2025年資安風雲變色，從中國國家級APT「Salt Typhoon」持續滲透電信，到React2Shell零日漏洞重現Log4Shell噩夢，再到自傳播蠕蟲Shai-Hulud污染開源供應鏈，威脅層出不窮。Dark Reading年度回顧點出五大定義性事件：Salt Typhoon長期潛伏、美國CISA裁員衝擊、React2Shell大爆發、Shai-Hulud開啟自複製惡意軟體時代，以及Salesforce客戶連環遭攻。對台灣而言，作為亞太數位樞紐，電信、雲端與開源高度依賴，此波威脅不僅回響Log4Shell陰影，更凸顯地緣與供應鏈風險。資安專家呼籲企業與政府2026年強化邊界防護與國際合作，防範從國家級間諜到零日連環爆的複合危機。

 

2025年雖有正面進展，如勒索軟體支付率下降與國際刑警多國聯手緝捕，但五大威脅仍主宰版面。CrowdStrike對手情報主管Adam Meyers指出，中國相關APT如Operator Panda演進為跨域持久操作，借路由器、VPN與邊界設備漏洞長期潛伏。台灣電信市佔全球前段，Salt Typhoon若擴及本地業者，恐斷絕軍民通訊與個資外洩，國安層級警報。

 

首先，Salt Typhoon延續攻勢。該中國國家級集團自2024年底入侵美國電信巨頭如Verizon、AT&T，竊聽警方授權監聽系統；2025年7月曝光入侵美國國民衛隊近一年，Viasat等衛星通訊亦中招。Meyers分析，其依賴邊界設備漏洞，無EDR保護且修補滯後。台灣電信業者如中華電信、台灣大哥大廣用類似設備，若遭潛伏，恐成兩岸衝突斷鏈弱點。資策會資安中心估計，2025年國家級APT事件漲20%，多瞄準電信與能源。

 

其次，美國CISA裁員與預算削減，間接成全球資安威脅。川普第二任上台，承諾瘦身政府，CSRB（網路安全審查委員會）全數裁撤，正調查Salt Typhoon時解散；CISA全年面臨裁員與預算砍，部分因DHS部長Kristi Noem指其偏離「使命」，成「真相部」。CISA提供漏洞指引、事件回應與選舉安全，裁員衝擊州地方政府與中小企業。Bambenek Consulting總裁John Bambenek指出，「突然轉移負擔，地方難及時建能力—針對10萬人小鎮或軍事基地附近，獨抗間諜不公。」台灣雖無直接影響，但CISA情報共享減弱，亞太盟邦如台灣易成盲區。

 

第三，React2Shell重現Log4Shell噩夢。12月初披露CVE-2025-55182（CVSS 10分），React Server Components不安全反序列化，易遠端程式碼執行。披露數小時內遭利用，國家級駭客率先，隨後遍地開花。Rapid7研究員Stephen Fewer分析，React與Next.js普及，公開曝光逾50萬域名，內網難估。台灣雲端App逾80%用React，電商與金融前端若中招，伺服器全淪陷，損失難計。

 

第四，Shai-Hulud開啟自傳播開源惡意軟體時代。9月現蹤，此竊密蠕蟲污染npm套件，下載即感染開發者其他套件，自動發布中毒版，循環下游。Palo Alto Networks Unit 42研究經理Justin Moore解釋，其借自動化反噬信任：單套件含數十依賴，一妥協即瀑布效應。後續GlassWorm等變種湧現，GitHub承諾限制作為。台灣開源依賴高，半導體與App開發若中毒，供應鏈斷鏈風險大。

 

第五，Salesforce客戶連環遭攻。年初駭客入侵Salesloft GitHub，竊OAuth權杖，波及數百Salesforce實例，Zscaler、Palo Alto、Proofpoint等中鏢；另ShinyHunters等集團獨立攻擊。Nudge Security CTO Jaime Blasco指出，Salesforce存高價值資料如憑證，SaaS整合飛安控雷達外。台灣企業廣用Salesforce CRM，若遭下游攻擊，客戶資料外洩違個資法。

 

2025年威脅雖分散全年，卻回響過去：國家級間諜、零日連爆、供應鏈中毒。Meyers總結，「中國APT跨域持久，邊界設備成弱環—需統一視野與主動獵捕。」台灣作為民主前線與科技島，須借鏡：強化電信韌性、邊界修補、開源審核與國際情報。數位發展部（數發部）2026年預算應增資安補助，企業建AI BOM與影AI監控。2025年動盪落幕，2026年台灣須化危機為轉機，讓資安從防線，變優勢。

 

 

出處：本新聞參考自Alexander Culafi於2025年12月29日發表於Dark Reading的報導《2025 included a number of monumental threats, from the global attacks of Salt Typhoon to dangerous vulnerabilities like React2Shell》。