根據2025年12月07日~12月13日間媒體報導資料，及台灣應用軟件每天發行的資訊安全日報， 整理出以下幾個資訊安全威脅情資，提供組織評估分析組織內部的管理、技術架構、系統設定維護等之參考。參考過去幾個月的風險情境資料，在缺乏自動化工具協助應用與處理的條件下，風險評鑑人員很難利用這些資料。本週開始，風險情境資料會進行簡化，僅保留風險情境說明和受影響系統。

威脅情資-251221
情資名稱：惡意 Visual Studio Code 擴充功能將木馬隱藏在偽造的 PNG 檔案中。
情資說明：攻擊者透過惡意 VS Code 擴充套件與篡改 npm 套件，偽裝 PNG 檔為壓縮檔，並利用 Windows 內建工具執行木馬程式。安裝擴充後即觸發感染，可能竊取程式碼與憑證，影響開發環境與供應鏈安全。
影響產品：

• Visual Studio Code：作為主要攻擊入口，惡意擴充套件在 IDE 啟動時執行惡意程式。
• npm 套件生態系統：被攻擊者篡改後，成為惡意程式的載體，影響依賴這些套件的專案。
• Windows 作業系統（含 cmstp.exe 工具）：攻擊者利用系統內建工具執行惡意程式，繞過防毒與安全策略。 。

威脅情資-251222
情資名稱：CastleLoader惡意軟體現在使用Python Loader繞過安全防護。
情資說明：攻擊者透過社交工程誘導使用者執行命令，利用 Windows 內建工具下載並解壓惡意檔案，再以隱藏的 Python 腳本載入 CastleLoader shellcode於記憶體中，避開防毒偵測，最終連線 C2 伺服器下載 RAT 或資料竊取程式，造成系統與資料外洩風險。
影響產品：

• Windows 作業系統及其內建工具：被濫用的應用包括 curl.exe, tar, conhost.exe, cmd.exe, 和 pythonw.exe，這些工具用於下載、解壓與執行惡意內容。
• Python Runtime（尤其是 pythonw.exe）：成為專門為隱蔽目的運行 shellcode 的「記憶體載入器」，繞過磁碟攔截與防毒檢查。
• CastleLoader 本體與其 C2 基礎架構：以 CLI/YAML 架構的 loader，用來部署 CastleRAT 或各式資料竊取程式，透過 C2 伺服器完成命令與偵測控制。

威脅情資-251223
情資名稱：ConsentFix 新攻擊透過 Azure CLI 劫持 Microsoft 帳戶。
情資說明：攻擊者誘導受害者執行 Azure CLI OAuth 登入操作，竊取授權碼，繞過密碼與 MFA，取得 Microsoft 帳戶控制權，可能用於存取 Azure 資源或企業郵件系統。
影響產品：

• Azure CLI：授權流程被惡意濫用。
• Microsoft 365 / Azure AD 帳戶：被攻擊者接管。
• 瀏覽器與 Cloudflare Turnstile 偽裝頁面：用於誘導與過濾目標。

威脅情資-251224
情資名稱：超過 10,000 個 Docker Hub 映像被發現洩漏憑證和驗證金鑰。
情資說明：開發者在 Docker Hub 上公開超過 10,000 個映像檔，硬編碼生產系統、CI/CD、AI 服務的密鑰與認證（如 .env 檔、config.json、YAML）。其中 42% 映像含超過五項敏感值，可能讓攻擊者藉此取得企業雲端環境、Git 倉庫、資料庫和 AI 平台存取權限，造成資安重大風險。
影響產品：

• Docker Hub – 公用容器映像庫，成為機密資料洩露的主要載體。
• Docker 映像檔/映像建構環境 – 可存在敏感內容的映像與 build context。
• CI/CD 管線（如 Jenkins、GitHub Actions） – 使用含敏感資訊之映像部屬內部環境，進而風險擴散。

威脅情資-251225
情資名稱：勒索軟體團夥利用 Shanya EXE 打包器隱藏 EDR 殺手程。
情資說明：攻擊者利用名為 Shanya 的 packer-as-a-service 平台，將勒索軟體和 EDR-killer 病毒“包裝”成加密壓縮檔，在記憶體中注入 shell32.dll 副本，避開磁碟檢測。其反分析技術，可自動識別並癱瘓 EDR。
影響產品：

• Shanya Packer：提供模組加密與反分析功能的商業化 packer-as-a-service。
• Windows 核心驅動（ThrottleStop.sys、hlpdrv.sys)：被用於提權與停用 EDR。
• Windows EDR 及 AV 解決方案：在攻擊初期被自動癱瘓以便後續操作。