FreeBuf互联网安全新媒体平台

物理渗透测试揭示家具零售商 ExCorp 的关键漏洞，攻击者利用未锁定设备、USB 端口和暴露网络插座轻松入侵内部网络，严重威胁数据安全，警示企业需兼顾物理与网络安全。

总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

前言相信各个师傅都收到了消息，今年的护网将是常态化护网，周期非常的长。在这几天，已经有各大厂商开始陆续的收集简历了吧，相信以护网的薪酬，大家都想分一杯羹。那么我们学会应急响应是必不可少的！让我们也马上

Applus+ Laboratories创立于1907年，是西班牙最大的检测与认证机构，全球领先的网络安全测试与认证服务提供商，有20+网络安全认证实验室、200+网络安全专家、业务遍布全球65+国家和地区。

恶意软件冒充热门Go库，通过“typosquatting”手段感染Linux和macOS系统，执行远程代码并下载恶意脚本，威胁开发者安全。供应链攻击持续升级，亟需防范。

GitHub Copilot 通过智能代码建议和自然语言处理，革新了日志分析，显著提升安全事件响应效率，助力企业应对 PB 级日志数据挑战。

麒麟勒索软件团伙宣称入侵乌克兰外交部，窃取敏感数据并部分出售，加剧了俄乌冲突中的网络战威胁。

研究网络安全公司的现状、专业化以及如何塑造2025年的数字安全格局。

塔塔科技遭勒索软件攻击，“猎手国际”窃取1.4TB数据，威胁若不支付赎金将公开文件，引发对Hive团伙卷土重来的担忧。

这项研究首次记录了，预装谷歌应用如何在未经用户同意且不提供退出选项的情况下进行静默追踪。

把时间花在重要的事情上，减少浪费时间在重复动作上

黑客组织 EncryptHub 通过钓鱼攻击和木马化应用部署勒索软件及窃密程序，利用 PPI 服务扩大攻击。

本文将深入探讨并研究这种特定的攻击手段——Fake CAPTCHA。

Akira勒索团伙利用未受保护的网络摄像头绕过EDR，成功加密受害者网络！物联网设备漏洞成攻击突破口，企业安全防线面临严峻挑战。

研究人员成功绕过 CrowdStrike Falcon 传感器，暂停其进程以执行恶意应用程序，暴露重大安全漏洞，企业终端防护面临严重威胁。

Sitecore 零日漏洞允许未经身份验证的攻击者远程执行任意代码，影响XM/XP 8.2至10.4版本。

生成式AI推动非结构化数据保护、机器身份保护、安全工具整合与效果验证等。

LibreOffice 存在严重漏洞，攻击者可通过宏 URL 执行任意脚本，绕过安全协议，数百万用户面临远程代码执行风险。

等保三级系统-安全通信网络测评指导书

基础测试编写，加深对该项目的理解 对应代码库：https://github.com/langjiyunmie/Defi-stablecoin/