מדריך להתמודדות עם Trojan Source. כלומר איך להציג תווי bidi בקוד.
עוד שתי חבילות Node.js נפרצו: coa ו- rc. הן מצטרפות ל- ua-parser-js משבוע שעבר. אלו מתקפות על שרשרת האספקה.
תגית: TrojanSource
7.11.2021 אבטחת מידע
חולשת Trojan Source: מאפשרת להסתיר קוד זדוני מתוכנות לסריקה סטטית של הקוד על ידי שימוש בתווי bidi. אלו תווים שמיועדים לשילוב של טקסט בכיווניות שונה מסמך. כלומר תווים של כיווניות מימין לשמאל ושמאל לימין. עד כה החולשה אומתה בשפות הבאות: #C, ++C, C, Go, Java, JavaScript, Python ו- Rust אבל כנראה קיימת בשפות נוספות. קישור למאגר קוד הוכחת היתכנות (POC). בעורכי הקוד הבאים לא ניתן להבדיל בין טקסט עם תווי bidi לטקסט בלעדיה: VS Code, Atom, SublimeText, Notepad, vim, emacs, GitHub ו- BitBucket.
ספק של משרד ההגנה האמריקאי נפרץ. עד כה לא ברור מה היקף המידע שנגנב.
ארצות הברית מציעה פרס של 10 מיליון דולר למי שימסור מידע על כנופיית הכופר DarkSide.
ארצות הברית מטילה סנקציות כלכליות על חברת NSO.
CISA פרסמה רשימה של כ- 300 חולשות שנמצאות בשימוש על ידי תוקפים. לכל אחת מהחולשות ברשימה יש כבר עדכון שסוגר. CISA הוציאה הוראה שמחייבת רשויות בארה"ב לעדכן את המערכות שלהן (לכל חולשה ברשימה יש תאריך משלה).
גוגל מציעה פרס של עד 50 אלף דולר על חולשות בליבה של לינוקס.
לפי ה- FBI, כנופיות כופרה מנצלות אירועים פיננסיים כדי לאיים על חברות לשלם כופר.
סין עקפה את רוסיה בהפצת נוזקות ווירוסים. מזל טוב!