網路星期一前夕,超過2,000個虛假購物網站被發現2025.12.01資訊安全網路安全公司CloudSEK揭露一個涉及2000多個虛假網站的大規模詐騙集團,專門針對黑色星期五與網路星期一等假期購物季的消費者。
JSONFormatter 和 CodeBeautify程式碼格式化平台洩漏數千條秘密2025.11.28資訊安全根據WatchTowr的分析,揭露JSONFormatter和CodeBeautify等程式碼格式化平台如何成為機密洩露的管道。
微軟Teams訪客聊天功能存在漏洞,使用戶容易遭受惡意軟體攻擊2025.11.27資訊安全Ontinue揭露的Microsoft Teams B2B訪客存取安全漏洞,此問題並非Teams軟體本身的錯誤,而是源於跨組織協作時的安全控制權轉移。
Semperis警告稱,假日和週末的空檔期會使關鍵基礎設施容易受到勒索軟體攻擊2025.11.26資訊安全根據Semperis的最新研究,深入探討勒索軟體攻擊者如何利用週末、假日及企業重大事件(如併購、裁員)期間的防禦漏洞,鎖定關鍵基礎設施進行攻擊。強調身份系統復原在業務韌性中的核心地位,並提出實施強大災難復原與事件應變能力的戰略建議。
ToddyCat 的新駭客工具可竊取 Outlook 電子郵件和 Microsoft 365 存取權令牌2025.11.26資訊安全根據卡巴斯基的技術分析,揭示ToddyCat進階威脅組織如何利用TCSectorCopy與PowerShell版TomBerBil等自訂工具,竊取OAuth 2.0令牌和瀏覽器資料以繞過邊界防禦。
Shai Hulud npm 蠕蟲病毒影響供應鏈攻擊中超過 26,000 個程式碼庫2025.11.25資訊安全Shai Hulud npm 蠕蟲病毒於 2025 年 11 月再次大規模爆發,攻擊強度激增百倍,旨在竊取開發者憑證並自我複製。
VSCode Marketplace 上的 Fake Prettier 擴充功能下架了 Anivia Stealer2025.11.25資訊安全網路安全公司 Checkmarx Zero 發現並移除 Visual Studio Code (VSCode) Marketplace 上名為「prettier-vscode-plus」的惡意擴充功能,該程式利用品牌劫持手法散播 Anivia Stealer,專門竊取 Windows 用戶的憑證與敏感資料,並採用高階的記憶體執行和沙箱迴避技術。
ClickFix攻擊利用偽造的Windows更新畫面推送惡意軟體2025.11.25資訊安全ClickFix 是一種高階社交工程攻擊,利用逼真的 Windows 更新畫面欺騙用戶執行剪貼簿指令,並使用隱寫術將 Rhadamanthys 惡意軟體隱藏在 PNG 圖像中。本報告分析其攻擊鏈、規避偵測技術與關鍵防禦策略。