| 勒索軟體 | Kaseya | REvil | 軟體供應鏈 | 資安 | 烏克蘭 | 俄羅斯 | 駭客

美國抓到攻擊Kaseya的駭客了,為22歲的烏克蘭人

根據美國司法部的聲明,22歲的烏克蘭駭客Yaroslav Vasinskyi入侵了IT管理軟體Kaseya,並在1千多家Kaseya客戶端環境植入勒索軟體REvil

2021-11-09

| 微軟 | Nobelium | SolarWinds | 俄羅斯駭客 | 軟體供應鏈 | 資安 | 網路攻擊 | 供應鏈安全

攻擊SolarWinds的駭客再度駭入IT供應鏈,新目標是經銷及雲端服務商

微軟發現去年滲透SolarWinds軟體供應鏈,以在眾多使用單位植入後門的俄國駭客組織Nobelium,今年5月以來開始針對科技產業經銷商及雲端服務業者發動新一波攻擊,意圖透過釣魚信件和密碼潑灑手法,伺機竊取受害組織的使用者憑證,再進一步攻擊其客戶及合作夥伴

2021-10-26

| 漏洞獎勵 | 資安 | 開源碼專案 | Secure Open Source | google | 軟體供應鏈 | 抓漏獎勵

Google贊助Secure Open Source獎勵專案100萬美元

回應白宮提出舉國強化資安的政策,Google承諾投下1億美元以支援第三方開源基金會的運作,目前已贊助OpenSSF基金會以及Secure Open Source獎勵專案,其中Secure Open Source鼓勵開發者尋找並回報重要開源專案的安全漏洞

2021-10-04

| 勒索軟體 | REvil | Kaseya | IT管理軟體 | 資安 | 安全漏洞 | 軟體供應鏈 | 網路攻擊

慢了一步?REvil駭客利用Kaseya正要修補的漏洞發動攻擊

荷蘭漏洞揭露協會(DIVD)通報給Kaseya的產品安全漏洞,被勒索軟體組織Revil先一步濫用,滲透Kaseya的託管服務供應商(MSPs)以及下游企業用戶

2021-07-06

| google | Scorecards | 開源專案 | 軟體供應鏈 | 資安

開源專案軟體安全掃描工具Scorecards更新擴大檢驗項目

依循Google提出的了解、預防和修復框架,Scorecards推出第2版,現在會檢驗開源專案是否採用程式碼審查工具,以及CI/CD系統的配置等,評估專案的安全性

2021-07-02

| 軟體供應鏈 | 網路威脅 | 供應鏈安全 | SLSA | 安全框架 | 資安

Google推動軟體供應鏈安全框架SLSA

Google提出旨在確保軟體供應鏈安全的框架SLSA,是以該公司內部所有營運作業都採用的部署時強制檢查機制為基礎發展而成

2021-06-18

| Sigstore | 開放原始碼 | 軟體供應鏈 | 開源軟體 | 資安

Google、紅帽與Linux基金會共同啟動免費的Sigstore開源軟體認證專案

Sigstore專案旨在讓開源社群都能安全地簽署他們的軟體,以建立一個透明且可供稽核的軟體供應鏈

2021-03-12

| google | 供應鏈 | 攻擊 | 滲透 | APT | 資安 | SolarWinds Orion | 二進位授權 | 開發安全 | 軟體供應鏈

Google內部也用SolarWinds遭駭產品但未受影響

Google坦承有用SolarWinds產品,但強調內部有防範供應鏈安全風險的措施,產品及服務並未受相關攻擊的影響

2021-01-19

| 資安 | 2021資安大預測 | 供應鏈攻擊 | APT | 軟體供應鏈 | 委外 | SolarWinds | 法務部調查局

【2021資安大預測】趨勢5:供應鏈攻擊|臺灣遭遇多起供應鏈攻擊,此類事件未來勢必有增無減

APT攻擊透過供應鏈入侵越來越常見,軟體供應鏈與委外廠商成企業破口,美國政府和各大廠商遭遇SolarWinds事件後引發更大關注

2021-01-12

| 華碩 | 軟體更新 | 軟體供應鏈 | 資安

華碩軟體更新伺服器竟成惡意後門派送幫兇

臺灣筆電大廠華碩的Live Update伺服器遭駭,引發各界對更新伺服器與程式碼簽章防護的關注,同時也顯示軟體供應鏈攻擊的資安威脅,持續在我們生活周遭發生 

2019-05-08

| 軟體供應鏈 | 資安 | 供應鏈攻擊 | Triada

【2019資安十大趨勢7】從程式開發與部署環境滲透,軟體供應鏈成駭客隱藏行跡的溫床

利用軟體本身漏洞發動攻擊是駭客慣用手法,但惡意程式如今也從軟體開發、部署流程當中,伺機尋找漏洞侵入合法程式,企圖混淆,降低被偵測到的機會

2019-01-10