Tencent Security Xuanwu Lab Daily News
• Hackers Flood NPM with Bogus Packages Causing a DoS Attack:
https://thehackernews.com/2023/04/hackers-flood-npm-with-bogus-packages.html
・ 用于 Node.js 的 npm 开源包存储库带有导致拒绝服务 (DoS) 攻击的伪造包,导致零星的“服务不可用”错误
– SecTodayBot
• [Tools, Malware] LLMs and Phishing:
https://www.schneier.com/blog/archives/2023/04/llms-and-phishing.html
・ 这是一个由世界各地的本科计算机科学学生进行的实验:让 ChatGPT 生成网络钓鱼电子邮件,并测试这些是否比通常的垃圾邮件更能说服受害者回复或点击链接
– SecTodayBot
• [Vulnerability] Paper QA:
https://github.com/whitead/paper-qa
・ Paper QA,一个从 PDF 或文本文件中进行问答的最小包,它使用 OpenAI 嵌入和一个名为 FAISS 的矢量数据库来嵌入和搜索带有文本引用的文档
– SecTodayBot
• Proxyjacking has Entered the Chat:
https://sysdig.com/blog/proxyjacking-attackers-log4j-exploited/
・ Sysdig 的威胁研究团队 (TRT) 检测到一种名为代理劫持的新攻击,它利用用于初始访问的 log4j 漏洞。攻击者随后将受害者的 IP 地址出售给代理软件服务提供商以获取利润
– SecTodayBot
• [Tools] NightmareLab/SourceGPT:
https://github.com/NightmareLab/SourceGPT#overview
・ SourceGPT – 构建在 ChatGPT 之上的源代码分析器和提示管理器,作为 oracle。用户友好的网络界面
– SecTodayBot
• [Malware] Over 1 Million WordPress Sites Infected by Balada Injector Malware Campaign:
https://thehackernews.com/2023/04/over-1-million-wordpress-sites-infected.html
・ Balada Injector,一个恶意软件家族,它利用超过 20 个插件和主题中的缺陷来破坏易受攻击的 WordPress 站点,主要是生成虚假的管理员用户,收集存储在底层主机中的数据,并留下后门以持久访问其他站点
– SecTodayBot
• ChatGPT法规来了!国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》 – FreeBuf网络安全行业门户:
https://www.freebuf.com/news/363195.html
・ 国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》
– SecTodayBot
• [Android] How much to infect Android phones via Google Play store? How about $20k:
https://go.theregister.com/feed/www.theregister.com/2023/04/10/kaspersky_google_play_malicious_apps/
・ 卡巴斯基表示,如果您想通过官方 Google Play 商店将恶意软件偷偷植入人们的 Android 设备,这样做可能会花费您大约 20,000 美元。此前,俄罗斯信息安全机构研究了 2019 年至 2023 年间的九个暗网市场,并发现大量待售代码和服务可感染和劫持 Google Play 用户的手机和平板电脑
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(4-13)