安全研究员整理出近6万个Wifi账号和密码，根据名称判断大多是知名路由器的信号与初始生成密码。 安全研究员认为根据这些泄露的账号密码，可以针对性的建立钓鱼热点，用受害者自己吐出的鱼饵去钓鱼，岂不美哉。

不过这终究只是意外发现，这次实验的本意是测试持续跟踪，有些Wifi热点会根据MAC等信息对用户持续跟踪，特别是老版本的设备和系统缺乏对这种跟踪的保护，问题很大。安全研究院提醒，买最新款就可以部分解决这种隐私问题。[阅读原文]

4、PACMAN：针对M1 Mac的CPU硬件攻击

麻省理工学院安全研究员发现了一种针对M1 Mac的CPU推理执行功能的攻击，可以实现任意代码执行。 PACMAN这个名字来自于指针身份验证中的PAC（指针身份验证代码），这项功能旨在将加密签名添加到指针中允许操作系统检测并阻止更改，但如今被用来访问底层文件系统。

要利用该漏洞，首先需挖到一个Mac上的内存错误，在内存错误被PAC检测到时实现绕过并扩大安全风险。坏消息是这个问题苹果解决不了将一直存在，好消息是只要及时更新其他所有软件不给黑客可乘之机就没事了。相当于你家保险柜的锁坏了，但只要大门还关着就不用想那么多。苹果也是这么说的，认为这个漏洞对Mac用户构不成危险所以研究员我谢谢你但就这样吧。[阅读原文]

5、Vytal Chrome插件隐藏位置做的还真不含糊

最近一款名为Vytal的Chrome插件上架市场，可以有效防止位置信息泄露。 虽然虚拟专用网络可以在一定程度上做到这种等级的隐私防护，但如果网站使用JS直接从Web浏览器中获取位置信息的话，虚拟专用网络也无能为力了：比如通过一些函数获取时区、设置、本地时间等信息，可以对真实地址做出一定准确程度的推断。 Vytal就是修补这块漏洞的最后一块砖，把时区、区域、地理等相关信息都劫持隐藏掉，但有人测试了目前效果还不算完美。

从另一个角度来看，这个插件的出现也提醒了我们还有这种方法可用，估计以后通过这种方式获取敏感信息的网站会越来越多。[阅读原文]