4 月 27 日,据彭博社报道,中国台湾地区法院周一裁定,台积电前工程师陈力铭因窃取台积电专有数据被判 10 年有期徒刑。 据台媒报道,中国台湾地区知识产权和商业法院周一对台积电“内鬼案”作出一审判决,案件涉及四名台积电前员工、现职员工,以及日本东京威力科创公司和该公司的一名女主管。 主犯、台积电前工程师陈力铭被判处 10 年有期徒刑;共犯吴秉骏、弋一平、陈韦杰分别被判 3 年、2 年、6 年有期徒刑。东京威力科创女主管卢怡尹被判 10 个月有期徒刑,缓刑 3 年。东京威力科创公司被判处罚金 1.5 亿元新台币。本案可上诉。 台媒称,曾任台积电 12 厂良率部门的陈力铭,离职后入职台积电半导体设备供应商东京威力科创的市场营销部门。自 2023 年中旬起,他利用在台积电工作期间与同事建立的情谊,联系吴秉骏、弋一平及一名廖姓男子,在餐厅或家中,要求他们协助远程登入台积电数据库,再通过手机翻拍屏幕,获取了十多张涉及关键核心技术的营业秘密文件。 此外,陈力铭还涉嫌联络陈韦杰,协助提供涉及“14 纳米以下制程的 IC 制造技术及其关键气体、化学品及设备技术”等营业秘密资料。 截至发稿,东京威力科创发言人尚未就此置评。
IT之家 4 月 24 日消息,科技媒体 bleepingcomputer 昨日(4 月 23 日)发布博文, 报道称 Bitwarden CLI 的 npm 包遭供应链攻击,恶意版本 2026.4.0 被用于窃取开发者 npm 令牌、SSH 密钥及云凭证等。 IT之家注:供应链攻击是一种针对软件开发流程的网络攻击方式。攻击者通过入侵代码仓库、构建工具或依赖包,在合法软件的分发环节植入恶意代码,从而绕过终端防御,直接感染下游用户或开发者。 本次攻击于美国东部时间 2026 年 4 月 22 日 17 点 57 分(北京时间 23 日 5 点 57 分)开始,持续约 1 个半小时,相关恶意包在美国东部时间 22 日 19 点 30 分删除。 技术分析显示,恶意包通过 bw_setup.js 加载器检测,并利用 Bun Runtime 执行 bw1.js 脚本,该脚本旨在窃取 npm 令牌、GitHub 认证令牌、SSH 密钥及 AWS、Azure 等云服务凭证。 恶意软件还具备自传播功能,能利用窃取的凭证扫描并感染受害者可修改的其他包,扩大攻击范围。窃取的数据经 AES-256-GCM 加密后,被上传至包含“Shai-Hulud”标记的受害者公开 GitHub 仓库。 此次攻击被安全机构归因于威胁行为者 TeamPCP,其利用与 Checkmarx 事件关联的受损工具,滥用 npm 分发路径注入恶意代码。 Bitwarden 声明用户保险库数据未受影响,已撤销受损权限并弃用恶意版本。 安全机构强烈建议受影响开发者立即轮换 CI / CD 流水线及云环境凭证。 Bitwarden 是一款开源、免费且安全的跨平台密码管理器,旨在帮助用户存储、生成和管理复杂的账户密码。它可以在加密的“数字保管库”中安全存储登录信息、信用卡号等隐私数据,支持自动填充,支持主流浏览器和移动设备。
IT之家 4 月 23 日消息,腾讯云今日发布 Xinference 供应链投毒风险通告。 腾讯云安全中心监测到,Xinference 被披露其存在供应链投毒风险。可导致攻击者在用户安装或导入受影响版本的包时,窃取云凭证、API 密钥、SSH 密钥、加密钱包、数据库凭据及环境变量等高度敏感信息,并发送至远程命令与控制(C2)服务器。 风险详情 Xorbits Inference(IT之家注:Xinference)是一个 AI 模型部署工具,让用户可以用最简单的方式运行和管理各种 AI 模型,适用于研究、开发和实际应用。 据描述,在 PyPI 仓库的 Xinference 包 2.6.0、2.6.1 及 2.6.2 版本中,由于攻击者通过入侵合法贡献者的账户(或利用自动化机器人),在项目的 __init__.py 初始化文件中植入了经过多层混淆(Base64 编码)的恶意载荷。当开发者安装受影响的包或在代码中执行 import xinference 时,该恶意代码会自动解码并在内存中执行。该恶意软件会遍历系统以收集 AWS / GCP 云服务凭证、Kubernetes 令牌、SSH 密钥、多种加密货币钱包文件、SQL / Redis / MongoDB 等数据库连接字符串、Shell 历史记录及系统环境变量,随后将这些窃取的数据打包并回传至预先设定的 C2 服务器域名 whereisitat [.]lucyatemysuperbox [.]space。 风险等级 高风险 影响版本 Xinference = 2.6.0 Xinference = 2.6.1 Xinference = 2.6.2 安全版本 Xinference <= 2.5.0 排查方法 1. 检查受影响的软件版本 pip show xinference | grep Version 判断标准:如果输出的版本号是 2.6.0 或 2.6.1 或 2.6.2,则表示您已安装了恶意软件包,系统应被视为已被入侵。 2. 检查网络指示器 命令与控制 (C2) 服务器:https://whereisitat [.]lucyatemysuperbox [.]space/ 3. 敏感信息泄露排查 检查云凭证文件:查看云凭证文件的修改时间和内容是否异常。 检查 SSH 密钥:查看 ~/.ssh/ id_rsa 和 ~/.ssh/ authorized_keys 是否有未授权的修改。 检查 Shell 历史:执行 history 或查看 ~/.bash_history、~/.zsh_history,排查是否有异常的 curl、wget、base64 编码命令。 检查环境变量:执行 env,确认敏感变量(AWS_SECRET_KEY、DB_PASSWORD)是否被打印或记录。 4. 云环境专项排查 K8s 审计:检查 kube-system 命名空间下的 Secret 是否被异常挂载或读取。 CI / CD 日志:审查 GitHub Actions、GitLab CI、Jenkins 的构建日志,确认是否在构建过程中意外泄露了凭证。 修复建议 1. 立即隔离与清除 卸载恶意版本:立即执行 pip uninstall xinference,确保删除 2.6.0-2.6.2 版本。 降级至安全版本:若需继续使用,执行 pip install xinference==2.5.0 降级至已知安全版本。 扫描残留后门:检查项目目录及 site-packages 下是否存在可疑的加密后门文件或异常缓存 (__pycache__)。 2. 核心凭证与密钥轮换 云服务凭证:立即轮换 AWS、GCP、腾讯云、阿里云等所有环境的访问密钥和 Secret Key。 仓库与 API 密钥:轮换 GitHub、GitLab、Slack、Discord、Docker Hub 等平台的 Token 或 Webhook。 数据库密码:修改所有被读取的 SQL、Redis、MongoDB、LDAP 服务密码。 加密货币钱包:立即转移受影响服务器上的所有热钱包资产。 SSH 密钥:删除受信列表中的旧公钥,重新生成新的 SSH 密钥对并替换。 3. 全面安全审计 审计 IAM 角色:检查云环境(AWS IAM、GCP Service Account)是否新增了可疑角色或权限变更。 审计操作日志:排查 CloudTrail、Cloud Audit Logs 是否存在异常 API 调用(特别是 GetSecretValue、iam:CreateAccessKey 等)。 检查计划任务 / Cron:查看系统是否存在攻击者添加的持久化定时任务。 4. 内部排查与响应 阻断 C2 通信:在防火墙或 EDR 层面封禁域名 whereisitat [.]lucyatemysuperbox [.]space 及其解析 IP。 排查横向移动:检查受感染主机是否有异常的内网扫描或 SSH 连接记录。