【資安日報】5月25日,GitHub內部儲存庫的程式碼外流,確認遭供應鏈攻擊事故波及
- 來源:iThome(ID: 564)
- URL:https://www.ithome.com.tw/news/176094
- 發布日期:2026-05-25
摘要
此篇為 iThome 2026年5月25日資安日報,整合當日多起資安事件摘要。
頭條:GitHub供應鏈攻擊事件
攻擊鏈還原:TanStack 遭攻擊 → Nx Console 開發者憑證外流 → Nx Console 18.95.0版被植入惡意程式 → GitHub 員工安裝惡意套件 → 3,800個內部儲存庫遭入侵
- 駭客團體 TeamPCP 聲稱竊得近4千個GitHub內部儲存庫,底價5萬美元競標,無人出價則直接公布
- GitHub確認:員工安裝惡意版 Nx Console 18.95.0,2日後偵測到入侵,立即隔離端點
- Nx Console事故登記為 CVE-2026-48027,危險等級:重大(Critical)
- 惡意套件搜刮開發環境中的憑證與權杖資料
漏洞與攻擊警示
| 漏洞 | 系統 | 風險 | 狀態 |
|---|---|---|---|
| CVE-2026-9082 | Drupal(SQL注入) | 高 | CISA已列入KEV,確認遭利用 |
| CVE-2026-48172 | LiteSpeed cPanel外掛 2.3–2.4.4 | CVSS 10分(滿分) | 已修補(2.4.5版),確認遭積極利用 |
| CVE-2024-12802 | SonicWall SSL-VPN Gen 6 | MFA繞過 | 需額外LDAP設定才能完整修補 |
其他攻擊手法
- MSHTA無檔案攻擊:微軟IE舊工具遭濫用,假冒破解軟體及ClickFix(Win+R貼上惡意指令)
- Google意外洩露Chrome未修補漏洞PoC:5月20日公布Chromium程式碼時誤含4年前通報、尚未修補的漏洞,影響Chrome/Edge/Brave/Vivaldi/Arc
AI安全議題
- Claude Code沙箱漏洞:存在約5.5個月,Anthropic悄悄於2.1.90版修補但未公告,遭研究人員批評透明度不足
- Mythos AI風險爭議:CIS副總裁Tony Sager指出,AI真正改變的是「漏洞被發現與揭露的速度」,而非使既有防禦失效
- 1Password × OpenAI Codex整合:AI代理可使用憑證但不直接取得秘密值,降低憑證寫入程式碼風險
平台與工具安全更新
- NPM:新增套件暫存發布機制,加入人工審查關卡防止惡意版本自動散布
- Discord:全面預設啟用E2EE(含語音/視訊),使用自研開源協定 DAVE(文字訊息不在計畫內)
- Edge for Business:深度整合Microsoft Purview,可管控Shadow AI、為Copilot輸出加敏感度標籤
台灣資安動態
- 衛福部FHIR Box:醫療資料交換系統,採OAuth 2.0驗證、定期弱點掃描與SBOM檢查
- AI基本法施行:各政府機關須於2026年7月前完成公務AI風險評估,1年內建立內控規範
執法行動
- 加拿大警方5月20日逮捕 KimWolf殭屍網路 23歲管理者 Jacob Butler(渥太華),涉以DDoS即服務模式販售攻擊能力
衍生頁面
- GitHub內部儲存庫未授權存取事件2026 — 更新來源(GitHub 外洩事件確認)
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — TeamPCP競標細節更新