==== 資安雙週報 (240401) ====
初一十五除了呷菜喔外 也要關心一下安全圈的消息
- 社交工程 (Social Engineering) 的成功案例
- 缺錢嗎?可以試著現實 bounty program
- 又一次 Supply-chain 攻擊嗎?
## CVE-2024-3094
三月份最熱門的資訊安全消息 - CVE0-2024-3094。一個用年為單位的社交工程案例
有人整理的[圖文記錄][0] 從 2022 開始第一筆 commit 到 2024-03-09 上傳最終惡意檔案
花了兩年的社交工程 讓 xz 終於釋出一個包含後門的版本
## 現實 bounty program
美國政府提供[1]最高獎金 $10m 懸賞七名中國人的資訊
據稱這七名駭客攻擊美國官員與批評中國的企業與政界人士
發動大範圍的網路攻擊
## PyPI 再次 (短時間) 暫時停止新開發者註冊
PyPI 再次停止新開發者的註冊[2] 來暫停惡意套件上傳
常見的 Python 惡意套件透過錯誤的套件名稱 讓開發者下載惡意版本的套件
這次僅花費 10小時就恢復開放 (上次[] 花費 10天的時間修復)
透過拼音錯誤或者錯誤的套件名稱 讓開發者下載惡意套件
bs4[4] 就是 beautifulsoup4 用來避免開發者錯誤安裝的 dummy package