重大安全事件，10亿中国键盘应用用户遭难，众多国内大厂中枪；漂亮国支持黑客利用0day漏洞进行间谍活动；“七年之痛”？利用Office七年前的旧漏洞攻击乌克兰； | 安全周报0428

关键词：拼音键盘应用、百度、华为、0day漏洞、npm包、WordPress、WP-Automatic插件

1. 重大安全漏洞暴露超过10亿中国键盘应用用户的击键信息

在基于云的拼音键盘应用中发现的安全漏洞可能会被黑客利用，从而泄露用户的击键信息。

这些发现来自Citizen Lab，该实验室在百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等九家厂商中的八家的应用中发现了漏洞。唯一一家键盘应用没有任何安全缺陷的厂商是华为。

研究人员Jeffrey Knockel、Mona Wang和Zoë Reichert表示，这些漏洞可能会被利用，“完全泄露用户传输中的击键内容”。

此次披露是基于多伦多大学的跨学科实验室之前的研究，该实验室去年8月发现了腾讯搜狗输入法的加密漏洞。

据估计，近10亿用户受到这类漏洞的影响，其中搜狗、百度和科大讯飞的输入法编辑器（IMEs）占据了市场的巨大份额。

来源：https://thehackernews.com/2024/04/major-security-flaws-expose-keystrokes.html

2. 国家支持的黑客利用两个思科0day漏洞进行间谍活动

一场新的恶意软件活动利用了思科网络设备中的两个0day漏洞，以传递定制恶意软件，并促进在目标环境中进行秘密数据收集。

思科Talos将此次活动命名为ArcaneDoor，并将其归因于一个以前未有记录的、由国家支持的高级黑客，该组织被其追踪并命名为UAT4356（微软称之为Storm-1849）。

“UAT4356在此次活动中部署了两个后门程序，即’Line Runner’和’Line Dancer’，它们被共同用于对目标进行恶意操作，包括配置修改、侦察、网络流量捕获/渗出以及可能的横向移动，”Talos说。

来源：https://thehackernews.com/2024/04/state-sponsored-hackers-exploit-two.html

3. 黑客利用WP-Automatic插件漏洞在WordPress网站上创建管理员账户

黑客正试图积极利用WordPress的ValvePress Automatic插件中的一个关键安全漏洞，该漏洞可能导致网站被接管。

该漏洞被追踪为CVE-2024-27956，其CVSS评分为9.9（最高为10）。它影响3.92.0之前的所有插件版本。此问题已在2024年2月27日发布的3.92.1版本中得到解决，尽管发布说明中并未提及。

WPScan在本周的一份警报中说：“这个漏洞是一个SQL注入（SQLi）漏洞，它构成了严重威胁，因为攻击者可以利用它来获得对网站的未经授权的访问权限，创建管理员级别的用户账户，上传恶意文件，并可能完全控制受影响的网站。”

根据Automattic旗下的公司所述，该问题的根源在于插件的用户身份验证机制，该机制可以通过精心构造的请求轻松绕过，以对数据库执行任意SQL查询。

来源：https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-plugin.html

4. 虚假的npm包被用于诱骗软件开发者安装恶意软件

一场正在进行的社会工程活动正在以工作面试为幌子，通过虚假的npm包诱骗软件开发者下载Python后门程序。

网络安全公司Securonix正在追踪这项名为DEV#POPPER的活动，并将其与朝鲜的黑客联系起来。
安全研究员Den Iuzvyk、Tim Peck和Oleg Kolesnikov表示：“在这些欺诈性面试中，开发者经常被要求执行一些任务，包括从看似合法的来源（如GitHub）下载和运行软件。这些软件包含恶意的Node JS有效载荷，一旦执行，就会破坏开发者的系统。”

来源：https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html

5. 利用微软Office七年旧漏洞，乌克兰遭遇网络攻击

网络安全研究人员发现了一场针对乌克兰的定向行动，该行动被发现利用微软Office中一个已存在近七年的漏洞，在受感染的系统上投放Cobalt Strike。

根据Deep Instinct的信息，此次攻击事件发生在2023年底，起点是一个PowerPoint幻灯片文件（“signal-2023-12-20-160512.ppsx”），其文件名暗示可能已通过Signal即时通讯应用程序共享。
话虽如此，尽管乌克兰计算机应急响应小组（CERT-UA）过去曾发现两个不同的活动使用此消息传递应用程序作为恶意软件传播媒介，但没有确凿证据表明PPSX文件是以这种方式分发的。

就在上周，该机构披露，乌克兰武装部队正越来越多地成为UAC-0184集团通过消息和约会平台投放恶意软件的目标，这些恶意软件包括HijackLoader（又名GHOSTPULSE和SHADOWLADDER）、XWorm和Remcos RAT，以及用于从计算机中窃取数据的开源程序，如sigtop和tusc。

来源：https://thehackernews.com/2024/04/ukraine-targeted-in-cyberattack.html