一周安全資訊20221014：英特爾確認Alder Lake芯片代碼遭到泄露

發(fā)布日期：2022/10/14

國  內

1. 《陜西省大數據條例》正式通過(guò)

9月29日，《陜西省大數據條例》（以下簡(jiǎn)稱(chēng)《條例》）經(jīng)省十三屆人大常委會(huì )第三十六次會(huì )議表決通過(guò)，將于2023年1月1日起施行?！稐l例》共八章八十一條，立足陜西發(fā)展實(shí)際，重點(diǎn)在基礎設施、數據資源、開(kāi)發(fā)應用、產(chǎn)業(yè)發(fā)展和安全保障等方面進(jìn)行了明確規定。

在網(wǎng)絡(luò )安全方面，《條例》規定，關(guān)鍵信息基礎設施運營(yíng)者依照有關(guān)法律、行政法規的規定以及國家標準的強制性要求，在網(wǎng)絡(luò )安全等級保護的基礎上，采取技術(shù)保護措施和其他必要措施，應對網(wǎng)絡(luò )安全事件，防范網(wǎng)絡(luò )攻擊和違法犯罪活動(dòng)，保障關(guān)鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

國  際

1. 英特爾確認Alder Lake芯片代碼遭到泄露

英特爾公司證實(shí)，Alder Lake芯片代碼已被泄露。上周，未知第三方在4chan和GitHub上發(fā)布了相關(guān)源代碼，其中包括英特爾公司第12代處理器Alder Lake的統一可擴展固件接口（UEFI）代碼，這距離該處理器的發(fā)布時(shí)間2021年11月還不足一年。除了UEFI接口代碼外，泄露的數據還包括大量文件和軟件工具。

英特爾公司在聲明中稱(chēng)，本次芯片源代碼泄露并不會(huì )暴露任何新的安全漏洞，同時(shí)也鼓勵安全研究團體通過(guò)英特爾的漏洞賞金計劃上報任何發(fā)現的問(wèn)題。目前GitHub存儲庫上的源代碼已被移除，英特爾方面尚不能確認黑客來(lái)源和攻擊活動(dòng)的具體細節。

近兩年以來(lái)，三星、微軟AMD、英特爾、英偉達等大型科技公司都成為黑客組織的攻擊目標。今年2月初，LAPSUS$勒索組織入侵了英偉達公司并竊取了1TB的敏感數據。

2. 黑客組織利用NPM存儲庫分發(fā)惡意軟件包

Checkmarx軟件安全公司在NPM開(kāi)源存儲庫中發(fā)現了199個(gè)惡意軟件包，這些軟件包能夠竊取用戶(hù)的信用卡數據以及游戲和流媒體賬號，目前已被下載安裝數千次。

網(wǎng)絡(luò )安全研究人員將這些惡意軟件包歸咎于LofyGang黑客組織。該黑客組織被認為是源自巴西的網(wǎng)絡(luò )犯罪組織，且一直在黑客論壇上宣傳他們研發(fā)的帶有隱藏后門(mén)的黑客工具。此次發(fā)現的惡意軟件包嵌入了密碼竊取器和其它惡意軟件，并通過(guò)不同的用戶(hù)賬戶(hù)發(fā)布，從而提升惡意軟件包在NPM庫內的生存能力。

研究人員稱(chēng)，黑客組織越來(lái)越多的將攻擊對象瞄準開(kāi)源生態(tài)系統，此前GitHub也曾被黑客用于發(fā)布和嵌入惡意代碼。開(kāi)源代碼庫的開(kāi)放性和可信度高，受到廣大開(kāi)發(fā)者的信任和依賴(lài)，這也便于黑客擴大攻擊范圍和提高攻擊成功率。

3. 黑客利用幣安跨鏈橋漏洞竊取1億美元加密貨幣

幣安加密貨幣交易所區塊鏈BNB Chain存在一個(gè)跨鏈橋漏洞，黑客成功利用該漏洞竊取了約1億美元的數字貨幣。

根據幣安區塊鏈負責人的說(shuō)法，幣安信標鏈和智能鏈之間的原生跨鏈橋（BSC Token Hub）存在一個(gè)漏洞，導致黑客可以攻擊跨鏈橋，從而使數字資產(chǎn)和信息在獨立的區塊鏈之間轉移。在此次攻擊活動(dòng)中，黑客成功利用該漏洞非法制造出200萬(wàn)枚新的幣安代幣，并通過(guò)借貸協(xié)議將其中的部分假幣抵押，成功借出價(jià)值1億美元的其它加密貨幣。受該事件影響，幣安智能鏈和相關(guān)交易暫時(shí)關(guān)閉。

4. 超400多款?lèi)阂獬绦虮I竊Facebook用戶(hù)登錄信息

Facebook公司透露稱(chēng)在安卓和蘋(píng)果設備中發(fā)現400多款?lèi)阂鈶贸绦?，這些程序能夠竊取Facebook用戶(hù)登錄信息。

Facebook發(fā)布報告稱(chēng)，這些惡意應用程序掛載在Google Play和App Store應用商店內，偽裝成照片編輯器、游戲、VPN服務(wù)等實(shí)用程序，誘騙用戶(hù)下載和安裝。這400多款?lèi)阂獬绦蛑校?2.6%的程序是照片編輯器。除了將惡意程序偽裝成看似無(wú)害的應用，這些程序運營(yíng)商還在應用商店內發(fā)布虛假評論，旨在抵消一些用戶(hù)的負面評論。這些程序最終通過(guò)“使用Facebook登錄”的提示按鈕來(lái)竊取用戶(hù)輸入的登錄憑證。如果用戶(hù)賬號被盜，攻擊者能夠獲得對賬號的完全訪(fǎng)問(wèn)權限，從而開(kāi)展信息詐騙或網(wǎng)絡(luò )釣魚(yú)攻擊。

5. 谷歌推出新一代無(wú)密碼登錄服務(wù)

谷歌于10月12日正式推出了面向安卓和Chrome瀏覽器的新一代身份驗證標準密鑰服務(wù)。新一代密鑰是密碼和其他身份驗證因素的更安全的替代品，它不能重復使用，也不會(huì )在服務(wù)器漏洞中泄露，能夠保護用戶(hù)免受網(wǎng)絡(luò )釣魚(yú)攻擊。

新一代密鑰功能由FIDO聯(lián)盟建立，于2022年5月首次宣布，得到了蘋(píng)果、谷歌和微軟等公司的大力支持。該密鑰功能允許用戶(hù)選擇自己的手機等設備作為主要的身份驗證設備，之后可通過(guò)指紋、面部識別或PIN碼登錄應用程序或網(wǎng)站。生成的密鑰將安全存儲在設備密碼管理器并同步到云端服務(wù)器，其它開(kāi)發(fā)人員可使用WebAuthn API在其網(wǎng)站上使用谷歌密鑰服務(wù)。

新一代無(wú)密碼登錄服務(wù)具有更強的安全性，可防止黑客暴力破解密碼或通過(guò)網(wǎng)絡(luò )釣魚(yú)竊取密碼。在2023年底之前，Windows、macOS、iOS以及Safari瀏覽器也將提供無(wú)密碼授權功能。