ToddyCat 的新駭客工具可竊取 Outlook 電子郵件和 Microsoft 365 存取權令牌2025.11.26資訊安全根據卡巴斯基的技術分析,揭示ToddyCat進階威脅組織如何利用TCSectorCopy與PowerShell版TomBerBil等自訂工具,竊取OAuth 2.0令牌和瀏覽器資料以繞過邊界防禦。
飛機客艙物聯網使供應商和乘客數據暴露在外2025.11.26工控安全探討飛機客艙等多供應商物聯網環境中,敏感資料在傳輸後到達目標設備時的隱私暴露問題。分析現有安全機制的不足,並重點介紹「差分隱私」與「秘密共享」兩種新型加密技術如何從資料創建瞬間進行保護,以平衡資料協作、乘客隱私和供應商智慧財產權的複雜需求。
Shai Hulud npm 蠕蟲病毒影響供應鏈攻擊中超過 26,000 個程式碼庫2025.11.25資訊安全Shai Hulud npm 蠕蟲病毒於 2025 年 11 月再次大規模爆發,攻擊強度激增百倍,旨在竊取開發者憑證並自我複製。
VSCode Marketplace 上的 Fake Prettier 擴充功能下架了 Anivia Stealer2025.11.25資訊安全網路安全公司 Checkmarx Zero 發現並移除 Visual Studio Code (VSCode) Marketplace 上名為「prettier-vscode-plus」的惡意擴充功能,該程式利用品牌劫持手法散播 Anivia Stealer,專門竊取 Windows 用戶的憑證與敏感資料,並採用高階的記憶體執行和沙箱迴避技術。
ClickFix攻擊利用偽造的Windows更新畫面推送惡意軟體2025.11.25資訊安全ClickFix 是一種高階社交工程攻擊,利用逼真的 Windows 更新畫面欺騙用戶執行剪貼簿指令,並使用隱寫術將 Rhadamanthys 惡意軟體隱藏在 PNG 圖像中。本報告分析其攻擊鏈、規避偵測技術與關鍵防禦策略。
Fluent Bit 的新漏洞使雲端平台容易受到遠端程式碼執行和隱藏基礎設施入侵攻擊2025.11.25雲端安全Oligo Security 在開源遙測代理 Fluent Bit 中發現五個嚴重漏洞,可能導致雲端基礎設施遭接管。本報告詳解 CVE 漏洞的具體利用方式、遠端程式碼執行和日誌篡改的風險,並提供開發者和維運團隊的緊急緩解建議。
一次簡單的AI檢查如何洩漏公司機密2025.11.24人工智慧分析了生成式AI在企業環境中缺乏治理所引發的知識產權外洩風險,強調員工將敏感資料提交至公開AI平台所導致的競爭優勢削弱和合規問題,並提供了健全的AI使用政策與教育建議。
Comet瀏覽器中隱藏MCP API破壞了使用者信任,使AI瀏覽器能完全控制裝置2025.11.20人工智慧SquareX研究揭示Comet AI瀏覽器中存在隱藏的MCP API,允許嵌入式擴充功能執行本機命令,獲取裝置完全控制權,嚴重違反了傳統瀏覽器安全規範。