2025年11月第四週 資訊安全威脅情資2025.11.30風險情境本週資安週報揭示五大高風險情境:線上格式化工具導致憑證與密鑰外洩、Microsoft Teams 架構漏洞讓惡意檔案繞過防護、ToddyCat 新工具竊取郵件與 OAuth Token、第三方供應商駭入造成 OpenAI API 用戶資料外洩,以及 HashJack 技術劫持 AI 瀏覽器與助理。提供風險評估與應對策略,協助企業強化資安防線。
JSONFormatter 和 CodeBeautify程式碼格式化平台洩漏數千條秘密2025.11.28資訊安全根據WatchTowr的分析,揭露JSONFormatter和CodeBeautify等程式碼格式化平台如何成為機密洩露的管道。
Mixpanel洩露事件導致OpenAI API用戶資料洩露,ChatGPT未受影響2025.11.28人工智慧OpenAI證實,因其第三方分析平台Mixpanel遭入侵,導致部分API用戶的姓名、電子郵件和瀏覽器資訊等元資料外洩。
新型「HashJack」攻擊可劫持人工智慧瀏覽器和助手2025.11.27人工智慧分析Cato Networks研究人員發現的「HashJack」攻擊技術,該技術利用URL中的#fragment隱藏惡意指令,迫使AI瀏覽器及助手提供虛假資訊或竊取用戶敏感資料。
微軟Teams訪客聊天功能存在漏洞,使用戶容易遭受惡意軟體攻擊2025.11.27資訊安全Ontinue揭露的Microsoft Teams B2B訪客存取安全漏洞,此問題並非Teams軟體本身的錯誤,而是源於跨組織協作時的安全控制權轉移。
Semperis警告稱,假日和週末的空檔期會使關鍵基礎設施容易受到勒索軟體攻擊2025.11.26資訊安全根據Semperis的最新研究,深入探討勒索軟體攻擊者如何利用週末、假日及企業重大事件(如併購、裁員)期間的防禦漏洞,鎖定關鍵基礎設施進行攻擊。強調身份系統復原在業務韌性中的核心地位,並提出實施強大災難復原與事件應變能力的戰略建議。
WormGPT 4 與 KawaiiGPT:新型暗黑LLM推動網路犯罪自動化2025.11.26人工智慧根據Palo Alto Networks的分析,探討專為惡意目的設計的「暗黑LLM」(如WormGPT 4與KawaiiGPT)如何降低網路犯罪的技術門檻。
ToddyCat 的新駭客工具可竊取 Outlook 電子郵件和 Microsoft 365 存取權令牌2025.11.26資訊安全根據卡巴斯基的技術分析,揭示ToddyCat進階威脅組織如何利用TCSectorCopy與PowerShell版TomBerBil等自訂工具,竊取OAuth 2.0令牌和瀏覽器資料以繞過邊界防禦。