安全公司：惡意npm包試圖竊取Discord令牌

12月10日消息，DevOps安全公司JFrog在npm（Node.js包管理器）存儲庫中發現17個新的惡意軟件包，這些軟件包故意試圖攻擊和竊取用戶的Discord令牌。JFrog安全研究高級主管Shachar Menashe和Andrey Polkovnychenko解釋說，劫持用戶的Discord令牌（用戶憑據）使攻擊者能夠完全控制用戶的賬戶。

Menashe表示，“如果執行得當，這種類型的攻擊會產生嚴重的影響，在這種情況下，公共黑客工具使這種攻擊變得足夠容易，即使是新手黑客也可以執行。我們建議各組織采取預防措施并管理其使用npm進行軟件管理，以降低將惡意代碼引入其應用程序的風險。”

兩人解釋說，這些軟件包的有效負載各不相同，從信息竊取者到完全遠程訪問后門。他們補充說，這些軟件包有不同的感染策略，包括鍵入錯誤、依賴性混淆和特洛伊木馬功能。這些軟件包已經從npm存儲庫中刪除，JFrog安全研究團隊表示，它們“在獲得大量下載之前”就被刪除了。

JFrog指出，由于Discord平臺是一款流行的視頻/語音/文本聊天應用程序，目前已擁有超過3.5億注冊用戶，因此旨在竊取Discord令牌的惡意軟件有所增加。（ZDNet）

CoinMarketCap集成區塊鏈安全公司CertiK的安全評分功能:金色財經報道，加密貨幣排名平臺CoinMarketCap宣布已完成區塊鏈安全機構CertiK旗下安全評分功能的集成，使用戶能夠快速了解其平臺上列出的加密項目安全性。另據披露數據顯示，在CoinMarketCap上排名前500的Web3項目中， 截至目前CertiK已完成了約70%的審計工作。（globenewswire）[2023/5/22 15:19:07]

聲音 | 安全公司PeckShield：Fomo3D游戲存在“薅羊毛”安全漏洞:近日，備受關注的Fomo3D游戲團隊核心成員聲稱，發現了一個足以毀滅以太坊的“核武器”級別漏洞。以太坊基金會開發團隊負責人之一Péter Szilágyi在Twitter回復這只是一種符合規范的實現，并非Fomo3D開發者所聲稱的EVM缺陷；是Fomo3D對該特性的誤用導致合約的空投機制出現一個可被“薅羊毛”的安全漏洞。

PeckShield安全研究人員已經確認了該漏洞的存在。具體而言：Fomo3D游戲存在一個隨機性的空投機制，用戶有較小概率獲得官方的空投獎勵。攻擊者可通過一定的技術手段提高事件的發生概率，進而通過操作獲得空投。目前，影響范圍已經從Fomo3D擴散至多個具有相似源代碼的同類游戲，提醒廣大用戶和開發者警惕此種攻擊行為。[2018/7/24]

網絡安全公司演示：1.5萬臺被劫持的聯網設備或被迫在4天內挖出1000美元數字貨幣:捷克網絡安全公司Avast周三在西班牙舉行的移動世界大會上進行了一次示范，證明了安全攝像頭、智能手機等脆弱的聯網設備可以被黑客劫持用于數字貨幣挖礦，15000臺被劫持的聯網設備將需要在4天內“挖出”價值1000美元的數字貨幣。盡管1000美元數額不高，但潛力巨大。據研究公司Gartner預測，到2020年將有超過200億臺聯網設備，這意味著可能受到攻擊的設備數量將會高得多。[2018/3/1]