資安新訊電子報 114年度 03月份第四期 PDF Free Download
1 / 15/15
100%
資安新訊電⼦報
114年度
03 ⽉份第四期
1. GitHub 平台雙重安全事件
威脅程式碼庫與 CI/CD 流程
第⼀起事件為⼤規模釣⿂活動,藉由偽造
「安全警報」攻擊近 12,000 個程式碼庫..
韋昕科技為專業之資訊安全解決⽅案/資訊安
全服務公司,提供弱點掃描、滲透測試、原始碼
檢測、紅隊演練等資訊安全服務以及資安事件調
查、端點防禦、資料備份(援)等資安服務,本司
備有⾝經百戰資安專家團隊、⾼效合規的資訊安
全流程! 絕對可提供您「事前預防」、「事中偵
測」、「事後應處」完整⼀站式資安專業服務。
2. Black Basta 勒索軟體組織
開發⾃動化暴⼒破解⼯具攻擊
企業 VPN
根據安全研究⼈員最新調查,知名勒索軟
體組織 Black Basta 已開發出⼀套名為....
3. 駭客上架有問題 VS Code
擴充套件,意圖散布勒索軟體
散布勒索軟體的 Visual Studio Code
(VS Code)擴充套件,這個勒索軟體會
加密特定資料夾的檔案,並留下勒索訊....
1. 開發者注意!GITHUB 平台雙重安全事件威
脅程式碼庫與 CI/CD 流程
近⽇,GITHUB 平台連續遭遇兩起嚴重安全事件,引起開源社群⾼度關注。第⼀起事件為⼤規模釣⿂活
動,藉由偽造「安全警報」攻擊近 12,000 個程式碼庫;第⼆起則是 GITHUB ACTION 的供應鏈入侵,
影響超過 23,000 個程式碼庫。
假「安全警報」釣⿂攻擊竊取 GitHub 帳號控制權
近⽇攻擊者針對 GitHub 平台發起⼤規模釣⿂活動,向近 12,000 個程式碼庫發布虛假「安全警報」。這些警報聲稱檢測到⽤
⼾帳號來⾃冰島雷克雅維克的「異常登入嘗試」,並建議⽤⼾採取安全措施。
假「安全警報」顯⽰:「安全警報:檢測到異常訪問嘗試。我們發現您的 GitHub 帳⼾有來⾃新位置或設備的登入嘗試。」
這些警報提供的所有連結都指向⼀個名為「gitsecurityapp」的惡意 OAuth 應⽤授權⾴⾯,該應⽤請求了⼤量⾼風險權限,
包括:
• repo:完全訪問公共和私有程式碼庫的權限
• user:讀取和寫入⽤⼾資料的能⼒
• read:org:讀取組織成員資格、組織項⽬和團隊成員資格
1
1. 開發者注意!GITHUB 平台雙重安全事件威
脅程式碼庫與 CI/CD 流程
l read:discussion, write:discussion:讀取和寫入討論的訪問權限
l gist:訪問 GitHub gist 的權限
l delete_repo:刪除程式碼庫的權限
l workflows, workflow, write:workflow, read:workflow, update:workflow:控制 GitHub Actions ⼯作流程的權限
若⽤⼾授權此應⽤,系統將⽣成⼀個存取令牌並發送⾄應⽤的回調地址,該地址位於 onrender.com 平台上。這將使攻擊者
獲得完全控制受害者帳號的能⼒。
網路安全研究員 Luc4m ⾸先發現了這⼀攻擊。若您不慎授權了此惡意應⽤,應立即:
l 在GitHub 設置中撤銷該應⽤的訪問權限
l 檢查是否有新增或意外的 GitHub Actions ⼯作流程
l 確認是否有私有 gist 被創建
l 更新您的憑證和授權令牌
GitHub Action 遭供應鏈入侵洩露 CI/CD 機密
1
1. 開發者注意!GITHUB 平台雙重安全事件威
脅程式碼庫與 CI/CD 流程
• 與先前 LockBit 操作相關的 IP 地址有⼤量重疊。此外,WipeBlack 也被 BrainCipher 勒索軟體、EstateRansomware
和SenSayQ 勒索軟體使⽤,這些都與 LockBit 有關聯。
GitHub Action「tj-actions/changed-files」被發現遭到供應鏈入侵,該組件⽤於追蹤和檢索所有更改的文件和⽬錄,⽬前被
超過 23,000 個程式碼庫使⽤。此漏洞已被分配編號CVE-2025-30066(CVSS 評分:8.6),入侵發⽣在2025年 3 ⽉ 14 ⽇
之前。
資安研究公司分析指出:「此次攻擊中,攻擊者不僅竄改了Action 的原始程式碼,還回溯性地修改了多個版本標籤,使所有
版本都指向含有惡意程式的提交。⼀旦執⾏遭到入侵的 Action,系統會在 GitHub Actions 的建構⽇誌中⾃動洩露敏感的
CI/CD 憑證與機密資訊。」如果⼯作流程⽇誌可公開訪問,可能導致敏感機密未經授權曝光,包括:
• AWS 存取密鑰
• GitHub 個⼈訪問令牌(PATs)
• npm 令牌
• 私有 RSA 密鑰等
• 具體來說,惡意插入的程式碼設計為運⾏托管在GitHub gist 上的Python 腳本,從Runner Worker 進程中轉儲
CI/CD機密。這⼀惡意程式碼來⾃未經驗證的原始碼提交。相關 GitHub gist 現已被移除。
《緩解威脅與風險》建議所有使⽤此 GitHub Action 的開發者應立即更新⾄最新版本(46.0.1)。
1
2. BLACK BASTA 勒索軟體組織開發⾃動化暴
⼒破解⼯具攻擊企業 VPN
根據安全研究⼈員最新調查,知名勒索軟體組織 BLACK BASTA 已開發出⼀套名為「BRUTED」的⾃動
化暴⼒破解⼯具,專⾨⽤於入侵企業邊緣網路裝置,如防火牆和 VPN。此⼯具讓攻擊者能夠⼤規模地入
侵公開在網際網路上的企業遠端存取系統,顯著提升勒索軟體攻擊的效率與規模。
資安公司研究員通過深入分析被洩露的Black Basta 內部聊天記錄,發現該組織⾃ 2023年起已開始使⽤ BRUTED平台執⾏⼤
規模憑證填充和暴⼒破解攻擊。此發現與 2024 年多起針對這類裝置的⼤規模暴⼒破解和密碼噴灑攻擊報告相符,顯⽰這可能
是BRUTED或類似⼯具所造成的影響。
專⾨針對七⼤遠端存取產品
根據原始碼分析,BRUTED框架專⾨設計⽤來暴⼒破解以下七種常⾒的VPN和遠端存取產品的憑證:(1)SonicWall
NetExtender; (2)Palo Alto GlobalProtect; (3)Cisco AnyConnect; (4)Fortinet SSL VPN; (5) Citrix NetScaler (Citrix
Gateway); (6) Microsoft RDWeb (遠端桌⾯網⾴存取); (7) WatchGuard SSL VPN。
BRUTED的運作⽅式極為精密。它⾸先透過列舉⼦網域、解析 IP 地址,並附加".vpn"或"remote"等前綴來搜尋公開可訪問的
⽬標裝置。⼀旦找到符合⽬標清單的裝置,系統會立即回報給指揮控制(C2)伺服器。
確認潛在⽬標後,BRUTED會從遠端伺服器獲取密碼候選清單,並結合本地⽣成的猜測,通過多個CPU處理程序同時執⾏⼤
2
2. BLACK BASTA 勒索軟體組織開發⾃動化暴
⼒破解⼯具攻擊企業 VPN
量認證請求。原始碼顯⽰,BRUTED為每種⽬標裝置使⽤特定的請求標頭和⽤⼾代理來執⾏暴⼒破解攻擊。
研究發現,BRUTED具有進階情報收集能⼒,能⾃動從⽬標裝置的 SSL 憑證擷取通⽤名稱(CN)及主體替代名稱(SAN)資訊。攻
擊者利⽤這些資料分析⽬標組織的網域結構和命名慣例,進⽽⽣成更有針對性的密碼組合,顯著提升暴⼒破解的成功機率。
使⽤代理伺服器規避偵測
為了躲避安全偵測,該框架使⽤⼀系列 SOCKS5代理,將攻擊者的基礎設施隱藏在中間層背後。其主要基礎設施由俄羅斯的
多個伺服器組成,註冊在Proton66 (AS 198953)名下。
像BRUTED這樣的⼯具可讓勒索軟體操作更加簡化,透過⼀次性入侵多個網路,最⼩化攻擊者的⼯作量,同時增加獲利機
會。這⼀事件再次凸顯了物聯網設備安全的重要性,以及組織需要持續關注和管理網路邊緣設備的安全風險。隨著越來越多的
設備連接到網路,未修補的漏洞繼續成為威脅⾏為者的主要⽬標。
《緩解威脅與風險》本司建議採取以下防護措施:
1. 強化密碼管理,為所有邊緣裝置和 VPN帳⼾實施強⼤且獨特的密碼、2. 啟⽤多因素認證(MFA),即使認證被破解,也能阻
⽌未授權存取、3. 監控可疑登入,監視來⾃未知位置的認證嘗試和⼤量登入失敗、4. 實施速率限制,設置帳⼾鎖定政策,防⽌
連續多次失敗嘗試、5. 阻擋惡意基礎設施,ElecticIQ 已分享BRUTED使⽤的 IP 和網域清單,可⽤於建立新的防火牆規則、6.
保持裝置更新,隨著⾃動化攻擊⼯具的興起,組織需要更加警惕並加強其網路邊界安全措施,特別是隨著遠端⼯作持續普及,
這些邊緣裝置成為攻擊者的⾸選⽬標。
2
3. 駭客上架有問題的 VS CODE 擴充套件,意
圖散布勒索軟體
資安業者 REVERSINGLABS 近期發現⽤來散布勒索軟體的 VISUAL STUDIO CODE(VS CODE)擴充套
件,這個勒索軟體會加密特定資料夾的檔案,並留下勒索訊息,要求受害者⽀付贖⾦。
繼NPM、PyPI 套件庫成為駭客偏好散布惡意軟體的管道後,有⼈也鎖定微軟開源IDE編輯器Visual Studio Code(VS
Code)的擴充套件下⼿,於市集上架惡意套件散布勒索軟體。
資安業者發現兩個惡意套件ahban.shiba、ahban.cychelloworld,並指出開發⼈員如果在⾃⼰的電腦部署這些套件,電腦就
有可能被植入勒索軟體。他們向 VS Code 市集通報此事,這些套件已經下架。
研究⼈員分析套件的內容,發現內含與 PowerShell 命令有關的程式碼,功能是從 C2 下載 PowerShell 指令碼型態的有效酬
載,並於受害電腦執⾏。
3
3. 駭客上架有問題的 VS CODE 擴充套件,意
圖散布勒索軟體
⽽這個有效酬載應該就是勒索軟體,會在受害電腦的桌⾯名為 testShiba 的資料夾當中加密檔案,完成後顯⽰勒索訊息,要
求開發⼈員⽀付 1個加密貨幣 ShibaCoin 贖⾦,換取復原檔案的⾦鑰。不過,駭客並未提供加密貨幣錢包資訊,因此研究⼈
員推測,很有可能還有其他帶有這類資訊的新版有效酬載。
值得留意的是,這些惡意套件可能上架接近4個⽉之久,才被發現有問題。資安新聞網站Bleeping Computer 指出,資安研
究員 Italy Kruk 透露他們在去年11 ⽉底就偵測到 ahban.cychelloworld 有問題並通報,但因為套件下載次數相當少,微軟並
未優先進⾏處理。駭客後來⼜上傳了5個版本,⽽且全數通過微軟的審核流程。對比微軟最近不慎下架近9百萬⼈下載的套
件,針對這兩種誤判,Bleeping Computer 認為,微軟可能必須調整相關機制來因應。
《緩解威脅與風險》
我司建議應盡速修補該設備漏洞,且透過我司提供的資安健診服務,確認公司內部設備風險有哪些。另於平時進⾏的資安健
檢、弱點掃描、滲透測試等資安檢測服務中,可依據對組織的影響或者駭客喜歡攻擊的順序,來進⾏ EDR(Endpoint
Detection & Response)端點防護之部屬,因EDR 在防駭、防毒,更勝傳統防毒軟體。
EDR建議部屬優先順序 由⾼⾄低如下:
1. 對外服務的伺服器 2. 可控制多台電腦的伺服器 (如: AD、資產管理軟體、防毒中控台) 3. 對內部服務的伺服器 4. 可維運伺
服器的PC 或跳板機 (如:資訊室PC、維運跳板機) 5. 會收國際信件⼈員、會計⼈員、會處理機密資料的 PC 6. ⾼階主管 PC 7.
其他⾏政⼈員PC。
3
4. 2萬個 WordPress 網站淪陷,遭到惡意軟體
攻擊 DollyWay 入侵
主機代管業者 GODADDY 針對最新⼀波 WORDPRESS 網站攻擊⾏動提出警告,駭客使⽤名為
DOLLYWAY 的惡意軟體,控制受害網站後將使⽤者重新導向特定廣告系統牟利。為了能持續利⽤受害網
站,這些駭客發展出⼀系列的重覆感染⼿法,只要有網⾴開啟,就會執⾏,讓網站維持在受到感染的狀
態。
主機代管業者GoDaddy 的資安研究團隊指出,他們發現⾃ 2016年開始的網站惡意軟體攻擊⾏動DollyWay,迄今已入侵超
過2萬個網站。駭客透過惡意流量導向系統(Traffic Direction System,TDS)、C2 節點形成的分散式網路基礎設施,鎖定
WordPress 網站⽽來。⽽在最新⼀波攻擊⾏動,駭客進⼀步採⽤加密資料傳輸、複雜的注入⼿法,以及⾃動化的重複感染機
制。
特別的是,這批駭客還會幫受害網站更新 WordPress、移除其他惡意軟體,⽽這麼做的⽬的是為了進⼀步完全控制,不讓其
他駭客瓜分受害網站的資源。
針對惡意軟體 DollyWay,研究⼈員指出這是專⾨針對 WordPress 網站開發的作案⼯具,駭客利⽤在受害網站建置的 C2 及
TDS 節點,將使⽤者重新導向到 VexTrio 與LosPollos 的廣告連結進⾏牟利。截⾄今年2⽉,他們看到其中1萬個被感染的
網站裡,出現1千萬個冒牌網⾴,這些網⾴內含惡意指令碼,針對不同的IP 位址使⽤者⽽來。這款惡意軟體已經進化第三
代,駭客運⽤wp-content/counts.php 指令碼,將特定的受害網站設置為C2 或是 TDS。
4
4. 2萬個 WordPress 網站淪陷,遭到惡意軟體
攻擊 DollyWay 入侵
為了持續在受害網站活動,駭客設置了重複感染機制,⾸先他們將惡意 PHP 程式碼以WPCode ⼩⼯具的形式,注入所有啟⽤
的外掛程式。⼀旦受害網站遭到感染,駭客的活動就不會停⽌,因為每次只要有任意的 WordPress 網⾴開啟,就會啟動重複
感染鏈,即使網站管理員察覺,也很難徹底清除。
這個感染鏈⼤致分成4個步驟。⾸先是從特定的名單裡,停⽤Wordfence、Ninja Firewall、All-In-One Security(AIOS)等
資安外掛。
接著惡意程式找到已經感染的外掛程式或 WPCode ⼩⼯具,再度對注入的 DollyWay 程式碼進⾏混淆處理。⽽對於已經啟⽤,
但尚未感染的外掛程式,駭客會對其注入經混淆處理的DollyWay 程式碼。最後刪除受害網站所有的 WPCode ⼩⼯具,並植
入新的惡意版本。
附帶⼀提的是,由於WPCode 在WordPress 管理介⾯當中相當顯眼,為了避免管理員察覺異狀,他們也刪除主控臺所有
WPCode 選單,並從外掛程式列表移除WPCode。
《緩解威脅與風險》
本司建議之解決⽅案,駭客絕⼤部分攻擊是對企業進⾏外對內,因此員⼯資安素養非常重要,除了定期進⾏本司既有之服務
「社交⼯程演練」,也可定期進⾏「資安健診」「弱點掃描」、「滲透測試」,透過駭客思維與攻擊途徑搶先防範於未然。
4
5. CROWDSTRIKE 資安報告:AI 威脅與無檔
案攻擊⼤幅增加
CROWDSTRIKE 於本⽉發布最新報告,指出 2024 年的網路威脅有顯著演變。攻擊者轉向採⽤無檔案攻
擊、AI 輔助社交⼯程,以及針對雲端服務的弱點進⾏攻擊。
2025年,第11 屆CrowdStrike 全球威脅報告詳細記錄了以下主要趨勢:疑似中國資助的網路活動增加、語⾳釣⿂
(vishing)攻擊急遽上升、⾝分型攻擊⽇趨普遍,以及⽣成式 AI 在網路犯罪領域的應⽤持續擴⼤。
2024 年,CrowdStrike 發現 79% 的網路入侵事件都不需使⽤惡意程式即可完成攻擊,較 2019 年的 40% ⼤幅增加。駭客越
來越常利⽤合法的遠端管理⼯具來規避標準的資安防護機制。
此外,橫向擴散時間(即駭客取得初始存取權後,在受害網路中進⾏橫向移動所需的時間)在 2024 年驟降⾄ 48 分鐘,部分
攻擊甚⾄能在⼀分鐘內完成擴散。以⾝分為基礎的攻擊⼿法和社交⼯程技術在 2024 年也明顯增加。
語⾳釣⿂攻擊激增超過五倍,已取代傳統釣⿂成為⾸要入侵⼿法。在這⼀年中,假冒客服的攻擊持續升⾼,攻擊者透過說服
IT⼈員重設密碼或繞過多因素驗證來達成⽬標。同時,非法存取權限的交易廣告增加了 50%,導致更多遭竊取的帳號密碼在
公開網路和暗網上流通。
疑似中國相關的駭客組織在此期間展現⾼度活躍度。根據 CrowdStrike 研究⼈員的觀察,這類組織的活動量增加了 150%,
部分產業甚⾄激增 200% ⾄ 300%。報告指出,這些組織運⽤了精密的作業安全(OPSEC)措施,使其攻擊⾏為更難以追
蹤。
5
5. CROWDSTRIKE 資安報告:AI 威脅與無檔
案攻擊⼤幅增加
與往年相同,CrowdStrike 年度報告強調 AI 在網路犯罪領域的應⽤持續擴張。⽣成式 AI ⽬前廣泛應⽤於社交⼯程、釣⿂攻
擊、深偽詐騙和⾃動化假訊息傳播。其中⼀個顯著案例是北韓駭客組織 F AMOUS CHOLLIMA 利⽤ AI 驅動的虛假求職⾯試
入侵科技公司。
《緩解威脅與風險》本公司建議:
針對不斷升⾼的資安風險,建議強化⾝分安全防護:採取防釣⿂的多因素驗證(MFA)、持續監控特權帳號,並透過主動威
脅獵捕及早發現免惡意程式入侵。組織更應部署即時 AI 威脅偵測系統,以因應擴散時間短⾄⼀分鐘內的快速攻擊。
在⾝分防護之外,企業應採⽤最⼩權限存取原則、監控 API ⾦鑰使⽤情況,並加強 SaaS 應⽤程式的帳密保護,以提升雲端
安全。⾯對攻擊者⽇益精進的⾃動化和 AI 技術,防禦⽅必須建置進階⾏為分析和跨領域可視性⽅案,以及早發現並阻⽌隱匿
性入侵。
5
6. 從DEEPSEEK 事件 看資安問題
DEEPSEEK 因將 CLICKHOUSE 資料庫直接暴露於網際網路,致使上百萬筆⽇誌、密鑰與使⽤者對話紀錄
全⾯洩漏。WIZ RESEARCH 揭露漏洞後,DEEPSEEK 雖下線修補,也凸顯AI 新創在快速發展業務下,
常忽略基礎設施安全的重要性。此事件不僅源於技術與管理上的疏漏,更反映在爭取市場速度時,若沒
有穩固的資安架構,任何微⼩漏洞都可能擴⼤成企業⽣存風險。
美國國安會(NSC)評估此事對國家安全的潛在威脅,歐洲如義⼤利的資料保護機構 Garante 及愛爾蘭「資料保護委員會
(DPC)」也相繼要求DeepSeek 說明個資使⽤與儲存⽅式,顯⽰ AI 企業若資安失守,將⾯臨全球國家層次的監管壓⼒。
從技術⾯向到法規遵循,特別是國際市場對AI ⽣態系的相關業者要求⽇益嚴苛,也意味未來國際合作更仰賴完善的隱私與安
全合規機制。
AI 新創追求快速擴張時,若未能兼顧基礎防護與合規要求,往往使細微漏洞迅速擴展,後續影響亦將延伸⾄全球市場與監管
層⾯。
AI 技術蓬勃發展的同時,攻擊者也善⽤AI ⼯具進⾏掃描與惡意程式碼⽣成,提升攻擊效率與複雜度。若企業只依賴AI 系統
進⾏威脅偵測,忽略⼈⼯審查與多重驗證,會留下無形監管空窗,讓駭客得以利⽤模型盲點進⾏隱蔽攻擊,衍⽣資安風險。
此外,AI 在訓練與應⽤過程中仍⾯臨資料中毒與模型操縱等挑戰。若訓練資料被篡改,模型可能產出錯誤判斷;Prompt
Injection 則能透過輸入⼲擾⽣成式 AI 的輸出結果。再者,AI 開發時只依賴開源⼯具與雲端服務,⼀旦預設安全機制或配置
不當,漏洞便容易被外部探測。DeepSeek 案例正是因基礎架構防護薄弱⽽付出代價。
另外,AI 新創擴張時常聚焦模型效能與市場推廣,疏於完善安全與合規機制,導致後期風險攀升。DeepSeek、OpenAI 就
曾暴露此缺陷,⼀旦事件爆發,不僅影響企業聲譽,更可能招致多⽅監管與法律處分。因此AI 新創需在技術與⼈員管理上強
6
6. 從DEEPSEEK 事件 看資安問題
化,才能避免重蹈覆轍。
AI 開發的每個階段融入「安全內建(Security by Design)」,可將安全與隱私保護視作基礎要件,⽽非事後補救。從資料
蒐集、模型訓練到部署,都需落實嚴謹管控。並透過模型治理機制,對每個版本的AI 模型定期審核並追蹤風險,才能及早發
現並處置潛在漏洞。
當AI 應⽤⽇益多元,採⽤零信任架構更能降低「⼀次入侵、全⾯擴散」的風險。所有存取⾏為都需嚴格驗證,並配合加密通
訊、多因⼦認證(MFA)及容器化部署形成立體防禦網。此種多層防護概念,能在內外網路環節間建立穩固的防線,遏阻潛
在攻擊者。DeepSeek 遭遇的資料庫漏洞就顯⽰,任何環節的疏忽,都可能引發連鎖反應並波及整體安全。
光靠⼯具與制度仍不⾜,持續監測與⼈員培訓同樣關鍵。應導入AI Defense 等即時偵測機制,掌握模型異常⾏為或輸出不
當時能迅速應變。更重要的是透過跨部⾨協作,讓研發、維運與資訊安全⼈員均具備風險意識,才能在⾯對新興威脅時從容
調度、審慎因應。唯有在技術與⼈員教育雙管⿑下,才能使 AI 產品在⾯對新興威脅時保持韌性,進⼀步奠定信任基礎。
全球對AI 安全與合規標準⽇趨嚴謹,未來企業將在產品規劃與技術迭代階段,即全⾯導入資安檢核與隱私保護,確保系統穩
定性與使⽤者信賴。隨著AI 應⽤情境擴張,專⾨為 AI 設計的DevSecOps ⽅法論也將興起,開發與安全的整合度成為⻑期
競爭⼒的關鍵。當AI 專案能同時兼顧技術創新與安全規範,就有機會在國際監管中搶得先機,形塑穩健的成⻑模式。
美隨著AI 深入⾦融、醫療、政府等⾼敏感度應⽤,市場與消費者對安全與隱私的要求⽔漲船⾼。企業若能滿⾜外部審核、取
得認證或信任標章,將更易進入市場並贏得⽤⼾青睞。未來能兼具技術創新、合規與透明度的AI 產品,才能在競爭中穩步發
展。因此,持續升級的資安標準不僅是因應威脅,更是獲得國際客⼾與監管機構認可的關鍵。
6
