每周云安全资讯-2023年第35周

1

Microsoft PowerShell Gallery 容易受到供应链攻击

Microsoft PowerShell Gallery 代码存储库上的软件包命名策略过于宽松，这将为大规模供应链攻击奠定基础。

https://cloudsec.tencent.com/article/1gHerM

2

西部数据、群晖 NAS 漏洞暴露数百万用户的文件

研究人员找到枚举所有西部数据云 NAS 设备的方法，对这些设备进行模拟，并通过厂商的 MyCloud 服务获得对每个系统的访问权限。攻击者可利用这些漏洞远程访问用户文件、执行任意代码并完全控制连接云的设备。

https://cloudsec.tencent.com/article/2Erjqy

3

API 身份验证漏洞如何成为云安全问题的核心

近期，微软的云服务受到了密切关注，其中 API 是问题的核心。本文提供一些有助于缓解使用 API 时可能出现的安全问题的策略。

https://cloudsec.tencent.com/article/3kVKRh

4

Duo 持续中断导致 Azure Auth 身份验证错误

思科旗下的多重身份验证 (MFA) 提供商 Duo Security 正在调查持续中断问题，该中断导致身份验证失败和错误。本次中断还导致多个 Duo 服务器出现核心身份验证服务问题，从而导致 Azure Auth 身份验证错误。

https://cloudsec.tencent.com/article/1BRKug

5

CNAPPgoat：用于部署多云环境下的开源风险靶场

CNAPPgoat 是一个开源项目，旨在在云环境中以模块化方式配置易受攻击的组件（目前支持 AWS、Azure 和 GCP）。

https://cloudsec.tencent.com/article/3o0Oeg

6

云安全联盟调查发现多云环境的复杂性推动了云原生应用程序保护平台的使用

本文为云安全联盟(CSA)发布的云原生应用程序保护平台（CNAPP）调查报告的介绍与梗概。

https://cloudsec.tencent.com/article/1rVVPb

7

如何使用Mantra在JS文件或Web页面中搜索泄漏的API密钥

Mantra是一款功能强大的API密钥扫描与提取工具，该工具基于Go语言开发，其主要目标就是帮助广大研究人员在JavaScript文件或HTML页面中搜索泄漏的API密钥。

https://cloudsec.tencent.com/article/rRwTC

8

朝鲜黑客被指发动大规模 npm 恶意包攻击

npm 注册表又成为另一起高度针对性攻击活动的目标，该攻击旨在诱骗开发人员下载恶意模块。

https://cloudsec.tencent.com/article/3ddHXm

9

Service Mesh未来发展趋势浅析

Gartner预测，截至2026年，将会有少于25%使用Kubernetes的组织会使用Service Mesh，本文从市场导向、架构设计、交付模式和用户使用四个方面对Service Mesh的市场发展趋势进行了分析。

https://cloudsec.tencent.com/article/3Ekdgd

10

攻击者在全球范围内进行大规模的网络钓鱼活动

本次大规模的攻击行动使用了800 多个不同的恶意域名，伪造了约 340 家全球知名企业的信息。这其中包括知名金融机构、邮政和快递服务以及社交媒体和电子商务平台。

https://cloudsec.tencent.com/article/1asZmn

11

服务网格中安全网关的探索实践

Istio 社区基于 Ingress Gateway 的使用案例中发现一个安全隐患，而且这类安全隐患并不只存在于 Istio，可能也存在于云原生诸多类似的场景中。本文将会进一步说明这个发现，并且给出问题的解决方法。

https://cloudsec.tencent.com/article/4yI50u

12

VED-eBPF：使用eBPF进行内核漏洞利用和Rootkit检测

VED（Vault Exploit Defense）-eBPF利用eBPF来实现Linux系统的运行时内核安全监控和漏洞检测。

https://cloudsec.tencent.com/article/1LIt50

点击阅读原文或访问

https://cloudsec.tencent.com/info/list.html

查看历史云安全资讯