安全公司 Proofpoint 报告，被称为 TA413 的黑客组织利用恶意 Firefox 扩展攻击西藏组织，扩展配置窃取 Gmail 和 Firefox 数据，在被感染的计算机上下载恶意程序。Proofpoint 称，攻击者利用钓鱼邮件引诱目标访问提示需要安装 Flash 更新的网站，网站根据浏览器划分用户，只有经常访问 Gmail 的 Firefox 用户才被提示安装恶意扩展。恶意扩展还会在感染的计算机上安装恶意程序 ScanBox。这次攻击被称为 FriarFox，始于 2021 年 1 月，而从 1 月 12 月起主流浏览器开始禁止播放 Flash 内容。

乌克兰指控俄罗斯政府入侵了它的一个政府 Web 入口，植入恶意文件，在终端用户计算机上安装恶意程序。乌克兰国家网络安全协调中心称，恶意文件包含了一个宏，会秘密下载程序远程控制打开文件的计算机。乌克兰称，攻击使用的方法关联到了俄罗斯政府黑客。俄罗斯对乌克兰至今最严重的网络攻击是入侵了乌克兰的电网系统，诱发了断电事故；入侵了一家税务软件公司推送了恶意更新去破坏硬盘。

Adobe 在 2020 年 12 月 31 日之后停止更新和分发 Flash Player，之后重庆重橙网络科技有限公司通过网站 flash.cn 独家在中国大陆分发和维护 Flash Player。安全公司 Minerva Labs 在收到多次与 Flash 中国版相关的安全警告之后对其进行了分析，发现 Flash 中国版除了安装 Flash 之外还会下载和运行名叫 nt.dll 的文件，其主要功能类似广告程序，但不排除它可以用于其它恶意目的。Flash 中国版主要影响中国用户。

起亚汽车美国前不久其在线服务发生故障，客户无法通过官方应用远程启动汽车。Bleeping Computer 报道声称，起亚公司遭到了勒索软件 DoppelPaymer 的攻击，黑客索要价值 2000 万美元的比特币。DoppelPaymer 攻击者声称他们从起亚汽车美国公司内部窃取了大量数据，如果该公司不再 2 到 3 周内与其进行协商这些数据将会公开。为了不公开数据，DoppelPaymer 索要了价值 2000 万美元的 404 比特币，如果不在预定时间内支付，赎金将会增加到 600 比特币，价值相当于 3000 万美元。起亚汽车发表声明否认遭到勒索软件的攻击，声称只是发生了宕机事故。

安全公司趋势科技报告在茄子快传中发现多个安全漏洞，而它的漏洞能导致远程代码执行。茄子快传是下载量最高的传输应用，曾跻身全球应用下载排行榜前十。它最早由联想开发，一度预装在联想手机上，后从联想独立出去。茄子快传的权限相当广，其中包括访问所有本地存储和媒体，摄像头、麦克风、通讯录、位置，甚至还可以删除应用。趋势科技称，茄子快传的漏洞能被用于泄露用户的敏感数据，以及远程执行代码。

微软称 SolarWinds 黑客阅读和下载了它三款产品的源代码，但没有证据显示黑客访问了它的产品服务器或客户数据，也没有发现黑客通过它攻击客户。SolarWinds 黑客攻击是被认为是至今最大规模的针对美国的网络间谍行动。微软称，黑客访问了 Azure 组件的少量子集；Intune 组件的少量子集；Exchange 组件的少量子集。

2 月 4 日，数百万浏览器标签突然终止。Chrome 开源扩展 The Great Suspender 在变更维护者之后于去年 10 月推送了恶意更新，Google 在 4 个月后终于决定强行移除该扩展。这起事故凸显了开源项目中的控制问题。谁拥有开源项目的代码？是最初的创始人？是维护者？还是整个社区？绝大部分开源项目并没有一个专门的基金会或治理系统去管理项目。如 GitHub 这样的托管平台允许多个人或核心贡献团队控制项目，但在 Chrome Web Store 或 Apple App Store 这样的发行渠道，只能由个人控制着项目账号负责每个版本的发布。The Great Suspender 的功能是暂停不活跃的标签页，它的维护者 Dean Oemcke 于 2020 年 6 月决定转到其它项目，他将 GitHub 库和 Web Store 的所有权转让给了一个未公开身份的人。扩展的用户当然不会关心所有权的转让，但他们即将面临这一转让的影响。去年 10 月新维护者释出的更新包括了下载和执行第三方域名的 JS 文件。这一变动还关闭了自动更新，这意味着即使恶意代码移除现有用户仍然会继续使用恶意版本。这并不是第一次开源项目转让之后变成恶意。Raymond Hill 将 uBlock 的所有权转让给了新维护者 Chris Aljoudi，结果他利用这个项目牟利，甚至允许广告商付钱躲避屏蔽。这促使 Raymond Hill 创建了分支 UBlock Origin。Hugo Xu 的扩展 Nano Adblocker 和 Nano Defender 是基于 UBlock Origin，在将项目的所有权转让出售给土耳其的开发者之后变成了恶意应用。

微软总裁 Brad Smith 接受 CBS 60 分钟节目采访时候表示，SolarWinds 黑客攻击是至今“最庞大最复杂的攻击”。他可能忘记了美国以色列对伊朗铀浓缩工厂发动的 Stuxnet 蠕虫攻击，就复杂程度而言 Stuxnet 攻击远在 SolarWinds 攻击之上；但就规模而言，SolarWinds 攻击可能确实在 Stuxnet 之上。SolarWinds 攻击行动被广泛认为是俄罗斯黑客发动的，旨在收集情报，攻击者首先入侵了美国政府机构和大型企业使用的 SolarWinds 网络监视管理平台 Orion，向其客户推送了含有后门的恶意更新，然后选择性的发动后续攻击。黑客了访问美国财政部、司法部、商务部等机构的内部邮件。

安全公司 Lookout 报告 Android 间谍软件的两种变种 Hornbill 和 SunBird 被发现与孔夫子黑客组织有关联。孔夫子 APT 组织最早是在 2013 年发现的，主要攻击东南亚的政府机构、巴基斯坦军方成员，印度选举官员和核机构，被认为与印度政府有关联。新发现的两种 Android 恶意程序主要用于入侵流行的消息应用 Whatsapp，提取聊天内容。其中 Hornbill 是基于商业间谍软件 MobileSpy，SunBird 是基于印度开发的间谍软件 BuzzOut。

俄罗斯搜索引擎和电邮服务商 Yandex 披露，它的一名雇员出售了客户邮箱的访问权限。该公司没有公开这名雇员的名字，称其为三名系统管理员之一，拥有提供邮件服务技术支持必要的访问权限。有 4,887 名客户受到影响，Yandex 正在联系这些客户，要求他们修改密码。它表示已经屏蔽了未经授权的登录。Yandex 称它是在一次例行安全检查时发现这起事故的。

HardenedLinux 写道 "近几年的各种后门疑云的背景下，硬件供应链是一个令人关注的话题，信息安全最大的宿敌之一就是复杂性，而如何驯服这只野兽需要足够的耐性的知识去构建适当的方法论，受到硬件黑客Andrew Bunnie Huang的著作《硬件黑客的复仇：大规模廉价制造之华强北风云录》的启发，HardenedLinux社区近期就硬件设计和制造过程中所涉及的基本流程进行了一次小测试，即cheap-pcb项目，EDA工具使用的是自由软件实现Kicad完成了一款引出的绝大部分IO和USB的基于廉价STM32的开发板，具有串口编程电路，SPI读写测试基于stm32-vserprog完成，对于器件，尺寸，厂家在设计阶段和生产阶段的选型和兼容性问题都有详细的记录和总结，如果一款量产后的成本低于10美金的硬件都会经历诸多流程以及几十甚至上百种器件的搭配和组合，那针对x86工作站或者服务器级别的硬件制作一个类似固件领域的黄金镜像将是一件非常具备挑战性的工作。"

一位安全研究员设法利用一种新颖的软件供应链攻击入侵了 35 家大型科技公司的内部系统，这些公司包括了 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber。这次攻击利用了开源生态系统的一个设计缺陷：依赖关系混乱。Alex Birsan 注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包，他想知道如果他创建一个同名的公开的 npm 包，那么软件在构建时是优先使用私有的还是公开的版本？为了测试这一假说，他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目，每个项目都包括了相同的说明，解释软件包不包含任何有用的代码，只是用于安全研究目的。他发现，公开的软件包会比私有的软件包优先度更高；某些情况下版本更高的软件包优先度更高，无论私有还是公开。利用这一方法，他成功入侵了多家知名科技公司，获得了超过 13 万美元的漏洞报告奖励。

一个神秘的黑客行动派纂改了多个斯里兰卡域名的 DNS 记录，将这些域名定向到描述当地社会问题的网页。受影响的知名网站包括 Google.lk 和Oracle.lk。黑客在网页中谈论了当地茶业、新闻自由、腐败政治和司法制度、种族、少数民族和宗教问题。这次攻击发生在 2 月 6 日周日，持续了数个小时。攻击细节和受影响域名尚未公布。

波兰游戏开发商 CD Project RED 在 Twitter 上发表声明，证实遭到勒索软件攻击。CD Project RED 称，未知身份的攻击者入侵了它的网络，获取了部分数据，加密了部分设备，留下了勒索通知。它的备份未受影响，因此数据恢复工作已经启动，它表示不会与黑客进行任何的协商或满足黑客的要求。它表示调查显示入侵的系统没有包含任何用户数据。它已经将此事报告给了执法机构。黑客在勒索通知中宣称他们窃取了《赛博朋克 2077》、《巫师3》、《巫师之昆特牌》以及未发布版本的《巫师3》的源代码，以及一些企业内部文件。如果 CD Project RED 拒绝达成协议，那么源代码将会出售或泄露到网上。

佛罗里达 Pinellas 县警长 Bob Gualtieri 在周一的新闻发布会上表示，黑客入侵了该县 Oldsmar 市的水处理工厂，将水中的氢氧化钠水平提高到危险等级。警方、以及 FBI 和美国特勤处正在调查这起黑客入侵案件，目前还不知道黑客攻击来自美国国内还是国外。事故发生在 2 月 5 日大约 8 点左右，水处理厂的一名操作人员注意到有人远程进入了他正在监视的计算机系统，该系统用于控制化学品和其它处理操作。操作人员一开始并没有采取任何行动，因为主管从不同地点远程操作处理故障是很常见的。黑客在系统中花了五分钟时间，开始将水中的氢氧化钠浓度从 100 ppm 提高到 1.11 万 ppm。俗称碱水的氢氧化钠是排水管清洁剂的主要成分。操作人员立即采取行动将氢氧化钠降至合适的水平。远程访问程序目前已经禁用，以防止类似的问题再次发生。

DuckSoft 写道 "最近，端到端加密消息平台 Signal 被伊朗政府封杀。为了帮助其用户绕过伊朗的审查制度，该公司提出了一个 TLS 代理 的变通方法。 继 “Signal 无视代理漏洞，称“这不是风险” 事件”（Solidot）后，有研究人员发现（存档），Signal 的  Android 应用的最新测试版未能将所有流量路由到 TLS 代理。应用中存在 DNS 泄漏，这对于审查人员来说，了解哪些 IP 地址连接到 Signal 将易如反掌。

研究人员还报告了其他的流量泄漏问题，包括检查更新等 API 不会走代理等。"

安全公司 Malwarebytes 报告，Google Play 官方应用商店一个下载量超过千万的条形码扫描应用 Barcode Scanner 在去年 12 月的一次更新之后变成恶意程序。ZXing Team 开发的同名开源条码扫描应用随后遭到了差评轰炸，开发者声明他们在 2019 年之后就没有更新过，它不是广告软件。Malwarebytes 称，Barcode Scanner 的开发商利用了混淆代码去躲避检测，使用了与旧版本相同的数字证据签名。Google 已经将该应用从商店下架。

DuckSoft 写道 "最近，端到端加密消息平台 Signal 被伊朗政府封杀。为了帮助其用户绕过伊朗的审查制度，该公司提出了一个 TLS 代理 的变通方法。

然而，多名研究人员现在发现了该变通方法中的缺陷，可以让审查员或政府机构探查到 Signal TLS 代理，使这些保护措施失去意义，并可能给位于镇压政权的 Signal 用户带来影响。

通过 Signal 的 GitHub 仓库报告这些缺陷的研究人员已经被公司禁言，而他们报告的问题也被删除。来源：BleepingComputer"

Google 资助了 Internet Security Research Group(ISRG)的一个项目：用 Rust 语言为 Apache HTTP web server 项目开发安全模块 mod_tls。在 Apache web server 中，mod_ssl 用于支持建立 HTTPS 连接所需的加密操作。它是用 C 语言开发的，新的模块 mod_tls 将是用 Rust 语言开发，领导该项目开发的是软件咨询公司 Greenbytes 的创始人和 Apache HTTP Server 开发者 Stefan Eissing。ISRG 希望，在完成开发之后 Apache HTTP web serve 团队将采用 mod_tls 作为默认模块取代年代悠久不安全的 mod_ssl。

在俄罗斯黑客之后，疑似中国黑客去年利用 SolarWinds 公司软件中的缺陷侵入美国政府电脑。知情人士称，FBI 调查人员最近发现，美国农业部内的联邦薪资处理机构国家财务中心是受到此次黑客行动影响的组织之一，这令人担忧成千上万联邦政府雇员的数据可能泄露。这次疑似中国黑客所利用的软件缺陷不同于美国指控的俄罗斯政府特工所利用的软件缺陷。中国外交部表示，追究网络攻击的来源是一个“复杂的技术问题”，任何指控都应该有证据支持。中国外交部在声明中称，中方坚决反对并打击任何形式的网络攻击和窃密活动。