朝鲜黑客扔出了【榴莲】，全新Golang恶意软件横行；紧急！Chrome新0day漏洞已遭黑客利用；恶意Python包伪装成Requests库分支 | 安全周报0517

1. 朝鲜黑客再度出手：全新Golang恶意软件‘榴莲’瞄准加密公司！

被称为Kimsuky的朝鲜黑客已被观察到部署了一种以前未有记录的基于Golang的恶意软件，被称为“榴莲”，这是针对两家韩国加密货币公司的高度针对性网络攻击的一部分。

卡巴斯基在其2024年第一季度APT趋势报告中表示：“榴莲拥有全面的后门功能，可以执行传递的命令、额外文件下载和文件渗出。”

2023年8月和11月发生的攻击，涉及使用韩国独有的合法软件作为感染途径，尽管目前尚不清楚用于操作该程序的确切机制。

目前所了解的是，该软件会建立与攻击者服务器的连接，从而检索恶意有效载荷，触发感染序列。

第一阶段充当额外恶意软件的安装程序，并作为在主机上建立持久性的手段。它还为最终执行榴莲的加载程序恶意软件铺平了道路。

关键词：Golang、恶意软件、后门功能、感染途径、持久性

来源：https://thehackernews.com/2024/05/north-korean-hackers-deploy-new-golang.html

2. Android 15重磅更新：谷歌推出新功能，筑起防诈骗和恶意应用的铜墙铁壁！

谷歌在Android 15中推出了一系列新功能，以防止设备上安装的恶意应用捕获敏感数据。

这是对Play Integrity API的更新，第三方应用开发者可以利用该API保护其应用免受恶意软件的攻击。

“开发者可以检查是否有其他应用程序正在运行，这些程序可能会捕获屏幕、创建叠加层或控制设备，”Android安全与隐私工程副总裁戴夫·克莱德曼彻说。

“这对于希望向其他应用程序隐藏敏感信息并保护用户免受诈骗的应用程序来说很有帮助。”

此外，在执行敏感操作或处理敏感数据之前，可以使用Play Integrity API检查Google Play Protect是否处于活动状态，以及用户的设备是否没有已知的恶意软件。

关键词：Android 15、恶意应用、敏感数据、Play Integrity API、Google Play Protect

来源：https://thehackernews.com/2024/05/android-15-introduces-new-features-to.html

3. Cacti 框架惊爆多个严重漏洞，黑客可轻易执行恶意代码！

Cacti开源网络监控和故障管理框架的维护者已经解决了十几个安全漏洞，其中包括两个可能导致执行任意代码的关键问题。

最严重的漏洞列举如下：

• CVE-2024-25641（CVSS评分：9.1）- “包导入”功能中的任意文件写入漏洞，允许具有“导入模板”权限的已验证用户在Web服务器上执行任意PHP代码，从而导致远程代码执行。
• CVE-2024-29895（CVSS评分：10.0）- 一个命令注入漏洞，当PHP“register_argc_argv”选项打开时，允许任何未经验证的用户在服务器上执行任意命令。

Cacti还解决了另外两个可能导致通过SQL注入和文件包含执行代码的高严重性漏洞：

• CVE-2024-31445（CVSS评分：8.8）- api_automation.php中的一个SQL注入漏洞，允许已验证的用户执行权限提升和远程代码执行。
• CVE-2024-31459（CVSS评分：N/A）- “lib/plugin.php”文件中的一个文件包含问题，可能与SQL注入漏洞结合，导致远程代码执行。

值得注意的是，除了CVE-2024-29895和CVE-2024-30268（CVSS评分：6.1）之外，12个漏洞中有10个影响了Cacti的所有版本，包括1.2.26之前的版本。这些漏洞已在2024年5月13日发布的1.2.27版本中得到解决。另外两个漏洞影响了1.3.x开发版本。

注：为了迅速检测并定位潜在的恶意代码，我们建议使用SAST（Static Application Security Testing，静态应用程序安全测试）代码审核工具。SAST工具能深入源代码进行细致的分析，通过自动化的方式快速识别出可能隐藏的安全漏洞和恶意代码，从而帮助企业及时修复问题，提高软件的安全性。利用SAST代码审核工具，企业可以有效防范潜在的安全威胁，确保应用程序的稳健运行。

关键词：Cacti框架、安全漏洞、任意代码执行、SQL注入、命令注入、文件包含

来源：https://thehackernews.com/2024/05/critical-flaws-in-cacti-framework-could.html

4. 紧急！Chrome新0day漏洞已遭黑客利用，立即更新保护你的浏览器！

周一，谷歌发布了紧急修复程序，以解决Chrome网络浏览器中的一个新的0day漏洞，该漏洞已在野外遭到积极利用。

该高危漏洞，编号为CVE-2024-4761，是一个越界写入错误，影响V8 JavaScript和WebAssembly引擎。该漏洞于2024年5月9日由匿名人士报告。

越界写入错误通常可以被恶意行为者利用来破坏数据，或在受损主机上引发崩溃或执行任意代码。

“谷歌意识到CVE-2024-4761的漏洞利用程序在野外已经存在，”这家科技巨头表示。
关于攻击性质的更多细节被保留，以防止更多的黑客将该漏洞武器化。

就在几天前，该公司刚刚修补了CVE-2024-4671，这是一个在Visuals组件中的使用后释放漏洞，也已在现实世界的攻击中被利用。

随着最新的修复，谷歌自今年年初以来已经解决了总共6个0day漏洞，其中三个在三月份温哥华举行的Pwn2Own黑客大赛上展示过——

• CVE-2024-0519 - V8中的越界内存访问（被积极利用） CVE-2024-2886 - WebCodecs中的使用后释放
• CVE-2024-2887 - WebAssembly中的类型混淆 CVE-2024-3159 - V8中的越界内存访问
• CVE-2024-4671 - Visuals中的使用后释放（被积极利用）建议用户升级到Chrome
  124.0.6367.207/.208版本（适用于Windows和macOS），以及124.0.6367.207版本（适用于Linux），以减轻潜在威胁。 使用基于Chromium的浏览器的用户，如Microsoft Edge、Brave、Opera和Vivaldi，也建议在可用时应用这些修复程序。

关键词：0day漏洞、使用后释放漏洞、越界内存访问、类型混淆、V8、Visuals组件、WebCodecs、WebAssembly

来源：https://thehackernews.com/2024/05/new-chrome-zero-day-vulnerability-cve.html

5. 警惕！恶意Python包伪装成Requests库分支，暗藏Sliver C2框架攻击代码！

网络安全研究人员发现了一个恶意的Python包，该包自称是流行的requests库的分支，并被发现将Golang版本的Sliver命令和控制（C2）框架隐藏在项目Logo的PNG图像中。

使用这个隐写术技巧的包是requests-darwin-lite，在从Python包索引（PyPI）注册表中删除之前，它已被下载了417次。

软件供应链安全公司Phylum表示，requests-darwin-lite“似乎是一个备受欢迎的requests包的分支，但有一些关键区别，最显著的区别是包含了一个恶意的Go二进制文件，该文件被打包到了实际requests侧边栏PNG Logo的一个大版本中。”

注：软件供应链的安全性至关重要。为了有效应对潜在的安全风险，强烈推荐使用的SCA（Software Composition Analysis，软件成分分析）工具进行安全检测。SCA工具能够深入扫描软件的依赖关系和组件，及时发现并报告已知的安全漏洞和潜在风险。同时，它还能协助进行开源治理，确保开源组件的合规使用与及时更新。通过开源网安SCA工具的应用，企业可以显著提升软件供应链的安全性和稳定性，为数字化转型保驾护航。

关键词：软件供应链安全、恶意Python包、Sliver C2框架、requests库、PNG图像、隐写术、Golang版本、PyPI注册表、Go二进制文件

来源：https://thehackernews.com/2024/05/malicious-python-package-hides-sliver.html