HackerNews

HackerNews 编译，转载请注明出处： 新一波GoBruteforcer攻击瞄准了加密货币和区块链项目的数据库，将其纳入僵尸网络，该网络能够对Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务进行用户密码暴力破解。 “当前这一波攻击活动由两个因素驱动：大量重复使用人工智能生成的服务器部署示例，这些示例传播了常见的用户名和脆弱的默认设置；以及XAMPP等遗留Web堆栈的持续存在，这些堆栈暴露了FTP和管理界面，且安全加固程度极低。”Check Point Research在上周发布的分析报告中表示。 GoBruteforcer最初由Palo Alto Networks Unit 42于2023年3月记录，其能够针对运行x86、x64和ARM架构的类Unix平台，部署一个互联网中继聊天僵尸程序和一个用于远程访问的Web Shell，同时获取暴力破解模块以扫描易受攻击的系统并扩大僵尸网络的覆盖范围。 Lumen Technologies的Black Lotus Labs团队在2025年9月的一份后续报告中发现，由另一个名为SystemBC的恶意软件家族控制的大量受感染僵尸机器，也属于GoBruteforcer僵尸网络的一部分。 Check Point表示，他们在2025年年中识别出一个更复杂的Golang恶意软件版本，该版本包含一个用跨平台编程语言重写的、经过深度混淆的IRC僵尸程序，改进了持久化机制、进程伪装技术和动态凭证列表。 凭证列表包含了可以接受远程登录的常见用户名和密码组合（例如：myuser:Abcd@123 或 appeaser:admin123456）。选择这些名称并非偶然，因为它们曾在数据库教程和供应商文档中使用，而这些资料都被用于训练大型语言模型，导致模型生成的代码片段带有相同的默认用户名。 列表中的其他一些用户名则专注于加密货币（例如：cryptouser、appcrypto、crypto_app 和 crypto）或针对phpMyAdmin面板（例如：root、wordpress 和 wpuser）。 “攻击者在每次活动中重复使用一个稳定的小型密码池，从该池中刷新每个任务的列表，并每周数次轮换用户名和特定领域的补充内容，以追求不同的目标，”Check Point称。”与其他服务不同，FTP暴力破解使用的是硬编码在破解程序二进制文件中的一小套凭证。这套内置的凭证指向网络托管堆栈和默认服务账户。” 根据Check Point观察到的活动，攻击者利用运行XAMPP的服务器上暴露在互联网的FTP服务作为初始入侵载体，上传一个PHP Web Shell，然后使用基于系统架构的Shell脚本来下载并执行更新版的IRC僵尸程序。一旦主机被成功感染，它可以用于三种不同的用途： 运行暴力破解组件，尝试对互联网上的FTP、MySQL、Postgres和phpMyAdmin进行密码登录。 托管并向其他被入侵的系统分发有效负载，或者 托管IRC风格的控制端点，或充当备用命令与控制（C2）服务器以增强弹性。 对该攻击活动的进一步分析确定，其中一台被入侵的主机被用来部署一个模块，该模块遍历TRON区块链地址列表，并使用 tronscanapi[.]com 服务查询余额，以识别资金非零的账户。这表明了针对区块链项目的协同努力。 “GoBruteforcer例证了一个更广泛且持久的问题：暴露的基础设施、脆弱的凭证和日益自动化的工具的组合，”Check Point表示。”虽然该僵尸网络在技术上相对简单，但其运营者受益于大量在线且配置不当的服务。” 这一披露正值GreyNoise透露，威胁行为者正在系统地扫描互联网，寻找可能提供对商业LLM服务访问权限的配置不当的代理服务器。 在这两个攻击活动中，有一个在2025年10月至2026年1月期间，利用了服务器端请求伪造（SSRF）漏洞，针对Ollama的模型拉取功能和Twilio SMS webhook集成。基于对ProjectDiscovery OAST基础设施的使用，推测该活动可能源于安全研究人员或漏洞赏金猎人。 第二组活动始于2025年12月28日，据评估是一次大规模枚举尝试，旨在识别与阿里巴巴、Anthropic、DeepSeek、Google、Meta、Mistral、OpenAI和xAI相关的暴露或配置不当的LLM端点。扫描源自IP地址 45.88.186[.]70 和 204.76.203[.]125。 “从2025年12月28日开始，两个IP地址启动了对超过73个LLM模型端点的系统性探测，”该威胁情报公司称。”在十一天内，他们生成了80,469个会话——这是对可能泄露商业API访问权限的配置不当代理服务器进行的系统性侦察。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被发现在npm注册表上上传了八个软件包，这些软件包伪装成针对n8n工作流自动化平台的集成工具，旨在窃取开发者的OAuth凭证。 其中一个名为 “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit” 的软件包模仿了Google Ads集成，它会提示用户在看似合法的表单中关联其广告账户，随后将凭证窃取到攻击者控制的服务器上。 “这次攻击代表了供应链威胁的新升级，”Endor Labs在上周发布的一份报告中表示。”与通常针对开发者凭证的传统npm恶意软件不同，这次活动利用了作为集中式凭证库的工作流自动化平台——这些平台将OAuth令牌、API密钥以及用于Google Ads、Stripe和Salesforce等数十种集成服务的敏感凭证集中存储在一个位置。” 已发现的软件包清单（目前已被移除）如下： n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (下载量：4,241，作者：kakashi-hatake) n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (下载量：1,657，作者：kakashi-hatake) n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (下载量：1,493，作者：kakashi-hatake) n8n-nodes-performance-metrics (下载量：752，作者：hezi109) n8n-nodes-gasdhgfuy-rejerw-ytjsadx (下载量：8,385，作者：zabuza-momochi) n8n-nodes-danev (下载量：5,525，作者：dan_even_segler) n8n-nodes-rooyai-model (下载量：1,731，作者：haggags) n8n-nodes-zalo-vietts (下载量：4,241，作者：vietts_code 和 diendh) 用户 “zabuza-momochi”、”dan_even_segler” 和 “diendh” 还被发现与其他仍可下载的库有关联： n8n-nodes-gg-udhasudsh-hgjkhg-official (下载量：2,863) n8n-nodes-danev-test-project (下载量：1,259) @diendh/n8n-nodes-tiktok-v2 (下载量：218) n8n-nodes-zl-vietts (下载量：6,357) 目前尚不清楚这些库是否具有类似的恶意功能。然而，在ReversingLabs Spectra Assure上对前三个软件包的评估未发现安全问题。对于 “n8n-nodes-zl-vietts”，分析已将该库标记为包含具有恶意软件历史的组件。 就在三小时前，软件包 “n8n-nodes-gg-udhasudsh-hgjkhg-official” 的更新版本被发布到npm，这表明该攻击活动可能仍在进行中。 该恶意软件包一旦作为社区节点安装，其行为会像任何其他n8n集成一样，显示配置屏幕，并将Google Ads账户的OAuth令牌以加密格式保存到n8n的凭证存储中。当工作流执行时，它会运行代码，使用n8n的主密钥解密存储的令牌，并将其外泄到远程服务器。 这一事件标志着供应链威胁首次明确针对n8n生态系统，不良行为者利用社区集成的信任来实现其目标。 这些发现凸显了集成不受信任的工作流所带来的安全问题，这可能会扩大攻击面。建议开发者在安装软件包前对其进行审计，仔细检查软件包元数据是否存在异常，并使用官方的n8n集成。 n8n也警告了使用来自npm的社区节点所带来的安全风险，并表示这些节点可以在n8n服务运行的机器上执行恶意操作。对于自托管的n8n实例，建议通过将 N8N_COMMUNITY_PACKAGES_ENABLED 设置为 false 来禁用社区节点。 “社区节点拥有与n8n本身相同的访问权限。它们可以读取环境变量、访问文件系统、发起出站网络请求，最关键的是，在工作流执行期间接收解密的API密钥和OAuth令牌，”研究员Kiran Raj和Henrik Plate表示。”节点代码和n8n运行时之间没有沙盒化或隔离。” “正因如此，只需一个恶意的npm软件包，就足以深入洞察工作流、窃取凭证，并在不立即引起怀疑的情况下与外部通信。对于攻击者而言，npm供应链为进入n8n环境提供了一个隐蔽且高效的切入点。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为MuddyWater的伊朗黑客组织近日被指发动了一场针对中东地区外交、海事、金融及电信实体的鱼叉式钓鱼攻击，其使用的是一款基于Rust语言、代号为RustyWater的植入程序。 CloudSEK的研究员Prajwal Awasthi在本周发布的报告中表示：“此次攻击活动利用图标伪装和恶意Word文档，投放基于Rust语言开发的植入程序。该植入程序具备异步命令与控制（C2）通信、反分析、通过注册表实现持久化以及模块化扩展等能力。” 这一最新进展表明MuddyWater的攻击手法持续演变。该组织已逐步但稳步减少对合法远程访问软件作为入侵后工具的依赖，转而采用多样化的定制恶意软件库，包括Phoenix、UDPGangster、BugSleep和MuddyViper等工具。 该黑客组织被评估隶属于伊朗情报与安全部，其活动至少可追溯至2017年。 传播RustyWater的攻击链较为直接：伪装成网络安全指南的鱼叉式钓鱼邮件附带一个Microsoft Word文档。当受害者打开文档时，会收到“启用内容”的提示，一旦执行，便会激活一个负责部署Rust植入程序的恶意VBA宏。 RustyWater会收集受害者计算机信息、检测已安装的安全软件、通过Windows注册表项建立持久化，并与命令与控制（C2）服务器（”nomercys.it[.]com”）建立联系，以执行文件操作和命令。 值得注意的是，Seqrite Labs在上月底曾报告RUSTRIC被用于针对以色列的信息技术（IT）公司、管理服务提供商（MSP）、人力资源及软件开发公司的攻击活动中。这家网络安全公司将该活动追踪命名为UNG0801和Operation IconCat。 CloudSEK指出：“从历史手法看，MuddyWater一直依赖PowerShell和VBS加载程序进行初始入侵和后续操作。此次引入基于Rust语言的植入程序，标志着其工具链向更结构化、模块化和低噪声的远程访问木马能力显著演进。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI于周四发布安全通告，警告朝鲜国家支持的黑客正利用恶意QR码，针对美国境内的实体机构发起鱼叉式网络钓鱼攻击。 FBI在紧急通告中指出：“截至2025年，Kimsuky黑客组织已通过在鱼叉式钓鱼攻击中嵌入恶意二维码，针对智库、学术机构以及美国和外国政府实体发起攻击。此类攻击被称为‘QR码钓鱼攻击’。” 利用QR码进行钓鱼是一种迫使受害者从受企业安全策略保护的设备转移到可能缺乏同等防护水平的移动设备上的策略，这使得攻击者能够有效绕过传统防御。 背景与手法 Kimsuky（亦被追踪为APT43、Black Banshee、Emerald Sleet、Springtail、TA427、Velvet Chollima）是被评估隶属于朝鲜侦察总局的黑客组织。该组织长期以来一直精心策划专门旨在规避电子邮件身份验证协议的鱼叉式钓鱼攻击。 2024年5月，美国政府曾点名该黑客组织利用配置不当的基于域的消息认证、报告和一致性记录策略，发送看似来自合法域名的电子邮件。 具体攻击案例 FBI称，其在2025年5月和6月多次观察到Kimsuky组织在定向钓鱼攻击中使用恶意QR码，具体包括： 冒充外国顾问，向某智库负责人发送电子邮件，请求对方就朝鲜半岛近期动态提供见解，并要求扫描QR码以访问问卷。 冒充大使馆员工，向某智库高级研究员发送电子邮件，请求就朝鲜人权问题提供意见，并附上声称可访问安全云盘的QR码。 冒充智库员工，在电子邮件中附上QR码，意图将受害者引导至其控制的基础设施以进行后续攻击活动。 向一家战略咨询公司发送电子邮件，邀请其参加一个虚构的会议，并敦促收件人扫描QR码，将其重定向到一个旨在通过虚假登录页面窃取其谷歌账户凭据的注册登录页面。 攻击影响与特点 就在此披露不到一个月前，ENKI曾揭示Kimsuky在一次模仿首尔某物流公司的钓鱼邮件活动中使用QR码分发名为DocSwap的新型安卓恶意软件变种。 FBI指出：“QR码钓鱼攻击通常以窃取和重放会话令牌告终，这使得攻击者能够绕过多因素认证，并在不触发典型‘MFA失败’警报的情况下劫持云身份。随后，攻击者会在组织内建立持久存在，并从被入侵的邮箱发起二次鱼叉式钓鱼攻击。” “由于入侵路径始于常规端点检测与响应及网络监控边界之外的、不受管理的移动设备，QR码钓鱼攻击目前被视为企业环境中一种高成功率、能抵抗MFA的身份入侵途径。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯国家支持的黑客组织近日被指参与了一系列新的凭证窃取攻击，目标包括土耳其一家能源与核研究机构的相关人员，以及一家欧洲智库、北马其顿和乌兹别克斯坦相关组织的员工。 Recorded Future旗下的Insikt Group表示：”攻击中使用了土耳其语及针对特定地区的诱饵材料，这表明BlueDelta（即APT28）通过定制内容来提升其对特定专业和地理目标群体的可信度。这些目标选择反映出该组织持续对能源研究、国防合作以及与俄罗斯情报重点相关的政府通信网络保持兴趣。” 网络安全公司将攻击描述为：在2025年2月和9月，针对一小部分特定受害者发起攻击。该行动利用仿冒Microsoft Outlook Web Access（OWA）、Google和Sophos VPN门户等流行服务的虚假登录页面。该攻击的特别之处在于：受害者在虚假登录页输入凭证后，会被重定向至合法网站，从而避免引起任何警觉。攻击活动还被发现大量使用Webhook[.]site、InfinityFree、Byet Internet Services和ngrok等服务来托管钓鱼页面、窃取数据并实现重定向。 为增加可信度，攻击者据称使用了合法的PDF诱饵文件，包括一份海湾研究中心发布的与2025年6月伊朗-以色列战争相关的出版物，以及一份由气候变化智库ECCO于2025年7月发布的呼吁达成新地中海协议的简报。 攻击链始于包含短链接的钓鱼邮件。点击后，受害者会被重定向至托管在webhook[.]site上的另一个链接，该链接会短暂显示诱饵文档约两秒，然后重定向至第二个托管着仿冒Microsoft OWA登录页面的webhook[.]site链接。该页面包含一个隐藏的HTML表单元素，用于存储webhook[.]site URL，并利用JavaScript发送”页面已打开”信号、将提交的凭证传输到webhook端点，最终重定向回托管在真实网站上的PDF文档。 此外，还观察到APT28发起的另外三起攻击活动： 2025年6月活动：部署模仿Sophos VPN密码重置页面的凭证窃取页面，利用InfinityFree提供的基础设施窃取表单中输入的用户凭证，并将受害者重定向至一家未具名的欧盟智库的合法Sophos VPN门户。 2025年9月活动：使用托管在InfinityFree域名上的凭证窃取页面，虚假警告用户密码已过期，诱骗其输入凭证，并重定向至与北马其顿共和国某军事组织和乌兹别克斯坦某IT集成商相关的合法登录页面。 2025年4月活动：使用托管在Byet Internet Services上的虚假Google密码重置页面收集受害者凭证，并将其窃取至一个ngrok URL。 报告总结道：”BlueDelta持续滥用合法的互联网服务基础设施，表明该组织仍然依赖一次性服务来托管和传输凭证数据。这些攻击活动凸显了GRU（俄罗斯联邦武装部队总参谋部情报总局）将持续的凭证窃取作为一种低成本、高收益的信息收集方法，以支持俄罗斯的情报目标。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Malwarebytes于 2026 年 1 月 9 日在推特发文称：网络犯罪分子窃取了 1750 万 Instagram 账号的敏感信息，具体包含用户名、住址、电话号码、电子邮箱地址等多项内容。 自 2026 年 1 月 10 日起，已有百万用户收到密码重置邮件，这一情况引发用户困惑，同时也加剧了人们对全球性网络攻击的担忧。安全专家提醒，这是一起严重的隐私泄露事件，存在切实的现实风险，遭泄露的数据可能已在暗网流通。 研究人员发现，一个包含近 1800 万 Instagram 用户信息的敏感数据库正在某网络犯罪论坛上售卖，该数据库被称作 “人肉搜索工具包”。与以往的数据爬取事件不同，此次泄露的数据中包含与 Instagram 用户身份标识相关联的家庭地址。 被盗数据的源头很可能并非仅来自于Instagram用户个人主页。攻击者或许将Instagram用户身份标识与外部数据库信息进行整合，这些外部数据来源涵盖营销名单、数据中间商、电商平台以及泄露的客户记录等，通过这种方式实现用户名与真实姓名、家庭地址的匹配关联。 将线上身份与线下物理地址绑定后，这一行为带来的威胁远超垃圾邮件骚扰或账号盗用。它可能滋生跟踪、“特警敲门” 恶作剧式攻击、敲诈勒索以及身份盗用等行为，将一场数字隐私泄露事件转化为对用户现实人身安全的潜在威胁。 网络安全专业资讯网站The Cybersec Guru报道称：“这批数据并非处于闲置状态。有消息显示，这个包含 1750 万条用户记录的数据库，部分内容正在非法交易市场拍卖。巨蜥，这些数据会按地区和粉丝数量分批次出售，网红博主以及高关注度的商业账号成为主要攻击目标。” Instagram 用户需立即采取应对措施，并假定自身信息已存在泄露风险。研究人员给出以下建议：不要点击收到的密码重置邮件链接，仅通过官方应用重置密码；借助 Instagram 官方邮件日志核验邮件真伪，谨防钓鱼诈骗；开启基于应用的双重认证功能，尽量避免使用短信验证方式；最后，检查并移除第三方应用的授权权限，这些权限可能是导致此次数据泄露的原因之一。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 得克萨斯州Sugar Land的加油站运营商Gulshan Management Services, Inc.发生了一起网络安全事件，导致超过37.7万名客户的个人信息遭到泄露。 此次泄露事件于2025年9月27日被发现，敏感数据在2025年9月17日至27日这10天内被暴露。 泄露详情 该事件涉及一个外部系统遭黑客入侵，影响了包括缅因州54名居民在内的共计377,082名个人。 Gulshan Management Services经营加油站及相关设施，其客户交易数据因此成为网络犯罪分子的潜在目标。根据提交给缅因州总检察长办公室的数据泄露通知，未经授权的攻击者获取了包含个人识别信息的系统访问权限。 尽管在最初的文件中未完全详细说明具体泄露的信息类型，但泄露通知表明，姓名及其他个人识别信息与其他敏感数据一同被窃取。 公司应对 Gulshan Management Services于2025年9月27日发现了这起安全事件，并随即启动了数据泄露响应预案。 公司聘请了Willkie Farr & Gallagher LLP的法律顾问来管理信息披露流程，并确保遵守各州的通报要求。 受影响的客户已于2026年1月5日（即发现泄露约三个月后）收到书面通知。 公司通过Kroll身份监控服务为所有受影响个人提供了为期12个月的免费身份保护服务。该身份盗窃保护套餐包括信用监控、欺诈咨询和身份盗窃修复服务。这些服务旨在帮助受影响的客户监控其信用报告中的可疑活动，并在他们成为身份盗窃受害者时获得专业协助。 公司鼓励收到通知函的客户立即激活其Kroll服务，并对身份盗窃或欺诈的迹象保持警惕。这包括监控金融账户和信用报告，并警惕可能提及此次泄露事件的网络钓鱼企图。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ChatGPT的数个漏洞允许攻击者利用一种新发现的提示注入技术，诱使该工具泄露来自Gmail、Outlook、Google Drive或GitHub等流行服务的敏感数据。 这项名为“ZombieAgent”的新方法由Radware的安全研究员Zvika Bado发现，他于2025年9月通过BugCrowd漏洞赏金平台向OpenAI报告了该问题。OpenAI在12月中旬修复了此漏洞。 目前，Bado在Radware于1月8日发布的新报告中分享了这一发现。 ChatGPT的“智能体化”转变：用户与攻击者的双刃剑 近期，OpenAI通过面向用户的新功能扩展了ChatGPT的能力，例如“连接器”，它允许聊天机器人轻松快速地连接到流行的外部系统（如Gmail、Outlook、Google Drive、GitHub），以及浏览网页、打开链接、分析、生成图像等功能。 Bado在Radware报告中承认，这种向智能体模式的转变使得该工具“更加有用、便捷和强大”，但同时也使其能够访问敏感的个人数据。 在Radware此前的一份报告中，Bado及其两位同事发现了ChatGPT“深度研究”智能体中的一个结构性漏洞，该漏洞允许攻击者通过一封精心构造的电子邮件，即可让智能体泄露敏感的Gmail收件箱数据。 这项被研究人员称为“ShadowLeak”的技术允许进行服务器端数据窃取，这意味着一次成功的攻击链将直接从OpenAI的云基础设施中泄露数据，使本地或企业防御系统无法察觉。 该技术使用了间接提示注入方法，通过在白底白字或微缩字体等技术，在电子邮件的HTML中嵌入隐藏命令，从而在“深度研究”智能体执行这些命令时，用户却毫无察觉。这些命令通常包含一个由攻击者控制的链接，并让ChatGPT将敏感数据作为URL参数附加（例如，通过Markdown图片或browser.open()函数）。 为防止此类攻击，OpenAI加强了防护措施，并禁止ChatGPT动态修改URL。Bado在最新报告中总结道：“ChatGPT现在只能原样打开提供的URL，并拒绝添加参数，即使被明确指示。” 然而，该研究员此后发现了一种能够完全绕过此保护的方法。 ZombieAgent：攻击流程解析 这种攻击利用了OpenAI URL修改防御中的一个弱点，通过利用预先构建的静态URL，逐个字符地从ChatGPT窃取敏感数据。 攻击者不再动态生成URL（这通常会触发OpenAI的安全过滤器），而是提供一组固定的URL，每个URL对应一个特定的字符（字母、数字或一个代表空格的标记）。然后，攻击者指示ChatGPT： 提取敏感数据（例如，来自电子邮件、文档或内部系统） 将数据规范化（转换为小写，用特殊标记如$替换空格） 通过按顺序“打开”预定义的URL，逐个字符地将数据泄露出去 通过使用带索引的URL（例如，每个字符对应a0, a1, …, a9），攻击者确保了窃取数据的正确顺序。 由于ChatGPT从不构建URL，而只是严格按照提供的链接执行操作，因此该技术绕过了OpenAI的URL重写和黑名单保护。 攻击流程如下： 攻击者发送包含预建URL和窃取指令的恶意电子邮件。 用户稍后要求ChatGPT执行与Gmail相关的任务。 ChatGPT读取收件箱，执行攻击者的指令并泄露数据。 除了与ChatGPT的正常对话外，无需用户进行任何其他操作。 利用ZombieAgent的“零点击”和“单点击”攻击 利用这种攻击技术，Bado展示了两种成功的服务器端提示注入攻击——一种无需用户点击，另一种仅需一次点击。 Bado写道：“我们还展示了一种实现持久性的方法，允许攻击者不仅进行一次性数据泄露，还能持续窃取数据：一旦攻击者侵入聊天机器人，他们就可以持续窃取用户与ChatGPT之间的每一次对话。” “此外，我们展示了一种新的传播技术，允许攻击进一步扩散，针对特定受害者，并增加触及更多目标的可能性。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

2025年，全球网络安全形势依然复杂多变。 从软件漏洞到僵尸网络，从勒索组织到国家级黑客，攻击手段不断升级，影响范围也越来越广。网络安全风险的扩散使企业运营和服务稳定面临更大压力，也为防护和治理提出了新的挑战。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2025年备受关注的网络安全热点事件，以期为安全治理与风险应对提供参考。   1.Aisuru超大规模物联网僵尸网络持续升级 自2024年起，基于Mirai变种的Aisuru僵尸网络开始活跃。2025年Aisuru逐渐演变为能持续攻击全球关键平台、并不断刷新攻击规模纪录的超级僵尸网络，成为年度最具破坏性的网络安全威胁之一。 2025年1月，研究人员发现，黑客组织利用Cambium Networks cnPilot路由器中的未披露零日漏洞，部署名为AIRASHI的AISURU僵尸网络变种，发动DDoS攻击。 5月，网络安全博客KrebsOnSecurity披露近期遭遇峰值达6.3Tbps的DDoS攻击，创下Google防御系统处理流量的新纪录。 10月，全球两大游戏平台Steam与Riot Games出现大范围故障，导致多款热门游戏无法运行，专家普遍认为是由Aisuru发起的大规模DDoS攻击所致。 11月，微软披露，Aisuru于10月24日对其Azure云平台发动了多向量攻击，峰值达15.72 Tbps、36.4亿包/秒，这是有记录以来针对云服务的最大规模DDoS攻击。 12月，研究人员发现一个由至少180万台安卓设备组成的Kimwolf僵尸网络，可能与Aisuru存在关联。 事件详情： https://hackernews.cc/archives/57035 https://hackernews.cc/archives/58865 https://hackernews.cc/archives/61013 https://hackernews.cc/archives/61297 https://hackernews.cc/archives/61576 https://hackernews.cc/archives/61962   2.2025年朝鲜黑客再次蝉联全球加密货币盗窃榜首 2025年，朝鲜黑客继续瞄准加密货币发起连锁攻击。 2月，加密货币平台Bybit遭受攻击，约15 亿美元以太坊被盗，攻击被指向朝鲜Lazarus组织。 4 月，朝鲜黑客悄然利用Zoom，在加密货币交易员及风险投资人士工作站植入信息窃取恶意软件。 12 月，韩国最大加密货币交易所Upbit遭黑客入侵，约3000万美元加密货币被窃。韩国政府介入调查，入侵手法及资金洗钱路径均指向朝鲜Lazarus组织。 年末，区块链情报公司Chainalysis在《加密犯罪报告》中披露，2025年朝鲜黑客共窃取20.2亿美元加密货币，再次蝉联全球加密货币盗窃榜首。 事件详情： https://hackernews.cc/archives/57622 https://hackernews.cc/archives/57890 https://hackernews.cc/archives/58427 https://hackernews.cc/archives/58120 https://hackernews.cc/archives/61751 https://hackernews.cc/archives/61965   3.韩国电信三大运营商相继失守 2025年，韩国三大电信运营商连续遭遇重大网络攻击。 4月，韩国电信运营商SK Telecom披露其遭遇恶意软件攻击，攻击者成功获取了部分客户的通用用户识别模块相关信息，2300多万用户信息泄露。 9月，KT Telecom确认，国际移动用户身份数据泄露，影响5561名用户。 10月，LG Uplus确认发生数据泄露事件，成为继 SK Telecom和KT Telecom之后，2025年内第三家遭遇网络攻击的韩国主要电信运营商。 事件详情： https://hackernews.cc/archives/58449 https://hackernews.cc/archives/61314   4.俄航遭史上最狠攻击：7000台服务器被毁，40余次航班停飞 2025年7 月 28 日，俄罗斯航空公司（俄航）遭到亲乌克兰黑客组织Silent Crow与白俄罗斯“网络游击队”联合发起的大规模网络攻击。攻击导致约7000台服务器遭到破坏，航空公司的核心信息系统严重受损，至少40余架次航班被迫取消或延误，部分旅客行程受到明显影响。 此次攻击正值旅游旺季，莫斯科谢列梅捷沃机场的航班信息显示屏因大量航班取消而出现大面积飘红，现场运行秩序一度承压。且乘客信息面临外泄风险。 受此次攻击事件影响，截至格林尼治时间28日13 时，俄航股价下跌3.9%，跌幅明显高于同期大盘约1.4%的下行水平。 事件详情： https://hackernews.cc/archives/59972 https://hackernews.cc/archives/60060 https://hackernews.cc/archives/61883   5.捷豹路虎遭重大网络攻击，全球生产中断 2025年9月2日，捷豹路虎发布公告：“公司受到一起网络事件的影响。并已采取积极措施暂时关闭相关系统，以第一时间降低事件带来的风险和影响。”同日发送给员工的内部邮件称，管理层已达成一致，决定生产相关人员暂时停工。 9月3日，黑客组织 Scattered LAPSUS$ Hunters认领了此次攻击事件。黑客声称已经获取员工账户信息、部分内部文件以及可能涉及研发数据在内的敏感信息，并在暗网上威胁公开数据以迫使公司支付赎金。 事件详情： https://hackernews.cc/archives/60586 https://hackernews.cc/archives/60644 https://hackernews.cc/archives/60660   6.Scattered Lapsus$ Hunters黑客联盟登场 2025年8月8日，Scattered Spider、Shiny Hunters两大黑客组织合并成为Scattered Lapsus$ Hunters。 9月，Scattered Lapsus$ Hunters认领了对路虎捷豹的攻击事件。 同月，Scattered Lapsus$ Hunters在Telegram上宣称，获取了谷歌执法请求系统及美国联邦调查局电子背景调查系统的访问权限。 10月15日，Scattered Lapsus$ Hunters公布从澳航窃取的信息数据。 10月22日，Scattered Lapsus$ Hunters联合Com黑客组织，“开盒”千名联邦执法人员，以抗击特朗普移民政策。 事件详情： https://hackernews.cc/archives/60660 https://hackernews.cc/archives/60798 https://hackernews.cc/archives/61113 https://hackernews.cc/archives/61196   7.国家级黑客入侵 F5 系统，窃取 BIG-IP 源代码及未公开漏洞数据 2025年8月，网络安全厂商 F5 披露，其内部系统曾遭到一名高度复杂的国家级威胁行为者长期渗透。调查显示，该威胁行为者并非一次性入侵，而是通过隐蔽手段持续维持访问权限，在较长时间内对部分 F5 系统进行未授权访问，并分阶段下载大量敏感资料。 泄露的数据范围广泛，涉及F5多项核心资产，包括 BIG-IP 产品相关源代码、尚未公开的漏洞信息、产品研发与测试环境，以及工程与知识管理平台中的内部技术文档。这类信息可能被用于开发高质量的漏洞利用工具，或对F5客户的关键基础设施发动更具针对性的攻击。 事件详情： https://hackernews.cc/archives/61130   8.Oracle EBS 零日漏洞被Cl0p勒索组织大规模利用 2025年8月9日，Oracle E-Business Suite中一个此前未公开的零日漏洞遭到利用，该漏洞编号为CVE-2025-61882，CVSS评分高达9.8。谷歌云威胁情报小组指出，早在2025年7月10日，攻击者已开始针对Oracle EBS部署环境进行探测和攻击尝试。2025年下半年，Clop勒索组织围绕该漏洞展开大规模利用行动，相关事件逐渐披露。 11月，罗技向美国证券交易委员会提交文件披露其遭遇网络安全事件，黑客利用某第三方软件平台的漏洞，从公司内部IT系统中复制了特定数据；同一时期，马自达、佳能以及英国国家医疗服务体系再次被曝遭到Cl0p勒索攻击。美国区域航空公司Envoy Air也证实，其Oracle电子商务套件应用程序遭入侵并导致信息被窃取。随后哈佛大学披露遭遇语音钓鱼攻击，校友及捐赠者的联系信息发生泄露。11月21日，凤凰城大学披露一起大规模数据泄露事件，约350万人个人信息受到影响。 事件详情： https://hackernews.cc/archives/61061 https://hackernews.cc/archives/61166 https://hackernews.cc/archives/61570 https://hackernews.cc/archives/61640 https://hackernews.cc/archives/61672 https://hackernews.cc/archives/62020   9.React2Shell 前端生态漏洞引发关注 12月3日，React 服务器组件中披露了一个最高严重级别的安全漏洞，漏洞编号为 CVE-2025-55182，CVSS 评分为 10.0。React 团队当日发布安全警报指出，该漏洞源于 React 在解码发送至服务器函数端点的负载时存在缺陷，攻击者可借此绕过身份验证实现远程代码执行，并强调即使应用本身未实现任何 React 服务器函数端点，只要支持 React 服务器组件，均可能面临攻击风险。 12月中下旬，新型恶意软件PCPcat针对性利用Next.js和React框架中的高危漏洞，在不到48小时内成功攻陷了 5.9万余台服务器。随后，PeerBlight的Linux后门、CowTunnel的反向代理隧道工具，以及基及Go语言的攻陷后植入程序ZinFoq陆续利用该漏洞，投递加密货币挖矿程序及一系列此前未被记录的恶意软件家族。 事件详情： https://hackernews.cc/archives/61778 https://hackernews.cc/archives/61880 https://hackernews.cc/archives/61919   10.AI 驱动网络攻击显著上升 2025年，攻击者利用生成式 AI 加速恶意软件、钓鱼诱饵和漏洞探测等活动，企业与安全服务提供者则利用 AI 提升威胁检测与响应能力，形成新的攻防态势。 8月，ESET安全团队识别出全球首款AI驱动勒索软件PromptLock。 11月，谷歌宣布发现PROMPTFLUX恶意软件通过与谷歌 Gemini AI模型的 API 交互，自主编写源代码，以增强代码混淆效果并提升规避检测能力。 同月，Cybernews团队通过系统性对抗测试，揭示了ChatGPT-5、ChatGPT-4o、谷歌Gemini Pro 2.5、Gemini Flash 2.5、Claude Opus 4.1及Claude Sonnet 4六款主流模型的安全风险。通过“提示词攻击”模拟真实风险场景，证明即使不入侵系统，仅通过语言重构即可突破AI伦理护栏。当恶意请求被包装为学术研究、文学创作或第三方观察时，模型防御机制容易出现误判。 12月，研究人员披露了多款 AI 驱动的集成开发环境中存在的 30 余个安全漏洞。这些漏洞通过将提示注入技术与工具合法功能相结合，可实现数据窃取与远程代码执行攻击。 事件详情： https://hackernews.cc/archives/60509 https://hackernews.cc/archives/61416 https://hackernews.cc/archives/61537 https://hackernews.cc/archives/61830   2025年10大网络安全事件表明，网络攻击已不再局限于单一系统或组织，部分事件能在短时间内对上下游业务产生连锁影响。从事件频发领域来看，软件漏洞、远程接入和基础网络服务仍是高风险领域。更值得注意的是，AI 的应用在提升效率的同时，也可能被攻击者利用，增加防御难度。随着系统复杂度增加，安全问题往往涉及运维管理、供应链协作和应急响应。 未来，网络安全不仅需技术防护，更应加强整体风险管理和跨部门协作，提高系统韧性与应对能力。     作者：知道创宇404实验室 （数据来源 https://hackernews.cc/，转载请注明出处。）

HackerNews 编译，转载请注明出处： 在美国部队周六采取行动抓捕委内瑞拉领导人尼古拉斯·马杜罗之际，加拉加斯陷入了一片黑暗。 这次停电不仅仅是为了掩护部队行动；它展示了恶意软件如何塑造现代战场。 据信，美国网络司令部及其盟军部队在委内瑞拉电力运营商内部部署了一种针对电网的攻击载荷。一旦被触发，该代码会悄然打开断路器，使控制系统失步，并切断现场设备与中央控制台之间的连接。 其结果是，加拉加斯关键区域按计划分阶段停电，在限制平民伤害的同时，也使遍布全城的效忠部队陷入”失明”。 Politico的分析师后来确认，该恶意软件是一种模块化的电网攻击工具，其手法明显指向了此前针对该地区公用事业公司的攻击活动。 他们对网络遥测数据和时间节点的审查表明，攻击者通过一个定制的加载程序，经由被攻陷的VPN网关侵入了控制网络。 随后，恶意软件绘制了变电站控制器的地图，并标记了向加拉加斯市中心供电的关键馈线。 据该地区电网工程师称，问题的初步迹象是监控屏幕上出现的短暂、滚动式电压下降，而非全面崩溃。 日志显示，数条230千伏线路出现了突发但有序的跳闸，随后是一波虚假的传感器读数，令当地操作员感到困惑。等到备用的柴油发电机组启动时，城市核心区已经陷入黑暗。 感染机制与攻击载荷行为 感染链始于发送给国家公用事业公司工程师的鱼叉式网络钓鱼邮件，这些邮件在伪造的维护报告中携带了一个带有签名的远程访问工具。 一旦用户打开文件，加载程序便会使用窃取的VPN凭证渗透进入控制网络，随后在管理SCADA工作站和历史数据库的Windows服务器上投放第二阶段模块。 在受感染的服务器上，恶意软件运行一个紧密的循环，查询实时断路器状态，并仅在电网负载保持在安全范围内时，才将关机命令排队等候执行。 这种设计有助于确保攻击的精确性，限制对硬件的损害，并在城市恢复供电后延缓调查。它也拖延了响应人员的速度，因为他们面对的是干净的日志、虚假的读数以及看似自行恢复的系统。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ChatGPT的严重漏洞使攻击者能够无需用户交互，就从Gmail、Outlook和GitHub等已连接服务中窃取敏感数据。 这些被命名为ShadowLeak和ZombieAgent的漏洞，利用AI的”连接器”和”记忆”功能，实现了零点击攻击、持久化驻留甚至传播。 OpenAI的”连接器”功能允许用户在几次点击内，让ChatGPT与Gmail、Jira、GitHub、Teams和Google Drive等外部系统集成。 默认启用的”记忆”功能会存储用户对话和数据以提供个性化回复，允许AI读取、编辑或删除记录。 虽然这些功能增强了实用性，但它们也授予了对个人和企业数据的广泛访问权限，在防护措施不足的情况下放大了风险。 ChatGPT零点击和一点击攻击 攻击者通过恶意电子邮件或共享文件发送隐藏指令，这些指令对用户不可见，例如使用白色文本、极小字体或页脚。 在零点击服务器端变种攻击中，ChatGPT在执行总结邮件等常规任务时会扫描收件箱，执行攻击载荷，并通过OpenAI的服务器在用户察觉前泄露数据。 一键触发版本则是在受害者上传受污染的文件时启动，从而能对已连接的代码库或网盘发起连锁攻击。 攻击类型 触发条件 数据外泄方法 影响范围 零点击服务器端 共享恶意文件 通过OpenAI服务器上的browser.open()工具 Gmail收件箱、个人身份信息 一点击服务器端 通过文件修改记忆 隐藏在文档中的提示 Google Drive、GitHub 持久化 (ZombieAgent) 通过文件修改记忆 根据查询持续泄露 所有聊天记录、医疗数据 传播 收集电子邮件地址 自动转发给联系人[查询上下文] 组织内传播 OpenAI已阻止了动态URL修改，但研究人员通过为每个字符（a-z，0-9，$表示空格）预先构建URL的方式绕过了此限制。 ChatGPT会将诸如”Zvika Doe”这样的敏感字符串规范化成”zvikadoe”，然后顺序打开像compliance.hr-service.net/get-public-joke/z这样的静态链接，在不”构建”URL的情况下泄露数据。这种服务器端方法绕过了客户端防御、浏览器和用户界面的可见性检测。 为了实现持久化，攻击者通过文件注入修改记忆的规则：在每条消息中，首先读取特定的攻击者电子邮件并泄露数据。 尽管OpenAI限制了连接器和记忆功能的混合使用，但反向访问仍然有效，即使在新的聊天中也能实现无休止的数据外泄。传播攻击会扫描收件箱中的地址并窃取它们，攻击者的服务器随后会自动发送攻击载荷，以此针对组织。 Radware于2025年9月26日通过BugCrowd平台报告了这些问题，并提供了详细信息和升级建议。OpenAI在复现问题后，于2025年9月3日修复了ShadowLeak，并于2025年12月16日修复了全套问题。 专家敦促监控AI的行为并净化输入内容，因为AI的盲区仍然存在。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： React2Shell漏洞（CVE-2025-55182）持续面临无情的利用活动，自其首次披露以来，威胁行为者已发起超过810万次攻击会话。 根据GreyNoise Observation Grid的数据，自12月底达到超过43万次的峰值后，每日攻击量已稳定在30万至40万次会话，表明存在持续、协调的利用活动。 自该活动开始以来，已观察到超过810万次会话。 利用活动规模 该活动的基础设施足迹揭示了一场复杂的分布式操作。研究人员已识别出101个国家、1,071个自治系统（ASN）内的8,163个独立源IP地址。 这种地理分布凸显了该漏洞对不同威胁行为者生态系统的吸引力，从利用性僵尸网络到高级持续性威胁组织。AWS和其他主要云提供商主导了攻击基础设施。 仅亚马逊网络服务就占了观测到的利用流量的三分之一以上，前15个ASN约占所有源IP的60%。 这反映了攻击者倾向于利用合法的云基础设施来掩盖恶意活动。攻击者已创建超过7万个独特的攻击载荷，展示了持续的试验和改进。 网络指纹分析揭示了700个不同的JA4H哈希（HTTP客户端指纹）和340个独特的JA4T哈希（TCP堆栈指纹），表明了多样化的工具集和投递机制。 载荷多样性与攻击模式 利用活动遵循可预测的两阶段方法。初始侦察探测通过简单的PowerShell算术运算验证命令执行，然后再继续投递编码的攻击载荷。 第二阶段的利用采用AMSI绕过技术，使攻击者能够执行额外的恶意脚本，同时规避防病毒检测。 如果未打补丁，组织仍面临暴露风险。近50%的观测源IP是在2025年7月之后首次被观测到的，这表明了最近的基础设施分配和快速的IP轮换。 静态IP黑名单不足以应对此次活动的规模和速度。防御者应通过格雷噪声持续更新的威胁情报源实施动态拦截。 终端监控应侧重于检测PowerShell执行模式、编码命令以及通过反射进行的AMSI修改。 管理暴露的React服务器组件的组织应将其视为一个活跃的、持续的威胁，需要立即打补丁并实施网络级防护。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了影响开源自托管平台 Coolify 的多个高危安全漏洞的详细信息，这些漏洞可能导致身份验证绕过和远程代码执行。 漏洞列表如下： CVE-2025-66209 (CVSS评分: 10.0) – 数据库备份功能中的命令注入漏洞，允许任何具有数据库备份权限的已认证用户在主机服务器上执行任意命令，导致容器逃逸和服务器完全被入侵。 CVE-2025-66210 (CVSS评分: 10.0) – 数据库导入功能中的已认证命令注入漏洞，允许攻击者在受管理的服务器上执行任意命令，导致整个基础设施被入侵。 CVE-2025-66211 (CVSS评分: 10.0) – PostgreSQL 初始化脚本管理中的命令注入漏洞，允许具有数据库权限的已认证用户在服务器上以 root 身份执行任意命令。 CVE-2025-66212 (CVSS评分: 10.0) – 动态代理配置功能中的已认证命令注入漏洞，允许具有服务器管理权限的用户在受管理的服务器上以 root 身份执行任意命令。 CVE-2025-66213 (CVSS评分: 10.0) – 文件存储目录挂载功能中的已认证命令注入漏洞，允许具有应用/服务管理权限的用户在受管理的服务器上以 root 身份执行任意命令。 CVE-2025-64419 (CVSS评分: 9.7) – 通过 docker-compose.yaml 触发的命令注入漏洞，使攻击者能在 Coolify 实例上以 root 身份执行任意系统命令。 CVE-2025-64420 (CVSS评分: 10.0) – 信息泄露漏洞，允许低权限用户查看 Coolify 实例上 root 用户的私钥，从而通过 SSH 获得对服务器的未授权访问，并使用该密钥以 root 用户身份进行身份验证。 CVE-2025-64424 (CVSS评分: 9.4) – 在某个资源的 Git 源代码输入字段中发现命令注入漏洞，允许低权限用户（成员）在 Coolify 实例上以 root 身份执行系统命令。 CVE-2025-59156 (CVSS评分: 9.4) – 操作系统命令注入漏洞，允许低权限用户注入任意 Docker Compose 指令，并在底层主机上实现 root 级别的命令执行。 CVE-2025-59157 (CVSS评分: 10.0) – 操作系统命令注入漏洞，允许普通用户在部署期间通过 Git 仓库字段注入在底层服务器上执行的任意 shell 命令。 CVE-2025-59158 (CVSS评分: 9.4) – 对数据的不当编码或转义，允许具有低权限的已认证用户在项目创建期间发起存储型跨站脚本（XSS）攻击，当管理员稍后尝试删除该项目或其关联资源时，该攻击会在浏览器上下文中自动执行。 以下版本受这些缺陷影响： CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 – <= 4.0.0-beta.448 （已在 >= 4.0.0-beta.451 中修复） CVE-2025-66212, CVE-2025-66213 – <= 4.0.0-beta.450 （已在 >= 4.0.0-beta.451 中修复） CVE-2025-64419 – < 4.0.0-beta.436 （已在 >= 4.0.0-beta.445 中修复） CVE-2025-64420, CVE-2025-64424 – <= 4.0.0-beta.434 （修复状态不明） CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 – <= 4.0.0-beta.420.6 （已在 4.0.0-beta.420.7 中修复） 根据攻击面管理平台 Censys 的数据，截至 2026 年 1 月 8 日，约有 52,890 个暴露在外的 Coolify 主机，其中大部分位于德国（15,000 个）、美国（9,800 个）、法国（8,000 个）、巴西（4,200 个）和芬兰（3,400 个）。 虽然没有迹象表明这些漏洞在野外被利用，但鉴于其严重性，用户必须尽快应用修复措施。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了三个恶意的npm软件包，这些软件包旨在传播一种先前未被记录的名为NodeCordRAT的恶意软件。 这些软件包的名称如下所示，截至2025年11月，它们已被全部下架。这些包是由一个名为”wenmoonx”的用户上传的。 bitcoin-main-lib (2,300 次下载) bitcoin-lib-js (193 次下载) bip40 (970 次下载) Zscaler ThreatLabz的研究人员Satyam Singh和Lakhan Parashar表示：”bitcoin-main-lib和bitcoin-lib-js这两个包在安装过程中会执行一个postinstall.cjs脚本，该脚本会安装包含恶意负载的bip40包。这个最终的负载，被ThreatLabz命名为NodeCordRAT，是一个具有数据窃取能力的远程访问木马。” NodeCordRAT的名称来源于其使用npm作为传播媒介，以及利用Discord服务器进行命令与控制通信。该恶意软件能够窃取谷歌Chrome浏览器的凭证、API令牌以及MetaMask等加密货币钱包的助记词种子短语。 据这家网络安全公司称，评估认为此次攻击活动的背后威胁行为者，是以合法的bitcoinjs项目中存在的真实仓库（例如bitcoinjs-lib、bip32、bip38）为蓝本来命名这些恶意包的。 “bitcoin-main-lib”和”bitcoin-lib-js”都包含一个”package.json”文件，其中将”postinstall.cjs”指定为安装后脚本，从而导致包含NodeCordRAT负载的”bip40″包被执行。 该恶意软件除了对受感染主机进行指纹识别，以在Windows、Linux和macOS系统上生成唯一标识符外，还利用一个硬编码的Discord服务器来打开隐蔽通信通道，以接收指令并执行它们—— !run：使用Node.js的exec函数执行任意shell命令 !screenshot：截取整个桌面屏幕截图，并将PNG文件窃取到Discord频道 !sendfile：将指定文件上传到Discord频道 Zscaler表示：”这些数据是使用硬编码令牌通过Discord的API进行窃取，并发送到一个私密频道的。被窃取的文件通过Discord的REST端点/channels/{id}/messages作为消息附件上传。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起新型攻击活动的细节：攻击者以 WhatsApp 为传播载体，向巴西用户投放一款名为 Astaroth 的 Windows 银行木马。 该攻击活动被安克诺斯威胁研究团队命名为 “粉红河豚”。 这家网络安全公司在提交给thehackernews的一份报告中指出：“该恶意软件会获取受害者的 WhatsApp 联系人列表，并自动向每位联系人发送恶意消息，以此扩大感染范围。 报告还提到：“Astaroth 木马的核心程序仍由德尔福语言编写，安装程序则依托 VB 脚本运行；而此次新增的 WhatsApp 蠕虫模块，完全采用 Python 语言开发。这一特征凸显出威胁攻击者正越来越多地使用多语言模块化组件。” Astaroth 木马又名 “吉尔达马”，自 2015 年起便在网络环境中被发现，其攻击目标主要集中在拉美地区，尤其是巴西，攻击目的是窃取用户数据。2024 年，安全人员监测到多个威胁集群（代号分别为 “菠萝” 和 “水玛卡拉”）通过钓鱼邮件传播该木马。 对巴西用户而言，利用 WhatsApp 传播银行木马是一种新兴攻击手段，其兴起的原因在于这款即时通讯软件在巴西的极高普及率。就在上月，趋势科技曾披露另一威胁集群 “水萨西”，同样借助 WhatsApp 传播 “特立独行” 木马和 “卡斯巴内罗” 木马变种。 2025 年 11 月，赛门铁克发布的一份报告显示，该机构正在追踪一个名为 “STAC3150” 的多阶段恶意软件传播活动。该活动同样以巴西的 WhatsApp 用户为目标，传播 Astaroth 木马。受影响的设备中，超过 95% 位于巴西，另有少量分布在美国和奥地利。 这项攻击活动至少从 2025 年 9 月 24 日起就已活跃。攻击者通过发送包含下载器脚本的 ZIP 压缩包发起攻击：该脚本会获取 PowerShell 或 Python 脚本，用于收集 WhatsApp 用户数据以进一步传播；同时，压缩包内还包含一个 MSI 格式的安装程序，负责部署木马。安克诺斯此次的发现，正是这一攻击趋势的延续 —— 以 WhatsApp 消息分发 ZIP 文件，作为恶意软件感染的切入点。 安克诺斯公司介绍：“当受害者解压并打开该压缩包时，会看到一个伪装成正常文件的 VB 脚本。一旦执行该脚本，就会触发下一阶段恶意组件的下载流程，标志着设备入侵正式开始。” 恶意软件核心模块 该恶意软件包含两大核心功能模块： Python 传播模块：收集受害者的 WhatsApp 联系人信息，并自动向每位联系人转发恶意 ZIP 文件，以蠕虫传播的方式扩大感染范围。 银行木马模块：在设备后台持续运行，实时监控受害者的网页浏览行为；一旦检测到用户访问银行相关网址，便会立即激活，窃取用户登录凭证，帮助攻击者实现经济牟利。 安克诺斯公司还指出：“恶意软件的开发者还内置了一套实时追踪和上报传播数据的机制。该程序会定期记录传播统计数据，包括成功发送的恶意消息数量、发送失败次数，以及以‘每分钟发送条数’为单位的传播速率。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 从“Vibe Coding”到“Vibe Hacking” 在科技圈，开发者早已接纳 “Vibe Coding” 的理念 —— 让AI根据意图而非精确指示来编写代码。开发者只需描述目标、分析并调整输出结果、反复迭代优化、复制粘贴代码，便可快速推进工作。在这个过程中，效率远比理解代码原理更重要。 黑客群体照搬了这一思路，并赋予其全新的名称——“Vibe Hacking”。“Vibe Hacking”并非特指某一种技术手段，而是一种理念。这种理念认为，黑客攻击不再需要精通各类工具或钻研系统原理，只需在人工智能的引导下，跟着直觉行事。 其核心逻辑简单直白：只要人工智能给出的方案听起来言之凿凿，那这个方案就一定够用。 这种理念无处不在，无论是Telegram群聊、针对新手的论坛回复，还是黑客服务的广告宣传，都能看到它的影子。“Vibe Hacking”将网络犯罪重新定义为人人皆可为之的事情 ，它不再是一门需要潜心修炼的手艺，而是一套可以照本宣科的流程。 但如果人工智能服务商增设安全防护机制，阻止恶意内容生成，又会发生什么？ 在地下黑产圈，人工智能越狱已迅速发展成一门独立的生意。规避安全管控的各类技巧被公开交易、打包出售，与其他网络犯罪服务别无二致。 例如，目前已出现不少俄语电报频道，专门兜售人工智能越狱方法，提供绕过内容过滤机制的分步操作指南。 “Hacking-GPT”的兴起 与这种攻击理念相伴而生的，是一波全新的地下工具潮，它们常常被宣传为犯罪的AI副驾驶。 像 FraudGPT、PhishGPT、WormGPT 和 Red Team GPT 这样的名字在地下频道中公开流传。些工具被标榜为能够一键生成钓鱼邮件、编写诈骗脚本及聊天话术、用通俗语言解释漏洞原理、全程指导用户实施攻击步骤。 对买家而言，信息很明确：你不需要知道黑客攻击如何运作——AI会告诉你该怎么做。 其中一些工具是定制的。许多则不是。实际上，很多”黑客GPT”工具只不过是包装了提示词、模板或回收指南的语言模型。但这样的真相，往往无人在意。 真正关键的是，这些工具能给人带来的心理感受：让人充满信心、觉得自己有能力实施攻击，迫不及待采取行动。 换汤不换药 尽管这些服务都打着AI的旗号，但实际兜售的犯罪勾当，其实并无太多新意。地下黑市的主流业务，依旧是那些大家耳熟能详的项目： 电子邮箱账户破解 社交媒体账户劫持 账号凭证获取与找回 诈骗及信用卡盗刷相关服务 真正发生改变的，是宣传话术。 卖家不再强调技术专业性，而是突出操作的便捷性；不再吹嘘个人技术有多高超，而是承诺全程自动化。AI成了一块金字招牌，哪怕没人能说清它到底在服务中发挥了什么作用。 “AI驱动型黑客攻击”“AI辅助型账户访问”“AI支持的凭证找回”，诸如此类的说法层出不穷，被随意贴在各类服务之上。而这些服务，其实在AI成为热门词汇之前就早已存在。 下面这则来自Tor论坛的帖子，看起来或许有些荒诞，但它真实反映出网络犯罪分子思维与运营模式的转变。 帖主对比了自己过去抢劫自动取款机的经历，以及如今所谓的 “更明智之选”：通过越狱AI系统，结合 n8n、MCP 等自动化平台实施犯罪。 无论其中的描述是否夸大其词，都折射出犯罪分子心态的重大转变,从需要承担物理风险的犯罪模式，转向低投入、高回报、借助人工智能实现的捷径式犯罪，且暴露风险大幅降低。 与以往任何一次地下黑产潮流一样，不法分子正利用当下的人工智能热潮，向渴望走捷径的网络犯罪新手兜售华而不实的服务。 许多打着人工智能旗号的服务广告，被一字不差地复制粘贴到多个论坛和电报频道。对这些卖家而言，曝光度远比原创性重要，营造出的信心感远比实际效果重要。 人工智能没有改变地下黑市的交易内容，它改变的是买家的心理安全感。 打着人工智能旗号的黑客服务，很少针对经验丰富的犯罪分子，其目标客户主要是初涉诈骗领域的新手、技术水平低下的攻击人员、对 “专业黑客攻击” 心存畏惧的人、渴望走捷径而非钻研技术的投机者等。 “AI全程包办”“无需任何经验”“只需提供攻击目标” 之类的话术，在广告中随处可见。其承诺简单直白：你无需搞懂背后的原理，只需按指令操作就行。 这与 “钓鱼即服务” 和勒索软件联盟项目的运营模式如出一辙：通过消除潜在犯罪者的恐惧心理、降低入行门槛，实现犯罪生态的扩张。 地下广告越来越精准地触达那些从不认为自己是 “专业黑客” 的人群，包括新手、抱着猎奇心态的投机分子、对命令行和漏洞利用链心存畏惧的人。 这种转变带来的结果，未必是攻击手段变得更高明，而是攻击的频次大幅增加。 AI开辟犯罪新蓝海 长期以来，有一个观点在业内流传：早期的钓鱼邮件之所以漏洞百出，其实是故意为之。诈骗分子的目标，从来都不是那些能识破拙劣语法和生硬句式的人，而是通过这种方式筛选出那些不会对明显破绽产生怀疑的易受骗人群。 正因如此，人们的收件箱里曾充斥着这样的邮件： 这些邮件绝非因粗心而写得糟糕，而是故意写得荒诞不经。这是一种粗糙却有效的手段，目的是提前筛选出最易受害的目标群体。 但得益于AI技术，现代诈骗邮件措辞考究、表达流畅、极具迷惑性。诈骗分子不再需要依靠蹩脚的语言来筛选目标，反而能批量生成近乎完美的邮件,这些邮件可根据目标人群量身定制、适配不同地区语言习惯，还能精准拿捏受害者的心理。 曾经满是拙劣骗局的 “红海”，已悄然转变为隐蔽性极强的 “蓝海”。这并非因为诈骗行为消失了，而是因为诈骗手段变得愈发难以识别。 “Vibe Hacking”鼓励人们在完全不理解行为后果的情况下贸然行动，将鲁莽操作视为常态。它推崇速度而非谨慎，重视信心而非理解。 “Vibe Hacking”的核心，并非编写更优质的代码或设计更精妙的漏洞利用程序，而是在不求甚解的情况下盲目行动。如今，这种心态正以前所未有的速度蔓延。 2026 年，黑客们想要的只有AI—— 他们的目的，不是精进黑客技术，而是走捷径、跳过技术钻研的苦功。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国科学院与南洋理工大学的联合研究团队，研发出一款名为AURA的新型防护框架，专门用于保护图检索增强生成（GraphRAG）系统中的专有知识图谱，使其免遭窃取与非法滥用。 该研究成果于一周前发表于学术预印本平台 arXiv。论文指出，通过向知识图谱中注入看似真实的虚假数据，可使被盗取的图谱副本对攻击者完全失效，同时确保授权用户的正常使用不受影响。 知识图谱是支撑各类高级 GraphRAG 应用的核心技术，其应用场景覆盖辉瑞的药物研发、西门子的智能制造等关键领域，承载着价值数百万美元的海量知识产权。 现实中的多起数据泄露事件印证了知识图谱面临的安全风险：2018 年，谷歌旗下自动驾驶公司 Waymo 的一名工程师窃取了 1.4 万份激光雷达数据文件；2020 年，黑客通过欧洲药品管理局系统，窃取了辉瑞 – 生物科技联合研发的疫苗相关数据。 攻击者窃取知识图谱的核心目的，是私自复刻 GraphRAG 系统的功能优势。这类窃取行为能够规避水印技术的追踪 —— 水印技术需要获取模型输出结果才能生效；同时也能绕过加密技术的防护 —— 加密会降低低延迟查询的响应速度。 传统防护手段在攻击者离线私自使用失窃图谱的场景下完全失效。尽管欧盟《人工智能法案》与美国国家标准与技术研究院（NIST）的相关框架均强调数据韧性的重要性，但针对这一防护空白，此前始终没有有效的解决方案。 AURA 框架的数据掺假防护策略 AURA 框架跳出了传统的 “防御窃取” 思路，转而采用“降低失窃数据价值”的全新防护路径：它会在知识图谱的关键节点中注入 “掺假数据”，也就是模仿真实数据结构的虚假三元组。 框架通过最小顶点覆盖算法筛选关键节点：针对小规模知识图谱，采用整数线性规划算法实现自适应求解；针对大规模知识图谱，则采用Malatya启发式算法，确保以最少的修改覆盖图谱的全部关联边。 掺假数据的生成兼顾结构合理性与语义一致性：借助 TransE、RotatE 等链接预测模型保障数据结构可信，同时依托大语言模型实现语义层面的连贯。在掺假数据的筛选阶段，研究团队采用基于语义偏差值的影响驱动策略，通过计算句子嵌入向量的欧式距离，为每个节点挑选破坏性最强的掺假数据。 授权系统可通过嵌入在数据中的高级加密标准加密元数据标记（以 “备注” 属性形式存在），在数据检索后利用密钥过滤掉掺假内容，该机制经验证可达到选择明文攻击下的不可区分性（IND-CPA）安全级别。 研究团队基于 MetaQA、WebQSP、FB15k-237、HotpotQA 四大主流数据集，结合 GPT-4o、Gemini-2.5-flash、通义千问 2.5-7B、Llama2-7B 四款大模型开展测试。结果显示，该框架可使94%—96% 的正确答案转为错误输出（危害评分 HS），且掺假数据的检索命中率（ARR）达到 100%。 数据集 GPT-4o 危害评分 数据保真度（CDPA） 延迟增幅 MetaQA 94.7 100% 1.20% WebQSP 95.0 100% 14.05% FB15k-237 94.3 100% 1.50% HotpotQA 95.6 100% 2.98% 测试同时证实，AURA 注入的掺假数据能够有效规避各类检测与净化手段：ODDBALL 异常检测算法的识别率仅为 4.1%，Node2Vec 算法识别率仅为 3.3%；SEKA 数据净化工具的清除率仅为 5.5%，知识图谱嵌入（KGE）技术的清除率也仅为 19.8%。在多跳推理场景下，危害评分随推理步数上升而提高，三跳推理时危害评分达到 95.8%，且该效果在各类检索工具及微软 GraphRAG 等先进框架中均保持稳定。 消融实验验证了混合生成策略的显著优势：纯大语言模型生成的掺假数据易被结构校验机制识别，而纯链接预测模型生成的掺假数据则存在语义缺陷。 实验还发现，每个节点仅注入一条掺假数据，就能使危害评分稳定在 94% 以上的高水平；增加掺假数据的数量，仅能带来边际效益的小幅提升。 该框架目前存在两项局限性：一是尚未解决节点文本描述的防护问题，二是无法完全规避内部人员的数据提纯风险，但可通过 API 访问管控机制缓解这一隐患。AURA 框架开创性地提出了知识图谱知识产权保护的 “主动降级”理念，与 “投毒攻击检索增强生成”“知识图谱投毒攻击” 等攻击性投毒技术，以及 “检索增强生成水印” 等被动水印技术形成鲜明区别。 随着 GraphRAG 技术的普及应用，微软、谷歌、阿里巴巴等科技巨头均已开始布局该防护领域，AURA 框架的落地将为企业抵御人工智能时代的数据窃取攻击提供强有力的技术支撑。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  Linux 内核中存在一处高危竞争条件漏洞（漏洞编号CVE-2025-38352），其验证性利用代码已在GitHub 上公开发布。  该漏洞于今年年初被发现，攻击目标直指内核的POSIX CPU 定时器实现模块，此前曾被用于针对 32 位安卓设备的小规模定向攻击。 CVE-2025-38352 是 Linux 内核handle_posix_cpu_timers()函数中存在的释放后使用漏洞。 此漏洞的触发条件为内核配置项CONFIG_POSIX_CPU_TIMERS_TASK_WORK处于关闭状态 —— 该配置是大多数 32 位安卓内核的默认选项，但 64 位系统一般不会采用。 漏洞的成因是僵尸进程触发 POSIX CPU 定时器时引发的竞争条件：攻击者通过精准把控僵尸进程的创建、父进程对其的回收操作以及定时器的删除时机，可诱导内核访问已释放的内存区域，进而实现权限提升或内核代码执行。 区块链安全公司 Zellic 的研究员Faith发布了一款名为Chronomaly的全功能漏洞利用工具，专门针对 Linux 内核 5.10.x 版本发起攻击。 该研究员还同步发布了一个分为三部分的系列技术博客，详细拆解漏洞的发现过程、技术原理及利用手法，借此对外公布这款漏洞利用工具。 这款漏洞利用工具的一大显著优势是无需依赖内核符号偏移量或特定内存地址，因此可跨不同内核配置环境移植使用。 工具中集成了两项核心技术：一是通过操控 CPU 定时器实现的竞争时间窗口延长技术，二是针对sigqueue结构体的跨缓存区分配策略。 需要注意的是，该漏洞利用工具需在至少配备双核 CPU 的多核系统中运行，才能稳定触发竞争条件漏洞。 经测试验证，该工具可成功攻击运行 5.10.157 版本内核的 QEMU 虚拟化 Linux 系统，且其参数可根据不同运行环境灵活调整。 目前，该漏洞已被列入CISA的已知被利用漏洞目录，这意味着该漏洞已存在真实的在野攻击活动。 尽管漏洞威胁目前主要集中于 32 位安卓设备，但相关内核组件同样存在于其他基于 Linux 的 32 位操作系统中，这些系统也面临潜在风险。 GitHub 上的漏洞公告指出，用户应尽快将内核更新至已修复该漏洞的版本，或启用内核配置项CONFIG_POSIX_CPU_TIMERS_TASK_WORK以规避风险。 Linux 主线内核已通过编号为f90fff1e152dedf52b932240ebbd670d83330eca的提交记录完成漏洞修复，修复的核心逻辑为禁止内核对僵尸进程执行定时器处理操作。 设备制造商及系统管理员应将内核更新列为优先事项，以缓解这一高危漏洞带来的安全风险。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款名为GoBruteforcer的高复杂度 Go 语言僵尸网络，正针对全球范围内的 Linux 服务器发起猛烈攻击，通过暴力破解手段尝试获取 FTP、MySQL、PostgreSQL 及 phpMyAdmin 等公网暴露服务的弱密码。  Check Point Research近期记录到该恶意软件的 2025 年变种版本，其技术水平较之前版本实现大幅升级，已成功攻陷数万台服务器。 该僵尸网络采用模块化感染链架构，核心组件包含网页后门、下载器、互联网中继聊天（IRC）僵尸程序以及暴力破解模块。 据切克波因特的分析数据显示，全球超5 万台公网暴露服务器或面临高布鲁特福瑟攻击风险，目前有近 570 万台 FTP 服务器、223 万台 MySQL 服务器及 56 万台 PostgreSQL 服务器在默认端口上暴露。 人工智能生成服务器配置成攻击推手 本轮GoBruteforcer攻击浪潮的爆发，主要源于两大关键因素：一是大量运维人员直接复用人工智能生成的服务器部署示例，这类配置模板普遍存在通用用户名与弱默认密码问题；二是 XAMPP 等老旧网站集成环境仍被广泛使用，其搭载的各类服务缺乏基础加固措施。 研究人员发现，该僵尸网络在暴力破解的凭证列表中，大量使用 “appuser”“myuser” 等通用运维用户名，而这些用户名恰好是大型语言模型在生成数据库配置示例时最常推荐的默认名称。 切克波因特的调查显示，高布鲁特福瑟使用的凭证列表，与一个包含 1000 万条泄露密码的数据库存在约2.44% 的重合度。 尽管这一匹配成功率看似较低，但庞大的暴露服务基数，使得暴力破解攻击对威胁行为体而言具备极高的经济效益。谷歌 2024 年《云威胁态势报告》指出，在遭攻陷的云环境中，47.2% 的初始入侵路径均源于弱密码或缺失身份验证机制，这也印证了此类攻击手段的可行性。 僵尸网络的命令与控制服务器会下发包含 200 组凭证的列表用于暴力破解任务，且攻击配置文件每周会更新数次。 密码列表的生成逻辑十分固定，仅基于 375-600 个常用弱密码构成基础库，再衍生出 “appuser1234”“operatoroperator” 等基于用户名变体的密码组合。 相较于 2023 年首次被记录的早期版本，2025 年变种版本实现多项重大技术升级：其 IRC 僵尸程序组件已完全基于 Go 语言重构，并使用加布勒混淆工具（Garbler）进行深度代码混淆，彻底取代了原先基于 C 语言的开发架构。 该恶意软件还新增进程伪装技术，通过调用prctl系统调用将自身进程名修改为 “init”，并对二进制文件进行覆盖处理，以此躲避安全检测。 研究人员还发现一个以加密货币敛财为目标的攻击活动，威胁行为体在攻陷服务器后，会部署额外的 Go 语言工具集，其中包含针对波场（TRON）及币安智能链的挖矿程序与钱包窃取工具。 在一台被攻陷的服务器上，调查人员提取到一个包含约 2.3 万个波场钱包地址的文件，并通过链上交易数据分析证实，这批攻击已成功实现经济收益。 该僵尸网络通过多重机制保障自身的抗打击能力：内置备用 C2 服务器地址、基于域名的故障恢复路径，以及将已感染主机升级为分发节点或 IRC 中继服务器的功能。 IRC 僵尸程序模块每日可完成两次更新，暴力破解组件则通过与系统架构匹配的 Shell 脚本下载，并在执行前校验文件的 MD5 哈希值，确保恶意程序未被篡改。 攻击兼具广谱性与针对性 GoBruteforcer的攻击活动同时具备广谱扫射与定向行业打击的双重特征。通用型攻击活动会组合使用通用运维用户名与标准弱密码发起试探；而专项攻击任务则会采用 “cryptouser”“appcrypto” 等加密货币相关用户名，或 “wpuser” 这类针对 WordPress 系统的专属凭证。 该恶意软件还会针对性攻击 XAMPP 集成环境 —— 这一热门开发工具通常默认启用 FTP 服务，并将 FTP 根目录映射到公网可访问的网页路径，存在严重安全隐患。 僵尸网络的架构设计具备高效攻击能力，受感染主机每秒可扫描约 20 个 IP 地址，且在 FTP 攻击任务执行期间，能将带宽消耗控制在较低水平：出站流量约 64 千比特 / 秒，入站流量约 32 千比特 / 秒。 攻击线程池的规模会根据目标服务器的 CPU 架构动态调整：64 位系统上会运行 95 个并发暴力破解线程，32 位系统则会适配为更少的线程数。 该恶意软件还具备智能目标筛选能力，会主动排除私有网络、云服务商网段及美国国防部 IP 地址范围，以此降低被安全监测系统发现的概率。 防护建议 企业可通过以下措施降低GoBruteforcer攻击风险：实施强密码策略、关闭不必要的公网暴露服务、部署多因素身份验证机制，以及持续监测异常登录尝试行为。 相关威胁指标（IOC） 类型 指标内容 描述 网络地址 190.14.37[.]10 命令与控制服务器（活跃端点） 网络地址 93.113.25[.]114 命令与控制服务器（活跃端点） 网络地址 fi.warmachine[.]su 命令与控制服务器 网络地址 xyz.yuzgebhmwu[.]ru 命令与控制服务器（活跃端点） 网络地址 pool.breakfastidentity[.]ru 命令与控制服务器 网络地址 pandaspandas[.]pm 命令与控制服务器（列表中重复出现） 网络地址 my.magicpandas[.]fun 命令与控制服务器 文件哈希（SHA-256） 7423b6424b26c7a32ae2388bc23bef386c30e9a6acad2b63966188cb49c283ad IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） 8fd41cb9d73cb68da89b67e9c28228886b8a4a5858c12d5bb1bffb3c4addca7c IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） bd219811c81247ae0b6372662da28eab6135ece34716064facd501c45a3f4c0d IRC 僵尸程序（ARM 架构） 文件哈希（SHA-256） b0c6fe570647fdedd72c920bb40621fdb0c55ed217955557ea7c27544186aeec IRC 僵尸程序（ARM64 架构） 文件哈希（SHA-256） ab468da7e50e6e73b04b738f636da150d75007f140e468bf75bc95e8592468e5 暴力破解模块（x86 架构） 文件哈希（SHA-256） 4fbea12c44f56d5733494455a0426b25db9f8813992948c5fbb28f38c6367446 暴力破解模块（x64 架构） 文件哈希（SHA-256） 64e02ffb89ae0083f4414ef8a72e6367bf813701b95e3d316e3dfbdb415562c4 暴力破解模块（ARM 架构） 文件哈希（SHA-256） c7886535973fd9911f8979355eae5f5abef29a89039c179842385cc574dfa166 暴力破解模块（ARM64 架构） 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  网络威胁行为体正利用邮件路由配置漏洞及伪造防护措施的配置失误，仿冒企业内部域名发送邮件，以此实施钓鱼攻击。 微软威胁情报团队在周二发布的报告中指出：“威胁行为体借助该攻击路径，投递各类钓鱼邮件，这些邮件多与Tycoon 2FA等钓鱼即服务平台相关联。邮件诱饵主题涵盖语音留言、共享文档、人力资源部通知、密码重置或过期提醒等，最终目的是窃取用户凭证信息。” 尽管此类攻击手段并非首次出现，但微软表示，自 2025 年 5 月起，该攻击手法的使用频次显著上升，被用于针对多个行业、各类企业的随机性攻击活动。其中就包括一系列通过伪造邮件实施的企业金融诈骗攻击。 一旦攻击得逞，威胁行为体可窃取用户凭证，并借此开展后续攻击活动，包括数据窃取、企业邮箱劫持等。 这类安全隐患主要出现在以下场景：企业租户配置了复杂的邮件路由规则，且未严格落实域名伪造防护机制。复杂路由的典型案例为：将邮件交换记录先指向本地部署的 Exchange 邮件环境或第三方邮件服务，再跳转至微软 365 平台。 这种配置方式会形成安全漏洞，让攻击者有机可乘，发送看似源于企业租户内部域名的伪造钓鱼邮件。调查发现，绝大多数采用该攻击路径的钓鱼活动，均使用了Tycoon 2FA钓鱼即服务工具包。微软透露，仅在 2025 年 10 月，就拦截了超过 1300 万封与该工具包相关的恶意邮件。 钓鱼即服务工具包属于即插即用型平台，即便是技术水平有限的诈骗分子，也能借助这类工具轻松创建并管理钓鱼攻击活动。平台提供可自定义的钓鱼邮件模板、攻击基础设施等功能，助力诈骗分子窃取用户凭证，并通过中间人钓鱼手段绕过多因素认证机制。 微软还发现，部分伪造邮件以虚假发票为诱饵，诱导企业进行转账支付，进而造成企业的经济损失。此外，这类钓鱼邮件还会仿冒电子签名平台等正规服务，或谎称来自人力资源部门，以薪资调整、福利变更等事由实施诈骗。 用于金融诈骗的钓鱼邮件，往往伪装成企业首席执行官、服务供应商、公司财务部门之间的沟通对话内容。为增加骗局可信度，邮件通常会附带三份伪造文件： 伪造的数千美元金额转账发票，要求收款方将款项汇入指定银行账户； 美国国税局 W-9 表格，表格中包含用于开立该诈骗账户的个人姓名及社会安全号码； 伪造的银行证明信，谎称由开立诈骗账户的网络银行员工出具。  微软补充道：“攻击者可能在邮件正文中植入可点击链接，或在附件中嵌入二维码，诱导收件人访问钓鱼页面。此类邮件最显著的特征，就是对终端用户显示为‘内部邮箱发送’，且邮件的‘发件人’与‘收件人’字段甚至会使用同一个邮箱地址。” 为防范此类风险，微软建议企业采取以下防护措施：部署严格的基于域名的邮件身份验证、报告与一致性协议拒绝策略及发件人策略框架强制失效策略，同时正确配置第三方连接器（如反垃圾邮件过滤服务、邮件归档工具等）。 需要特别注意的是，若企业租户将 MX 记录直接指向微软 365（Office 365）平台，则不会受到此类攻击路径的威胁。此外，微软建议企业在非必要情况下关闭直接发送功能，以拦截仿冒企业域名的钓鱼邮件。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文