GitHub 安全博客警告了针对的 Apache NetBeans IDE 项目的开源供应链攻击 Octopus Scanner。GitHub 称它在 3 月 9 日收到了被称为 JJ 的安全研究人员发来的警告，称发现一组感染了恶意程序 Octopus Scanner 的开源库。一旦感染，恶意程序会寻找用户开发系统上的 NetBeans 项目，然后将恶意负荷嵌入到项目文件中，每次项目构建都会执行恶意负荷。GitHub 随后展开了调查，发现了 26 个开源项目被植入了 Octopus Scanner 后门。GitHub 称，他们向 VirusTotal 上传了样本，60 个杀毒软件只有 4 个能将其检测出来。恶意程序伪装成 ocs.txt 文件，但实际上是一个 JAR（Java Archive）文件。

思科披露六台用于提供 VPN 服务的服务器遭黑客入侵，攻击者利用了 4 月底公开的 Salt 组件漏洞。思科的 Virtual Internet Routing Lab Personal Edition (VIRL-PE) 和 Cisco Modeling Labs Corporate Edition 都整合了 Salt 管理框架，而 Salt 在四月底披露了两个高危漏洞——目录遍历和身份验证绕过，两个漏洞组合允许未经授权访问整个服务器文件系统。思科在 5 月 7 日部署服务器时没有整合补丁，同一天它的服务器遭到了黑客入侵，然后同一天它把相关服务器都下线了。

趋势科技从其网站移除了检测 rootkit 的程序 Rootkit Buster 的下载，随后该程序的核心驱动 tmcomm.sys 被微软加入到了屏蔽列表，意味着 Windows 10 将阻止驱动加载和 Rootkit Buster 运行。安全研究人员的调查发现，tmcomm.sys 改变了分配内存的方式以通过微软的 Windows Hardware Quality Labs (WHQL)的认证测试。出于安全理由，驱动程序只能从操作系统可用内存的不可执行未分页内存池请求分配内存。此举将能限制攻击者利用漏洞向驱动的内存分配注入恶意代码。Rootkit Buster 的驱动被发现如果检测到是在进行 WHQL 测试，它会改变内存分配方式，从不可执行未分页内存池请求内存；如果检测到不是进行测试，它会从可执行未分页内存池请求内存。这种方式是不安全的，会导致不能通过 WHQL 测试。为什么不始终从不可执行未分页内存池请求内存？趋势科技没有给出明确解释。

奇虎安全研究人员报告，双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件，使用了阿里云存储来托管配置文件，利用百度统计管理感染主机的活跃情况，恶意程序样本中还多次发现了腾讯微云的 URL 地址。它第一次将 BAT 三大厂商的服务集成到了自己的程序中。百度已经采取行动阻断恶意代码下载链接。

可能是为了防止遭到黑客入侵的计算机被用于进行欺诈性购买，eBay 网站会使用脚本扫描访问者计算机的 14 个不同端口，寻找远程访问程序。大部分被扫描的端口与常用的远程访问工具 Windows Remote Desktop、VNC、TeamViewer、Ammy Admin 等相关。2016 年有报告称，攻击者使用远程访问工具 TeamViewer 控制了受害者的计算机，然后在 eBay 网站上进行大量的欺诈性购买。

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年 1 月，三个目标分别是国家议会和外交部，黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。ComRAT 的最新版本是 v4，研究人员观察到了 ComRAT v4 的新变种包含了两项新功能：收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。安全研究人员认为，黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来，他们可以进行调整以躲避检测。

Chromium 项目报告，它七成的严重安全 bug 属于内存安全问题，因此它的下一个项目将是在源头阻止此类 bug。对 2015 年之后发现的 912 个高危级安全 bug 的分析发现，七成为内存不安全问题，如 C/C++ 指针错误，其中一半是使用后释放 bug。这些 bug 遍及整个代码库，非安全性的 bug 很大一部分其根源也是内存安全问题。Chromium 项目称它的沙盒机制在设计时就考虑了此类 Bug 的存在，但现在沙盒和网站隔离机制已经达到其能力的极限。他们现在考虑的一个方案是使用现有的更安全的语言如 Rust 和 Swift 等。

上个月安全公司 QuoIntelligence 报告，中国黑客组织 Winnti (aka APT41、BARIUM、Blackfly)尝试入侵《仙境传说》开发商韩国重力社的内部网络。Winnti 被认为是恶意版 CCleaner 的幕后攻击者。安全公司 ESET 本周四披露了 Winnti 对网游公司发动攻击的更多细节。安全研究人员称，Winnti 攻击了韩国和台湾的多个热门网游开发商，在其中一个案例中，攻击者入侵了受害者的构建系统，发动了供应链攻击，将游戏可执行文件变成了木马。在另一个案例中，攻击者入侵了游戏服务器，操纵游戏内虚拟货币以获得经济利益。在 2018 年的一次攻击中， Winnti 窃取了 Nfinity Games 的软件证书，该证书直到 ESET 警告其滥用之后才被撤销。

德国和法国的研究人员在预印本网站 arXiv 上发表论文（PDF），分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类：其一是在软件产品中植入恶意代码去感染终端用户，此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击，攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新，这次攻击造成了数十亿美元的损失，是已知最具破坏性的网络攻击之一。另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户，它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行，此类的攻击日益常见。研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包，他们发现 56% 的软件包在安装时触发恶意行为，41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制，它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。DNS 解析程序不能向“名字”发送域名查询，因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址，之后才能继续查询域名。NXNSAttack 就是基于这一原理，攻击者发送的委托包含了假的权威服务器名字，指向受害者的 DNS 服务器，迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次，对受害者服务器发动了拒绝服务攻击。众多 DNS 软件都受到影响，其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。

乌克兰安全部门宣布逮捕黑客 Sanix（a.k.a.“Sanixer“)，称他们在其计算机上找到的记录显示他出售各种数据库，包括登陆凭证、电邮收件箱、银行卡的 PIN 码，数字货币钱包，PayPal 账号和漏洞信息。Sanix 因在去年一月出售容量超过 87GB 的数据库 Collection #1 为闻名，其中包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。但该数据库并不是近期泄露的，而是几年前泄露用户账号信息整理而来。Sanix 在接受采访时承认了这一点，表示手中还有较新的泄露账号信息，总容量超过 4TB。Sanix 不是什么犯罪大师，他留下了很多线索可以跟踪到其真实身份。在被捕前，网上记录显示他在忙碌的兜售窃取的各种用户信息数据库。

在新冠疫情导致的混乱时期，网络罪犯和黑客对企业的攻击增多，与此同时，各企业还面临着另一个同样严重的安全威胁：它们自己的雇员。随着大量员工不用在他们老板的警惕目光下工作，而且解雇潮令一些员工心怀不满，企业越来越青睐于“老大哥”式的监控工具，以防止员工泄露或盗窃敏感数据。所谓的内部人员威胁包括员工无意间将隐私数据分享至工作网络之外，也包括故意盗窃数据，通常是为可能的金钱回报或对雇主的怨恨所驱动。较少见的情况（但这种情况正在增多）是知识产权盗窃和替外国政府刺探情报。虽然长期以来，雇主可以合法地监控电子邮件和网络行为，以检测外部网络安全威胁的迹象，但对于一些雇主而言，对员工运用此类工具所蕴含的隐私和信任问题会引起不适。

英国、德国和瑞士的多台超级计算机感染了挖掘门罗币的挖矿程序，管理者关闭了这些超算对入侵事故展开调查。西班牙的一个高性能计算中心据报道也发生了类似的安全事故。爱丁堡大学最早在周一报告称，它的超算 ARCHER 登陆节点发生了安全事故，它关闭了系统展开了调查，并重置了 SSH 密码以防止再次被入侵。德国协调超算研究项目的组织 bwHPC 也在周一宣布它的五个高性能计算集群因类似的安全事故被关闭。莱布尼茨计算中心周四宣布切断它的一台超算的网络连接，德国尤里希研究中心称因为安全事故它不得不关闭三台超算 JURECA、JUDAC 和 JUWELS。瑞士科学计算中心关闭了超算对外访问。这些研究机构尚未公布入侵细节，但初步报告显示黑客利用了窃取到的 SSH 登陆凭证访问超算集群，利用已知漏洞提权获得 root 权限，然后安装挖矿程序挖掘门罗币。被窃取的登陆凭证属于加拿大、中国和波兰的大学。

去年 11 月 27 日，Upbit 交易所遭入侵，34.2 万以太坊被盗走。黑客之后在 12 月和 1 月通过多个数字货币交易所洗掉了超过 23.6 万以太坊。剩余的以太坊一直留在黑客的钱包里。跟踪数字货币交易的 Clain 报告，黑客最近开始尝试通过多个交易所洗掉剩余的以太坊。黑客利用了多个知名的交易所，其中包括币安（Binance）、火币和 OKex。对窃取 Upbit 以太坊交易的跟踪显示，币安是利用率最高的交易所。币安官方表示它已经阻止了黑客的交易，数据显示黑客使用的钱包地址活跃了很长时间，直到最近才被屏蔽。

纽约律所 Grubman Shire Meiselas & Sacks (GSMS) 上周遭到了勒索软件 REvil (Sodinokibi) 的攻击，在加密计算机系统中的文件前勒索软件先窃取了其内部文件。窃取到的文件包含了律所客户的法律文书，它的客户中有名人和知名企业，如 Lady Gaga、Madonna、Mariah Carey、Nicki Minaj、Bruce Springsteen、Bette Midler、U2、Outkast、Jessica Simpson、Cam Newton 和 Facebook。攻击者 5 月 7 日在暗网发布信息，公布了一些窃取到的文件截图，给律所一周时间协商和支付赎金。14 日是截止日期，REvil 背后的运营者发布了第二则信息，称律所只愿意支付 36.5 万美元，而他们的要求是 2100万美元，因此现在他们把赎金增加了一倍至 4200 万美元。作为惩罚，REvil 黑客发布了 2.4 GB 大小的文档，其中包含了 Lady Gaga 的法律文书，大部分是演出合同。黑客还威胁释出对美国总统特朗普不利的文件。但有娱乐网站称特朗普从未成为 GSMS 的客户，因此这可能只是虚张声势。

微软本周二释出了例行安全更新，修复了多个漏洞，其中一个漏洞与打印机后台处理程序 Windows Print Spooler 相关，影响 Windows Server 2008、2012、2016 和 2019，以及 Windows 7、8.1 和 10。微软的安全公告似曾相识，称成功利用该漏洞的攻击者可以使用提升的系统权限执行任意代码。这个漏洞与十年前 Stuxnet 蠕虫利用的 Windows XP 漏洞十分相似。Stuxnet 蠕虫在 2010 年感染了伊朗的核设施，之后扩散到了世界其它地方。Stuxnet 至少利用了 4 个 0day 漏洞，其中之一就是打印机后台处理程序 Windows Print Spooler 漏洞 CVE-2010-2729，成功利用该漏洞的攻击者可以在 XP 系统上执行任意代码。最新的漏洞是 SafeBreach 的安全研究人员发现和报告给微软的，它除了与 Stuxnet 蠕虫相关外，最引人注目的一点是非常容易利用，一行 PowerShell 指令就能利用和安装一个持久性的后门。

macOS 版本的 Adobe Acrobat Reader 释出了补丁，修复了三个高危漏洞（CVE-2020-9615，CVE-2020-9614 和 CVE-2020-9613）。这些漏洞是腾讯安全玄武实验室的研究人员发现和报告的，漏洞允许普通用户从本地进行提权，在不被注意的情况下获得 root 权限。腾讯安全研究人员通过 GitHub 博客披露了漏洞细节。com.adobe.ARMDC.SMJobBlessHelper 是 Adobe Acrobat Reader 负责更新的一个组件，它运行在 root 权限下，没有应用沙盒，三个漏洞 Bad Checking，绕过临时文件夹 root 保护，竞争条件与之相关。

微软向测试者释出了 Windows 10 的最新版本，加入了对 DNS-over-HTTPS (DoH) 的初步支持。DoH 设计通过 HTTPS 加密向第三方或用户自己搭建的 DNS 服务器发出域名查询请求，这种方法被认为相对于明文连接 DNS 服务器更安全。如果在 Windows 10 中启用了 DoH，那么操作系统将会通过 DoH 而不是传统的 DNS 去解析域名。浏览器如 Firefox 和 Chrome 已经加入了对 DoH 的支持，但受到了部分工程师和系统管理员的批评，认为会给企业系统管理员带来麻烦，是将操作系统级的控制权占为己有。通过开发 DoH 客户端，微软恢复了在操作系统层次的控制。

美国最大 ATM 供应商 Diebold Nixdorf 遭勒索软件攻击。该公司表示黑客未能接触 ATM 或客户网络，只影响其企业网络。Diebold 有 3.5 万名员工，其 ATM 机器在全球的市场占有率估计为 35%，它还生产零售商使用的销售终端系统和软件。攻击发生在 4 月 25 日晚上，安全团队探测到企业网络的异常行为，它立即采取行动隔离网络中的系统，阻止恶意程序扩散。该公司表示勒索软件没有影响到它的客户网络。入侵 Diebold 企业网络的是被称为 ProLock 的勒索软件。Diebold 称它没有向攻击者支付赎金。安全专家表示这么做也许更好，因为当前版本的 ProLock 解密工具会损坏数据库之类的大型文件。

HardenedLinux 写道 "2020年5月10日，华为在内核加固邮件列表上公开了一个针对Linux内核防御的方案HKSP，但很快PaX/GRsecurity团队就找到了HKSP方案的一些漏洞并且在网站上公开，此事在一些社交网站都有讨论，HKSP作者在内核加固邮件列表中解释说这个并不是公司项目而是个人的开源项目（未经证实的信息显示作者是HKSP的长期开发者），5月11日，华为产品安全应急响应中心也发布公告指出经过调查HKSP并没有集成到任何的华为当前产品中，之后PaX/GRsecurity团队的创始人之一spender在指出HKSP的代码仓库有修改提交时间并且HN上关于HKSP是一位实习生开发的说法并不可信，据称HKSP作者是一位在华为工作的20级的高级安全雇员。2020年5月12日的晚些时候其作者已经把HKSP名称修改为AKSP。HardenedLinux社区今天跟spender进行了沟通，spender反复强调他在乎的是事实本身，如果你犯了错误应该及时承认并且快速修复，spender称他并不是针对华为，因为2019年他阅读了英国政府发布的华为代码分析报告后认为这份报告从技术层面看非常不专业还写了技术分析文章，spender也强调他欣赏包括华为在内的所有为自由开源社区贡献的个人和公司。"