——更多安全资讯和情报，可关注微信公众号：安全帮——

1.GitHub 在Standard Version中发现 RCE 漏洞

上周，GitHub 安全实验室的研究员在 StandardVersion中发现一个漏洞，可导致黑客在多个node.js仓库（包括遍布2万多个项目的流行的standard-version changelog 工具）中执行shell 命令。已公开的 PoC 显示，如果releaseCommitMessagForms 参数由受用户控制的输入提供，黑客能够操纵程序流，在应用服务器上运行任意 shell 命令。

参考来源：

https://mp.weixin.qq.com/s/yAh2UskjVZIGfj5rS9gLwg

2.代发工资公司后台密码“123456”，黑客狂喜转走730万

上个月，上海一家公司报案称其自主研发的“代付系统”遭到入侵，向公司银行账户发出汇款指令，先后向7个银行账户汇款共计730多万人民币。警方发现该公司虽然支付操作需要与手机号绑定接收验证码，但并没有采用“字母、数字、符号”组合的复杂密码，而是直接使用了默认的系统账号密码，经确认，共有国内外3个IP地址对“代付系统”进行过入侵。

参考来源：

https://mp.weixin.qq.com/s/2hy0SyjpsEEc3eq4OSKCbw

3.以色列供水系统再次遭遇网络攻击

今年4月，以色列供水系统遭遇网络攻击，黑客试图改变水氯含量，但所幸并未成功。水氯含量影响着人们的生命健康。然而，在6月份，黑客又对其发起了两起攻击事件。其中，一起攻击事件袭击了加利利河上游的农业用水泵，另一起则是攻击了中部省份马蒂耶胡达的水泵。以色列水务局称这是农业部门的两个小型污水处理设施，目前已恢复。

参考来源：

https://www.freebuf.com/news/244045.html

4.codecov-node 操作系统命令注入漏洞

codecov-node是一款测试覆盖率检测软件包。codecov-node(npm) 3.7.1之前版本中存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中，网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。漏洞编号CVE-2020-15123，危害等级为超危，目前厂商已发布升级补丁以修复漏洞。

参考来源：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1315

5.Cisco DuoConnect 安全漏洞

Cisco DuoConnect是美国思科（Cisco）公司的一套双因素身份验证解决方案。Cisco DuoConnect 1.1.1之前版本中存在安全漏洞（CVE-2020-3442，中危），该漏洞源于当DuoConnect配置成‘http：//’时，在某些情况下，程序会将身份验证令牌通过未加密的HTTP连接发送到Duo Network Gateway (DNG)实例中。攻击者可利用该漏洞绕过DNG服务器并获取网络访问权限。

参考来源：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1319

6.1.8万计算机被感染，REVil勒索软件要价750万美元

近日，阿根廷电信公司遭到REVil勒索软件攻击，短短一个周末，就造成约1.8万台计算机被感染 。攻击者一开始通过私密手段获得对公司网络的访问权限，然后控制公司内部Domain Admin系统，并使用该访问权限感染上万台计算机。截至目前，阿根廷电信运营的许多网站都因为此次勒索攻击事件而导致脱机。

参考来源：

https://www.freebuf.com/news/244051.html

7.Coinbase 阻止超过1000名用户为黑客转账BTC，减少28万美元损失

在上周 Twitter 被黑客攻击中，加密货币交易所 Coinbase 阻止了超过 1100 名用户将超过 30.4 枚 BTC 发送给黑客的比特币地址，减少了 28 万美元的损失。Coinbase 首席信息官 Philip Martin 表示在 Gemini 和 Binance 发出推特后约一分钟就关注到了，但在 Coinbase 将黑客地址放入黑名单之前，有大约 14 名用户发送了价值约 3000 美元的比特币给黑客地址。

参考来源：

https://www.solidot.org/story?sid=65001