數以千計的惡意npm包威脅著Web應用程序的安全

過去的6個月中，在開發者最常下載的JavaScript包庫npm中發現了1300多個惡意包。這種惡意組件數量的快速增長也反映出了npm正在成為惡意軟件的傳播平臺。

開源安全和管理公司WhiteSource最新研究發現，惡意npm包數量的不斷增加使人感到很不安，這些包主要是被用作網絡應用的組件。任何使用該惡意代碼塊的應用程序都可能使其用戶遭到數據盜竊、加密劫持以及僵尸網絡等攻擊。

該公司表示，在發現的惡意軟件包中，有14%是為了竊取證書等敏感信息，而近82%的軟件包則是在偵查用戶的信息，攻擊者采用主動或被動的方式來收集目標的相關信息。

過去的6個月中，在開發者最常下載的JavaScript包庫npm中發現了1300多個惡意包。這種惡意組件數量的快速增長也反映出了npm正在成為惡意軟件的傳播平臺。

用全面發展辯證的眼光看待《網絡安全審查辦法》

全面地看《網絡安全審查辦法》的“變”與“不變”。用全面發展辯證的眼光看待《網絡安全審查辦法》；二是堅持以落實國家安全、網絡安全基礎法律為主要目標未變。

發展地看網絡安全審查制度的演進與完善。一是組織結構更加完善，新增證監會作為網絡安全審查工作機制成員單位，加強赴國外上市網絡平臺運營者的審查；二是審查時限更切實際，將特別審查程序從45天延長到90天，體現了對于審查結論更加審慎的態度；三是權力監督更加明確，既強調審查客體對于主體的責任與義務的監督，也鼓勵社會監督當事人履行網絡安全審查中作出的承諾。

辯證地看《網絡安全審查辦法》當前重點與長遠意義。一是統籌安全與發展，網絡安全審查將通過依法依規開展審查獲得安全發展新優勢。二是平衡開放與治理，網絡安全審查不會限制開放，不存在區別對待。三是兼顧當前與長遠，網絡安全審查不僅要立足應對當前威脅，更要放眼長遠，推進我國網絡空間治理體系和治理能力現代化。

2022年關于網絡安全和身份驗證的發展趨勢

平衡風險和用戶體驗

事實上，銀行的數字化轉型是建立在數字信任的基礎上，其中包括入職、身份驗證和支持對話。然而，銀行業在提供數字化客戶體驗這些方面仍然落后，并降低了客戶滿意度。

采用適應性強的方法

移動設備身份驗證和全渠道參與已經發展。新的身份驗證技術現在變得可用，通常是通過通信平臺啟用的API。于是出現了兩種選擇，數據驗證和Flash呼叫驗證。數據驗證的工作原理是，移動網絡運營商在用戶使用移動數據時分配給其電話號碼的IP地址之間的相互作用。Flash呼叫驗證是在最終用戶設備上發起和終止語音通話。主叫方號碼是從與服務相關聯的專用號碼池中隨機選擇的。智能手機會自動接聽電話，并使用主叫方號碼作為身份驗證，而不是通常通過短信發送的一次性密碼進行驗證。

低代碼和無代碼開發的四個安全問題

無代碼工具和平臺使用拖放界面來允許業務分析師等非編程人員創建或修改應用程序。

與可見性問題相吻合的是不安全代碼的可能性。低代碼和無代碼平臺仍然有代碼。他們只是抽象了編碼，并允許最終用戶使用預先提供的代碼功能。這很好，因為它使非開發人員無需自己編寫代碼。當使用的代碼是不安全的，并且通過低代碼和無代碼平臺在企業和應用程序之間進行推斷時，就會出現問題。

解決這個問題的一種方法是與平臺供應商合作，要求平臺內使用的代碼的安全掃描結果。靜態和動態應用程序安全測試(SAST/DAST)等掃描結果可以為消費者提供一定程度的保證，即他們不僅僅是復制不安全的代碼。在企業控制之外創建代碼的想法并不是一個新概念，并且在開源軟件的使用中很普遍，98%以上的企業使用開源軟件，并且與其他存儲庫相關的軟件供應鏈威脅也很常見，例如用于基礎設施的代碼(IaC)模板。

警惕！Linux惡意軟件攻擊日益猖獗

據介紹，針對Linux系統的初始攻擊通常不是通過利用漏洞，而是通過盜竊登錄信息來實現。雖然遠程代碼執行是闖入這類系統的第二大方式(比如利用盛行的Log4j漏洞)，但被盜用的身份信息常常讓攻擊者有更多的時間在受害企業的網絡系統內部進行探測。對攻擊者而言其優點是，受害者需要更長的時間才能明白攻擊已發生。

需要特別重視的是，攻擊者還開始使用更先進的工具來管理針對Linux基礎設施發動的攻擊。VMware的報告指出，Cobalt Strike是紅隊和滲透測試人員經常使用的面向Windows的攻擊管理系統，但攻擊者現在開始用它來攻擊Linux。VMware目前監測了14000臺使用Cobalt Strike的服務器。調查小組發現，Cobalt Strike程序中六分之一版本的客戶ID為0，這表明是試用版，但這些很可能已被破解。另外四個自定義ID占剩余Cobalt Strike服務器的近40%，這表明這些服務器上的保護機制也遭到了破壞。

微信真的不會保存聊天記錄嗎？《網絡安全法》給出了答案

微信作為中國體量最大的聊天工具，它的安全性關乎十多億人的隱私安全。那么到底微信會不會保存聊天記錄呢？根據微信官方的答復，微信不會保存聊天記錄，聊天內容只存儲在用戶手機、電腦等終端設備上。這種“自證清白”的做法，并沒有得到網友們的廣泛認可。在《網絡安全法》頒布之后，這個問題似乎有了答案。

《網絡安全法》第四十一條規定網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。第五十條規定國家網信部門和有關部門依法履行網絡信息安全監督管理職責，發現法律、行政法規禁止發布或者傳輸的信息的，應當要求網絡運營者停止傳輸，采取消除等處置措施，保存有關記錄;對來源于中華人民共和國境外的上述信息，應當通知有關機構采取技術措施和其他必要措施阻斷傳播。

聊聊了解數字簽名，你知道了嗎？

數字簽名(一種電子簽名)是一種數學算法，通常用于驗證消息的真實性和完整性。數字簽名創建個人或實體獨有的虛擬指紋，用于識別用戶并保護數字消息或文檔中的信息。數字簽名明顯比其他形式的電子簽名更安全，能夠提高了在線交互的透明度，并在客戶、業務合作伙伴和供應商之間建立了信任。

數字簽名的工作原理是證明數字消息或文檔從簽名時起沒有被有意或無意地修改過。數字簽名通過生成消息或文檔的唯一散列并使用發件人的私鑰對其進行加密來實現此目的。生成的散列對于消息或文檔是唯一的，更改其中的任何部分都將徹底更改散列。

接收者生成他們自己的消息或數字文檔的哈希值，并使用發送者的公鑰解密發送者的哈希值。接收者將他們生成的哈希值與發送者的解密哈希值進行比較;如果匹配，則消息或數字文檔未被修改并且發件人已通過身份驗證。