网络安全日报（8月16日）

1、研究人员披露针对npm开发者的供应链攻击活动

https://blog.phylum.io/sophisticated-highly-targeted-attacks-continue-to-plague-npm/

npm 包注册表已成为另一个高度针对性的攻击活动的目标，该攻击活动旨在诱使开发人员下载恶意模块。2023 年 8 月 9 日至 12 日期间，多达 9 个软件包已被确定上传到 npm。其中包括：ws-paso-jssdk、pingan-vue-floating、srm-front-util、cloud-room-video、progress-player 、ynf-core-loader、ynf-core-renderer、ynf-dx-scripts 和 ynf-dx-webpack-plugins。由于攻击的复杂性和受影响的软件包数量较少，研究人员怀疑这是另一次高度针对性的攻击，可能涉及社会工程方面，以便让目标安装这些软件包。

2、攻击者利用测试版应用程序欺骗移动应用程序商店安全审查

https://www.ic3.gov/Media/Y2023/PSA230814

美国联邦调查局 (FBI) 警告网络犯罪分子采用的一种新策略，他们在流行的移动应用商店上推广恶意“测试版”加密货币投资应用程序，然后用于窃取加密货币。攻击者将恶意应用程序作为“测试版”提交到移动应用程序商店，这意味着它们处于早期开发阶段，旨在供技术爱好者或粉丝在软件正式发布之前进行测试并向开发人员提交反馈。这种方法的好处是，测试版应用程序不会经过标准、严格的代码审查流程，而是对其安全性进行表面审查。

3、攻击者入侵基于WordPress漏洞的网站进行钓鱼攻击

https://securelist.com/phishing-with-hacked-sites/110334/

网络钓鱼攻击者希望他们的虚假页面花费最少的精力，但产生尽可能多的收入，因此他们急切地使用各种工具和技术来逃避检测，并节省时间和金钱。例如网络钓鱼工具包或Telegram 机器人的自动化。另一种攻击者（包括网络钓鱼者）常用的策略是侵入网站并在这些网站上放置恶意内容，而非注册新域名。除了在他们入侵的网站中隐藏网络钓鱼页面外，攻击者还可以窃取服务器上的所有数据并完全破坏网站的运行。

4、印度计算机紧急响应小组对Android 13等多个版本发出高风险警告

https://www.indiatoday.in/technology/news/story/government-alerts-
mobile-users-issues-high-risk-warning-for-android-13-and-other-versions-2420682-2023-08-14

印度计算机紧急响应小组 (CERT-In) 已向 Android 用户发出警告。此警告被归类为“高严重性”，涉及在多个版本的 Android 操作系统（包括最新的 Android 13）中发现的多个漏洞。这些漏洞被归类为“高严重性”，可能会被攻击者利用控制易受攻击的设备、窃取敏感信息或扰乱运营。Android 中报告了多个漏洞，攻击者可能会利用这些漏洞获取敏感信息、获得提升的权限并导致目标系统拒绝服务。

5、Monti 勒索软件团伙推出了新的 Linux 加密器

https://securityaffairs.com/149539/cyber-crime/monti-ransomware-news-linux-variant.html

Monti 勒索软件运营商在暂停两个月后带着加密器的新 Linux 变体回归。

6、研究人员披露名为QwixxRAT的新型恶意软件

https://www.uptycs.com/blog/remote-access-trojan-qwixx-telegram

攻击者通过 Telegram 和 Discord 平台宣传销售一种名为 QwixxRAT 的新型远程访问木马。研究人员发现该恶意软件一旦安装在受害者的 Windows 平台计算机上，就会收集敏感数据，然后将其发送到攻击者的 Telegram 机器人，从而使他们能够未经授权访问受害者的敏感信息。该恶意软件收集网络浏览器历史记录、书签、cookie、信用卡信息、击键、屏幕截图、与某些扩展名匹配的文件以及来自 Steam 和 Telegram 等应用程序的数据。

7、专家警告网络犯罪分子滥用 Cloudflare R2 托管网络钓鱼页面

https://thehackernews.com/2023/08/cybercriminals-abusing-cloudflare-r2.html

过去六个月中，威胁行为者使用 Cloudflare R2 托管网络钓鱼页面的次数增加了 61 倍。Netskope 安全研究员 Jan Michael表示：“大多数网络钓鱼活动都针对 Microsoft 登录凭据，也有一些页面针对 Adobe、Dropbox 和其他云应用程序。”

8、预算超 43 亿元！金融之都纽约发布首个网络安全战略

https://www.secrss.com/articles/57764

美国纽约州州长 Kathy Hochul 推出一项广泛的网络安全战略，拨款 6 亿美元（约合人民币 43.53 亿元）用于保护该州数字和关键基础设施免受网络威胁。

9、福特曝 WiFi 安全漏洞，官方称仍可安全驾驶

https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/

福特汽车供应商的安全人员向福特公司报告了一个安全漏洞，漏洞编号 CVE-2023-29468，该漏洞位于汽车信息娱乐系统集成的 WiFi 系统 WL18xx MCP 驱动程序中，允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。

10、英国政府承包商 MPD FM 泄露员工护照数据

https://securityaffairs.com/149440/security/mpd-fm-data-leak.html

为英国多个政府部门提供服务的设施管理和安全公司 MPD FM 泄露了一个开放实例，暴露了员工护照、签证和其他敏感数据。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9fwzowgx-1692151079051)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-306hQyaO-1692151079051)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2dhQrUnQ-1692151079051)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dU5A9Zwu-1692151079052)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZtEo6tVX-1692151079052)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里****网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

同学们可以扫描下方二维码获取哦！