安全周报：危险蠕虫正在吞噬软件包

本周新发现显示，国土安全部使用的一个配置错误平台使敏感国家安全信息（包括与美国公民监控相关的数据）暴露在外，可供数千人访问。与此同时，移民海关执法局和纽约警察局本周在26联邦广场及其周边逮捕了15名纽约官员——法院已裁定该地的拘留条件不卫生。

俄罗斯在北约边界附近进行了引人注目的高超音速导弹军事演习，在克里姆林宫最近已将无人机飞入波兰和罗马尼亚领空后，加剧了该地区的紧张局势。诈骗者拥有发送垃圾短信的新工具"短信轰炸机"，每小时可发送多达10万条短信，同时逃避电信公司反垃圾邮件措施。诈骗者部署恶意蜂窝基站，诱骗用户手机连接到这些恶意设备，从而直接发送短信并绕过过滤器。微软Entra ID身份和访问管理系统中两个已修补的漏洞本可被利用来访问几乎所有Azure客户账户——这可能是灾难性事件。

“沙虫"蠕虫正在吞噬数百个软件包

网络安全界日益沮丧地看到大量软件供应链攻击，其中黑客将代码隐藏在合法软件中，悄无声息地传播给全球使用该代码的所有系统。近年来，黑客甚至尝试将一次软件供应链攻击与另一次连接起来，在受害者中寻找第二个软件开发目标，以破坏另一个软件并启动新一轮感染。本周出现了这些策略的新 troubling 演变：完整的自我复制供应链攻击蠕虫。

该恶意软件被命名为Shai-Hulud（源自科幻小说《沙丘》中弗瑞曼人对巨型沙虫的称呼，也是恶意软件发布受害者窃取凭证的Github页面名称），已感染代码库NPM（Node包管理器）上数百个开源软件包，被JavaScript开发者使用。Shai-Hulud蠕虫旨在感染使用这些软件包的系统，然后搜寻该系统上更多NPM凭证，以便破坏另一个软件包并继续传播。

据一项统计，该蠕虫已传播到180多个软件包，包括网络安全公司CrowdStrike使用的25个，不过CrowdStrike后来已将它们从NPM仓库移除。网络安全公司ReversingLabs的统计数字更高，超过700个受影响的代码包。这使得Shai-Hulud成为有史以来最大规模的供应链攻击之一，尽管其大规模凭证窃取的目的尚不明确。

美国科技公司如何帮助建造中国全景监控系统

西方隐私倡导者长期指出，如果科技行业和政府数据收集不受控制，中国监控系统可能是美国等国家面临的潜在反乌托邦。但一项广泛的美联社调查强调，中国的监控系统据报道很大程度上是建立在美国技术之上的。美联社记者发现证据表明，中国监控网络——从北京官员用于审查互联网和打击涉嫌恐怖分子的"金盾"警务系统，到用于针对、追踪并经常拘留维吾尔族和中国新疆地区的工具——似乎是在美国公司帮助下建造的，包括IBM、戴尔、思科、英特尔、英伟达、甲骨文、微软、赛默飞世尔、摩托罗拉、亚马逊网络服务、西部数据和惠普。美联社发现许多案例中，西方公司通过中文营销材料专门向中国警察和国内情报部门提供监控应用和工具。

两名涉嫌Scattered Spider黑客组织成员被捕

Scattered Spider是一个罕见的基于西方国家的黑客和勒索网络犯罪团伙，多年来在互联网上制造混乱，攻击目标从美高梅度假村和凯撒宫到英国玛莎百货 grocery 连锁店。现在该著名团伙两名涉嫌成员在英国被捕：19岁的Thalha Jubair和18岁的Owen Flowers，均被指控黑客伦敦交通局运输系统——据报道造成超过5000万美元损失——以及其他许多目标。仅Jubair就被指控入侵47个组织。这些逮捕是针对Scattered Spider的一系列突击行动中的最新进展，该组织尽管如此仍几乎不间断地进行入侵。Noah Urban因与Scattered Spider活动相关的指控被定罪，从监狱接受彭博商业周刊采访，谈及他的网络犯罪生涯。21岁的Urban已被判处十年监禁。