——更多安全资讯和情报，可关注微信公众号：安全帮——

1.PyPI 官方仓库遭request恶意包投毒，攻击行为严重威胁linux服务器安全

8月5日，腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request 钓鱼包，攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。当用户在安装requests包时，容易将名字打错为 request，结果会使用pip安装成request恶意包。由于requests库非常流行，下载量大，已有部分用户因错误输入包名而被感染。

参考来源：

https://guanjia.qq.com/news/n1/2583.html

2.男子当黑客致 40 多家网吧网络瘫痪

近日，山东济南的一名年轻男子三次购买网络攻击的工具，并利用其工具致 40 多家网吧网络瘫痪，频繁掉线，给网吧经营者带来了不小的损失。经警方询问，王某某此举竟只是为图好玩，看到别人断网就兴奋。目前，该男子因涉嫌破坏计算机信息系统罪，已经被采取了取保候审的强制措施。

参考来源：

https://www.ithome.com/0/502/341.htm

3.TeamViewer曝漏洞 浏览特定网页即可被无密码入侵

该漏洞编号为CVE-2020-13699，风险等级为8.8级高危，是典型的本地权限提升漏洞。在网页里使用一段不可见的iframe代码会启动TeamViewer Windows桌面客户端并迫使其打开远程SMB共享，也就是说攻击者无需知道TeamViewer的密码，该漏洞将自动把受害机的系统会话权限自动通过身份验证并获得权限。

参考来源：

https://dy.163.com/article/FJK0L7TF0511A5GF.html

4.HDL Automation中的错误使IoT设备暴露于远程劫持

安全研究人员在智能家居和建筑物的自动化系统中发现了漏洞，该漏洞允许接管属于其他用户的账户并控制关联设备。在应用程序上注册新账户时会自动生成另一个“调试”账户来设置应用，而更改密码时允许为“调试”账户定义新密码，攻击者可以注册“调试”用户名的邮件地址以接收有关更改密码的说明，以控制HDL自动化环境中的组件并进行配置。

参考来源：

https://www.bleepingcomputer.com/news/security/bugs-in-hdl-automation-expose-iot-devices-to-remote-hijacking/

5.江苏警方“净网2020”行动侦破涉网犯罪案件4752起

今年以来，江苏公安机关根据公安部“净网2020”专项行动部署要求，坚持深挖源头、系统治理，重点打击突出网络违法犯罪，重拳整治网络黑灰产业，迅速掀起了“净网”攻坚热潮，取得阶段性成效。截至6月底，全省公安机关共侦破涉网犯罪案件4752起，抓获犯罪嫌疑人1.2万余名，侦办的9起重大案件直接触发全国集群战役。

参考来源：

https://www.secrss.com/articles/24539

6.Reddit遭黑客攻击，发布支持特朗普连任信息

在过去的24小时内，多个Reddit子目录已被污损，此事件背后的攻击者发布了亲特朗普的消息，并更改了社区主题，以显示支持特朗普2020年竞选的内容。Reddit管理员敦促subreddit主持人对其帐户启用双因素身份验证（2FA）并更改其密码。据一位Reddit管理员说，此事件幕后使者在“过去24小时内”一直活跃。

参考来源：

https://www.bleepingcomputer.com/news/security/reddit-hit-by-coordinated-hack-promoting-trumps-reelection/

7.奔驰E系列惊现19个安全漏洞，目前已经修复

360旗下的Sky-Go汽车威胁研究团队于19年8月21日向梅赛德斯-奔驰报告了这些漏洞，并于8月26日部署了初步修复程序，而后，在前几天的美国黑帽子安全会议上公布了这些漏洞，并发表了详细研究结果的研究论文，但并未公开某些信息以保护戴姆勒的知识产权并防止恶意利用。虽然官方声称漏洞已修复，但至少影响了超过200万辆奔驰联网汽车。

参考来源：

https://baijiahao.baidu.com/s?id=1674332948143193248&wfr=spider&for=pc