世界各地的警察机构越来越多地使用黑客工具识别和跟踪抗议者，曝光持不同政见者的秘密，将活动人士的电脑和手机变成无处可逃的窃听工具。现在在印度的一起案件中，新线索显示执法部门与黑客活动有关，执法部门对此类工具的运用更进一步到了骇人听闻的程度：在目标的计算机植入虚假的有罪文件，然后幕后的警察再以此为由逮捕和监禁这些人。一年多以前，法庭分析师透露，身份不明的黑客至少在两名活动人士的计算机上伪造了证据，这两人在印度浦那被捕，现在均在监狱服刑，并与其他 13 人一起面临恐怖主义指控。安全公司SentinelOne 以及非营利组织公民实验室和国际特赦组织的研究人员后来将证据伪造与近十年来针对数百人的更广泛的黑客行动联系起来，这些黑客行动通过网络钓鱼电子邮件，用间谍软件感染目标的计算机，用以色列承包商 NSO Group 提供的智能手机黑客工具感染目标的智能手机。但是 SentinelOne 的研究人员到现在才发现这些黑客与政府机构之间的联系：正是逮捕多名活动人士的印度浦那警方捏造了证据。

HardenedVault 写道 "赛博堡垒之前的文章中介绍了Linux内核安全的现状和挑战以及云原生和车联网方案中第三方Linux内核安全方案的场景。赛博堡垒致力于为运行(GNU)-Linux系统的平台和基础架构构建全栈安全方案，在这个过程中我们从PaX/GRsecurity中学习了很多东西，从2010年开始我们持续研究了不同场景下的Linux内核漏洞利用的方法，有些案例是公开的而有些则是并未公开，到2021年赛博堡垒（HardenedVault）成立后我们开始着手研究如何能在部署简易度，性能开销，稳定性以及安全性之间达到平衡，这也是VED目标，这也让VED从一开始就是针对企业生产环境而设计和实现的，经历了多个生产环境的历练后我们开源一个VED的社区版。"

伊利诺伊香槟（UIUC）、得州奥斯汀（UT Austin）和华盛顿大学的研究人员披露针对 x86 CPU 的新旁道攻击，他们将其命名为 Hertzbleed 并创建了一个 Logo 以突出其严重性。Hertzbleed 利用了现代 x86 处理器的动态频率调整，CPU 的频率会因为正在处理的数据而存在差异，相同的程序能在不同的 CPU 频率上运行，因此有着不同的实际时间，远程攻击者能观察这一变化并利用它窃取加密密钥。所有英特尔处理器、AMD Ryzen 处理器都受到该攻击的影响，研究人员去年第三季度就向英特尔报告了漏洞，但应英特尔要求一直到 6 月 14 日才公开漏洞，原因未知。英特尔和 AMD 都没有计划释出微码更新缓解攻击，权宜之计是禁用动态频率调整——英特尔称其为睿频加速技术（Turbo Boost），AMD 称之为精准智能超频(Precision Boost)。

PyPI 软件包 keep、pyanxdns、api-res-py 的某些版本因依赖包名字拼写错误而包含后门。举例来说，keep 的绝大部分版本都包含合法的 Python 模块 requests 用于 HTTP 请求，但 keep v.1.2 包含的模块 request（没有 s）是一个恶意程序，能从 Chrome 和 Firefox 等浏览器中窃取 cookies 和个人信息，并尝试窃取浏览器保存的登陆凭证。拼写错误在依赖包攻击中十分常见。pyanxdns 的作者 Marky Egebäck 承认是拼写错误导致的，他的开发者账号并没有遭到入侵。Egebäck 删除了包含 request 依赖的版本。

MIT 研究人员发现苹果 M1 芯片存在一个无法修复的硬件漏洞，允许攻击者突破最后一道安全防线。漏洞存在于 M1 芯片硬件层安全机制 PAC（pointer authentication codes） 中。PAC 旨在加大向硬件内存注入恶意代码的难度，为抵御缓冲区溢出漏洞增加一层防御。但 MIT 的研究人员开发出了一种新颖的硬件攻击 Pacman，利用预测执行泄露 PAC 验证结果。研究人员证明该攻击对系统内核也有效。攻击是在本地进行的，攻击者需要登陆进系统并安装一个定制的 kext，操作难度很大。

意大利 Palermo 市有 130 万居民，上周五在网络攻击之后政府关闭了所有服务、公共网站和在线入口。虽然 IT 部门努力恢复系统，但三天之后所有服务和网站仍然下线。由于无法使用数字系统，当地居民只能用传真机联络政府办公室，游客无法在网上预定博物馆和歌剧院的门票。由于该市历史悠久的城市中心需要通行证才能进入，关闭服务给居民和游客造成了巨大影响。这是一次 DDoS 还是勒索软件攻击？目前当地政府还没有披露更多信息，但它的反应更像是防止勒索软件攻击者使用的恶意程序感染更多系统。

富士康证实它在墨西哥的一家工厂 5 月底遭勒索软件攻击。富士康没有提供有关攻击者身份的信息，但勒索软件组织 LockBit 的运营者宣称对此负责。富士康在墨西哥有三家工厂，主要生产计算机、液晶电视、移动设备和机顶盒等产品，受攻击影响的是位于 Tijuana 的工厂，该设施被认为具有战略意义，充当了加州的关键供应枢纽。富士康声称攻击对整体运营造成的影响很小，工厂正逐步恢复正常。LockBit 要求富士康在 6 月 11 日前支付赎金，否则将公开窃取的数据。

GitHub 宣布 Top-500 npm 包维护者被要求启用 2FA（双因素身份验证）。npm 的生态系统比大多数人想象的更相互交织。此前的研究发现平均一个 npm 包加载了 39 名不同维护者的 79 个第三方包。研究人员发现，只要入侵 20 名最有影响力的包维护者帐号就可能危及半数 NPM 生态系统。

IT 专业人员对勒索软件攻击是否应负有责任？

丹麦有 129 种工作岗位受到法律监管。为什么不是随便一 个Ken、Brian 或者 Dennis 都能合法地安装抽水马桶或者天然气炉，进行脑部手术或证明建筑足够坚固能承受寒冬，理由充分又明显。国家为什么关心谁经营宠物店、给牛授精或者进行动物标本剥制的原因可能就不那么明显了，但是如果你阅读相关法律，你会发现动物福利和濒危物种保护方面有许多不为人知的极端案例。值得注意的是，这个列表中没有包含任何与 IT 相关的工作，就好像这些工作完全不存在一样；IT 架构、计算机、计算机网络、计算机安全或者计算机系统的隐私保护。那些被法律禁止从事其他行业的人——可能是因为能力不足、欺诈或者两者兼而有之——完全可以自由进入 IT 行业，负责 IT 架构或者是控制美国东海岸一半碳氢化合物的 IT 系统的网络安全。

对于煤气、水、电力、下水道或者建筑的稳定性，法规不在乎一家公司是有数百年的历史还是今天早上才刚刚成立，规则总是一样的：东西应该管用，只有获得许可的人才能从业，因为他们知道该如何去做，如果他们没这样做，就可能会被起诉。和几乎所有其他的工程职业一样，让 IT 工程师承担职业责任太晚了。在你告诉我这是不可能的之前，请先研究一下同样的事情是如何在电力、飞机、起重机、火车、轮船、汽车、电梯、食品加工、建筑以及汽车驾驶行业发生。与软件产品责任一样，敏锐的读者很可能会惊呼：“这会是我们所知的 IT 的终结！”我的回答经过了深思熟虑，“是的，拜托，这正是我的看法！”

GitHub 披露黑客在 4 月中旬的攻击中窃取了近十万 npm 用户账号登陆信息，这次攻击利用了签发给 Heroku 和 Travis-CI 的 OAuth 应用令牌。攻击者访问了一个 2015 年的用户信息存档，其中含有近 10 万 npm 用户名，密码哈希和电邮地址，虽然哈希密码是用弱哈希算法如加盐 SHA1 生成因此容易破解，但 GitHub 从 3 月 1 日起对所有账号自动启用了电邮验证，控制账号的尝试会自动阻止。在分析和检查了所有 npm 软件包版本的哈希之后，GitHub 确信攻击者没有修改任何公开的软件包或上传现有软件包的新版本。GitHub 重置了所有受影响用户的密码，并向受影响组织和用户发送了通知。

安全研究人员发现了被命名为 GoodWill 的勒索软件组织，顾名思义该组织的运营者旨在促进社会正义而不是个人牟利。GoodWill 勒索软件是用 .NET 编写的，会检测被感染设备所在的位置，一旦感染它会加密文档、照片、视频、数据库等重要文件，运营者会让受害者完成三个社会正义活动以获取解密密钥：向无家可归者捐衣服，记录并发布在社交媒体上；带五个穷孩子去达美乐、必胜客或肯德基吃顿饭，拍照和拍视频发布在社交媒体上；给需要紧急医疗救助但没有钱的患者经济援助，录音并与运营者分享。完成三个任务之后运营者会核查验证然后提供完整解密工具。

黑客正以俄罗斯政府机构为目标，发送钓鱼邮件，冒充 Windows 更新，诱骗受害者安装远程访问工具（RAT）。攻击来自一个以前未知的 APT 组织，攻击时间是从 2022 年 2 月到 4 月，目标都是安装 RAT，旨在进行后续的间谍活动。该 APT 组织的第一波攻击始于 2 月，攻击者以 interactive_map_UA.exe 的名义传播 RAT 工具。第二波攻击以修复刚刚披露的 Log4Shell 漏洞的名义发送 tar.gz 档案文件，邮件主要发送给了 RT 的员工，其中还包含不要打开可疑邮件的警告。第三波攻击伪装成国防公司俄罗斯联邦科技与工业集团。第四波攻击冒充了石油巨头沙特阿美的招聘广告，附件为 Word 文档但含有宏病毒。

Mozilla 释出了紧急更新，修复了在 Pwn2Own 2022 黑客挑战赛上安全研究人员利用的 Firefox 和 Thunderbird 0day。Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3 和 Thunderbird 91.9.1 修复了两个高危漏洞。安全研究员 Manfred Paul 在 Pwn2Own 上演示了漏洞利用赢得了 10 万美元奖金。第一个漏洞是 Top-Level Await 实现的原型污染（prototype pollution），第二个漏洞允许攻击者在原型污染注入攻击中滥用 Java 对象索引不正确输入验证。

HardenedVault 写道 "2022年5月16日，云原生安全公司Isovalent的CTO宣布开源了其内部开发了多年的基于eBPF安全监控和阻断的方案：Tetragon。由于Tetragon宣称可以防御容器逃逸的Linux内核漏洞，但从Tetragon的设计来看只支持post-exploitation阶段的检测和阻断，这种基于规则的检测和阻断遭到了安全研究人员Felix Wilhelm的质疑，此后几天的讨论引起了更多安全研究人员的注意，PaX/GRsecurity团队成员Pawel Wieczorkiewicz在5月20日研究了两个小时后基于CVE-2021-22555公开exploit击穿了Tetragon的防御机制，随后PaX/GRsecurity公开了其细节以及探讨了为什么防御机制中不能单一依赖post-exploitation阶段的检测和阻断机制。幸运的是，VED(Vault Exploit Defense）方案对于目前的攻击方法免疫。"

搜狐员工遭到了钓鱼邮件攻击，攻击者可能首先窃取了搜狐内部邮箱账号，然后用这个邮箱群发邮件给其他员工，诱骗其在钓鱼网站上输入账号和密码。搜狐发表声明称，有 24 名员工被骗取了逾四万元。声明称：5 月 18 日凌晨，搜狐部分员工邮箱收到诈骗邮件。经调查，实为某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。事发后，公司 IT 及安全部门第一时间做了紧急处理并向公安机关报案。据统计，共有 24 名员工被骗取四万余元人民币。目前正在等待警方的调查进展和处理结果。搜狐表示，这次事件不涉及到搜狐公司对用户提供的邮件服务。搜狐会持续升级网络安全技术，维护公司和个人的网络安全，更好地提供网络服务。

Google 安全团队 Threat Analysis Group (TAG)披露，国家支持的黑客组织使用 5 个 0day 在 Android 设备上安装 Cytrox 公司开发的间谍软件 Predator。攻击来自至少三个不同的组织，发生在 2021 年 8 月到 10 月之间，攻击者使用了 Chrome 和 Android OS 的 5 个 0day 在安装了最新补丁的 Android 设备上植入 Predator。攻击者来自于埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。这一发现与公民实验室去年 12 月对 Cytrox 间谍软件的报告一致，研究人员当时在埃及流亡政客 Ayman Nour 的手机上发现了恶意程序。Nour 的手机还被发现感染了 NSO Group 的间谍软件 Pegasus。

正在与哥斯达黎加政府打信息战的勒索软件组织 Conti 关闭了运作，下线了其基础设施。安全专家  Yelisey Boguslavskiy 称 Conti 成员用于协商和发布信息的 Tor 管理面板已经下线。其它内部基础设施也已经离线。Boguslavskiy 认为 Conti 高调的攻击哥斯达黎加政府旨在宣传而非赎金。Boguslavskiy 称 Conti 的领导人在终止 Conti 的同时让其成员与其它规模较小的勒索软件组织合作，以增加灵活性和规避执法机构的围剿。

美国司法部宣布调整一项政策，不再起诉违反美国联邦黑客法规《计算机欺诈和滥用法案》（CFAA）的善意安全研究。此举意义重大，因为 CFAA 经常对安全研究人员构成威胁，他们为了找到安全漏洞并进行修复，可能会探测或入侵系统。政策的修订意味着此类研究不会被指控。在与公告一起发布的声明中，副司法部长 Lisa O. Monaco 表示：“计算机安全研究是提高网络安全的关键驱动力。”“司法部从来无意将善意的计算机安全研究作为犯罪起诉，今天的公告为善意安全研究人员提供了清晰的信息，以此促进网络安全，这些研究人员在为了共同的利益根除漏洞。”该政策本身写道：“本部门执行 CFAA 的目标是通过维护个人、网络所有者、运营商和其他人的合法权利来促进隐私和网络安全，确保存储在其信息系统中的信息的机密性、完整性和可用性。”

赞比亚央行遭到了勒索软件组织 Hive 的攻击，但它拒绝为此支付赎金。央行信息和通信技术主管 Greg Nsofu 表示核心系统正常运行，没有多少敏感数据被盗走，可能只有部分测试数据泄露了，央行甚至没有必要参与赎金讨论对话。赞比亚央行是在 5 月 13 日透露可能遭到网络攻击，5 月 9 日它的部分应用发生了故障，5 月 14 日网站短暂下线。

研究显示 CEO 级别高管和普通用户一样在密码选择上随意且愚蠢。此前的研究发现，公众最常用的密码都是容易记住的字符串如 123456、picture1 和 password。密码管理器 NordPass 最近研究了 2.9 亿次数据泄露事故样本，分析了 CEO 级别高管使用的密码模式，发现他们和一般公众并无区别，虽然他们的身份更为敏感，安全保障并应该更为重视。高管们经常使用常用名字作为密码，如 Tiffany、Charlie、Michael、Jordan、Dragon 和 monkey 等等。