【資安日報】5月25日,GitHub內部儲存庫的程式碼外流,確認遭供應鏈攻擊事故波及

摘要

此篇為 iThome 2026年5月25日資安日報,整合當日多起資安事件摘要。

頭條:GitHub供應鏈攻擊事件

攻擊鏈還原:TanStack 遭攻擊 → Nx Console 開發者憑證外流 → Nx Console 18.95.0版被植入惡意程式 → GitHub 員工安裝惡意套件 → 3,800個內部儲存庫遭入侵

  • 駭客團體 TeamPCP 聲稱竊得近4千個GitHub內部儲存庫,底價5萬美元競標,無人出價則直接公布
  • GitHub確認:員工安裝惡意版 Nx Console 18.95.0,2日後偵測到入侵,立即隔離端點
  • Nx Console事故登記為 CVE-2026-48027,危險等級:重大(Critical)
  • 惡意套件搜刮開發環境中的憑證與權杖資料

漏洞與攻擊警示

漏洞系統風險狀態
CVE-2026-9082Drupal(SQL注入)CISA已列入KEV,確認遭利用
CVE-2026-48172LiteSpeed cPanel外掛 2.3–2.4.4CVSS 10分(滿分)已修補(2.4.5版),確認遭積極利用
CVE-2024-12802SonicWall SSL-VPN Gen 6MFA繞過需額外LDAP設定才能完整修補

其他攻擊手法

  • MSHTA無檔案攻擊:微軟IE舊工具遭濫用,假冒破解軟體及ClickFix(Win+R貼上惡意指令)
  • Google意外洩露Chrome未修補漏洞PoC:5月20日公布Chromium程式碼時誤含4年前通報、尚未修補的漏洞,影響Chrome/Edge/Brave/Vivaldi/Arc

AI安全議題

  • Claude Code沙箱漏洞:存在約5.5個月,Anthropic悄悄於2.1.90版修補但未公告,遭研究人員批評透明度不足
  • Mythos AI風險爭議:CIS副總裁Tony Sager指出,AI真正改變的是「漏洞被發現與揭露的速度」,而非使既有防禦失效
  • 1Password × OpenAI Codex整合:AI代理可使用憑證但不直接取得秘密值,降低憑證寫入程式碼風險

平台與工具安全更新

  • NPM:新增套件暫存發布機制,加入人工審查關卡防止惡意版本自動散布
  • Discord:全面預設啟用E2EE(含語音/視訊),使用自研開源協定 DAVE(文字訊息不在計畫內)
  • Edge for Business:深度整合Microsoft Purview,可管控Shadow AI、為Copilot輸出加敏感度標籤

台灣資安動態

  • 衛福部FHIR Box:醫療資料交換系統,採OAuth 2.0驗證、定期弱點掃描與SBOM檢查
  • AI基本法施行:各政府機關須於2026年7月前完成公務AI風險評估,1年內建立內控規範

執法行動

  • 加拿大警方5月20日逮捕 KimWolf殭屍網路 23歲管理者 Jacob Butler(渥太華),涉以DDoS即服務模式販售攻擊能力

衍生頁面