1、GitHub SSH私钥意外在公共库中短暂暴露

https://www.bleepingcomputer.com/news/security/githubcom-rotates-its-exposed-private-ssh-key/

GitHub 私钥意外在一个公共的代码库中暴露。GitHub 表示尽管私钥暴露的时间很短，但谨慎起见还是决定更换密钥。GitHub 发布了一份博客帖子，详细介绍了所采取的措施以及新的公钥指纹。GitHub 表示不会因此泄露任何客户信息，并呼吁用户更新 ~/.ssh/known_hosts 文件以避免中间人攻击。此外，虽然 GitHub 更换了私钥，但一些软件项目和文档仍在使用已撤销的 SSH 指纹。

2、WordPress的WooCommerce Payments插件存在严重漏洞

https://thehackernews.com/2023/03/critical-woocommerce-payments-plugin.html

WordPress的WooCommerce Payments插件存在一个严重安全漏洞，可能允许攻击者未经授权访问受影响的商店并完全接管网站。该漏洞影响版本为4.8.0至5.6.1。WordPress已发布补丁并自动更新使用受影响软件版本的网站。目前尚未发现该漏洞被积极利用的证据，但用户需要更新到最新版本并检查是否有新添加的管理员用户，并更改所有管理员密码和API密钥。

3、CISA发布检测微软云环境中恶意活动的免费工具

https://www.helpnetsecurity.com/2023/03/24/malicious-activity-microsoft-cloud/

在 Microsoft Azure、Azure Active Directory (AAD) 和 Microsoft 365 (M365) 云环境中搜索恶意活动的网络防御者可以使用新的开源解决方案：Untitled Goose Tool。它由美国网络安全和基础设施安全局 (CISA) 发布，允许用户导出和查看日志、警报、配置等。

4、OpenAI称ChatGPT对话记录混乱是由Redis错误引发

https://thehackernews.com/2023/03/openai-reveals-redis-bug-behind-chatgpt.html

本周早些时候，OpenAI的ChatGPT服务暴露了部分用户的个人信息和对话记录，该公司在周五透露，这是由于Redis开源库中的一个错误所导致的，该错误源于redis-py库，可能导致连接损坏并从数据库缓存返回意外数据，进而使一些用户从聊天记录侧边栏查看了其他用户对话的摘要。

5、英国国家打击犯罪局伪装DDoS服务商渗透网络犯罪市场

https://www.hackread.com/nca-cybercrime-market-fake-ddos-sites/

国家打击犯罪局 (NCA) 开展了一项诱捕行动，利用虚假的 DDoS 站点渗透网络犯罪市场，以实施犯罪打击行动。NCA 将所有这些网站设计得看起来很真实，给访问者一种所提供的工具和服务可以让他们发起 DDoS 攻击的印象。

6、 研究人员实现通过超声波控制智能设备

https://www.bleepingcomputer.com/news/security/inaudible-ultrasound-attack-can-stealthily-control-your-phone-smart-speaker/

美国大学研究人员开发了一种名为NUIT的新型攻击，可以对使用语音助手的设备进行静默攻击。NUIT攻击的主要原理是智能设备的麦克风可以响应人耳无法听到的超声波，因此攻击可以在使用传统扬声器技术的同时最大程度地减少暴露风险。

7、宝洁公司因GoAnywhere零日漏洞泄露数据

https://www.bleepingcomputer.com/news/security/procter-and-gamble-confirms-data-theft-via-goanywhere-zero-day/

宝洁（Procter & Gamble）公司确认遭遇数据泄露，幸未影响客户数据。P&G表示，攻击者未获得员工的财务或社会保障信息，但确实窃取了一些数据。P&G公司停用了Fortra的GoAnywhere安全文件共享服务。

8、Microsoft发布Windows截图工具安全更新

https://www.bleepingcomputer.com/news/microsoft/microsoft-pushes-oob-security-updates-for-windows-snipping-tool-flaw/

微软为Windows 10、11的截图工具发布了紧急安全更新，以修复Acropalypse隐私漏洞。该漏洞会导致剪裁后的数据留在原始文件中，从而有可能导致敏感信息泄露。微软发布了CVE-2023-28303漏洞的安全更新，建议用户立即安装。

9、Vice Society声称攻击了波多黎各水务机构

https://securityaffairs.com/144022/hacking/puerto-rico-aqueduct-and-sewer-authority-attack.html

波多黎各沟渠与污水管理局（PRASA）遭受网络攻击，现正与美国FBI和CISA进行调查。攻击者获取到客户和员工信息，但该局重要基础设施的运营未受影响。攻击者身份暂时未知，但Vice Society勒索软件组将该机构添加到其受害者名单中，并泄露了个人护照、驾照和其他文件。

10、攻击者利用USB触发物理炸弹攻击新闻机构

https://www.malwarebytes.com/blog/news/2023/03/5-news-stations-receive-explosive-usb-stick-letter-bombs

近日，厄瓜多尔的五家不同新闻机构收到一些包裹，包含一个USB盘。其中一名记者在将其插入电脑后，该设备就爆炸了，导致新闻室人员受伤，至少其中一个装置装有“军用炸药”。通常黑客通过发送感染了恶意软件的USB盘给受害者来进行攻击，而这次更加体现了USB安全管理的重要性。目前，执法部门正在调查此事件。

免责声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。