BeaverTail恶意软件在针对开发人员的恶意npm包中重新出现！研究人员发现开源人工智能和人工智能模型的漏洞 | 安全周报1031

新闻1：BeaverTail恶意软件在针对开发人员的恶意npm包中重新出现

2024年9月发布到npm注册表的三个恶意软件包被发现包含一个名为BeaverTail的已知恶意软件，这是一个JavaScript下载程序和信息窃取程序，与朝鲜正在进行的一场被跟踪为传染性采访的活动有关。

Datadog安全研究小组监视名称下的活动顽强的蓬桑，它也被称为CL-STA-0240和著名的千里马。

这不是黑客第一次使用npm包来分发BeaverTail。2024年8月，软件供应链安全公司Phylum公开另一堆npm包为部署BeaverTail和一个名为InvisibleFerret的Python后门铺平了道路。

当时识别出的恶意包名称分别是temp-etherscan-api、ethersscan-api、telegram-con、helmet-validate、qq-console。这两套软件包的一个共同点是，黑客一直在努力模仿etherscan-api软件包，这表明加密货币部门是一个持续的目标。

关键词：恶意软件、软件供应链安全、财务勒索、Python后台、敏感信息

新闻2：恶意广告活动劫持脸书账户传播SYS01stealer恶意软件

网络安全研究人员发现了一场正在进行的恶意广告活动，该活动滥用Meta的广告平台，并劫持脸书账户来传播名为SYS01stealer的信息。

“这场运动背后的黑客利用可信的品牌来扩大他们的影响范围，”Bitdefender实验室在与黑客新闻分享的一份报告中表示。

“恶意广告活动利用了近百个恶意域，不仅用于分发恶意软件，还用于实时指挥和控制(C2)操作，使威胁参与者能够实时管理攻击。”

SYS01stealer是首次记录Morphisec于2023年初发布，描述了针对脸书商业账户的攻击活动，这些攻击活动使用谷歌广告和虚假的脸书个人资料来推广游戏、成人内容和破解软件。

关键词：恶意广告、SYS01stealer、黑客、facebook、游戏推广、破解软件

新闻3：研究人员发现带有恶意代码的针对加密钱包的Python包

网络安全研究人员发现了一种新的恶意Python包，它伪装成加密货币交易工具，但包含旨在窃取敏感数据和从受害者的加密钱包中榨干资产的功能。

这个名为“CryptoAITools”的包据说是通过Python包索引(PyPI)和伪GitHub库分发的。它是下载超过1300次才被PyPI拿下。

“该恶意软件在安装时自动激活，目标是Windows和macOS操作系统，”Checkmarx说说在黑客新闻分享的一份新报告中。“一个欺骗性的图形用户界面(GUI)被用来转移vic4ms的注意力，而恶意软件则在后台执行其恶意的ac4vi4es。”

该软件包旨在通过注入其“init”的代码，在安装后立即释放其恶意行为。py”文件，该文件首先确定目标系统是Windows还是macOS，以便执行适当版本的恶意软件。

关键词：恶意Python包、安全漏洞、加密钱包、Windows、macOS

新闻4：研究人员发现开源人工智能和人工智能模型的漏洞

在各种开源人工智能(AI)和机器学习(ML)模型中，已经发现了三十多个安全漏洞，其中一些可能导致远程代码执行和信息窃取。

在ChuanhuChatGPT、Lunary和LocalAI等工具中发现的缺陷据报告的作为保护人工智能的亨特bug赏金平台的一部分。

最严重的缺陷是影响Lunary的两个缺点，这是一个用于大型语言模型(LLM)的生产工具包

CVE-2024-7474(CVSS评分:9.1) -一个不安全的直接对象引用(IDOR)漏洞，可能允许经过身份验证的用户查看或删除外部用户，从而导致未经授权的数据访问和潜在的数据丢失。

CVE-2024-7475(CVSS评分:9.1) -一个不正确的访问控制漏洞，使得攻击者能够更新SAML配置，从而使未经授权的用户登录并访问敏感信息成为可能。

在Lunary中还发现了另一个IDOR漏洞(CVE-2024-7473CVSS得分:7.5)，其允许不良行为者通过操纵用户控制的参数来更新其他用户的提示。

关键词：人工智能、OpenAI、安全漏洞、缺陷报告、大语言模型、数据丢失

新闻5：美国政府发布跨部门威胁情报共享的新TLP指南

美国政府(USG)发布了管理交通灯协议使用的新指南(TLP)来处理私营部门、个体研究人员以及联邦部门和机构之间共享的威胁情报信息。

“美国政府在个人、公司或其他任何组织自愿共享的网络安全信息上遵循TLP标记，只要不与现有法律或政策相冲突，”他说。

TLP是一个标准化框架用于分类和共享敏感信息。它由四种颜色组成——红色、琥珀色、绿色和白色——这决定了它如何进一步传播，并且只传播给那些需要知道的人。

TLP:红色-未经相关方明确许可，不得向其披露的信息
TLP:琥珀色+严格-限制披露的信息，仅在需要知道的基础上与组织内的人员共享
TLP:琥珀-限制披露的信息，可以在需要知道的基础上共享，或者只向组织内的人员或其客户共享
TLP:绿色-有限披露的信息，可与同行和合作伙伴组织共享，但不通过公开渠道
TLP:安全-可以不受任何限制地自由共享的信息

关键词：美国政府、交通灯协议、威胁情报、敏感信息、TLP标记