专门针对开发人员，攻击者利用 Rust 获取操作系统信息

研究人员在 Rust 编程语言的 crate 注册表中发现了一些恶意软件包，专门针对开发人员。

近日，研究人员在 Rust 编程语言的 crate 注册表中发现了一些恶意软件包，专门针对开发人员。

西门子发布了五项新公告，共描述了37个已修补漏洞。西门子表示，这些弱点可能允许攻击者引发DoS条件、获取敏感数据或破坏系统完整性。施耐德电气仅发布了一项新的公告，但该公司已更新了十多项现有公告。Rust基金会执行董事 Rebecca Rumbul在9月13日 的一份声明中表示了这一点。

GoldPickaxe.iOS 采用了一种全新的分发方式，利用 Apple 的移动应用测试平台 TestFlight 进行传播。平台将其删除后，攻击者采用多阶段的社会工程学方式说服受害者安装移动设备管理（MDM）配置文件，借此完全控制受害者的设备。

比利时政府官员表示，自上周五发生网络事件后，比利时国防部的部分计算机网络一直处于瘫痪状态，攻击者利用了Apache Log4j漏洞。

目前，全球使用的公共API和私有API总数估计约为2 亿个。攻击者可以在未经身份验证的情况下向端点发送大量API请求，并在短时间内收集大量数据。这严重限制了它们保护API远离基于机器人程序的攻击的能力。这带来了业务逻辑缺陷，机器人程序可以利用这些缺陷造成严重破坏，同时通过看似合法的API请求逃避检测。监控所有入站API请求，以便在侦察阶段发现并阻止异常行为。

虽然并没有完美的安全计划，但此类事件表明网络安全团队不能忽视任何事情。Harper表示，当企业领导者狭隘地看待网络安全时将会带来负面影响。GitLab公司在调查中发现，70%的开发团队在开发早期就考虑了安全性。根据Verizon公司在2021年发布的一份数据泄露调查报告，2020年85%的数据泄露事件与人为因素有关。Bud

无疑Web成为领导者。随着国家安全法的不断完善，企业及公司对用户隐私以及公司的重要信息逐渐加强重视。也使得暴露在网络上的Web面临更高的挑战。浅谈从Web安全到APT防御。如果服务端未对来自客户端的请求进行身份属主校验，攻击者可通过伪造请求，越权窃取所有业务系统的数据。

Malwarebytes威胁情报公司每月通过监控勒索软件团伙在其暗网泄露网站上发布的信息来建立勒索软件活动的图景。这些信息代表的是那些成功被袭击但选择不支付赎金的受害者。

研究人员将恶意模块命名为“Owowa”，并确定了位于亚洲的几台受感染服务器。Owowa 专门设计用于通过挂钩 PreSendRequestContent 事件来检查 HTTP 请求和响应。该恶意模块实际上旨在记录在 OWA 身份验证网页上成功通过身份验证的用户的凭证。由于有关 Owowa 部署的数据不足，研究人员找不到 Owowa 与任何已知攻击者之间的任何联系。