==== 资安双周报 (240401) ====
初一十五除了呷菜喔外 也要关心一下安全圈的消息
- 社交工程 (Social Engineering) 的成功案例
- 缺钱吗?可以试着现实 bounty program
- 又一次 Supply-chain 攻击吗?
## CVE-2024-3094
三月份最热门的资讯安全消息 - CVE0-2024-3094。一个用年为单位的社交工程案例
有人整理的[图文记录][0] 从 2022 开始第一笔 commit 到 2024-03-09 上传最终恶意档案
花了两年的社交工程 让 xz 终于释出一个包含后门的版本
## 现实 bounty program
美国政府提供[1]最高奖金 $10m 悬赏七名中国人的资讯
据称这七名骇客攻击美国官员与批评中国的企业与政界人士
发动大范围的网络攻击
## PyPI 再次 (短时间) 暂时停止新开发者注册
PyPI 再次停止新开发者的注册[2] 来暂停恶意套件上传
常见的 Python 恶意套件透过错误的套件名称 让开发者下载恶意版本的套件
这次仅花费 10小时就恢复开放 (上次[] 花费 10天的时间修复)
透过拼音错误或者错误的套件名称 让开发者下载恶意套件
bs4[4] 就是 beautifulsoup4 用来避免开发者错误安装的 dummy package