全部文章分享

MOVEit Transfer 漏洞導致多間英國企業遭入侵

利用企業電子郵件詐騙數量大幅上升

         本文擷取自資安人

 Sophos發現多個 App 假扮成合法的 ChatGPT 型聊天機器人並向用戶收取費用，每月賺取數千美元的收入。Sophos X-Ops 最新報告《騙錢軟體鎖定對 AI 好奇的用戶並賺取現金》中揭露，這些 App 已經出現在 Google Play 和 Apple App Store 中。由於它們的免費版本幾乎沒有功能且經常出現廣告，促使毫不知情的用戶支付每年可能達數百美元的訂閱費用。

Sophos 首席威脅研究員 Sean Gallagher 表示：「詐騙集團總是利用最新的趨勢或技術來填滿自己的口袋，ChatGPT 出現後也不例外。隨著近來人們對人工智慧和聊天機器人的興趣達到歷史高峰，使用者會到 Apple 應用商店和 Google Play 商店下載任何看起來像是 ChatGPT 的東西。這些被 Sophos 稱為騙錢軟體 (fleeceware) 的詐騙 App 通常會向使用者不斷地投放廣告，直到他們訂閱為止。詐騙分子賭使用者不會注意到費用，或是會忘記自己已經訂閱了這個服務。這些 App 被特意設計成在免費試用後就沒有太多實用價值，所以使用者會刪除它們，但不會意識到他們仍需支付每月或每週的費用。」

Sophos X-Ops 總共調查了五個這種類型的 ChatGPT fleeceware App，它們都聲稱使用了 ChatGPT 的演算法。就像其中一支「Chat GBT」App 一樣，開發者利用神似 ChatGPT 的名字來提高該 App 在 Google Play 或 App Store 中的排名。儘管 OpenAI 為使用者提供的 ChatGPT 基本功能是免費的，但這些騙錢軟體的收費卻是從每月 10 美元到每年 70 美元不等。「Chat GBT」的 iOS 版本稱為「Ask AI Assistant」，在免費試用三天後每週收費 6 美元，亦即每年 312 美元。僅在 3 月這一個月，它就為開發者帶來了 1 萬美元的收入。另一支類似 fleeceware 的 App 名為「Genie」，鼓勵使用者以每週 7 美元或每年 70 美元的費用訂閱，過去一個月已經賺了 100 萬美元。

這些騙錢軟體的主要特徵是用超高價格向使用者收取在其他地方免費提供的功能，並用社交工程和強制策略說服使用者使用自動訂閱付款。Sophos 在 2019 年首次發現了這種騙錢軟體。通常，這些 App 會提供免費試用但是充滿廣告和許多限制。除非付費訂閱，否則它們幾乎無法使用。此外這些 App 程式通常品質不佳，即使使用者轉換成付費版本後，App 的功能也不夠理想。詐騙分子還會透過假評論和要求使用者在使用之前或免費試用結束之前就給出評價，以提高該 App 在應用程式商店中的評等。

Gallagher 說：「這些騙錢軟體被設計成在 Google 和 Apple 服務規範的邊緣地帶遊走，它們不會違反安全或隱私規則，因此在接受審查時幾乎不會被拒絕。自從我們在 2019 年揭露此類應用程式以來，Google 和 Apple 已經實施了新的指導方針來遏制它們，但開發者仍會尋找繞過這些政策的方法，例如嚴格限制應用程式的使用和功能，直到用戶付款。雖然本報告中的某些 ChatGPT 騙錢軟體已經被下架，但仍會更多後繼者繼續出現。最好的保護是教育使用者。使用者需要意識到這些應用程式的存在，並在按下『訂閱』前要仔細閱讀條款。如果使用者認為開發人員使用不道德的手段謀取利益，他們也可以向 Apple 和 Google 舉報應用程式。」

報告中提到的所有應用程式都已經回報給 Apple 和 Google。已經下載這些應用程式的用戶應該遵循 App Store 或 Google Play 商店的指引來「取消訂閱」。單是刪除這些騙錢軟體並不等於取消訂閱。

         本文擷取自資安人

Check Point® Software Technologies Ltd. 的威脅情報部門 Check Point Research 指出今年第一季全球每週攻擊次數年增率為 7%，各組織平均每週遭受 1,248 次攻擊；台灣受攻擊次數為全球 2.6 倍，居各國之首，各組織每週遭受 3,250 次攻擊，年增率 24%。
 
雖然全球網路攻擊次數增幅不大，但 Check Point 近期不僅發現了迄今最快的加密勒索軟體，顯示出網路犯罪猖獗；更觀察到駭客攻擊手法日趨複雜，開始利用合法工具進行非法牟利。例如技術不純熟的網路犯罪份子也能透過 ChatGPT 生成程式碼，將木馬植入 3CX 電腦版應用程式中發動供應鏈攻擊，並濫用微軟安裝訊息佇列（Microsoft Message Queuing，MSMQ）中的重大 RCE 漏洞。
 
Check Point 建議資安長應時時保持警覺，專注於制定和推行可以消除所有盲點和漏洞的資安策略，建議採用整合式解決方案提供端到端的預防性控制，抵禦新一代資安攻擊。無論是影子 IT（Shadow IT）的開發環境、遠端存取或電子郵件都可能成為破口，資安長須留意組織內是否採取適當的網路分段（Segmentation），以防止攻擊擴散、縮小影響範圍；同時應考量組織是否具備資安事故應變能力，減少服務中斷的時間並加快復原速度。
各產業受攻擊情況
教育與研究機構為 2023 年第一季的攻擊重災區，各組織每週平均遭受 2,507 次攻擊，年增率 15%，因許多機構在轉為線上學習後仍無力確保其擴充網路架構及存取點的安全。政府和軍事機構則為第二大攻擊目標，每週平均遭受 1,725 次攻擊，年增率 3%。醫療保健機構受攻擊次數也顯著增加，每週平均遭受 1,684 次攻擊，年增率 22%；零售業的增幅最大，每週平均遭受 1,079 次攻擊，年增率高達 49%。
                                          

五大網路安全建議


即時安裝修補程式：為降低組織受勒索軟體攻擊的可能性，務必確保電腦及伺服器維持在最新狀態並及修補，尤其是被標記為重要的修補程式。 
 
資安意識培訓：經常實行資安意識培訓對防護組織免遭勒索軟體攻擊十分重要，務必提醒員工注意以下項目：

切勿點擊惡意連結
切勿打開陌生或不受信任的附件
避免將個人或敏感資料透露給網路釣魚者
在下載前驗證軟體的合法性
切勿將未知 USB 安裝於電腦上 
 


加強威脅防護：因大多數的勒索軟體攻擊都可即時被偵測並解決，建議組織部署自動化威脅檢測和防禦措施，強化安全防護。 
 
即時更新軟體：勒索軟體攻擊者有時會利用應用程式和軟體中的漏洞發動攻擊，組織必須制定修補程式管理策略，確保所有團隊成員即時更新至最新版本的軟體以採用相關修補程式。 
 
預防優於檢測：許多人聲稱網路攻擊在所難免，唯一解決之道是進行技術投資，以便在網路遭駭後能及早檢測降低損失。然而，其實組織不僅可以攔截攻擊，也能夠預先防範零日攻擊和未知惡意軟體等；採用合適技術可以協助企業在不中斷業務的情況下，防範大多數、甚至是最複雜的攻擊。

         本文擷取自資安人

Sophos X-Ops 追蹤了東南亞地區線上博弈玩家遭受的多起攻擊。發動該攻擊的駭客組織被稱為「Dragon Breath」、「APT-Q-27」或「Golden Eye Dog」。他們欺騙玩家下載 Telegram、Let's VPN 和 WhatsApp 的惡意安裝程式。最終，他們會植入一個後門程式，可以竊取受害者加密貨幣錢包中的加密貨幣。

為了成功從受害者竊取財物，這個駭客組織使用了一種新穎的技術，稱為「雙重」DLL 側載 (sideloading)。初始的安裝程式會先側載一個無害的應用程式，這個應用程式又會預載另一個無害的應用程式。然後，這第二個無害的應用程式會再次側載惡意載入器的 DLL，最終安裝有害的後門程式。這種多層式的 DLL 側載使惡意活動更難以被發現。

到目前為止，Sophos已經在菲律賓、日本、台灣、新加坡、香港和中國都發現了受害者。Sophos X-Ops 將繼續追蹤這個惡意活動。

Sophos 威脅研究總監 Gabor Szappanos 表示：「自 2022 年 8 月以來，我們一直在追蹤這些鎖定東南亞六個國家的中文線上博弈社群的攻擊。雖然針對這個社群的攻擊並非罕見，但是我們過去沒有見過這種將另一個無害應用程式新增到原有無害應用程式中，以進一步混淆惡意 DLL 側載的特殊技術。DLL 側載長期以來一直是這個地區一些最先進的攻擊者喜歡使用的方法，我們觀察到他們不僅繼續使用這種方法，而且在外部改進它。同時需要注意的是，這些攻擊組織 (無論是有意還是無意地) 會彼此分享攻擊手法。針對線上博弈這個社群的攻擊方法通常是低調進行的，但是由於同儕意識，其他組織可能會採用和修改這種方法，並以完全不同的目的和受害者目標為目標。 」

       本文擷取自資安人

Check Point® Software Technologies Ltd.的威脅情報部門 Check Point Research 發佈《2023 年第一季品牌網路釣魚報告》，列出今年第一季網路犯罪者企圖竊取個人資料或付款資訊時最常冒充的品牌。跨國零售巨頭沃爾瑪（Walmart）（16%）從去年底的第 13 名躍升至本季榜首，因先前曾遭假冒發動網路釣魚攻擊，誘騙受害者點擊與「供應系統崩潰」相關的惡意連結；緊接在後的分別是 DHL（13%）及微軟（Microsoft）（12%）。就整體產業來觀察，科技業最常被冒充，其次為運輸和零售業。
 
此外，報告中特別提及攻擊者會利用金融組織竊取帳戶資料，排名第 8 的瑞福森銀行（Raiffeisen Bank）於本季首次上榜。在假冒為瑞福森銀行的釣魚攻擊中，攻擊者會企圖引誘收件人點擊惡意連結，以確保帳戶免於詐騙活動侵害，而受害者的個人資料在點擊後會旋即落入攻擊者手中。
 
Check Point Software 數據研究經理 Omer Dembinsky 表示：「犯罪集團希望透過這些網絡釣魚攻擊誘騙更多人洩漏個人資料。在某些情況下攻擊者是想取得帳戶資訊，就如同瑞福森銀行所遭遇的事件；而另一種攻擊目的則是竊取付款資料，例如冒充熱門串流平台 Netflix 所發動的釣魚攻擊。然而，防範網路釣魚攻擊的最佳方式仍是增進相關知識；企業應為員工提供適當培訓，讓他們有能力辨別可疑跡象，例如拼錯的網域、錯別字、錯誤日期及其他透露出其為惡意電子郵件或連結的細節。」
 
在品牌網路釣魚攻擊中，犯罪分子會試圖使用與真實網站相似的網域名稱或 URL 以及網頁設計，來模仿知名品牌的官方網站。導向詐騙網頁的連結可透過電子郵件或簡訊發送給目標對象，並在瀏覽網頁期間被重新導向，也可能經由詐騙應用程式觸發；其中，詐騙網站通常會設計一個用於竊取用戶憑證、付款明細或其他個人資料的表單。
 
2023 年第一季最常被用於網路釣魚攻擊的品牌
全球所有網路釣魚攻擊的品牌出現率排名如下：


沃爾瑪（16%）
DHL（13%）
微軟（12%）
LinkedIn（6%）
FedEx（4.9%）
Google（4.8%）
Netflix（4%）
瑞福森銀行（3.6%）
PayPal（3.5%） 

瑞福森銀行網路釣魚電子郵件—帳戶竊取範例


以下範例為攻擊者試圖透過網路釣魚郵件竊取用戶的瑞福森銀行帳戶資料。信件的寄件人名稱雖為「Raiffeisen」，但 Webmail 位址為「support@raiffeisen-info[.]com」；主旨則是以羅馬尼亞文撰寫「尚未啟用新的 SmartToken 服務」，信件內容則提到受害者須啟用 SmartToken 服務確保帳戶免於詐騙活動侵害，並附上一個引誘受害者點擊的惡意連結「https://urlz[.]fr/kxnx」，企圖竊取其帳戶。




主旨為 「尚未啟用新的 SmartToken 服務」惡意電子郵件


Netflix 網路釣魚詐騙—企圖竊取付款資訊


在 2023 年第一季 Check Point 曾發現一封冒充 Netflix 的惡意網路釣魚電子郵件。這封看似來自「Netflix」的電子郵件，實際上來自一個 Webmail 地址「support@bryanadamstribute[.]dk」；其主旨為「請更新—帳戶暫停服務」，信中聲稱收件人的 Netflix 帳戶因次期帳單未授權已暫停服務，並提供一個續訂連結要求受害者輸入付款資訊，但該連結卻將使用者導向惡意網站「https://oinstitutoisis[.]com/update/login/」，企圖竊取其付款資訊。

資安專家示警：Windows 系統管理者應立即修補嚴重的 MSMQ QueueJumper 漏洞

         本文擷取自資安人

根據最新公佈的分析報告，2022年釣魚郵件的發送量驚人地增長了569%。

Cofense 研究人員使用人工和機器學習分析篩選了來自 3500 萬用戶的全球數據資料後，發布了最新的《電子郵件安全狀態報告》，顯示2022年釣魚郵件的驚人增長。

該電子郵件安全報告揭示了五個具體的趨勢：

憑證釣魚郵件數量激增了478％；
Emotet和QakBot是觀察到的頭號惡意軟體家族；
商業電子郵件犯罪（BEC）連續第八年排名第一；
Web3的使用率增加341％；
在資料外洩方面，Telegram機器人使用增加800％。

Cofense資安長 Tonia Dudley在談到電子郵件安全報告時表示：「網路安全形勢在不斷變化，因此及時掌握最新的趨勢和策略至關重要。國家級攻擊和整體重大事件的增加，持續對董事會、企業高管和資安保險公司等施加壓力，以推動組織的安全計劃的可視度。」

             本文擷取自資安人

Sophos發布《2023 年網路安全現況：攻擊者對防禦者造成的業務影響》調查報告，揭露亞太地區和日本的 93% 組織執行一些重要的安全性作業 (如威脅捕獵) 時遇到難題。問題包含理解攻擊是如何發生的，其中 76% 的受訪者表示他們很難找出事件背後的根本原因。在這種情況下，組織可能會難以進行適當的修復，容易受到相同或不同攻擊者的重複和/或多重攻擊，特別是當有 71% 的受訪者回報表示他們無法及時進行修復時。

此外，74% 的受訪者表示他們無法找出哪些訊號/警示需要調查，71% 的受訪者回報他們不知道如何安排調查的優先順序。

Sophos 商業現場技術長 John Shier 表示：「全球只有五分之一的受訪者認為漏洞和遠端服務是 2023 年最重要的網路安全風險，但在現實上，這些風險經常被主動的攻擊者所利用。這一連串作業上的問題，代表這些組織無法看到全貌，並可能根據不正確的資訊採取行動。沒有比過度自信地犯錯更糟糕的了。進行外部稽核和監控有助於消除盲點。我們可以像攻擊者一樣檢視您的系統。」

其他發現還包括：

50% 的受訪組織表示，現在的網路威脅對他們來說太先進了，無法單獨應對
63% 的受訪組織希望 IT 團隊可以花更多時間處理戰略性的問題而非回應威脅，55% 的受訪者表示，對付網路威脅的時間已經影響了 IT 團隊在其他專案上的工作
雖然 94% 的受訪者表示他們正在與外部專家合作來擴大作業範圍，但大多數仍然會參與威脅管理，而非全面採取委外的方法

Shier 表示：「當今的威脅需要及時和協調的回應。不幸的是，太多組織都只能採取被動的守勢。這不僅會影響組織的核心業務，還對人員造成了巨大的影響。全球超過一半的受訪者表示，網路攻擊讓他們輾轉難眠。免除猜測，並根據可操作的情報採取防禦性控制，可以讓 IT 團隊將重心放在推動業務上，而不是試圖撲滅永無止盡的主動式攻擊。」

      本文擷取自iThome

Sophos 是創新和提供網路安全即服務的全球領導者，今天發布一份網路安全業界如何利用 GPT-3 (即眾所周知的 ChatGPT 架構背後的語言模型) 當作輔助來協助擊敗攻擊者的最新研究。最新報告「適用於你我的 GPT：在網路防禦中使用 AI 語言處理」詳細介紹了 Sophos X-Ops 開發的幾個專案，他們使用 GPT-3 的大型語言模型簡化在安全軟體的資料集中搜尋惡意活動，更準確地過濾垃圾郵件，並加快了對「就地取材」(LOLBin) 攻擊的分析。
Sophos 首席威脅研究員 Sean Gallagher 表示：「自從 OpenAI 在去年 11 月推出 ChatGPT 以來，安全社群關注重點都是在這項新技術是否會帶來潛在的風險。人工智慧能否幫助潛在的攻擊者編寫惡意軟體，或是幫網路犯罪分子寫出更具說服力的網路釣魚電子郵件？或許是吧，但是 Sophos 長期以來一直將 AI 視為防禦人員的盟友，而不是敵人，我們將 AI 視為 Sophos 的基礎技術，就連 GPT-3 也不例外。安全社群不僅應該注意潛在風險，還應該關心 GPT-3 帶來的無窮機會。」

Sophos X-Ops 研究人員，包括 SophosAI 首席資料科學家 Younghoo Lee 等，一直致力於三個原型專案，用於展示將 GPT-3 當作網路安全防禦人員助手的潛力。這三者都使用一種稱為「小樣本學習」的技術，只用少量資料樣本來訓練 AI 模型，減少必須收集大量預分類資料的需要。

Sophos 使用少樣本學習方法測試的第一個應用是自然語言查詢介面，用於篩選安全軟體遙測中的惡意活動，特別是在 Sophos 旗下端點偵測和回應產品中測試了這個模型。透過這個介面，防禦人員可以使用基本的英文命令過濾遙測數據，而無需了解 SQL 或資料庫的底層結構。

接下來，Sophos 使用 ChatGPT 測試了一個新的垃圾郵件篩選器，並發現與其他用於垃圾郵件篩選的機器學習模型相比，使用 GPT-3 的篩選器明顯更準確。最後，Sophos 研究人員開發了一個程式來簡化對 LOLBins 命令列進行逆向工程的程序。這種逆向工程是出了名的困難，但對於理解 LOLBins 的行為以及在未來如何阻止此類攻擊非常重要。

Gallagher 補充說：「安全營運中心越來越關注的問題之一是傳入的『雜訊』太多。需要整理的通知和偵測結果太多，但許多公司卻都只有有限的資源。我們已經證明，透過 GPT-3 之類的技術，我們可以簡化某些勞力密集型的程序，將寶貴的時間歸還給防禦人員。我們已經將上述一些原型整合到我們的產品中，並且在 GitHub 上為那些有興趣在自己的分析環境中測試 GPT-3 的人提供了我們的研究成果。未來，我們相信 GPT-3 很可能成為安全專家的標準副駕駛。」

到 Sophos.com 取得「適用於你我的 GPT：在網路防禦中使用 AI 語言處理」報告，了解更多 GPT-3 將如何協助防禦人員的詳細資訊。
 

         本文擷取自資安人

根據 Check Point Software《2023 年網路安全報告》，規模更小且靈活的駭客和勒索軟體團體正鎖定混合辦公環境下的合法協作工具；從新型變異勒索軟體的興起，到東歐與中東衝突地區蔓延的駭客激進主義。2023 年企業須審慎防範的三大網路威脅為：

駭客激進主義：由國家支持的網路攻擊行動可匿名又免於罰則，導致此類行動和駭客主義間的界限逐漸模糊；非附屬於國家的駭客組織也更具組織規模，攻擊效率也更高。 
 
勒索軟體：勒索軟體的攻擊行動變得更加難以追蹤和究責，依賴偵測加密行動的現有保護機制恐日漸失效；未來企業應該專注偵測資料清除和外洩。

尤其Check Point Software提醒發生在台灣的勒索攻擊事件高於全球平均四倍。就行業而言，Check Point Software 台灣區總經理劉基章點名醫療行業須留意，「全球平均來看，駭客對醫療行業的攻擊價值比其他行業高三倍。」 
 
雲端上的第三方風險：各組織於 2022 年受雲端網路攻擊的次數遽增，年增率達 48%。攻擊者轉向掃描雲端服務供應商的 IP 位址範圍，顯示出其對存取機密資訊和重要服務的濃厚興趣。 

劉基章表示，近六個月來台灣企業或組織每周平均被攻擊3205次，高於全球平均次數1181次
。大多數攻擊都是從EMAIL郵件夾帶惡意檔案開始。惡意檔案的三大類型是Banking Trojan (Danabot)、RAT(AgentTesla)木馬病毒、Botnet(Danabot)殭屍病毒。演變至今，有高達48%的惡意檔案是以微軟office檔案佯裝，如: .xls, .docx, . pptx.. 檔等。
 
因此Check Point Software提醒企業資安長在未來一年應更重視防範措施，包括降低複雜性彌補網路技能落差、限制雲端配置錯誤衍伸的成本，善用自動化和人工智慧檢測人眼未能及時發現的網路風險。
 
Check Point Software 大中華區董事總經理何偉國指出：「2023 將成為新 AI 元年，蓬勃發展的生成式 AI 雖降低了打造惡意程式的門檻，但如何發揮 AI 的潛力卻更為關鍵，企業可善用此技術打擊愈加複雜的網路攻擊。」



 Check Point Software 台灣區技術總監傅國書(左)、Check Point Software 大中華區董事總經理何偉國(中)、Check Point Software 台灣區總經理劉基章右)


Check Point 3C絕佳防護理念
Check Point Software Technologies Ltd. 今年適逢公司創立 30 週年，推3C絕佳防護理念（3Cs of Best Security），協助企業加強資安防禦。3C指的是更全面（Comprehensive）、更整合（Consolidated）且更協作式（Collaborative）的解決方案理念。新產品包含：


Check Point Quantum SD-WAN
10,000 個以上的應用程式和用戶優化路由，實現次秒級容錯移轉（failover），解決連網不穩定的問題、確保網路會議不中斷。全新擴增功能為用戶和企業各據點提供一致的安全性和連接性；結合 Quantum SD-WAN 和 Harmony Connect（SSE）打造一套由 Check Point Infinity 雲端平台管理的 SASE 解決方案。 

Check Point Horizon XDR/XPR
透過智慧資料關聯分析（correlation）阻止來自電子郵件、雲端、網路和端點等管道的攻擊手法；即時執行全面的資安資產威脅防禦，快速識別看似無害的事件並找出其關聯性以發現網路攻擊。Check Point Horizon XDR/XPR 不僅能夠立即採取阻止和結束程序、隔離資產和資料夾等防禦措施，還可整合 Check Point 和第三方資安產品；持續從危害指標（IOC）、全球威脅情勢、Check Point 研究及第三方情報等多個資料集中獲取資訊，透過威脅情資和事件關聯分析持續改善資安態勢。 
 
Check Point Infinity Spark
高達 99.7% 的防禦捕獲率可替中小企業提供AI 安全防護和整合式連接能力，跨網路、電子郵件、辦公室、端點及移動設備提供企業級安全防護，保護中小企業免受網路釣魚、勒索軟體、憑證盜竊及網域名稱系統（DNS）攻擊。
 



AI資安木馬SD-WAN

        本文擷取自資安人

資安廠商 CheckPoint 旗下的資安研究人員，近日發現一組共 16 個冒充為網路速度測試工具的 NPM 程式套件，表面上無害，但實際上會盜用受害電腦的資源，為駭侵者挖掘加密貨幣。

NPM 是網路上著名的開源 JavaScript 程式庫，內含 220 萬種以上的開源 JavaScript 程式套件，提供開發人員自由使用，以加速程式開發的速度。

CheckPoint 是在 2023 年 1 月 17 日時發現這些惡意程式套件，全都由一個用戶名稱為「trendava」的 NPM 帳號上傳到 NPM 程式庫中；該公司立即通報 NPM，NPM 則在隔日將這 16 個惡意程式套件下架。

這 16 個惡意 NPM 程式套件，名稱大多和網路速度測試有關，列表如下：

lagra
speedtesta
speedtestbom
speedtestfast
speedtestgo
speedtestgod
speedtestis
speedtestkas
speedtesto
speedtestrun
speedtestsolo
speedtestspa
speedtestwow
speedtestzo
trova
trovam

CheckPoint 指出，這 16 個惡意軟體，雖然目的都是挖掘加密貨幣，但每個套件中惡意程式碼使用的手法都略有不同。CheckPoint 認為，駭侵者可能是要藉以觀察哪種方式比較不容易遭到防毒防駭機制發覺阻擋。

鑑於這類開放程式庫中經常混入駭侵者上傳的惡意套件，建議程式開發者在利用這些方便的套件前，必須先仔細檢視其 source code，以辨識其中是否夾帶惡意程式碼。