CrossBarking攻击：Opera浏览器私有API遭劫持

首页 > 安全钻研 > 安全传递 > 安全简讯

CrossBarking攻击：Opera浏览器私有API遭劫持

颁布功夫 2024-11-01

1. CrossBarking攻击：Opera浏览器私有API遭劫持

10月30日，钻研人员发现了一种新的浏览器攻击方式，通过利用现已建复的缝隙，将自界说代码注入受害者的 Opera 浏览器，从而节造其“私佑妆利用法式编程接口 (API)，这些 API 通常仅为最受信赖的网站保留。这些私有 API 可为开发人员提供特殊权限，但也可能被黑客利用，以获得对浏览器的全权节造，蕴含更改设置、劫持账户、禁用安全扩大等。为了展示这种攻击方式，Guardio 钻研人员开发了一个恶意的 Chrome 扩大法式，该扩大法式被设计为在拥有私有 API 接见权限的网站环境中运行恶意代码。他们通过该扩大法式，将恶意代码注入到 Opera 浏览器中，并利用 settingsPrivate API 更改了受害者的域名系统 (DNS) 设置，从而全面查看和把持其浏览活动。为相识决这个问题，Opera 选取了 Chrome 中已经实现的一种急剧解决规划：阻止任何扩大法式在拥有私有 API 接见权限的域上运行剧本的能力。

https://www.darkreading.com/vulnerabilities-threats/crossbarking-attack-secret-apis-expose-opera-browser-users

2. 网络垂钓电子邮件对准学生贷款持有人

10月30日，近4300万美国人背负着均匀每人37,000美元的学生贷款债务。拜登总统曾提出一项旨在免去部门告贷人债务的打算，但该打算面对沉沉阻碍。在此布景下，网络犯罪分子趁机针对学生贷款持有人提议网络垂钓攻击。Harmony Email & Collaboration的网络安全数门发现，这类攻击在从前两周内激增，且攻击者使用了特殊的文本混合技术，如Unicode从左到右象征 (LRM) 和软连字符，以躲避天然说话处置检测器的检测。这些邮件内容看似垂危且可信，实则旨在诱骗受害者泄录感信息。此类攻击不仅威胁幼我信息安全，还可能对企业组成风险。员工若在公司设备上处置这些邮件，可能导致恶意软件入侵公司系统，进而引发数据泄露或业务信息表泄。因而，企业需采取切实可行的措施来防备此类攻击，蕴含提高员工安全意识、利用先进的电子邮件过滤和安全工具、执行多成分身份验证以及造订美满的事务响应打算。

https://blog.checkpoint.com/harmony-email/7500-phishing-emails-use-interesting-obfuscation-method-to-target-student-loan-holders/

3. LottieFiles npm包现恶意代码，用户需垂危升级

10月31日，LottieFiles 昨日颁发，其 npm 包中的特定版本，即 Lottie Web Player（“lottie-player”）的 2.0.5、2.0.6 和 2.0.7 版本，被发现携带恶意代码。这些版本会提醒用户衔接加密钱币钱包，意图清空钱包中的资产。发现问题后，LottieFiles 迅快颁布了纯净的 2.0.8 版本，建议用户尽快升级以预防风险。同时，LottieFiles 指出，通过第三方 CDN 使用该库且未固定版本的用户会自动收到受损版本，但随着安全版本的颁布，这些用户将自动收到建复。对于无法升级的用户，LottieFiles 建议向最终用户传递风险，并忠告他们有关诓骗性加密钱币钱包衔接要求，或持续使用未受影响的 2.0.4 版本。此表，LottieFiles 颁布布告称，这次事务仅影响其 npm 包，不影响其 SaaS 服务，并确认其他开源库、代码和存储库均未受影响。该平台已褫夺篡改版本上传者的 npm 帐户接见权限，并撤销有关令牌，同时持续对这次入侵事务进行内部调查。目前尚不明显该事务是否有受害者以及具体损失金额。

https://www.bleepingcomputer.com/news/security/lottiefiles-hit-in-npm-supply-chain-attack-targeting-users-crypto/

4. PTZOptics摄像机现零日缝隙，黑客试牟利用提议攻击

10月31日，黑客在利用PTZOptics云台变焦实时流媒体摄像机中的两个新发现的零日缝隙CVE-2024-8956和CVE-2024-8957。这些缝隙于2024年4月被GreyNoise的Sift工具在其蜜罐网络上检测到。CVE-2024-8956涉及摄像机“lighthttpd”网络服务器中的弱身份验证问题，允许未经授权的用户接见CGI API，露出敏感信息。而CVE-2024-8957则是由于“ntp_client”二进造文件中的输入算帐不及，允许远程代码执行。这两个缝隙可能导致摄像头被齐全收受、习染恶意软件、攻击统一网络的其他设备或中断视频流。只管初始攻击活动在发现后不久隐没，但6月出现了使用wget下载shell剧本进行反向接见的尝试。GreyNoise已向受影响供给商进行掌管任的披露，PTZOptics等厂商已颁布安全更新，但部门旧型号和新发现的受影响型号尚未收到补丁。GreyNoise以为可能有更宽泛的设备受到影响，建议用户征询设备供给商相识最新固件更新情况。

https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/

5. 疑似乌克兰网络攻击导致特维尔停车系统瘫痪

10月31日，俄罗斯西北部城市特维尔的居民因当局所称的数字停车支付系统“技术故障”而得以免费停车近两天。然而，一个名为“乌克兰网络同盟”的黑客组织宣称这可能是针对该市治理网络的网络攻击所致，并宣称粉碎了数十台虚构机、备份存储、网站、电子邮件和数百个工作站。特维尔市当局最初未对此颁发评论，但随后颁发申明称网站和在线停车支付平台在进行技术维建。本地居民在尝试付款时遇到谬误新闻或利用法式加载失败。市当局官员后来颁发停车付费服务已复原，但未确认是否产生了网络攻击。这并非亲乌克兰黑客初次宣称对俄罗斯服务提议攻击，此前也有类似事务被归罪为“技术故障”。乌克兰网络同盟是一个亲乌克兰网络活动人士集体，自俄罗斯入侵乌克兰以来积极参加反俄奋斗，并曾宣称入侵俄罗斯国度信誉卡支付系统等行动。

https://therecord.media/ukraine-cyberattack-russia-parking-tver

6. Phish n' Ships网络垂钓活动习染千家网店

10月31日，一项名为“Phish n' Ships”的网络垂钓活动自2019年起，已习染超过一千家合法在线商店，通过推广虚伪商品列表诓骗数十万消费者，造成数千万美元损失。该活动利用缝隙、谬误配置或受损治理员痛处入侵网站，上传恶意剧本和虚伪产品列表，利用SEO优化吸引受害者。受害者点击链接后被沉定向至假商店，经历虚伪结账流程并输入幼我信息和信誉卡详情，但采办的物品从未投递。Satori威胁谍报团队发现所有假商店衔接至一个由14个IP地址组成的网络，并滥用多家支付提供商套现。HUMAN及其合作同伴已协调回应，通知受影响组织并向Google汇报虚伪列表，大无数恶意搜索了局已被算帐，但威胁行为者可能会尝试成立新的诓骗网络。建议消费者注意不寻常沉定向，确认商店网址，并汇报诓骗性收费。

https://www.bleepingcomputer.com/news/security/over-a-thousand-online-shops-hacked-to-show-fake-product-listings/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研