-
Nx Console的VS Code延伸套件被植入竊資軟體
5月18日Nx Console的Visual Studio Code(VS Code)延伸套件rwl.angular-console傳出遭遇供應鏈攻擊,駭客在VS Code延伸套件市集上架有問題的v18.95.0。揭露此事的資安公司StepSecurity指出,一旦開發者不慎安裝,他們只要開啟VS Code的任意工作區,此延伸套件就會從特定GitHub儲存庫的提交內容取得經混淆處理的惡意酬載,檔案大小為498 KB。
iThome 新聞 · 2026-05-24 04:05
-
Nx Console的VS Code延伸套件被植入竊資軟體
5月18日Nx Console的Visual Studio Code(VS Code)延伸套件rwl.angular-console傳出遭遇供應鏈攻擊,駭客在VS Code延伸套件市集上架有問題的v18.95.0。揭露此事的資安公司StepSecurity指出,一旦開發者不慎安裝,他們只要開啟VS Code的任意工作區,此延伸套件就會從特定GitHub儲存庫的提交內容取得經混淆處理的惡意酬載,檔案大小為498 KB。
-
針對內部儲存庫遭駭事故,GitHub證實為受到Nx Console的供應鏈攻擊波及
5月20日GitHub於社群網站X透露近3,800個內部儲存庫遭駭,事故發生的源頭,是一名員工不慎安裝有問題的Visual Studio Code(VS Code)延伸套件,所以引發事故。由於駭客團體TeamPCP對TanStack發動攻擊之後,有許多開發團隊遭受波及,很容易讓人聯想這起事故也與TanStack事故有關,如今這樣的推測成真。
iThome 新聞 · 2026-05-24 04:05
-
針對內部儲存庫遭駭事故,GitHub證實為受到Nx Console的供應鏈攻擊波及
5月20日GitHub於社群網站X透露近3,800個內部儲存庫遭駭,事故發生的源頭,是一名員工不慎安裝有問題的Visual Studio Code(VS Code)延伸套件,所以引發事故。由於駭客團體TeamPCP對TanStack發動攻擊之後,有許多開發團隊遭受波及,很容易讓人聯想這起事故也與TanStack事故有關,如今這樣的推測成真。
-
CISA宣布提供研究人員通報漏洞已遭利用的管道
5月21日美國網路安全暨基礎設施安全局(CISA)發布公告,表示為了讓研究人員、供應商,以及產業合作夥伴能更容易通報遭到利用的漏洞,他們推出已遭利用漏洞列表(KEV)的漏洞提報表單(Nomination Form)系統,期望這種新的通報機制能增加CISA快速識別、驗證、共享KEV相關的重要威脅情資。
iThome 新聞 · 2026-05-23 12:05
-
CISA宣布提供研究人員通報漏洞已遭利用的管道
5月21日美國網路安全暨基礎設施安全局(CISA)發布公告,表示為了讓研究人員、供應商,以及產業合作夥伴能更容易通報遭到利用的漏洞,他們推出已遭利用漏洞列表(KEV)的漏洞提報表單(Nomination Form)系統,期望這種新的通報機制能增加CISA快速識別、驗證、共享KEV相關的重要威脅情資。
-
Anthropic悄悄修補已存在近半年的Claude Code沙箱漏洞,未公開揭露引發研究人員批評
資安研究人員Aonan Guan近日發布報告,揭露Anthropic旗下AI輔助程式開發工具Claude Code,其網路沙箱(Network Sandbox)機制存在漏洞,可能導致原始碼與憑證洩漏,Anthropic雖已在
iThome 新聞 · 2026-05-22 12:05
-
Anthropic悄悄修補已存在近半年的Claude Code沙箱漏洞,未公開揭露引發研究人員批評
資安研究人員Aonan Guan近日發布報告,揭露Anthropic旗下AI輔助程式開發工具Claude Code,其網路沙箱(Network Sandbox)機制存在漏洞,可能導致原始碼與憑證洩漏,Anthropic雖已在
-
因應軟體供應鏈攻擊,NPM新增套件暫存發布機制,降低惡意版本散布風險
2025年下半NPM生態系發生Shai-Hulud 2.0供應鏈攻擊後,GitHub公告將強化NPM套件發布流程安全性,其中一項措施是套件暫存發布(staged publishing)。這項機制讓維護者可在套件正式公開前,先檢查暫存套件的內容,再決定是否核准發布。
iThome 新聞 · 2026-05-22 12:05
-
因應軟體供應鏈攻擊,NPM新增套件暫存發布機制,降低惡意版本散布風險
2025年下半NPM生態系發生Shai-Hulud 2.0供應鏈攻擊後,GitHub公告將強化NPM套件發布流程安全性,其中一項措施是套件暫存發布(staged publishing)。這項機制讓維護者可在套件正式公開前,先檢查暫存套件的內容,再決定是否核准發布。
-
外界擔憂Mythos恐助長大規模網路攻擊,部分資安專家認為風險被高估
Anthropic於4月公布Claude Mythos Preview後,外界開始關注這類先進AI模型若被用於攻擊情境,是否可能加速漏洞發現與利用,進而使政府系統、金融服務等關鍵基礎設施面臨更大的防禦壓力。這項疑慮也引起多國政府與金融監理機關關注。
然而,有部分資安專家認為,外界擔心Mythos將大幅推升駭客攻擊能力的看法,可能被高估。
iThome 新聞 · 2026-05-22 11:05
-
外界擔憂Mythos恐助長大規模網路攻擊,部分資安專家認為風險被高估
Anthropic於4月公布Claude Mythos Preview後,外界開始關注這類先進AI模型若被用於攻擊情境,是否可能加速漏洞發現與利用,進而使政府系統、金融服務等關鍵基礎設施面臨更大的防禦壓力。這項疑慮也引起多國政府與金融監理機關關注。
然而,有部分資安專家認為,外界擔心Mythos將大幅推升駭客攻擊能力的看法,可能被高估。
-
GraphWorm惡意程式濫用微軟OneDrive作為C2通道,利用雲端服務隱藏攻擊流量
資安業者ESET近日發布報告指出,與中國有關的駭客組織Webworm,透過新型惡意程式GraphWorm向歐洲政府機構發動攻擊,這款惡意程式利用微軟Graph API存取雲端檔案共享與儲存服務OneDrive空間,作為命令與控制(C2)通道,藉由受信任的雲端服務隱藏惡意流量,提高偵測難度。
iThome 新聞 · 2026-05-22 11:05
-
GraphWorm惡意程式濫用微軟OneDrive作為C2通道,利用雲端服務隱藏攻擊流量
資安業者ESET近日發布報告指出,與中國有關的駭客組織Webworm,透過新型惡意程式GraphWorm向歐洲政府機構發動攻擊,這款惡意程式利用微軟Graph API存取雲端檔案共享與儲存服務OneDrive空間,作為命令與控制(C2)通道,藉由受信任的雲端服務隱藏惡意流量,提高偵測難度。
-
Google發布Chrome 148更新,修補16個資安漏洞
Google發布Chrome瀏覽器新版本,將Windows與Mac平臺穩定版更新至148.0.7778.178與148.0.7778.179,Linux版本更新至148.0.7778.178,此次改版一共修補16個安全性問題,分別是兩個重大漏洞 、9個高風險漏洞,以及5個中度風險漏洞。
iThome 新聞 · 2026-05-22 11:05
-
Google發布Chrome 148更新,修補16個資安漏洞
Google發布Chrome瀏覽器新版本,將Windows與Mac平臺穩定版更新至148.0.7778.178與148.0.7778.179,Linux版本更新至148.0.7778.178,此次改版一共修補16個安全性問題,分別是兩個重大漏洞 、9個高風險漏洞,以及5個中度風險漏洞。
-
微軟新版Edge for Business加入代理式上網
微軟本週公佈新版商務版Edge(Edge for Business),新增以Copilot為基礎的代理式上網功能,以及跨分頁和YouTube影片的重點摘要功能推向手機版瀏覽器。
iThome 新聞 · 2026-05-22 11:05
-
微軟新版Edge for Business加入代理式上網
微軟本週公佈新版商務版Edge(Edge for Business),新增以Copilot為基礎的代理式上網功能,以及跨分頁和YouTube影片的重點摘要功能推向手機版瀏覽器。
-
CISA將趨勢科技端點防護系統Apex One路徑遍歷漏洞列入KEV
趨勢科技於5月21日修補端點防護平臺Apex One多項資安漏洞,並指出中度風險的路徑遍歷漏洞CVE-2026-34926已遭到利用,同一天美國網路安全暨基礎設施安全局(CISA)將其列入已遭利用的漏洞名冊(KEV),要求聯邦機構於6月4日以前完成修補。
iThome 新聞 · 2026-05-22 11:05
-
CISA將趨勢科技端點防護系統Apex One路徑遍歷漏洞列入KEV
趨勢科技於5月21日修補端點防護平臺Apex One多項資安漏洞,並指出中度風險的路徑遍歷漏洞CVE-2026-34926已遭到利用,同一天美國網路安全暨基礎設施安全局(CISA)將其列入已遭利用的漏洞名冊(KEV),要求聯邦機構於6月4日以前完成修補。
-
趨勢科技修補端點防護系統Apex One已遭利用的路徑遍歷漏洞
5月21日趨勢科技發布資安公告指出,端點防護平臺Apex One、Apex One as a Service、Vision One Endpoint Security - Standard Endpoint Protection(SEP)存在一系列的資安漏洞,其中一個漏洞出現遭到利用的跡象。
iThome 新聞 · 2026-05-22 11:05
-
趨勢科技修補端點防護系統Apex One已遭利用的路徑遍歷漏洞
5月21日趨勢科技發布資安公告指出,端點防護平臺Apex One、Apex One as a Service、Vision One Endpoint Security - Standard Endpoint Protection(SEP)存在一系列的資安漏洞,其中一個漏洞出現遭到利用的跡象。
-
Flipper公布Flipper One計畫,要打造最開放ARM電腦
Flipper Devices週四(5/21)公布新專案Flipper One,目標是打造全球最開放、文件最完整的ARM電腦,完整支援Linux主線核心(Mainline Linux Kernel)。同時強調這並非知名掌上型工具Flipper Zero的後繼產品,而是一個全新的開放Linux平臺。
iThome 新聞 · 2026-05-22 11:05
-
Flipper公布Flipper One計畫,要打造最開放ARM電腦
Flipper Devices週四(5/21)公布新專案Flipper One,目標是打造全球最開放、文件最完整的ARM電腦,完整支援Linux主線核心(Mainline Linux Kernel)。同時強調這並非知名掌上型工具Flipper Zero的後繼產品,而是一個全新的開放Linux平臺。
-
執法機關瓦解犯罪VPN服務First VPN,FBI稱至少25個勒索軟體組織曾用於偵察與入侵
多國執法機關宣布查緝並關閉First VPN,這項VPN服務長期活躍於俄語網路犯罪論壇。歐洲刑警組織(Europol)指出,近年該組織參與支援的重大網路犯罪調查中,幾乎都曾出現First VPN的蹤跡;犯罪分子藉此掩飾身分並隱匿攻擊基礎架構,從事勒索軟體攻擊、大規模詐欺、資料竊取與其他重大犯罪活動。
iThome 新聞 · 2026-05-22 10:05
-
執法機關瓦解犯罪VPN服務First VPN,FBI稱至少25個勒索軟體組織曾用於偵察與入侵
多國執法機關宣布查緝並關閉First VPN,這項VPN服務長期活躍於俄語網路犯罪論壇。歐洲刑警組織(Europol)指出,近年該組織參與支援的重大網路犯罪調查中,幾乎都曾出現First VPN的蹤跡;犯罪分子藉此掩飾身分並隱匿攻擊基礎架構,從事勒索軟體攻擊、大規模詐欺、資料竊取與其他重大犯罪活動。
-
針對微軟近日修補的Microsoft Defender零時差漏洞,有專家指出已在一個月前就有概念驗證程式碼
本週微軟修補Microsoft Defender零時差漏洞CVE-2026-41091、CVE-2026-45498,並表示已偵測到漏洞遭利用的跡象,美國網路安全暨基礎設施安全局(CISA)也將其納入已遭利用的漏洞名冊(KEV),要求聯邦機構於兩週內完成修補。
iThome 新聞 · 2026-05-22 10:05
-
針對微軟近日修補的Microsoft Defender零時差漏洞,有專家指出已在一個月前就有概念驗證程式碼
本週微軟修補Microsoft Defender零時差漏洞CVE-2026-41091、CVE-2026-45498,並表示已偵測到漏洞遭利用的跡象,美國網路安全暨基礎設施安全局(CISA)也將其納入已遭利用的漏洞名冊(KEV),要求聯邦機構於兩週內完成修補。
-
美國計畫資助量子運算生態並持有股權,IBM成立量子晶圓代工公司
美國商務部(Department of Commerce)週四(5/21)宣布,已依據《晶片與科學法案》(CHIPS and Science Act,CHIPS Act)簽署了9份意向書,準備以20.13億美元投資美國量子生態系統,同時取得它們少數、非控制性的股權。其中,IBM將獲得10億美元的資金,以成立新的量子晶圓代工子公司Anderon,專門生產量子等級的超導晶圓。
iThome 新聞 · 2026-05-22 10:05
-
美國計畫資助量子運算生態並持有股權,IBM成立量子晶圓代工公司
美國商務部(Department of Commerce)週四(5/21)宣布,已依據《晶片與科學法案》(CHIPS and Science Act,CHIPS Act)簽署了9份意向書,準備以20.13億美元投資美國量子生態系統,同時取得它們少數、非控制性的股權。其中,IBM將獲得10億美元的資金,以成立新的量子晶圓代工子公司Anderon,專門生產量子等級的超導晶圓。
-
思科修補Secure Workload滿分API未授權存取漏洞
思科本週釋出安全更新,修補雲端零信任安全產品Secure Workload一個風險值10.0、允許駭客以管理員權限透過API存取網站資源的重大漏洞。
思科修補的漏洞編號為CVE-2026-20223影響思科雲端工作負載防護暨零信任微分段(microsegmentation)平臺Secure Workload(原名Tetration),位於該產品的REST API,原因出在它對外部存取請求的驗證不足。
iThome 新聞 · 2026-05-22 09:05
-
思科修補Secure Workload滿分API未授權存取漏洞
思科本週釋出安全更新,修補雲端零信任安全產品Secure Workload一個風險值10.0、允許駭客以管理員權限透過API存取網站資源的重大漏洞。
思科修補的漏洞編號為CVE-2026-20223影響思科雲端工作負載防護暨零信任微分段(microsegmentation)平臺Secure Workload(原名Tetration),位於該產品的REST API,原因出在它對外部存取請求的驗證不足。
-
CISA將Microsoft Defender零時差漏洞列入KEV
5月20日美國網路安全暨基礎設施安全局(CISA)發布公告,將7個資安漏洞納入已遭利用的漏洞名冊(KEV),聯邦機構必須在6月3日前完成修補。
iThome 新聞 · 2026-05-22 09:05
-
CISA將Microsoft Defender零時差漏洞列入KEV
5月20日美國網路安全暨基礎設施安全局(CISA)發布公告,將7個資安漏洞納入已遭利用的漏洞名冊(KEV),聯邦機構必須在6月3日前完成修補。
-
微軟修補兩個已遭利用的Microsoft Defender零時差漏洞
5月19日微軟發布資安公告,指出防毒軟體Microsoft Defender存在兩個已遭利用的零時差漏洞,並發布更新修補。
iThome 新聞 · 2026-05-22 08:05
-
微軟修補兩個已遭利用的Microsoft Defender零時差漏洞
5月19日微軟發布資安公告,指出防毒軟體Microsoft Defender存在兩個已遭利用的零時差漏洞,並發布更新修補。
-
衛福部揭FHIR Box醫療作業系統,目標2027年底完成全臺醫院病歷互通
衛福部5月20日在國科會第21次委員會議會後記者會中,揭露一套名為FHIR Box的醫療資料交換作業系統,要解決國內醫院資訊系統(HIS)長年碎片化的痛點,進而推動全國病歷互通、醫療資料標準化,以及AI應用基礎建設。
衛福部資訊處已在2025年底完成長庚、馬偕和中山附醫3大醫學中心的FHIR跨院病歷互通示範;下一階段,也就是今年底前,將推動全臺醫學中心部署FHIR Box,實現跨院病歷互通,2027年底再進一步擴大至全臺區域與地區醫院。
iThome 新聞 · 2026-05-22 06:05
-
衛福部揭FHIR Box醫療作業系統,目標2027年底完成全臺醫院病歷互通
衛福部5月20日在國科會第21次委員會議會後記者會中,揭露一套名為FHIR Box的醫療資料交換作業系統,要解決國內醫院資訊系統(HIS)長年碎片化的痛點,進而推動全國病歷互通、醫療資料標準化,以及AI應用基礎建設。
衛福部資訊處已在2025年底完成長庚、馬偕和中山附醫3大醫學中心的FHIR跨院病歷互通示範;下一階段,也就是今年底前,將推動全臺醫學中心部署FHIR Box,實現跨院病歷互通,2027年底再進一步擴大至全臺區域與地區醫院。
-
立委質疑Google等商用衛星地圖曝露我國軍事基地影像引發國安疑慮,數發部將與平臺業者協商改善
Google Map等商用地圖服務使用便利,但卻潛藏國安上的危機。立委林俊憲今天(5/22)召開記者會,質疑高精度商用衛星影像已成為現代戰爭與情報蒐集的重要工具,國內的重要軍事設施,例如佳山基地、樂山雷達站及臺南基地等,至今仍可透過Google Maps、Google Earth及其他公開地圖平臺清楚辨識,甚至遭中國社群媒體大量轉載、標註與分析。他呼籲政府儘速建立管理機制,要求業者遮蔽軍事敏感設施,補上國安漏洞。
林俊憲指出,問題不僅在於衛星影像揭露基地位置,更嚴重的是平臺提供歷史影像功能,可透過時間序列分析觀察基地擴建、設施更新及戰備變化情況,已涉及高度敏感的軍事情報蒐集。
iThome 新聞 · 2026-05-22 06:05
-
立委質疑Google等商用衛星地圖曝露我國軍事基地影像引發國安疑慮,數發部將與平臺業者協商改善
Google Map等商用地圖服務使用便利,但卻潛藏國安上的危機。立委林俊憲今天(5/22)召開記者會,質疑高精度商用衛星影像已成為現代戰爭與情報蒐集的重要工具,國內的重要軍事設施,例如佳山基地、樂山雷達站及臺南基地等,至今仍可透過Google Maps、Google Earth及其他公開地圖平臺清楚辨識,甚至遭中國社群媒體大量轉載、標註與分析。他呼籲政府儘速建立管理機制,要求業者遮蔽軍事敏感設施,補上國安漏洞。
林俊憲指出,問題不僅在於衛星影像揭露基地位置,更嚴重的是平臺提供歷史影像功能,可透過時間序列分析觀察基地擴建、設施更新及戰備變化情況,已涉及高度敏感的軍事情報蒐集。