Google 安全团队 Threat Analysis Group 发表报告披露政府黑客使用了三个 0day 攻击 iPhone。所谓 0day 指的是在攻击发生时苹果不知道或尚未修复的漏洞。安全研究人员发现，政府黑客使用了巴塞罗那公司 Variston 开发的黑客工具。Google 称，2023 年 3 月 Variston 的一个客户使用这些漏洞攻击了印尼的 iPhone 手机，向手机发送了包含恶意链接的短信，用间谍程序感染了目标手机，然后将受害者重定向到印尼报纸 Pikiran Rakyat 的新闻文章。苹果尚未对此报道置评。

GitHub 短暂了屏蔽了其联合创始人、前 CEO Chris Wanstrath “defunkt”的账号。他在社交媒体上发布这一消息之后 GitHub COO Kyle Daigle 亲自检查了该事件，发现是该平台的 Automation System 系统触发的误报。Chris Wanstrath 与 PJ Hyett 等人于 2008 年共同创办了代码托管和分享平台 GitHub，在 2018 年被微软收购前他先后两次担任 GitHub CEO 一职。此事凸显了在 GitHub 上托管关键系统所面临的风险，绝大部分开发者都不是 GitHub 联合创始人或前高管，他们的账号如果无缘无故被封不太可能会在短时间内解封。

香港警方表示，一名跨国公司香港分行的金融职员上月中有同时收到伪冒英国总部财务总监的讯息，要求进行机密交易并使用视频通话，期间有 4-6 人参与会议，而且样貌与现实人物一样，职员不虞有诈后按照其指示分 15 次将总共 2 亿港币的款项转账至 5 个本地银行户口，后来向总部查询后才揭发事件。今次是香港首宗 Deepfake 视频会议骗局，也是至今涉及 AI 的诈骗案件中损失金额最大的事件。警方指，骗徒很可能事先下载了影片，并用人工智能对其进行了处理，从而制作出令人信服的假影片。而事件也显示以前“单对单”的骗案已经发展成看起来参与人数众多的视频会议骗案，令可信度增加。

美国司法部周三表示，FBI 向数百个路由器发送指令移除了设备上感染的中国僵尸网络程序。这些路由器主要是已结束支持的思科和网件（Netgear）设备，它们被悄悄安装了 KV Botnet 恶意程序。黑客和被感染设备之间的通信使用了安装的 VPN 模块进行了加密。要合法删除这些被感染设备上的恶意程序，FBI 需要获得联邦法官的授权。虽然 FBI 删除了设备上的 KV Botnet 阻止了其 VPN 进程的运行，但如果设备重启，它们还是容易重新感染恶意程序，FBI 计划联系 ISP 由他们去通知受影响的客户。路由器是使用期限比较长的设备，当供应商结束支持停止提供安全补丁之后它们容易被黑客入侵。

根据 GitHub 在 2022 年发表的一项研究，使用 GitHub Copilot 的开发者完成任务的速度更快，比不使用 GitHub Copilot 的开发者快 55%。但 GitClear 的最新报告则指出 AI 编程助手降低了代码质量和可维护性。报告指出，GitHub Copilot 与向代码库推送“错误代码”强相关，AI 编程助手倾向于不复用代码，倾向于更多拷贝粘贴代码，增加了未来的维护负担。报告认为 GitHub Copilot 是有前途的工具，但目前还有很多问题。

安全公司 ESET 的研究人员披露了利用中国流行应用程序更新机制的网络攻击行动 Blackwood。攻击者的活跃时间至少始于 2018 年，他们首先利用 adversary-in-the-middle(AitM)劫持 WPS Office、腾讯 QQ 和搜狗拼音等软件的更新请求，然后植入恶意程序 NSPX30。该恶意程序是在 2005 年后门程序 Project Wood 基础上逐渐发展而来，与腾讯反病毒实验室在 2016 年披露的黑暗幽灵（DCM）木马相关。攻击主要针对中国和日本的公司，以及中国、日本和英国的个别人士。NSPX30 为多级架构，包含了释放器、DLL 安装程序、加载器和后门等组件，能将自己添加到中国安全软件的白名单中。它的主要功能是收集信息，还能窃取腾讯 QQ、微信、Telegram、Skype、CloudChat、RaidCall、YY 和淘宝旺旺的聊天记录和联系人列表。

安全研究员报告，黑客正在大规模利用两个高危漏洞（CVE-2023-46805 和 CVE-2024-21887）完全控制 Ivanti 销售的 VPN 应用。安全公司 Censys 二次扫描了暴露在互联网上的 2.6 万台 Ivanti Connect Secure 服务器，发现 412 台服务器植入了后门，其中 121 台服务器位于美国，德国 26 台、韩国 24 台和中国 21 台。微软云服务托管了其中 13 台，亚马逊 AWS 托管了 12 台，Comcast 10 台，中国电信（CHINANET） 6 台。研究人员称有证据表明黑客是出于间谍目的感染这些设备。Ivanti 是在 1 月 10 日披露了漏洞，补丁将在本周晚些时候释出。

惠普打印机墨盒内置了芯片，如果用户使用没有惠普芯片的第三方墨盒，打印机会停止打印。惠普此举已经引发了诉讼，并寻求获得集体诉讼资格。惠普 CEO Enrique Lores 谈论了这一受争议的做法，以安全理由进行辩护。他说，墨盒能嵌入病毒，病毒能通过墨盒传播到打印机，然后再从打印机渗透到网络中。惠普认为，用于与打印机通信的墨盒微控制器芯片有可能成为网络攻击的入口。惠普在墨盒中使用类似 DRM 的芯片是为了推动客户订阅该公司的服务，Lores 称公司一直推动的一个长期目标是让打印变成订阅。

安全公司 Mandiant 披露，黑客组织 UNC3886 至少从 2021 年开始利用一个去年 10 月才修复的 vCenter Server 0day 漏洞 CVE-2023-34048。黑客利用该漏洞入侵目标的 vCenter 服务器，窃取凭证，使用特制的 vSphere Installation Bundles (VIBs)在 ESXi 主机上部署 VirtualPita 和 VirtualPie 后门。然后他们利用 CVE-2023-20867 VMware Tools 身份验证绕过漏洞提权、收集文件，从客户虚拟机中渗出。

微软证实俄罗斯情报机构入侵了部分高管的电邮账号。入侵发生在 1 月 12 日，微软将该黑客组织命名为 Midnight Blizzard aka Nobelium。软件巨人表示它已经采取了行动并展开了调查。调查显示，攻击者从去年 11 月使用密码喷洒攻击(Password Spraying) 入侵了一个遗留的非生产租户帐户，获得了立足点，然后使用该账号的权限访问了少数微软企业电邮账号，其中包括了微软高管团队成员账号，网络安全、法务等部门的员工账号，窃取了部分电邮和附件。调查显示 Midnight Blizzard  的目标是搜寻与它自己相关的信息。微软称，这次攻击不是产品或服务漏洞造成的。

加拿大成人网站 Pornhub 宣布从 1 月 23 日起上传到其平台的视频需要提供参与者的同意证明。此举旨在确保内容是安全的，合乎道德的。Pornhub 曾被发现存在大量的未经同意的视频内容，导致了主要支付服务商如 Visa 和万事达停止提供支付服务，迫使 Pornhub 对整个网站的视频内容进行大规模清洗，移除了大约八成的视频。Pornhub 此后开始加强视频审核，要求提供视频参与者的身份 ID 证明，现在更进一步要求同意证明。

Have I Been Pwned?（HIBP）维护者 Troy Hunt 宣布其泄露警告服务加入了约 7100 万新用户凭证。这些泄露数据来自 Naz.API 数据集，该数据集包含了 10 亿行被盗的凭证，综合了撞库列表和信息窃取软件窃取的数据。该数据集过去几个月在地下黑客论坛流传。数据集中的每一行包含了一个登录 URL、其登录名和相关密码。Troy Hunt 公布的样本截图中包含了深圳大学的一个登录 URL，其它还有 eBay、雅虎、Facebook 等等。数据集包含了 70,840,771 个唯一电邮地址，抽样分析显示其中三分之一的地址此前从未泄露过。用户现在访问 HIBP 检查自己的凭证是否 Naz.API 数据集中。

想象下，一开始工作正常的开源 AI 模型会变得具有恶意。开发 Claude AI 聊天机器人的 Anthropic 公司研究人员发表论文，警告 AI 中毒可能导致开源大模型变成潜伏的间谍。研究人员训练了三个含有后门的大模型，它们能根据用户输入指令的差异输出安全的代码或能被利用的漏洞代码。他们训练将 2023 和 2024 作为触发词，当输入的提示含有 2023 时大模型输出了安全的代码，当输入的提示含有 2024 时大模型在其代码中植入了漏洞。这项研究意味着开源大模型潜在具有安全隐患，用户需要确保大模型的来源可信。Anthropic 的大模型是闭源的，闭源是否比开源更安全是争论了很久的话题。研究突出了确保大模型安全所面临的挑战。

安全公司 Nozomi 的研究人员发现了 23 个漏洞，允许黑客破坏联网的博世力士乐（Bosch Rexroth）手持螺帽扳手 NXA015S-36V-B。工程师使用该设备将螺栓等扭紧到精确的扭矩水平，这对设备的安全性和可靠性至关重要，如果太松的话设备可能会过热甚至起火，太紧的话可能会失效。研究人员称，黑客能利用漏洞安装恶意程序，能导致整个设备组停止工作，或者扭的太松或太紧，但设备的显示屏却显示一切正常。博世力士乐表示他们在数周前收到了漏洞报告，计划在 2024 年 1 月下旬发布补丁。

加密货币信托基金 HyperVerse 曾许诺为客户带来 2-3 倍的回报，但最终却给客户造成了 13 亿美元的损失。该基金的 CEO 叫 Steven Reece Lewis。一位 YouTube 用户披露目前居住在泰国的英国人 Stephen Harrison 就是这位 CEO。Harrison 接受了《卫报》采访，承认他受聘扮演了 HyperVerse CEO，但没有从其骗局中获得一分钱，对受害者表示深感歉意。他表示自己在扮演 CEO 的 9 个月中获得了 7500 美元，以及“一件羊毛羊绒西装、两件商务衬衫、两条领带和一双鞋子”。他还表示自己震惊的发现 HyperVerse 伪造了其简历，告诉投资者他是一位金融科技天才，获得名牌大学的学位，在高盛工作过，曾将一家 Web 开发公司出售给 Adobe，之后创办了一家 IT 创业公司。他承认自己只有中等教育学历。在扮演 CEO 的九个月内，他每个月工作 1-2 小时，主要是制作 CEO 视频。他表示自己与 HyperVerse 真正负责人 Sam Lee 和 Ryan Xu 没有联系。

荷兰《大众日报》(de Volkskrant)历经两年调查发现，该国情报部门招募了一名在伊朗做生意的荷兰工程师，通过水泵在伊朗核设施内部署了臭名昭著的 Stuxnet 蠕虫。Stuxnet 蠕虫设计破坏核设施内铀浓缩离心机使用的工控系统，这次攻击被广泛认为是美国和以色列联合发起的。《大众日报》的调查发现，荷兰情报和安全总局（类似 CIA）招募了时年 36 岁的荷兰公民 Erik van Sabben，他当时在迪拜的一家重型运输公司工作。在美国和以色列情报机构向荷兰同行寻求帮助之后，van Sabben 于 2005 年被情报机构招募。他被认为非常适合这项工作，有技术背景，在伊朗做生意，娶了一名伊朗女子。Stuxnet 蠕虫据信植入在这位荷兰公民安装在核设施中的水泵中。van Sabben 可能并不知道自己行动的真实意图，其家人表示在 Stuxnet 攻击发生时他似乎有点惊慌失措。时任 CIA 局长 Michael Hayden 同意接受 《大众日报》的采访，但由于该行动仍然属于机密信息，因此无法确认 Stuxnet 蠕虫确实是通过水泵传播的。Hayden 披露了一条有意思的信息是：Stuxnet 的开发成本在 10-20 亿美元之间。

去年底俄罗斯黑客组织对乌克兰最大电信公司发动网络攻击，导致数百万人数天内无法上网。现在乌克兰黑客组织发动了报复攻击行动。自称 Blackjack 的乌黑客组织入侵了莫斯科 ISP M9com，清空了大约 20TB 的数据，破坏了 M9com 的官网、邮件服务器和网络保护服务等服务。黑客从其邮件服务器和客户数据库下载了逾 10 GB 数据，并通过暗网公开。黑客表示这是另一次更大规模网络攻击前的“热身攻击”。该组织被认为与乌克兰安全局（SBU）有关联。

北京市司法局微信公众号“京司观澜”发文称，北京网神洞鉴司法鉴定所对手机“隔空投送”传播不当信息案件的司法鉴定突破了 AirDrop 匿名溯源的技术难题，提升了案件侦破的效率和准确性，防止了不当言论的进一步传播和潜在的恶劣影响。iPhone 的 AirDrop 能在苹果设备之间匿名共享文件，司法鉴定所的专家通过分析 iPhone 设备日志，发现发送者的设备名、邮箱和手机号相关字段，其中手机号与邮箱相关字段是以哈希值的形式记录，且哈希值部分字段被隐藏。技术团队制作了一张详尽的手机号与邮箱账号“彩虹表 ”，能够将密文转换成原始文本，快速锁定发送者的手机号与邮箱账号。

西班牙第二大移动运营商 Orange España 周三因黑客获取了弱密码“ripeadmin”登录了它用于管理全球路由表的账号而遭遇严重网络故障。Orange 在欧洲网络协议中心（RIPE Network Coordination Center）的账号用户名是 adminripe-ipnt@orange.es，密码是 ripeadmin。安全公司 Hudson Rock 的调查发现，该账号凭证已被去年 9 月安装在 Orange 员工电脑上的信息窃取恶意程序窃取并在网上出售。化名为 Snow 的黑客在社交媒体上公布了 Orange 的管理账号截图。Snow 在登陆 Orange 的账号之后修改了其全球路由表，大部分修改对网络流量没有产生影响，因为这些路由地址都在 Orange 自己的自治系统 AS12479 内，但其中一个修改 149.74.0.0/16 引发了问题，它将最大前缀长度设为 16，导致了使用该地址范围的较小的路由无效，比如 149.74.100.0/23 被认为无效并被过滤掉。BGP 专家 Doug Madory 认为黑客只是在恶搞。黑客对全球路由表的纂改很快被 RPKI（Resource Public Key Infrastructure）阻止——其它骨干运营商拒绝了黑客发布的路由公告。

LastPass 开始通知客户，为提高账号安全性要求他们至少设定 12 个字符的复杂主密码。密码管理器 LastPass 从 2018 年起就要求客户将主密码设为 12 个字符，但客户仍然可以选择设定字符数较短的密码。从 2023 年 4 月起，LastPass 开始对新账号或密码重置强制执行 12 个字符的主密码要求，但旧账号可继续使用短密码。从本月起，LastPass 开始对所有帐户强制执行 12 个字符的主密码要求，并根据泄露的密码库进行检查，确保新设立密码不在泄露密码中。LastPass 2022 年底披露其用户密码库被泄露。