微软和北卡州立大学的研究人员发现，数千名 JS 开发者使用了域名过期的邮箱，这将使得他们在 NPM（Node Package Manager） 上的项目很容易被劫持。研究人员分析了上传到 NPM 包管理器上的 1,630,101 个库的元数据。NPM 是最大的软件包仓库。研究人员发现有 2818 个项目维护者的账户仍在使用域名过期的电邮地址，而部分过期的域名正在 GoDaddy 等网站出售。研究人员认为，攻击者可购买相关域名，在电邮服务器上注册这些维护者的地址，然后重置维护者的账户密码接管 NPM 包。

越狱 iOS 设备替代应用商店 Cydia 的前成员 Jay Freeman 在以太坊 L2 扩展解决方案 Optimism 中发现了一个高危漏洞，允许攻击者无限制的复制以太坊代币。他在 2 月 2 日向 Optimism 报告了漏洞，在其修复之后予以披露。他将在 2 月 18 日举行的 ETHDenver 会议上发表演讲谈论这一漏洞。 在 bug 迅速修复之后，Optimism 向这位白帽黑客奖励了 200 万美元。这是至今最高的单笔 Bug 赏金之一。

RedLine 恶意程序被攻击者伪装成 Windows 11 升级安装程序提供给 Windows 10 用户。Windows 11 提高了硬件需求，很多 Windows 10 系统无法通过官方渠道升级到新操作系统，这就给攻击者创造了机会。RedLine 恶意程序能窃取密码、浏览器 cookies、信用卡以及加密货币钱包。惠普的研究人员称，攻击者通过 windows-upgraded.com 之类的域名传播恶意程序，网站外观模仿了微软官网，用户点击 Download Now 按钮之后会下载 1.5 MB 大小名字叫 Windows11InstallationAssistant.zip 的 ZIP 压缩文件。

无论设备多安全，用户总是其中最薄弱的一环。在实际中攻击者可简单通过口头威胁或法庭传票要求用户交出秘密。绝大多数安全方案都设计强调数据的保密性，而不是让用户可以否认设备上存在秘密数据。著名黑客黄欣国（Andrew 'bunnie' Huan）宣布了一种让用户可以否认秘密存在的机制 Plausibly Deniable DataBase (PDDB)。PDDB 使用的设备被称为 Precursor，在攻击者能无限制访问设备，能对存储器的数据进行快照，能反复的侵入性检查，PDDB 允许用户否认秘密存在。用户需要在性能和可否认之间做选择，秘密数据占据的比例很小时对性能的影响甚微，如 100 MB 容量占 8 MB。但如果 100 MB 占 80 MB 时性能影响会比较显著。

安全公司 Sansec 报告有大约 500 家电商网站被黑客植入了信用卡窃取程序，在访客试图在网站上购买商品时窃取敏感的支付信息。安全研究人员称，所有遭到入侵的网站都会加载托管在域名 naturalfreshmall[.]com 上的恶意脚本，它会弹出假的支付页面，所有支付信息会发送到该网站。黑客组合利用了一个 SQL 注入漏洞和 Quickview 插件的一个 PHP 对象注入攻击在网站服务器上直接执行恶意代码。遭到入侵的网站运行的版本是 Magento 1，该版本在 2020 年 6 月停止支持。相关网站最好升级到最新版本，或者安装 OpenMage 项目提供的 Magento 1 开源补丁。

Google 称默认启用双因素认证减少了一半的账号入侵。Google 是从去年底开始对 1.5 亿有“合适配置”的用户账号默认启用 2FA。所谓“合适配置”是指用户已经有账号的恢复信息，如手机号码或额外的电邮。Google 表示将会在 2022 年继续推广 2FA，并从 3 月起让用户选择加入一个账户级的安全浏览选项，不让用户访问已知的恶意网站。Google 还承诺在美国中期选举前加强对政客的保护。

安全桌面操作系统 Qubes OS 释出了 4.1 版本。Qubes OS 使用一组被称为 Qubes 的虚拟机将不同功能隔离开来，每一个应用程序都运行在各自的沙盒中，确保一个程序有安全漏洞不会影响到其它程序。Qubes OS 使用了 Xen 虚拟层（hypervisor）和 Qubes 隔离系统不同部分，其中 Xen Dom0 是系统中虚拟层之外权限最高的部分，提供了管理接口还充当了所有 Qubes 的显示管理器，如果有人能访问它那么就能在整个系统中为所欲为了，Qubes OS 4.1 的一大变化就是将显示处理部分分离为一个独立的 GUI domain。4.1 版本的另一个变动是新的 Qrexec 策略系统，等等。

为了应对勒索软件等恶意程序，微软计划改变 MS Office 办公软件处理宏的方式：如果文件使用的宏命令是从网上下载的，宏将会默认完全禁用。目前的 Office 版本会对包含宏的文件弹出警告横幅，用户可通过点击启用，但新版本的横幅不再能启用宏。从 2022 年 4 月起，这一改变将首先提供给 Office v2203 用户预览，6 月起推广到订阅版本 Microsoft 365  Office，最后是目前支持的独立版本 Office 2021、2019、2016 和 2013。如果用户仍然想要启用网上下载文件中的宏，他们可以打开文件的属性，点击 unblock 按钮。

旗下包括《华尔街日报》和《纽约邮报》等媒体的新闻集团周五透露遭到了黑客入侵。入侵最早可以追溯到 2020 年 2 月，初步调查显示黑客是通过供应链实施入侵的，也就是通过新闻集团使用的第三方云服务入侵该公司。有数十名员工受到攻击的影响，黑客可能访问了他们的电子邮件和 Google Docs，其中包括发表文章的原稿。新闻集团是在今年 1 月 20 日发现了入侵，该公司表示客户和财务数据未受影响，公司运营也没有中断。

过去几周，监视朝鲜网络的人士注意到该国与外界的连接时断时续，个别天朝鲜对外网站几乎全部下线，至少一个中心路由器在攻击下瘫痪。朝鲜恰好在这个时间点多次发射了导弹，因此有人怀疑对朝鲜网络的攻击可能来自于政府背景的黑客组织或网络战部队。《连线》报道，真正的幕后攻击者其实是一名无任何政府背景的美国黑客。朝鲜黑客组织此前对安全研究人员发动了一系列网络攻击窃取黑客工具和软件漏洞相关的情报，这位名叫 P4x 的黑客在一年前成为其中的一名受害者。他设法阻止了朝鲜黑客窃取有价值的情报，注意到美国政府对此类攻击没有任何明显的回应，因此决定自己动手。他提供了屏幕录像证明自己正在对朝鲜网络发动攻击。他在朝鲜的网络中发现了多个已知但未修复的漏洞，允许他使用脚本对服务器和路由器发动拒绝服务攻击。

HardenedVault 写道 "2022年1月25日，赛博堡垒（HardenedVault）创始人 Shawn Chang在第九界安天网络安全冬训营研讨会上分享了《开放基础架构安全防护:对抗复杂性》(视频）的议题，主要围绕基础架构的定义、用实际案例分析了高级防护的趋势、威胁建模过程中遇到的常见问题及打造开放的体系基础架构安全过程中关键性的组件等方面进行了介绍。2021年的公开披露信息来看，高级威胁有之前未见的两大趋势，规模化构建专注底层的攻击链条和更加精湛的攻击技术，Kaspersky针对2022年APT（高级可持续威胁）的趋势预测中直接指出了底层攻击的“热度”回归，"Bootkit is a new norm"沉积了数年之后再次进入主流视野。"

去年 12 月研究人员发现了据信是第一种由专业网络犯罪组织用 Rust 语言开发的勒索软件 ALPHV/BlackCat。相比 C 或 C++ 语言 Rust 是一种更安全的编程语言，用 Rust 开发的程序更难找到常见的编程漏洞，如果有更多网络犯罪组织切换到 Rust 语言，将会加大安全公司发现勒索软件漏洞的难度。Krebs on Security 援引消息来源报道，ALPHV/BlackCat 的一名开发者网名叫 Binrs，曾在俄语自我介绍有六年的 Rust 开发经验。

最新版本的 Android 恶意程序 BRATA 能在窃取数据之后将设备恢复到出厂设置，抹掉设备上的所有数据掩盖其活动痕迹。BRATA 在 2019 年最早被发现时属于一种 Android RAT（远程访问工具），主要针对巴西用户。安全公司 Cleafy 在 2021 年 12 月报告 BRATA 开始在欧洲等地出现，并增加了更多功能，它发展成为窃取电子银行登录凭证的恶意程序。其最新版本针对了英国、波兰、意大利、西班牙、中国和拉美的电子银行用户，每个变种针对了不同的银行，都使用了类似的混淆技术以躲避安全软件的检测。它会寻找设备上安全程序的痕迹，会在执行渗透前删除安全工具。

新勒索软件 DeadBolt 正在瞄准世界各地的 QNAP NAS 设备。攻击者声称利用了一个 0day 漏洞，承诺如果 QNAP 愿意支付价值 18.5 万美元的 5 比特币，他们将披露 0day 漏洞的细节。如果有人愿意支付价值 185 万美元的 50 比特币他们将披露 0day 漏洞细节并提供能解密所有加密文件的主密钥。受影响的 QNAP 设备会看到所有文件被加密，文件扩展名为 .deadbolt。设备登录页面会显示勒索信息，要求受害者支付价值约 1100 美元的 0.03 比特币。

英国国家犯罪局（NCA）的网络犯罪部门正在着手进行一项旨在教育儿童了解 DDoS 攻击后果的计划。正如 NCA 网站上一篇文章所解释的，最近的一项研究促使他们采取了此项计划，研究表明，年仅 9 岁的孩子在对他们所在学校的网络、网站和其他服务发起 DDoS 攻击。报告称，在疫情期间，此类攻击的数量急剧增加，可能会对在线学习活动造成干扰。

安全公司 Qualys 的研究人员在类 Unix 系统权限管理工具 Polkit 中发现了一个 root 提权漏洞，允许非特权用户获得系统的 root 权限。该漏洞被命名为 PwnKit，已存在了 12 年之久。从 2009 年起，Polkit 包含了一个内存破坏（memory-corruption）漏洞，利用漏洞比较简单，甚至部分账号能百分之百实现。已在存有漏洞的系统获得立足点的攻击者可以滥用该漏洞确保恶意负荷或指令能以系统最高权限执行。安全研究人员是在去年 11 月发现该漏洞的，在主要 Linux 发行版修复漏洞之后将其披露。Qualys 没有公布漏洞利用概念验证代码，但发布了一则漏洞利用视频。

白俄罗斯黑客周一宣布用勒索软件感染国营铁路系统的网络，只有白俄总统卢卡申科（Alexander Lukashenko）在俄罗斯军队对乌克兰发动可能入侵之前停止对其的援助，他们才会提供解密密钥。自称 Cyber Partisans（网络游击队）的组织在 Telegram 上写道：“在恐怖分子卢卡申科的指挥下，BelZhD(白俄罗斯铁路) 这些天允许占领军进入我们的土地。作为‘Peklo’网络行动的一部分，我们加密了 BelZhD 的大部分服务器、数据库和工作站，以减缓和破坏铁路的运行。备份已被破坏。”该组织还在 Twitter 上宣布了这次袭击。

该组织的一位代表在私信中表示，Peklo 网络行动针对特定实体和政府经营的公司，目标是向白俄罗斯政府施压，要求其释放政治犯，并阻止俄罗斯军队进入白俄罗斯，利用该国领土对乌克兰发动袭击。该代表写道：“政府继续压制白俄罗斯人的自由意志，监禁无辜的人，他们继续非法关押着……数千名政治犯。”“主要目标是推翻卢卡申科政权，维护主权，建设一个有法治、独立机构并保护人权的民主国家。”BelZhD 网站上的几项服务确实无法使用。如在线购票功能无法正常工作。该代表表示，除了票务和调度瘫痪之外，此次网络攻击还影响到了货运列车。据报道，俄罗斯一直通过铁路向与乌克兰接壤的白俄罗斯运送军事装备和人员。@belzhd_live 周五表示，在一周之内，超过 33 列满载装备和部队的俄罗斯军用列车抵达白俄罗斯，进行联合战略演习。@belzhd_live 是一个白俄罗斯铁路工人组织，跟踪着该国 5512 公里铁路的状况。该工人团体当时表示，预计在接下来的几天内，将总共有 200 个梯队抵达。

color 和 faker 开发者的 Marak Squires 本月早些时候通过加入无限循环故意破坏了这两个广泛使用的依赖库。在包管理器 NPM 上，colors 的周下载量超过 2000 万次，有近 19000 个项目依赖它；faker 的周下载量超过 280 万次，有超过 2500 个项目依赖它。在事故发生之后，GitHub 平台短暂封禁了其账号，在解封之后其发行权仍然被剥夺。faker 之后出现了社区管理的分支。Marak Squires 想要拿回发行权，他声称自己的邮件没有收到任何回应，而他有一百个包需要维护，“每个人都会不时犯下编程错误，没有人是完美的。”但无心之过和故意破坏显然是两码事，他的请求几乎无人支持，认为他的故意破坏损害了开源生态系统的信任原则。

Jetpack 安全研究人员发现了一起利用 WordPress 扩展的供应链攻击。Jetpack 来自 WordPress 母公司 Automattic。如果网站从 AccessPress Themes 网站下载了主题扩展，那么网站有可能遭到了入侵。如果是从 WordPress.org 下载了相同的主题扩展，那么它们应该是安全的。攻击者修改的是 AccessPress Themes 网站上托管的主题扩展，悄悄植入了后门。攻击者在主题目录中加入了一个脚本 initial.php，它充当了下载程序，能从 wp-theme-connect[.]com 下载和安装后门。一旦安装后门下载程序会自毁以隐藏其活动。安全研究人员对攻击起始时间有不同看法，Jetpack 的研究人员认为供应链攻击始于去年 9 月，但另一家安全公司 Sucuri 的研究人员 Ben Martin 认为攻击可以追溯到三年前。

卡巴斯基研究人员透露了植入到 UEFI 固件中的恶意程序 MoonBounce。该恶意程序被认为来自于 APT41 aka Winnti 或 Double Dragon。恶意程序修改了主板上名为 SPI flash 的元件，它不在硬盘上，因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流，引入一个复杂的感染链。研究人员认为，黑客对 UEFI 系统的工作原理有着深刻的理解。感染链只在内存中运行，硬盘上没有留下攻击痕迹。黑客主要对 IT 行业、社交媒体、电信、非营利组织和医疗机构进行攻击。