「勒索氛圍」席捲 Visual Studio 擴展市場2025.11.10人工智慧揭露「ransomvibing」這一基於 vibe 編碼的AI勒索軟體如何作為惡意擴充功能滲透 Visual Studio Marketplace
GlassWorm惡意軟體攜帶3個新的VSCode擴充功能重返OpenVSX平台2025.11.10資訊安全分析GlassWorm惡意軟體如何利用Solana交易機制和不可見Unicode字元,再次滲透OpenVSX和VS Code擴充功能市場。
惡意 NuGet 套件會釋放破壞性的「定時炸彈」2025.11.10資訊安全程式碼安全公司Socket發現NuGet套件管理器上的九個惡意套件,這些套件偽裝成合法程式庫,並在2027年至2028年期間設有概率性觸發的「時間炸彈」,旨在破壞資料庫及西門子S7工業控制系統。
QNAP修復了Pwn2Own漏洞大會上被利用的七個NAS零日漏洞2025.11.10資安漏洞網路附加儲存(NAS)製造商QNAP已修復其QTS、QuTS hero等作業系統及多款應用程式中的七個零時差漏洞,這些漏洞在Pwn2Own Ireland 2025競賽中被多個資安團隊成功利用來入侵QNAP設備。
思科:防火牆漏洞已被積極利用,並用於發動拒絕服務攻擊2025.11.10資安漏洞思科發出警告,兩個已被用於零時差攻擊的 ASA 和 FTD 防火牆漏洞(CVE-2025-20362 和 CVE-2025-20333),正遭濫用以迫使設備進入重啟循環,導致服務中斷(DoS)。
深度學習工具 Keras 中發現資料外洩漏洞2025.11.10資安漏洞開源深度學習 API Keras 中發現一個中度嚴重性漏洞(CVE-2025-12058),該漏洞允許攻擊者在模型載入時繞過安全限制,讀取本機檔案或執行伺服器端請求偽造 (SSRF) 攻擊。
2025年11月第一週 資訊安全威脅情資2025.11.09資安風險台灣應用軟件發布 2025/11/02-11/08 資訊安全情資週報。本週聚焦未受管控的身分識別風險、YouTube 平台散播 Infostealer、RMM 工具滲透航運業,以及 ChatGPT 提示注入與 OpenAI Assistants API 濫用等五大最新威脅。提供組織評估分析內部管理與技術架構,有效應對高風險資安挑戰。
德國BSZ產品:加速安全驗證計畫產品驗證與歐盟CRA要求關聯摘要2025.11.09法規標準本文初略整理 BSZ 如何作為歐盟 CRA (Cyber Resilience Act) 的技術落地方案,滿足產品安全設計、漏洞管理、SBOM 與合格評定程序等強制要求,為產品進入歐洲市場奠定合規基礎。