每日安全简讯(20180401)

1 研究者发现新的安卓恶意挖矿代码HiddenMiner

安全厂商趋势科技的研究人员发现一种新的Android挖矿恶意软件HiddenMiner，可以暗中使用受感染设备的CPU 计算能力来窃取 Monero。HiddenMiner 的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能，大部分受害用户都位于中国和印度。


https://blog.trendmicro.com/tren ... use-device-failure/

---

2 Django应用程序误配置导致API密钥密码暴露

研究人员发现Django应用程序的错误配置，导致如API密钥、服务器密码或AWS访问令牌之类的敏感信息暴露。主要原因是应用程序开发人员忘记禁用了Django的调试模式。


https://www.bleepingcomputer.com ... database-passwords/

---

3 自动化公司罗克韦尔工控设备曝出了多项漏洞

安全厂商思科的研究团队Talos在罗克韦尔自动化公司的PLCs中发现了一些安全漏洞，可以被用来修改设备配置和梯形逻辑、将修改后的程序数据写入到设备的内存模块、从设备的内存模块中删除程序数据、以及对受影响的设备进行拒绝服务攻击等。


http://hackernews.cc/archives/22132

---

4 GitHub安全警告计划已检测出400多万个漏洞

Github 去年推出的安全警告，极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务，可以搜索依赖寻找已知漏洞然后通过开发者，以便帮助开发者尽可能快的打上补丁修复漏洞，消除有漏洞的依赖或者转到安全版本。


https://www.cnbeta.com/articles/soft/711873.htm

---

5 捷克将被指控入侵LinkedIn的黑客引渡到美国

据外媒CNET报道，一名俄罗斯男子被指控在2012年策划入侵LinkedIn、Dropbox和Springform系统，现在捷克决定将这名黑客引渡到美国。


https://www.cnbeta.com/articles/tech/712223.htm

---

6 欧盟委员会希望取消英国持有31.7万个.eu域名

欧盟委员会周三宣布，计划取消英国公民持有的大约317,000个.eu域名，并且包括居住在英国的欧盟公民也不得新注册或续签域名。


https://www.bleepingcomputer.com ... ins-owned-by-brits/

---