台灣資安新聞彙整 2026.04.15-04.21
巨變時代,掌握資安資訊必不可少!HENNGE 為您彙整每週資安新聞,快速洞悉產業趨勢、資安新知!
4/14
Microsoft 修補 Android SDK 漏洞,防止雲端錢包密鑰遭重導
微軟研究人員揭露一個影響多個第三方 SDK 的意圖重定向(Intent Redirection)漏洞,導致數百萬名使用 Android 設備管理雲端加密貨幣錢包的用戶,其身分憑證可能被惡意 App 攔截。
Booking.com 外洩用戶訂房資料、個資
線上旅遊訂房平臺 Booking.com 證實部分訂房資料遭未授權存取,導致用戶個資外洩。外洩的資訊包括用戶姓名、電子郵件、住址、電話和任何「用戶分享給住宿機構的資訊」。為確保用戶資訊安全,該網站已經更新了預約的PIN碼。
https://www.ithome.com.tw/news/175032
攻擊者仿冒 Claude 下載網站散布遠端存取木馬 PlugX
資安廠商 Malwarebytes 研究人員發現,攻擊者結合釣魚與 DLL 側載技術,誘使用戶安裝帶有遠端存取木馬 PlugX 的假程式,甚至同時執行正版應用程式作為掩護,大幅提升隱蔽性。
https://www.ithome.com.tw/news/175039
4/15
針對 Okta 體系的語音網釣(Vishing)攻擊激增
研究機構 LevelBlue 警告,本週針對企業 IT 客服的語音網釣攻擊顯著增加。攻擊者冒充高階主管誘騙客服重設 MFA 驗證,進而透過 SSO 接管整個企業的 SharePoint、OneDrive 與 Google Workspace 數據。
https://www.scworld.com/news/vishing-attacks-on-okta-identity-systems-on-the-rise
n8n 自動化平台遭駭客濫用,成為釣魚攻擊與傳遞惡意軟體的新管道
駭客正利用 AI 自動化平台 n8n 的信任網域與 Webhook 功能,繞過安全過濾器發送釣魚郵件,藉此植入惡意軟體或進行設備追蹤。這種手法將合法的生產力工具轉化為攻擊管道,大幅增加了網路攻擊的隱蔽性與成功率。
https://thehackernews.com/2026/04/n8n-webhooks-abused-since-october-2025.html
4/17
Marimo 重大漏洞遭利用,駭客透過 Hugging Face 散布惡意軟體 NKAbuse
Python 資料分析工具 Marimo 重大漏洞 CVE-2026-39987 在開發團隊公布後,已出現攻擊行動,資安公司 Sysdig 警告,已有多組人馬加入利用的行列,其中一個是散布 DDoS 惡意軟體 NKAbuse。
https://www.ithome.com.tw/news/175134
4/20
Apple 帳號變更通知遭濫用,有攻擊者將其用於發送釣魚信件,原廠通知機制反成為攻擊管道
國外資安媒體 BleepingComputer 近日揭露,Apple 帳號變更通知被濫用於發送釣魚信件,在看似正常的原廠通知訊息挾帶釣魚詐騙訊息,攻擊者試圖藉此提高信件可信度,增加通過郵件驗證與過濾機制的機率。
https://www.ithome.com.tw/news/175178
歡迎分享出去!
訂閱電子報
我們將每週彙整台灣資安新聞,寄至您的信箱。
感謝您的訂閱!