本週資安威脅橫跨雲端服務、開發工具、瀏覽器更新機制與關鍵基礎設施,顯示攻擊面正快速擴散並持續升級。從 NanoRemote 惡意程式濫用 Google Drive API 隱匿行蹤,到 假 YouTube 影片誘騙下載、7 個月盜刷 90 萬張信用卡,攻擊者不再依賴傳統惡意管道,而是轉向使用民眾與企業高度信任的平台與服務。
同時,QR Code 詐騙假冒政府網站、偽裝 Chrome 更新的惡意程式,以及 暗藏木馬的 VS Code 擴充套件,都顯示「看似正常的操作行為」已成為詐騙與入侵的最佳掩護。更值得警惕的是,國家級駭客 Sandworm 鎖定能源與雲端邊緣設備,以及 AI 駭客在 16 小時內突破史丹佛防禦,凸顯自動化攻擊與關鍵基礎設施風險正同步升高。
在此同時,AI 投資與晶片競爭持續升溫、PCIe 硬體層漏洞曝光,也提醒企業必須從帳號權限、API 存取、供應鏈到硬體層級,全面重新檢視資安治理策略,才能在新一波威脅浪潮中維持防禦韌性。
⭕️ 資安趨勢部落格精選
- FBI緊急警告!一張社群照片+AI深偽術,你恐成「綁架影片主角」騙你家人
- 60歲以上可月領8千?AI假影片!/ 掃「機場公告QR Code」秒被騙50美金(本週打詐重點總覽)
- Shai-hulud 2.0 蠕蟲攻擊鎖定雲端與開發環境
- AI代理推動網路犯罪模式劇變,五大能力助長攻擊規模與自動化
- 【上週資安週報】小紅書遭封鎖警示:抖音、微信個資外洩疑慮,微軟與 Google 多項高危漏洞急需修補
以下風險等級係依據事件對使用者與企業的影響程度、實際發生可能性及攻擊擴散規模進行綜合評估。
以下風險評估綜合考量是否容易中招、影響範圍大小,以及是否具備大量複製與擴散能力。
⭕️ 本週資安新聞重點
NanoRemote 惡意程式濫用 Google Drive API
雲端存取機制遭濫用,NanoRemote 透過 Google Drive API 隱匿惡意行為並遠端操控檔案,顯示雲端帳號與 API 權限已成新攻擊面。
行動建議: 檢視第三方 App 存取權限、啟用多因素驗證(MFA)。
◎相關報導
惡意軟體NanoRemote濫用Google Drive的API隱匿行蹤 iThome
假 YouTube 影片誘騙,7 個月盜刷 90 萬張信用卡
詐騙集團利用假影片與下載連結散布惡意程式,進行大規模信用卡盜刷。
行動建議: 勿點擊陌生影片連結,下載前先確認來源與網址。
◎相關報導
假YouTube誘上鉤!Google告中國詐團 7個月狂盜90萬張信用卡 太報
QR Code 詐騙擴散,假冒政府網站
不明 QR Code 導向偽造官方網站,誘導填寫個資與金錢資訊,外籍旅客與民眾皆成目標。
行動建議: 認明官方網址結尾,避免掃描來源不明的 QR Code。
◎相關報導
外籍旅客掃QR Code遭詐?移民署籲認明正確網址 中央通訊社
偽冒 Chrome 更新詐騙
駭客假借瀏覽器更新名義散布惡意程式,一旦下載即可能遭入侵。
行動建議: 僅透過官方網站或內建更新機制進行更新。
◎相關報導
偽冒Chrome更新誘騙下載惡意程式;弱密碼致臉書粉專遭奪 資安人
AI 投資升溫,OpenAI 擬投入 100 億美元採用亞馬遜 Trainium
AI 晶片競爭白熱化,雲端、AI 與資安的供應鏈關係更加緊密。
行動建議: 企業需同步評估 AI 基礎建設的資安風險與治理策略。
◎相關報導
亞馬遜AI晶片要突圍了?!OpenAI洽談100億美元投資 承諾採用Trainium 聯合新聞網
AI 駭客 16 小時突破史丹佛防禦
AI 被用於自動化漏洞掃描與攻擊,資安攻擊速度與規模全面升級。
行動建議: 導入威脅曝險管理與即時偵測機制,提升防禦韌性。
◎相關報導
AI 漏洞掃描贏 90% 資安專家,卻卡在「不會點滑鼠」:史丹佛研究揭 AI 代理的能力極限 科技報橘
VS Code 擴充套件暗藏木馬
惡意擴充套件可竊取 Wi-Fi 密碼與 Cookie,開發者與一般使用者同樣受害。
行動建議: 僅安裝可信來源的擴充套件,定期檢查權限。
◎相關報導
VS Code市集兩擴充套件暗藏惡意程式竊取WiFi密碼與Cookie iThome
惡意VS Code擴充套件上架微軟市集,偽裝PNG檔藏匿木馬 iThome
Sandworm 鎖定能源與雲端邊緣設備
國家級駭客利用邊緣設備漏洞作為跳板,攻擊關鍵基礎設施。
行動建議: 強化邊緣設備修補流程與可視性管理。
◎相關報導
俄駭客Sandworm鎖定西方國家能源與雲端基礎設施,透過邊緣設備配置不當發動攻擊 iThome
PCIe 加密與完整性漏洞影響 Intel、AMD
硬體層級漏洞可能影響資料安全,企業需重新檢視底層防護。
行動建議: 評估硬體風險影響,搭配系統層與網路層防護。
◎相關報導
PCIe完整性與資料加密處理出現漏洞,恐面臨資訊洩露、拒絕服務等資安風險,波及Intel、AMD處理器 iThome
社群平台下架百萬涉詐廣告
平台加強清除詐騙內容,但詐騙手法仍持續演化。
行動建議: 養成查證習慣,避免因社群內容誤判風險。
◎相關報導
小紅書「已讀不回」 4大平台下架涉詐廣告與帳號破20萬筆 自由時報電子報
⭕️ 媒體資安新聞一覽
不用下載也能中招,駭客利用 ChatGPT 假對話與 SEO 散佈惡意軟體 科技新報網
ChatGPT、Grok公開對話遭濫用,惡意廣告導流散佈竊資程式AMOS iThome
OpenAI推GPT-5.2!長篇推理、視覺解析與編碼能力大躍進 壹蘋新聞網
快訊╱迪士尼重磅宣佈「砸310億」 投資 OpenAI 東森電視網
蟄伏在AI 部署深處的身分安全危機 CompoTech Asia 電子與電腦網
AI 漏洞掃描贏 90% 資安專家,卻卡在「不會點滑鼠」:史丹佛研究揭 AI 代理的能力極限 科技報橘
OWASP公佈AI代理的10大資安威脅 iThome
AI PC助力從邊界防線到智慧防禦 CTIMES零組件雜誌
AI 熱潮、資安風險升高 前數發部長:駭客恐鎖定供應鏈,以台積電為攻擊目標 風傳媒
Perplexity AI瀏覽器零點擊漏洞可讓攻擊者抹除Google Drive資料 iThome
BM宣布收購 Confluent,構建面向企業級生成式 AI 的智能數據平台 火報
亞馬遜AI晶片要突圍了?!OpenAI洽談100億美元投資 承諾採用Trainium 聯合新聞網
AI 駭客於測試中僅 16 小時即攻破史丹佛大學網路防禦機制 科技新報網
間諜軟體攻擊恐影響數十億裝置,蘋果 Google 緊急修補跨平台零日漏洞 科技新報網
資安署114年11月資安月報:偽冒Chrome更新誘騙下載惡意程式;弱密碼致臉書粉專遭奪 資安人
Google修補Chrome今年第8個零時差漏洞 iThome
惡意軟體NanoRemote濫用Google Drive的API隱匿行蹤 iThome
5個中國國家級駭客加入利用React2Shell的行列,部署後門及隧道工具控制受害主機 iThome
有人假借提供React2Shell掃描工具的名義,於GitHub散佈惡意軟體 iThome
滿分資安漏洞React2Shell利用活動急速升溫 iThome
後門程式PeerBlight鎖定React2Shell而來,企圖綁架Linux主機從事挖礦及DDoS攻擊 iThome
Gemini Enterprise存在可外洩企業資料的零點擊漏洞GeminiJack iThome
假YouTube誘上鉤!Google告中國詐團 7個月狂盜90萬張信用卡 太報
Android間諜軟體ClayRat再進化,新版可自動解鎖手機並遠端操控裝置 iThome
Android惡意程式可全面接管裝置以向使用者勒索 iThome
微軟確認12月更新補丁致Win 10網頁服務功能異常 宅中地
Windows RasMan爆新零時差漏洞,恐導致服務中斷,尚無官方修補程式 iThome
VS Code市集兩擴充套件暗藏惡意程式竊取WiFi密碼與Cookie iThome
惡意VS Code擴充套件上架微軟市集,偽裝PNG檔藏匿木馬 iThome
駭客濫用GitHub個人存取權杖,竊取Actions機密憑證攻擊雲端控制平面 iThome
Edge 安全提示惹議!微軟被指阻擋 Chrome 下載,官方澄清:純屬誤解 科技新報網
蘋果修補兩個零時差漏洞,並指出已被用於極度複雜的攻擊行動 iThome
蘋果推出 iOS 26.2 修補 20 項漏洞,包含 2 個被濫用的 WebKit 漏洞 網路資訊雜誌
逾1萬個Docker Hub映像檔曝露憑證與API金鑰 iThome
西門子、洛克威爾、施耐德等4家業者12月修補ICS多項重大及高風險漏洞 iThome
MITRE 公佈 2025 年25個最危險軟體弱點:XSS 蟬聯榜首,六大新弱點首度入榜 資安人
北韓駭客「假 Zoom」投毒攻擊猖獗!至今竊取逾 3 億美元加密幣 區塊客
【當資安已成產品「內建」基本要求】漏洞風險與法規遵循壓力與日俱增 iThome
Adobe發布12月安全更新,ColdFusion藏多個重大漏洞應優先處理 iThome
PCIe完整性與資料加密處理出現漏洞,恐面臨資訊洩露、拒絕服務等資安風險,波及Intel、AMD處理器 iThome
VPN嚴峻挑戰 駭客大規模掃瞄成常態 策略風知識新聞網
裝VPN、擋廣告反而洩密?研究揭4款熱門瀏覽器外掛偷蒐集AI對話 工商時報電子報
2026資安三大趨勢預測: AI工業化推升攻擊自動化,多雲與供應鏈仍為駭客主戰場,企業治理破口成AI攻擊跳板 資安人
邁達特聚焦AI/資安,雲端生態帶動營運回溫 MoneyDJ 理財網
駭客比企業更敢用AI 從「單點攻擊」走向「工業化自動流水線」 電子時報
消除產品資安盲點,減少可乘之機 iThome
【解讀全球資安漏洞數量暴增的現象】CVE數量創新高,突顯風險意識抬頭 iThome
數位情報網再升級,跨界聯防共築全民防線:網詐通報查詢網3.0版全新改版 iThome
見軟體業前輩自稱「小師弟」 數發部長林宜敬談創業同門與市場思維 財訊雜誌網
漏洞不可避免,關鍵在於如何預防、應變、修補 2025產品資安實務大公開 iThome
KnowBe4 發佈「世界環境日資安守則」 提醒民眾結合永續與資安意識防範環保詐騙 iThome
Fortinet甫修補的漏洞已遭駭客濫用 iThome
俄駭客Sandworm鎖定西方國家能源與雲端基礎設施,透過邊緣設備配置不當發動攻擊 iThome
WinRAR路徑穿越漏洞出現實際攻擊,3組人馬發起網釣活動 iThome
假訊息橫行、詐騙猖獗,MyGoPen教你防詐打假三招:冷、確、查 關鍵評論網
外籍旅客掃QR Code遭詐?移民署籲認明正確網址 中央通訊社
酷澎資料外流、朝日酒廠被癱瘓…國家級駭客進逼 「4種攻擊手法」招招狠招 聯合新聞網
小紅書「已讀不回」 4大平台下架涉詐廣告與帳號破20萬筆 自由時報電子報
11月全國詐騙財損達1.9億 較去年高峰降57% 公視新聞網
打詐防車手!ATM戴口罩、安全帽恐領嘸錢 台灣首開全球先例 壹蘋新聞網
數發部:TikTok配合防詐 申請在台法律代表審核中 中央通訊社
韓團演唱會門票詐騙「大量出現」!刑事局拆解常見話術:恐求償無門 風傳媒
中盈旗下超揚公司被詐騙集團假冒名義 引誘受害者加入投資 經濟日報網
AutoReserve爆詐騙!扣款卻沒訂位 消保官:境外平台風險高 自由時報電子報
刑事局統計 Meta近一年下架涉詐廣告逾11萬則 中央通訊社
電話為何響一聲就掛?專家曝背後目的:千萬不要接,一出聲就慘了,接了非常麻煩 風傳媒
2026台灣燈會遭冒名徵才 嘉縣府籲民眾勿受騙 中央通訊社
不用下載也能中招,駭客利用 ChatGPT 假對話與 SEO 散佈惡意軟體 科技新報網
根據安全公司 Huntress 的報告,這種攻擊手法的運作方式相當簡單卻又危險。駭客首先與 AI 助理進行對話,誘導 AI 提供需在終端機執行的惡意命令,然後公開此對話連結,並使用付費 SEO(搜尋引擎優化)將其推上 Google 搜尋結果前列。當使用者搜尋相關詞彙(如「清理 Mac 磁碟空間」)時,惡意命令便會出現在搜尋結果的前列。
ChatGPT、Grok公開對話遭濫用,惡意廣告導流散佈竊資程式AMOS iThome
攻擊者利用公開ChatGPT與Grok對話,偽裝成macOS清理教學並透過Google搜尋廣告導流,誘使使用者複製貼上惡意指令下載並執行AMOS竊資程式,鎖定密碼、鑰匙圈與加密貨幣錢包等高價值資料。
OpenAI推GPT-5.2!長篇推理、視覺解析與編碼能力大躍進 壹蘋新聞網
OpenAI宣布推出全新GPT-5.2模型,定位為專業工作者與長時間運行代理的核心運算引擎,官方表示這一代在「知識工作、程式開發、長篇文件推理與視覺理解」等領域全面刷新基準成績,成為目前最接近甚至超越人類專業人士的AI模型。OpenAI指出,企業用戶平均每天能透過AI節省40至60分鐘,重度使用者甚至每週可節省超過10小時,因此希望GPT-5.2能在真實場景創造更高經濟價值。
快訊╱迪士尼重磅宣佈「砸310億」 投資 OpenAI 東森電視網
迪士尼公司(The Walt Disney Company)於當地時間11日上午宣布,將對OpenAI 投資10億美元(約新台幣310億)的股權,並允許用戶在其Sora應用程式中,使用迪士尼版權角色製作影片。
蟄伏在AI 部署深處的身分安全危機 CompoTech Asia 電子與電腦網
隨著人工智慧從聊天機器人演進到自主型代理(autonomous agents),企業領導者正面臨一個可能瓦解創新成果的資安挑戰。當企業急於部署AI 代理來追求競爭優勢時,許多人忽視了一項可能帶來災難性後果的根本風險——來自自主型代理在缺乏人工監督下運作所引發的身分安全危機。上一次企業在機器人流程自動化(RPA) 狂熱中,也曾留下過資安與身分團隊被迫「事後補救」的教訓。
AI 漏洞掃描贏 90% 資安專家,卻卡在「不會點滑鼠」:史丹佛研究揭 AI 代理的能力極限 科技報橘
隨著 AI 技術快速演進,外界對「全自動化資安攻擊」的擔憂也愈來愈高,不少人認為,「AI 駭客」的出現,可能只是時間問題。近期史丹佛大學研究團隊打造並測試一款名為 ARTEMIS 的「AI 滲透測試代理」,目標就是讓 AI 自己上線掃描企業網路,找出可能被駭客利用的資安漏洞,並利用這些漏洞進行攻擊。
OWASP公佈AI代理的10大資安威脅 iThome
這兩年生成式AI應用起飛,已逐漸融入你我生活,相關的新技術也帶來了新的風險,過去經常發布10大資安風險的非營利組織OWASP,從2023年8月開始,彙整大型語言模型(LLM)的10大資安風險,去年底公布最新的2025版,隨著許多應用聚焦在AI代理,現在他們公布AI代理的10大資安風險。
AI PC助力從邊界防線到智慧防禦 CTIMES零組件雜誌
面對日益多樣且精密的網路威脅,企業迫切需要全新的資安防護思維。AI PC發揮關鍵作用,使企業將防禦模式從被動應對轉向主動預防,從根本改變守護數位資產的方式。
AI 熱潮、資安風險升高 前數發部長:駭客恐鎖定供應鏈,以台積電為攻擊目標 風傳媒
台積電掌握先進半導體製造技術,是地緣政治下最具戰略價值的企業之一。前數位發展部長黃彥男指出,「在全球科技競爭升溫下,不論國家行動者或駭客組織,都可能以台積電為攻擊目標。攻擊並不限於外部,供應商可能被入侵,內部人員也可能被收買。」
Perplexity AI瀏覽器零點擊漏洞可讓攻擊者抹除Google Drive資料 iThome
資安業者Straiker研究人員發現,在Perplexity AI的Comet代理式瀏覽器中,只要發送一則內含「整理共享Google Drive」訊息的郵件,就能透過對AI瀏覽器助理的提示,將看似禮貌的郵件變成抹除Google Drive檔案的惡意工具。
瀏覽器正快速融入人工智慧技術,催生出AI瀏覽器。其核心是在傳統瀏覽器中深度整合大型語言模型助手,能夠檢視網頁內容並執行使用者操作,近年來已有多家科技領導廠商投入該領域。這不僅是一場技術革命,更是商機與風險的賭注。
BM宣布收購 Confluent,構建面向企業級生成式 AI 的智能數據平台 火報
IBM(紐約證券交易所代碼:IBM)與數據流處理龍頭企業 Confluent, Inc.(納斯達克代碼:CFLT)正式宣布,雙方已達成最終協議。根據協議,IBM 將以每股 31 美元現金,收購 Confluent 所有已發行及流通的普通股,對應企業價值約 110 億美元。Confluent 旗下擁有業內領先的開源企業數據流處理平台,可在即時場景中連接、處理並治理可重複使用且可信賴的數據與事件,更是部署 AI 應用程式的重要基礎。
亞馬遜AI晶片要突圍了?!OpenAI洽談100億美元投資 承諾採用Trainium 聯合新聞網
知情人士透露,ChatGPT開發商OpenAI正洽談從亞馬遜獲得至少100億美元資金並且採用亞馬遜自研AI晶片。此舉有望讓亞馬遜擴大自身在AI產業的地位,並且與輝達(Nvidia)競爭。
AI 駭客於測試中僅 16 小時即攻破史丹佛大學網路防禦機制 科技新報網
隨著人工智慧(AI)技術的飛速發展,令人擔心的事情正逐漸發生。近日,由美國史丹佛大學研究團隊自行開發的 AI 駭客 Artemis,已經成功的在 16 小時內駭入史丹佛大學的網路系統,展現出超越人類白帽駭客的強大實力,這一成就震驚了整個安全業界。研究結果不僅證明 AI 已成為能與人類競爭甚至壓倒人類的對手,更預示著駭客現在可以透過低成本的方式,輕鬆獲取強大的攻擊工具。
間諜軟體攻擊恐影響數十億裝置,蘋果 Google 緊急修補跨平台零日漏洞 科技新報網
蘋果與 Google 這一星期相繼推送緊急安全更新,修補一個同時影響兩間公司產品的零日漏洞 CVE-2025-14174。美國網路安全及基礎設施安全局(CISA)已將此漏洞列入已知被利用漏洞(KEV)清單,要求聯邦機構 2026 年 1 月 2 日前完成修補。兩間公司資料顯示,攻擊者已利用這些漏洞對特定人士發動「精密」攻擊,Google Threat Analysis Group 參與強烈暗示攻擊與商業間諜軟體或國家級駭客組織有關。
資安署114年11月資安月報:偽冒Chrome更新誘騙下載惡意程式;弱密碼致臉書粉專遭奪 資安人
據資通安全署最新發布的資通安全網路月報,本月蒐整政府機關資安聯防情資共6萬2,795件,較上月增加4,174件。《資通安全管理法》修正案已於12月1日正式施行,相關7項子法預計115年1月1日上路,強化我國資安法制基礎。
Google修補Chrome今年第8個零時差漏洞 iThome
一週前Google發布Chrome 143大改版,並修補JavaScript引擎V8漏洞CVE-2025-13630等13項資安弱點,如今該公司再度發布更新,修補目前尚未公布CVE編號,並且已遭到利用的零時差漏洞。
惡意軟體NanoRemote濫用Google Drive的API隱匿行蹤 iThome
中國駭客組織Ref7707(CL-STA-0049、Earth Alux,以及Jewelbug)近期傳出打造新後門程式NanoRemote,其特別之處在於,他們利用Google Drive的API進行C2通訊,使得相關活動難以偵測。
5個中國國家級駭客加入利用React2Shell的行列,部署後門及隧道工具控制受害主機 iThome
繼Earth Lamia(UNC5454)、Jackpot Panda,以及UNC5174(CL-STA-1015)等中國國家級駭客傳出積極利用CVE-2025-55182(React2Shell),Google威脅情報團隊(GTIG)指出,有另外5組中國駭客也運用這個漏洞,散布多款惡意軟體。
有人假借提供React2Shell掃描工具的名義,於GitHub散佈惡意軟體 iThome
兩週前React開發工程團隊修補滿分資安漏洞CVE-2025-55182(React2Shell)引起全球資安圈高度關注,不僅在公布數小時後開始出現攻擊活動,網路上也出現大量的概念驗證(PoC)工具,這種極為不尋常的情況,也出現有人趁亂打劫,對資安人員散布惡意軟體。
滿分資安漏洞React2Shell利用活動急速升溫 iThome
資安公司Cloudflare提出警告,鎖定React伺服器元件(RSC)漏洞CVE-2025-55182(React2Shell)的攻擊行動出現顯著增加,而且攻擊者的目標,主要是臺灣及多個亞洲地區國家的政府機關、學術機構,以及關鍵基礎設施。
後門程式PeerBlight鎖定React2Shell而來,企圖綁架Linux主機從事挖礦及DDoS攻擊 iThome
上週React開發團隊修補滿分漏洞CVE-2025-55182(React2Shell),這個存在於React伺服器元件(React Server Components,RSC)的遠端程式碼執行(RCE)漏洞,在公布後數個小時就出現漏洞利用活動,最早傳出的是中國駭客Earth Lamia與Jackpot Panda等多個團體利用,後續傳出北韓駭客用來散布惡意軟體EtherRAT,也有Mirai等殭屍網路將漏洞納入武器庫的情形,現在該漏洞也被用於從事挖礦活動及DDoS攻擊。
Gemini Enterprise存在可外洩企業資料的零點擊漏洞GeminiJack iThome
Google修補Gemini Enterprise漏洞,讓攻擊者只要以共享Google Docs、Google Calendar邀請或Gmail郵件,就能存取企業資料並外洩出去。
假YouTube誘上鉤!Google告中國詐團 7個月狂盜90萬張信用卡 太報
搜尋引擎Google母公司Alphabet週三(12/17)對中國涉嫌網路犯罪的集團提起訴訟,指控該組織策劃大規模網路釣魚行動,意圖誘騙美國民眾交出信用卡號碼。
Android間諜軟體ClayRat再進化,新版可自動解鎖手機並遠端操控裝置 iThome
行動資安廠商Zimperium旗下zLabs研究團隊公布最新分析指出,新版ClayRat在原本可竊取簡訊、通話紀錄與相片的基礎上,進一步濫用Android無障礙服務與預設簡訊App權限,不僅能自動解鎖手機,還可錄製螢幕、偽造通知並遠端操控裝置。
Android惡意程式可全面接管裝置以向使用者勒索 iThome
美國專注於行動資安的Zimperium上周揭露一個全新的Android惡意程式DroidLock,鎖定講西班牙文的Android用戶展開攻擊。該惡意程式並未利用任何Android安全漏洞,而是透過取得無障礙服務(Accessibility)權限,最終接管受害者手機並進行勒索。
微軟確認12月更新補丁致Win 10網頁服務功能異常 宅中地
微軟官方證實,其於12月發布的更新補丁存在漏洞,導致部分Windows系統中的消息隊列(MSMQ)功能癱瘓,進而影響大批企業級應用程序及IIS網頁服務的正常運行。
Windows RasMan爆新零時差漏洞,恐導致服務中斷,尚無官方修補程式 iThome
Windows遠端存取連線管理員(Remote Access Connection Manager,RasMan)出現零時差漏洞,可導致阻斷服務(Denial of Service,DoS)攻擊。不過尚不知微軟何時會釋出修補程式。
VS Code市集兩擴充套件暗藏惡意程式竊取WiFi密碼與Cookie iThome
資安廠商Koi Security揭露兩款上架於微軟VS Code市集的擴充套件,被證實會在開發者電腦安裝資訊竊取惡意程式,這兩款分別名為Bitcoin Black與Codo AI的擴充套件,分別偽裝成暗色主題與AI程式開發助理,在背景下載並啟動螢幕截圖與憑證竊取程式,能擷取桌面畫面、讀取儲存的WiFi密碼與瀏覽器工作階段。
惡意VS Code擴充套件上架微軟市集,偽裝PNG檔藏匿木馬 iThome
研究人員發現VS Code市集19款惡意擴充套件,表面提供開發工具,實際在安裝包內夾帶木馬,並把惡意程式偽裝成PNG檔藏匿,於VS Code啟動時執行。
駭客濫用GitHub個人存取權杖,竊取Actions機密憑證攻擊雲端控制平面 iThome
研究人員觀察到,這次分析的多起攻擊案例,多半是從取得一組具備一般開發權限的PAT開始。駭客利用這組權杖呼叫GitHub程式碼搜尋功能,在組織內檢索工作流程檔,從工作流程中Secrets呼叫語法推得正在使用的Actions Secrets名稱。Wiz統計顯示,約73%使用GitHub Actions Secrets的企業會在其中存放雲端服務憑證,讓這一步的偵察直接關聯到雲端環境安全。
Edge 安全提示惹議!微軟被指阻擋 Chrome 下載,官方澄清:純屬誤解 科技新報網
在最近報導中,有關微軟更新 Windows 以阻止使用者下載 Google Chrome 的說法引起關注。然而,經過深入調查,並未找到任何可信的證據支持這個主張。根據目前的資訊,微軟並未發布任何專門針對 Chrome 的更新或公告。
蘋果修補兩個零時差漏洞,並指出已被用於極度複雜的攻擊行動 iThome
12月12日蘋果針對旗下的行動裝置、電腦、穿戴裝置,以及電視盒發布作業系統更新:iOS與iPadOS 26.2、macOS Tahoe 26.2、watchOS 26.2、visionOS 26.2,以及tvOS 26.2,帶來一系列的功能更新,例如:改善iPhone手機網路通訊能力、強化iPad多工操作功能,以及為電腦加入Edge Light的功能。但除此之外,蘋果這次大型更新也修補許多資安漏洞,其中最值得留意的部分,是兩個已遭利用的WebKit零時差漏洞。
蘋果推出 iOS 26.2 修補 20 項漏洞,包含 2 個被濫用的 WebKit 漏洞 網路資訊雜誌
蘋果 (Apple) 上週正式發布 iOS 、 iPadOS 26.2 及 macOS 、 tvOS 、 watchOS 、 visionOS 與 Safari 等一系列更新,目的為修補多項安全漏洞,其中包括兩個已知發生攻擊活動的零時差漏洞。
逾1萬個Docker Hub映像檔曝露憑證與API金鑰 iThome
資安廠商Flare針對2025年11月1日到30日上傳Docker Hub的上萬個映像檔進行分析,分析這些映像檔是否含有敏感存取資訊。他們先定義15種敏感憑證,包括軟體開發生命周期(Software Development Lifecycle,SDLC)及程式碼控制憑證(如GitHub)、雲端平臺憑證(如AWS/GCP/Microsoft Azure)、AI及模型存取、支付服務憑證等。
西門子、洛克威爾、施耐德等4家業者12月修補ICS多項重大及高風險漏洞 iThome
在12月Patch Tuesday週期,西門子(Siemens)、洛克威爾自動化(Rockwell Automation)、施耐德電機(Schneider Electric)以及菲尼克斯電氣(Phoenix Contact)皆發布多項公告,修補旗下ICS與OT設備多項資安漏洞。
MITRE 公佈 2025 年25個最危險軟體弱點:XSS 蟬聯榜首,六大新弱點首度入榜 資安人
MITRE 於近日發布 2025 年度最危險軟體弱點 Top 25 排行榜,根據 2024 年 6 月至 2025 年 6 月間揭露的 39,080 筆 CVE 記錄進行分析評分。跨站腳本攻擊(Cross-site Scripting,CWE-79)以 60.38 分的高分連續蟬聯榜首,同時有六項弱點首度進入排行榜,顯示軟體安全威脅態勢持續演變。
北韓駭客「假 Zoom」投毒攻擊猖獗!至今竊取逾 3 億美元加密幣 區塊客
非營利資安組織 「安全聯盟(Security Alliance ,SEAL)」 示警,北韓駭客組織正大規模利用虛假 Zoom 視訊會議投毒,目前幾乎天天都能觀測到多起嘗試,且至今已竊取超過 3 億美元的加密貨幣。
【當資安已成產品「內建」基本要求】漏洞風險與法規遵循壓力與日俱增 iThome
產品資安漏洞是企業面臨的首要資安風險之一,也讓消費者暴露於網路攻擊之下,真正承受後果的往往是終端使用者,而問題根源則多半出在產品本身。在這樣的風險態勢下,多年來,外界不斷呼籲產品業者正視產品上市後的維護責任,主動運用CVE機制公開漏洞,並提供緩解與修補方案,讓漏洞被登記、可被追蹤,同時也讓用戶得以及時更新,才能有效降低風險。
Adobe發布12月安全更新,ColdFusion藏多個重大漏洞應優先處理 iThome
這波修補有117個漏洞都集中於Adobe Experience Manager(AEM),其中包含2項重大(Critical)等級跨站腳本(XSS)漏洞CVE-2025-64537與CVE-2025-64539,CVSS風險分數皆為9.3;其他則為重要(Important)等級的XSS弱點,CVSS風險分數皆為5.4,成功利用後可能導致任意程式碼執行或權限提升。
近日,Steam平台上一個存在多年的潛在技術漏洞被用戶發現並引發討論:當用戶嘗試安裝兩個名稱完全相同的遊戲時,後安裝的遊戲文件會覆蓋先安裝的遊戲,導致無法正常啟動。該漏洞凸顯了Steam在安裝目錄管理機制上的一個特殊設計。
PCIe完整性與資料加密處理出現漏洞,恐面臨資訊洩露、拒絕服務等資安風險,波及Intel、AMD處理器 iThome
PCI-SIG(PCI Special Interest Group)上周修訂相關規格,以因應周邊元件快速互連(Peripheral Component Interconnect Express,PCIe)標準中揭露的3個安全漏洞。這些漏洞皆存在於完整性與資料加密(Integrity and Data Encryption,IDE)安全機制中,可能削弱IDE與TDISP(Trusted Domain Interface Security Protocol)等原本用來隔離不同安全環境的防護效果。
VPN嚴峻挑戰 駭客大規模掃瞄成常態 策略風知識新聞網
虛擬私人網路(VPN)是企業或組織對外連線的主要入口,目的在加密資料傳輸,員工即使身處外部環境,也能安全連回公司系統。然而,原本肩負守護資安的重要設備,如今卻成為駭客攻擊熱點,VPN正面臨10年來嚴峻的結構性挑戰。
裝VPN、擋廣告反而洩密?研究揭4款熱門瀏覽器外掛偷蒐集AI對話 工商時報電子報
不少使用者安裝VPN或廣告阻擋器,原本是為了強化上網隱私與資安防護,但最新研究卻顯示,部分外掛程式可能反而成為隱私外洩的破口。資安公司Koi Security近期公布調查指出,四款熱門瀏覽器擴充功能涉嫌在使用者不知情的情況下,蒐集與AI聊天機器人的對話內容,受影響人數可能超過800萬人。
2026資安三大趨勢預測: AI工業化推升攻擊自動化,多雲與供應鏈仍為駭客主戰場,企業治理破口成AI攻擊跳板 資安人
企業正積極擁抱各類AI工具,提升營運效率,但在部署AI的同時,一不小心也可能讓潛在入侵者在企業環境中「內建」攻擊能力,讓威脅得以迅速擴散。全球網路資安解決方案領導廠商趨勢科技公布2026資安年度預測報告指出,隨著企業全面導入AI、流程自動化、多雲架構與第三方服務,同時AI正從單純輔助工具逐步邁向高度自主的「工業化」階段,企業防禦與駭客進攻成了一場勢均力敵的「競速賽」。而企業內部的錯誤設定、技術債與缺乏可視性等既有挑戰,更可能成為攻擊快速擴散的加速器。
邁達特聚焦AI/資安,雲端生態帶動營運回溫 MoneyDJ 理財網
系統整合廠邁達特(6112)近期營運呈現回溫態勢,主要動能來自AI與資安兩大領域的業務推展。公司已與Google、Microsoft、Amazon三大公有雲建立合作,並藉由網路架構、公有雲與混合雲專案,協助企業重構系統與建置AI運算基礎設施。
駭客比企業更敢用AI 從「單點攻擊」走向「工業化自動流水線」 電子時報
當企業還在擔心大型語言模型(LLM)的幻覺問題(Hallucination),深怕誤用AI導致商譽受損或面臨法律責任時,網路犯罪集團早已沒有這些顧忌。
消除產品資安盲點,減少可乘之機 iThome
就平均資料外洩時間(Mean Time To Exfiltrate,MTTE)而言,Palo Alto Networks表示,2021年需要9天,2023年縮至兩天,到了2025年只剩下25分鐘,短短兩年,減少了一百多倍,差別在於後來有了AI的協力。
【解讀全球資安漏洞數量暴增的現象】CVE數量創新高,突顯風險意識抬頭 iThome
2025年CVE漏洞數量再創新高,全年上看4.5萬個,超越2024年增加總數。ZDI計畫負責人Brian Gorenc指出,CVE數量增加不代表風險升高,反而象徵更多錯誤攤在陽光下,多數也會進入修補流程,這比漏洞長期存在卻沒被發現要安全。
數位時代迅速發展的今天,金融詐騙已成為全球性威脅,案件數量與損失金額持續攀升。詐騙手法日益精進,從假冒投資平台到利用人工智慧生成的釣魚訊息,讓人不易察覺。一般民眾極有可能在網路投資、購物或社交時成為詐騙集團的目標。
數位情報網再升級,跨界聯防共築全民防線:網詐通報查詢網3.0版全新改版 iThome
為了展現政府運用數位科技打擊網路詐騙的強大決心與行動力,數位發展部(簡稱數發部)在萬眾矚目下,日前正式宣布「網路詐騙通報查詢網」(簡稱網詐網)已全面改版升級至3.0版本,這個前所未有的防禦升級行動,更被數位發展部部長林宜敬定義為意義深遠的「情資聯防元年」。
見軟體業前輩自稱「小師弟」 數發部長林宜敬談創業同門與市場思維 財訊雜誌網
數位發展部日前舉辦「AI x 軟體產業未來座談」,邀請趨勢科技執行長陳怡樺、玩美移動執行長張華禎,以及訊連科技董事長黃肇雄同台交流。同樣擁有軟體創業背景上台就說:「我是你們三位的小師弟,創業也是同一門派!」
漏洞不可避免,關鍵在於如何預防、應變、修補 2025產品資安實務大公開 iThome
當IT與OT產品的漏洞已成常態風險,確保產品資安已成廠商與用戶必須正視的挑戰,否則只會讓資安威脅的風險持續累積,國際法規也將產品資安列入基本要求,這次我們整理3家臺灣廠商的實務經驗,帶大家深入了解產品漏洞應對作法,以及如何落實安全開發與維護。
KnowBe4 發佈「世界環境日資安守則」 提醒民眾結合永續與資安意識防範環保詐騙 iThome
全球知名的人為資安平台 KnowBe4 於2025/6/5發佈「世界環境日資安守則」,提醒個人與企業在響應環保議題時,也要提高警覺,防範假環保名義的網路詐騙,確保永續理念不成為駭客下手的破口。
Fortinet甫修補的漏洞已遭駭客濫用 iThome
這兩項漏洞CVE-2025-59718及CVE-2025-59719,皆為加密簽章不當驗證造成,未經身分驗證的攻擊者可發送特製的SAML訊息,即可繞過FortiCloud單一簽入(SSO)的身分驗證機制,啟用此單一簽入機制的FortiOS、FortiWeb、FortiProxy,或是FortiSwitchManager都會受影響。這兩項漏洞CVSS風險分數皆達9.8。
俄駭客Sandworm鎖定西方國家能源與雲端基礎設施,透過邊緣設備配置不當發動攻擊 iThome
俄羅斯駭客組織Sandworm(APT44、Seashell Blizzard)長年攻擊西方國家的關鍵基礎設施的手法,於今年出現重大變化,他們大幅減少利用已知或未知的漏洞,而是針對邊緣裝置配置不當的情況下手,使得攻擊活動變得更加隱密。
WinRAR路徑穿越漏洞出現實際攻擊,3組人馬發起網釣活動 iThome
上週美國網路安全暨基礎設施安全局(CISA)將WinRAR路徑遍歷漏洞CVE-2025-6218列入已遭利用的漏洞名單(KEV),有多家資安公司發現,有3個駭客組織先後加入利用行列。
假訊息橫行、詐騙猖獗,MyGoPen教你防詐打假三招:冷、確、查 關鍵評論網
「網傳台電購買綠電每度7.75元,核電每度1.39元」、「網傳歐洲七巨頭排排坐等候川普召見」……你是否曾在Line群組中收到這類訊息?資訊爆炸的時代,假訊息從政治、醫療、氣候到詐騙,涵蓋層面之廣,令人瞠目結舌。而這些假訊息往往容易引起人的情緒波動,並在未釐清之前就轉傳。然而,當按下轉傳鍵或點擊連結後,小小的動作可能帶來的是紛爭、恐慌,甚至財產損失。
外籍旅客掃QR Code遭詐?移民署籲認明正確網址 中央通訊社
內政部移民署今天表示,媒體報導有日本旅客入境,掃描機場現場QR Code填報入國登記表遭詐騙,但國境事務大隊經常性確認QR Code正確性,無詐騙情事,提醒認明正確網址。
酷澎資料外流、朝日酒廠被癱瘓…國家級駭客進逼 「4種攻擊手法」招招狠招 聯合新聞網
近日韓國知名跨境電商酷澎發生資料外洩事件,高達3370萬個資外洩,目前許多韓國消費者回報異常登入紀錄,甚至擔心未來將收到釣魚簡訊或詐騙信件,目前已知資訊是中國籍IT職員離職後,仍保有酷澎內部簽章密鑰,讓資安出現漏洞。
小紅書「已讀不回」 4大平台下架涉詐廣告與帳號破20萬筆 自由時報電子報
小紅書近2年涉詐案1706件,而且對我政府的發函「已讀不回」,因而遭暫禁一年,行政院打擊詐欺指揮中心表示,政府與平台業者合作共同圍堵詐騙,根據刑事警察局統計,自去年8月至今年11月,已通報Meta涉詐廣告11萬2054則、Google涉詐廣告4472則及LINE涉詐帳號9萬2831筆,且各平台業者均依法配合下架。
11月全國詐騙財損達1.9億 較去年高峰降57% 公視新聞網
事件追溯到今年9月中,刑事局偵破一起假投資詐騙案,警方調查,詐騙團夥引導被害者多次投入現金到假冒投資App,營造賺大錢假象,後續待被害人要求出金,再宣稱需要大額手續費,一旦被害人沒錢,便一條龍引導房屋抵押借款,共3人遭騙2400萬。
打詐防車手!ATM戴口罩、安全帽恐領嘸錢 台灣首開全球先例 壹蘋新聞網
財政部日前要求公股行庫研議,戴口罩、安全帽者無法於ATM提款。金管會銀行局昨指出目前先鼓勵銀行,未來若要全面推動,須考慮三件事;此外,國外目前無此作法,台灣算是開先例。
數發部:TikTok配合防詐 申請在台法律代表審核中 中央通訊社
數發部去年已對TikTok納管,根據詐防條例,TikTok須在台灣設法律代表。針對TikTok設立進度,數發部數產署今天回應,TikTok去年底提報法律代表,相關單位仍有資料需請公司釐清,TikTok均依期限回覆說明;目前TikTok法律代表雖尚未核備,但持續配合法遵實施防詐作為。
韓團演唱會門票詐騙「大量出現」!刑事局拆解常見話術:恐求償無門 風傳媒
韓國媒體STARNEWS舉辦的亞洲明星盛典(AAA)及首屆ACON音樂節日前在高雄落幕,有著「韓國葛萊美獎」之稱的金唱片頒獎典禮也將於2026年1月10日在台北大巨蛋登場,預計12月13日開始售票。內政部警政署刑事警察局今(11)日上午於記者會指出,近期詐騙案以「演唱會門票詐騙」最具代表性,刑事局揭露常見手法,提醒民眾務必提高警覺,避免求償無門。
中盈旗下超揚公司被詐騙集團假冒名義 引誘受害者加入投資 經濟日報網
中鋼(2002)子公司中盈旗下超揚公司近日發生詐騙集團假冒名義引誘受害者加入投資Line群進行詐騙,更於網路上再謊稱超揚公司組成投資團隊等虛假訊息,中盈公司提醒社會大眾切勿受騙。
AutoReserve爆詐騙!扣款卻沒訂位 消保官:境外平台風險高 自由時報電子報
台北市府法務局表示,有民眾透過境外定位平台「AutoReserve」,預定米其林必比登推薦餐廳並完成支付訂位服務費,沒想到卻遭餐廳業者告知「從未與該平台合作、亦未收到任何訂位資訊」讓民眾受害。北市主任消保官林傳健呼籲民眾,境外平台未在我國設置實體營業據點,發生爭議時出席協商調解難度高,消費者訂位前務必多加查證,以避免權益受損。
刑事局統計 Meta近一年下架涉詐廣告逾11萬則 中央通訊社
行政院打擊詐欺指揮中心今天表示,政府與平台業者合作共同圍堵詐騙,根據刑事警察局統計,自去年8月至今年11月,已通報Meta涉詐廣告11萬2054則、Google涉詐廣告4472則及LINE涉詐帳號9萬2831筆,且各平台業者均依法配合下架。
電話為何響一聲就掛?專家曝背後目的:千萬不要接,一出聲就慘了,接了非常麻煩 風傳媒
近期詐騙手法不斷推陳出新,民眾對於未知的來電和網路訊息必須提高警覺。一種新型態的詐騙正在台灣社群間擴散——即「響一聲就掛」的電話,專家指出,這是一種進階的號碼篩選機制,且已進化到利用電腦直接撥號來判別門號的有效性。更令人擔憂的是,AI 技術的導入,使得詐騙集團正積極收集聲音,對民眾造成新的語音詐騙風險。
2026台灣燈會遭冒名徵才 嘉縣府籲民眾勿受騙 中央通訊社
嘉義縣府今天說,有人借「2026台灣燈會」徵才名義,透過社群平台或網路表單向民眾索取個人資訊進行詐騙,呼籲民眾勿輕信來路不明訊息,強調台灣燈會只透過官方網站公告徵才。
◎瞭解更多 趨勢科技 AI 防詐達人
☞ Android 用戶請立即免費下載 ☞ iOS 用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技 PC-cillin 雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機 ✓電腦 ✓平板,跨平台防護 3 到位 ➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅ 社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅ 全球個資外洩追蹤 24 小時為您監測守護
✅ 跨平台密碼安全管理 讓您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用 3C 冷知識,
追蹤我們的 IG 帳號 看更多讓你數位生活更便利、更安全的貼文。
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊。不想成為下一個受害者嗎?立即訂閱,搶先一步防範
