Mastodawn

🌕 GravityForms 官方插件遭植入惡意程式碼，供應鏈安全漏洞曝光
➤ 供應鏈攻擊風險再升級，GravityForms 插件成受害者
✤ https://patchstack.com/articles/critical-malware-found-in-gravityforms-official-plugin-site/
安全研究人員發現 GravityForms 官方插件遭植入惡意程式碼，顯示供應鏈遭到入侵。此惡意程式碼透過 `update_entry_detail` 函數向 `gravityapi.org` 發送網站資訊，並可能在網站上寫入惡意檔案。GravityForms 已發布 2.9.13 版本修補此漏洞，Namecheap 也已暫停 `gravityapi.org` 域名。初步調查顯示受影響範圍可能有限，但 Patchstack 團隊正在持續監控情況。
+ 「這太可怕了！我正在使用 GravityForms，必須立刻更新。這也讓我開始擔心其他插件的安全性。」
+ 「Patchstack
#安全漏洞 #WordPress #GravityForms #供應鏈攻擊

Malware Found in Official GravityForms Plugin Indicating Supply Chain Breach - Patchstack

Update 7-11-2025 14:10 UTC: A version 2.9.13 has been released to ensure customers can safely update to a new version without a backdoor present. In addition, Namecheap (the domain registrar) has suspended the domain name gravityapi.org to avoid successful exploitation of the backdoor portion that connects to this domain name. Update 7-11-2025 12:38 UTC: We […]

Patchstack

卡拉今天看了什麼 Jul 5

ChatGPT creates phisher’s paradise by serving wrong URLs • The Register

LinkAI推薦錯誤網址助長詐騙手法
https://www.theregister.com/2025/07/03/chatgpt_phishing_urls/

📌 Summary:
本篇文章分析了以 GPT-4.1 為代表的人工智慧（AI）聊天機器人在提供知名企業官方網站連結時，僅有約 66% 的回應能準確提供正確網址，約 29% 給出失效或被吊銷的網站，另外約 5% 則是合法但並非用戶要求的網站。此缺陷為網路釣魚犯罪集團提供了可乘之機，因為他們能監控 AI 的回答錯誤，搶先購買這些未被註冊或失效的網址，架設偽裝成正牌網站的釣魚平臺。研究顯示，AI 主要根據字詞關聯搜尋網址，而非判斷網址真偽或聲譽，導致容易被精心設計的假網站誤導。此外，詐騙者還利用類似手法威脅區塊鏈開發環境，藉由大量製作虛假程式碼倉庫、教學文件及社羣帳號等，讓 AI 推薦使用錯誤的區塊鏈 API，陷害開發者。這種「長線作戰」的攻擊策略類似供應鏈攻擊，目標是誘使使用者誤用有害資源，彰顯出 AI 雖有便利功能，卻同時帶來新的安全風險與挑戰。

🎯 Key Points:
★ AI 回答正確官方網址比例約 66%，錯誤網址比例高達 34%。
→ 約 29% 的網址為死網或被吊銷，5% 為合法但非目標網站。

★ AI 採用字詞關聯演算法，缺乏對網址真偽、網站聲譽的判斷能力。
→ 導致精心設計的釣魚網站更容易被推薦。

★ 詐騙者利用 AI 的推薦漏洞，搶先買下錯誤或失效網址建立釣魚平臺。
→ 進一步欺騙用戶輸入帳密，造成資安隱憂。

★ 研究發現針對 Solana 區塊鏈的攻擊案例：
→ 詐騙者製作大量真假難辨的 GitHub 程式碼倉庫、Q&A 文檔及社羣帳號，誘使開發者使用被污染的 API。
→ 這類攻擊為供應鏈攻擊的變形，靠長期經營虛假資源影響 AI 再推薦。

★ 此趨勢反映詐騙集團開始針對 AI 使用者改變策略，因越來越多人以 AI 取代傳統搜尋引擎。
→ 使用者常不瞭解大型語言模型（LLM）仍有錯誤率，易成受害對象。

🔖 Keywords:
#人工智慧 AI #釣魚網站 phishing #網址錯誤 wrong_URL #區塊鏈攻擊 blockchain_attack #供應鏈攻擊 supply_chain_attack

ChatGPT creates phisher’s paradise by recommending the wrong URLs for major companies

: Crims have cottoned on to a new way to lead you astray

The Register

GripNews Apr 7

🌘 開源軟體供應鏈安全五十載：ACM Queue 雜誌專題
➤ 從Multics到xz：半世紀的軟體供應鏈安全挑戰
✤ https://queue.acm.org/detail.cfm?id=3722542
本文回顧了過去五十年間軟體供應鏈安全議題的演變，從1974年美國空軍對Multics系統安全性的評估，到2024年xz專案的後門事件，指出軟體供應鏈安全問題的根本性及持續性。文章定義了開源軟體供應鏈攻擊、漏洞及安全的概念，並強調了區分惡意程式碼植入與無意錯誤的重要性。無論是開源或封閉原始碼軟體，皆仰賴健全的開源軟體供應鏈安全，而加強防禦措施及持續改進是現階段的最佳策略。
+ 這篇文章讓我意識到，即使使用開源軟體，也需要對供應鏈安全保持警惕。xz事件的例子實在太震撼了，提醒我們不能掉以輕心。
+ 作者對開源軟體供應鏈安全議題的分析非常透徹，對於區分攻擊與漏洞的解釋也很有幫助。這篇文章對於資訊安全專業人士來說，是一篇非常重要的參考資料。
#資訊安全 #開源軟體 #供應鏈攻擊

Fifty Years of Open Source Software Supply Chain Security - ACM Queue

GripNews Dec 14, 2024

🌘 供應鏈攻擊分析：Ultralytics - Python套件索引部落格
➤ PyPI如何改進生態系統的安全性
✤ https://blog.pypi.org/posts/2024-12-11-ultralytics-attack-analysis/
上週，Python專案“ultralytics”遭受供應鏈攻擊，通過竊取專案的GitHub Actions工作流和隨後其PyPI API令牌。攻擊突顯了保護開源專案的軟體鑄造廠以及建立和發佈工作流的重要性。PyPI訪問性從証明和可信出版商角度來看，許多事情都做對了。從攻擊中學到的經驗將幫助PyPI改進生態系統的安全性。
+ 讓人擔心開源軟體的安全性問題，必須時刻保持警惕。
+ 從中學到了許多如何避免供應鏈攻擊的有用建議，不過開發者還需更加重視安全措施。
#供應鏈攻擊

Supply-chain attack analysis: Ultralytics - The Python Package Index Blog

Analysis of a package targeted by a supply-chain attack to the build and release process

GripNews Oct 14, 2023

🌕 用 Cackle 增強 Rust 供應鏈攻擊的防護 | David Lattimore 的開源項目
➤ 介紹 Cackle 工具，提供防範供應鏈攻擊的建議
✤ https://davidlattimore.github.io/making-supply-chain-attacks-harder.html
本文介紹了一個名為 Cackle 的工具，它可以幫助 Rust 開發者更好地防範供應鏈攻擊。文章列舉了供應鏈攻擊的幾種形式，並提供了一些防範措施。Cackle 可以通過 cackle.toml 文件來限制依賴庫的 API 使用，從而減少供應鏈攻擊的風險。
+ 供應鏈攻擊是現代軟件開發中的一個重要問題，Cackle 工具提供了一個很好的解決方案。
+ 這篇文章提供了很多有用的建議，開發者應該仔細閱讀並實踐。
#Rust #開源 #供應鏈攻擊 #Cackle

Making Rust supply chain attacks harder with Cackle

David Lattimore’s open-source projects