HackerNews

HackerNews 编译，转载请注明出处： 2025 年 12 月 26 日，罗马尼亚最大燃煤电力生产商 —— 奥尔特尼亚能源综合体遭受勒索软件攻击，其信息技术系统陷入瘫痪。 奥尔特尼亚能源综合体（简称奥能综合体）是罗马尼亚主要的国有褐煤开采及燃煤发电企业，在罗维纳里、图尔切尼、克拉约瓦三地运营着 12 座发电机组，总装机容量达 3570 兆瓦；同时下辖 15 座露天矿，年褐煤产量约 1500 万至 1800 万吨。该企业现有员工约 1 万人（较此前的 1.5 万人有所缩减），服务于数十万至数百万量级的电力批发及零售客户；2017 年营收约为 9.4 亿欧元，在业务重组后实现了近期盈利。面对欧盟绿色转型政策要求，该企业正投入 14 亿欧元发展光伏发电与天然气发电项目，以保障基础电力供应安全。 2025 年 12 月 26 日，该企业检测到 Gentlemen勒索软件攻击，此次攻击导致大量文件被加密，企业资源规划系统（ERP）、电子邮箱及官方网站等核心信息技术系统均受干扰。尽管公司部分业务运转受到波及，但这家罗马尼亚能源供应商强调，全国能源供应未受影响。奥尔特尼亚能源综合体已对受影响系统进行隔离，并向罗马尼亚国家网络安全局、能源部等相关部门通报情况。 信息技术团队已着手在新的基础设施上，通过备份数据恢复各项服务，而此次事件的影响范围以及是否存在数据泄露问题，目前仍在调查之中。 该企业发布的声明称：“2025 年 12 月 26 日凌晨 1 时 40 分左右，我方检测到一起名为 Gentlemen勒索软件网络攻击，此次攻击对奥尔特尼亚能源综合体的业务信息技术基础设施造成影响。” 声明还指出：“攻击发生后，部分文档和文件被加密，多个计算机应用程序暂时无法使用，其中包括企业资源规划系统、文件管理应用、电子邮件服务及公司官网。公司业务运营受到部分影响，但未对国家能源系统的稳定运行构成威胁。” 目前，该企业正就此次事件展开调查，以确定安全漏洞的波及范围和具体严重程度。尚无法确认攻击者是否从奥尔特尼亚能源综合体窃取了数据。 此外，该企业已向罗马尼亚有组织犯罪与恐怖主义调查局提起刑事诉讼。 截至本文发稿时， Gentlemen勒索软件团伙尚未将这家罗马尼亚能源企业列入其洋葱网络数据泄露网站，这一情况或表明双方正处于赎金谈判阶段。 近期，罗马尼亚国家水利管理局同样遭遇了勒索软件攻击。 据罗马尼亚国家网络安全局通报，此次攻击影响了该局总部及 11 个地区分局中的 10 个分局，波及约 1000 台计算机系统。地理信息系统服务器、数据库、电子邮件、网络服务、Windows 工作站以及域名服务器等多项信息技术资产均受干扰。 有关部门强调，负责水利基础设施管控的运营技术系统未受攻击影响，水利业务运转一切正常。 参与事件调查的政府专家证实，攻击者使用Windows BitLocker 加密功能对系统实施加密，并发布勒索通知，要求受害者在 7 日内与其取得联系。不过，目前此次攻击的传播途径尚未查明。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国两家银行近日相继发声，提醒客户其信息受到了今年 8 月一起针对知名金融软件公司的勒索软件攻击影响。 工匠银行与维拉银行上周向缅因州监管机构通报，近期发生的数据泄露事件，源头正是Marquis Software遭遇的网络攻击。这家软件公司此前曾披露，约在 8 月 14 日遭受勒索软件攻击，导致数十家企业客户及数千名下游用户受到波及。 维拉银行在致受害者的信函中说明，Marquis Software是该行 “客户沟通与数据分析服务商”。 这家总部位于得克萨斯州的银行表示：“该服务商有权访问你的相关数据，一方面用于向你推送重要的必要信息更新，另一方面也用于分析何种银行产品与服务最契合你的需求。我们是在服务商签订数据安全保护相关合同后，才向其开放数据访问权限的。” 此次事件共导致 37318 人的信息被盗，但信函中并未提及具体失窃的信息内容。 总部位于特拉华州的工匠银行透露，该行于 10 月收到Marquis Software的事件通知，经核查发现，有 32344 人的姓名及社会保障号码因这次网络攻击泄露。 两家银行均强调，黑客并未入侵银行自身系统，被盗信息均为 “由Marquis Software负责维护的数据”。 Marquis Software为美国数百家信用社及银行提供数据分析、合规解决方案与数字营销工具，维拉银行和工匠银行是最新一批披露受该公司攻击事件波及的下游金融机构。 Marquis Software在其发布的事件公告中表示，公司于 8 月发现攻击后，已第一时间向联邦执法部门报案。 经调查，此次入侵的根源是其梭子鱼防火墙设备存在安全漏洞。该公司称，被盗的个人信息包括姓名、住址、电话号码、社会保障号码、纳税人识别号、不含安全码或访问码的金融账户信息，以及出生日期。 10 月 27 日至 11 月 25 日期间，Marquis Software已通知至少 74 家银行、信用社及金融机构，告知其信息涉及本次数据泄露。除了向缅因州、南卡罗来纳州、华盛顿州、艾奥瓦州等多地监管机构提交自身的事件报告外，该公司还代多家金融机构发布了数据泄露通知。 对于受影响金融机构数量是否持续增加、以及受害者总人数等问题，马奎斯软件未回应置评请求。 多家律所及网络安全研究人员通过汇总多州数据泄露登记系统的受害者统计数据推算，此次事件的受害者人数或在 78.8 万至 135 万之间。 网络安全公司 “比较科技” 还获取到了一封已被删除的泄露通知函，该函件来自艾奥瓦州的第一社区信用社，其中提到Marquis Software已向发起此次攻击的黑客组织支付了赎金。 针对赎金支付相关问题，Marquis Software同样未予置评。目前，尚无任何勒索软件团伙公开宣称对此次攻击负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者注册了一个与 Microsoft Activation Scripts（MAS）工具极其相似的域名，通过拼写错误诱导用户下载恶意 PowerShell 脚本，进而感染 Windows 系统，植入名为 Cosmali Loader 的加载器。 昨日，Reddit 上多名 MAS 用户发帖称，系统突然弹出警告窗口，提示已感染“Cosmali Loader”： 你因为把 get.activated.win 错打成 get.activate[.]win 而感染了 cosmali loader 恶意软件。 该恶意软件的面板未设权限，任何访问者都能控制你的电脑。 请重装系统，下次别再打错。 想验证是否中毒，打开任务管理器查看可疑 PowerShell 进程即可。 合法 MAS 官方地址为 get.activated.win，攻击者仅去掉一个字母 d，注册相似域名 get.activate[.]win，专等用户手滑输错。 安全研究员 RussianPanda 发现，这些弹窗与开源 Cosmali Loader 有关，其功能包括投递挖矿程序与远程控制木马 XWorm。 目前尚不清楚是谁向受害者推送了“好心警告”，推测有白帽潜入恶意软件控制面板，借其广播功能提醒中招用户。 MAS 是一套托管在 GitHub 的开源 PowerShell 脚本集合，可通过 HWID、KMS 模拟及 Ohook、TSforge 等方式激活 Windows 与 Office。微软将其视为盗版工具，项目方也已发公告提醒用户核对网址、谨慎输入命令。 安全建议 不执行看不懂的远程命令 先在沙箱测试 尽量复制粘贴，避免手打误入钓鱼域 非官方激活器历来常被用来带毒，务必三思 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   育碧旗下战术射击游戏《彩虹六号：围攻》（R6）发生安全事件：攻击者滥用内部系统，随意封禁/解封玩家、篡改封禁公告，并向全球账号发放巨额游戏货币与全部外观物品。 据玩家截图与社区反馈，黑客至少实现了以下操作： 任意封禁或解封玩家账号 在滚动封禁公告中插入伪造信息 给所有玩家发放约 20 亿点 R6 点券 与声望 解锁全部外观，含仅限开发者的内部皮肤 R6 点券为官方商城出售的付费货币，定价 15,000 点券 ≈ $99.99，因此 20 亿点券价值约 1,333 万美元。 周六上午 9:10，@Rainbow6Game 官方账号发推承认“发现问题，团队正在处理”。 随后育碧主动关闭游戏服务器及内置商城：“为确保修复，Siege 与 Marketplace 已暂时下线。” 最终公告明确三点： 玩家不会因花掉被发放的点券而受到处罚； 所有自 UTC 11:00 起的交易将被回滚； 滚动封禁信息并非官方生成，该功能早已禁用。 目前服务器仍处维护状态，育碧尚未发布正式事故报告，也未回复 BleepingComputer 的置评邮件。 更大规模入侵传闻 VX-Underground 称，有多个互无关联的黑客组织宣称已深入育碧基础设施： 组织 A：仅利用 R6 服务操纵封禁与库存，未触碰用户数据； 组织 B：借助近期公开的 MongoDB 漏洞 CVE-2025-14847（MongoBleed），从暴露实例中提取内存凭据，进而进入育碧内部 Git，声称窃取自 1990 年代至今的全部源代码； 组织 C：同样利用 MongoBleed 拿到用户数据，正向育碧勒索； 组织 D：反驳部分说法，称“组织 B 拿到源码已有一段时间”。 BleepingComputer 尚无法独立验证上述声明，包括 MongoBleed 是否被利用、源码或用户数据是否泄露。 目前可确认的范围仅限于《彩虹六号：围攻》游戏内异常。 若育碧后续披露更多信息，我们将持续更新。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trust Wallet 官方证实，12 月 24 日发布的 Chrome 扩展程序更新被植入恶意代码，已造成约 700 万美元的加密资产失窃。 币安创始人赵长鹏（CZ）在 X 平台发文称：“截至目前，此次攻击已影响约 700 万美元。Trust Wallet 将全额赔付，用户资金 SAFU。对造成的不便深表歉意。”“团队仍在调查黑客是如何提交了新版本。” 与此同时，BleepingComputer 发现攻击者趁火打劫，注册钓鱼域名，假借“漏洞修复”之名继续洗劫受害用户钱包。 平安夜更新后钱包被掏空 12 月 24 日起，大量用户在社交媒体反映，刚升级 Trust Wallet Chrome 扩展后资产瞬间被转走。现已确认，这起供应链攻击至少造成 700 万美元损失。 Trust Wallet 是一款热门非托管钱包，支持移动端与 Chrome 浏览器扩展，用于管理多链资产并与 dApp 交互。 早先有用户发帖：“越来越多人抱怨，浏览器扩展一授权，钱就消失了……损失已超 200 万美元？” 安全分析师 Akinator 提醒：“在官方结论出炉前，请立即停用 Trust Wallet Chrome 扩展。” BleepingComputer 确认，Trust Wallet 于 12 月 24 日发布了 2.68.0 版本，随后钱包被盗报告激增。舆论发酵后，Trust Wallet 悄然在 Chrome 商店推送 2.69 版。 研究人员很快在 2.68.0 的打包文件 4482.js 中发现可疑代码：“新版偷偷加入了一段‘分析’代码，一旦导入助记词，就把钱包数据外发到 api.metrics-trustwallet[.]com。”该域名系事发前几天刚注册，现已无法访问。 安全研究员 Andrew Mohawk 最初持怀疑态度，最终证实该接口确实用于窃取密钥。 WHOIS 显示，metrics-trustwallet[.]com 与后续出现的钓鱼域名 fix-trustwallet[.]com 注册商相同，极可能由同一团伙操控。 官方确认安全事件 昨晚，Trust Wallet 公告承认 2.68.0 版扩展“遭遇安全事件”，呼吁用户立即升级至 2.69。对于受影响人数及具体损失，官方尚未回应媒体问询。 钓鱼网站趁火打劫 恐慌期间，多个 X 账号诱导用户访问 fix-trustwallet[.]com。该站仿冒官网，声称“修复漏洞”，实则弹窗索要助记词。一旦输入，攻击者可立即转走全部资产。 用户应立即执行以下操作 若未升级，切勿打开桌面端扩展。 在浏览器地址栏输入： chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph 关闭 Trust Wallet 扩展开关。 打开右上角“开发者模式”。 点击左上角“更新”按钮，确保版本号为 2.69。 若怀疑已泄露，立即新建钱包并转移剩余资产，旧助记词永久作废。 Trust Wallet 表示客服已主动联系受损用户，其他问题可提交至： https://twtholders.trustwallet.com   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LangChain Core（langchain-core）是 LangChain 生态的核心 Python 包，为构建大模型应用提供通用接口与模型无关工具。安全研究员 Yarden Porat 于 2025 年 12 月 4 日披露了一个严重漏洞（CVE-2025-68664，CVSS 9.3），代号“LangGrinch”。 公告指出： “LangChain 的 dumps() 与 dumpd() 函数存在序列化注入缺陷。函数在序列化自由格式字典时，未对含有内部保留键 ‘lc’ 的字典做转义。’lc’ 被 LangChain 用于标记已序列化的对象。当用户可控数据携带该键结构时，在反序列化阶段会被当成合法的 LangChain 对象，而非普通用户数据。” 漏洞根因： dumps()/dumpd() 未转义用户可控字典中的 “lc” 键；当后续用 load()/loads() 反序列化时，这些数据被当作有效 LangChain 对象实例化，而非普通输入。攻击者可通过 metadata、response 等字段注入恶意对象结构。虽然无法加载任意外部类，但可在受信任的 LangChain 命名空间（如 langchain_core、langchain_community）内实例化 Serializable 子类，其中部分类在初始化时会产生副作用。 Cyata 研究员 Yarden Porat 强调： “一旦攻击者能让 LangChain 的编排循环先序列化、再反序列化带有 ‘lc’ 键的内容，就能实例化任意不安全对象，打开多种攻击面。” 潜在危害： 从环境变量泄露机密 在受信任命名空间实例化危险类 通过 Jinja2 模板造成代码执行 借助提示注入，把恶意对象藏进用户可控字段（如 metadata） Porat 指出，该漏洞尤为严重： 位于 langchain-core 本体，而非外围工具或极端场景； dumps()/dumpd() 是框架核心 API，全球累计安装量数亿； 单条提示即可间接触发——LLM 输出可能影响后续被序列化的 metadata，正常业务流程就能完成攻击，隐蔽且影响面广。 修复版本：1.2.5、0.3.81 已发布补丁，请立即升级。 消息来源： securityaffairs.com ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客“Lovely”宣称攻破康泰纳仕系统，泄露 230 万《WIRED》订阅者数据，并威胁将曝光旗下其他品牌多达 4000 万用户的信息。 据称，这批数据于 2025 年 12 月 20 日被发布在新兴黑客论坛 Breach Stars 上，附带下载链接与文件哈希值。黑客指责《WIRED》母公司康泰纳仕在收到多次安全警告后仍置之不理。 Lovely 在论坛留言中写道： “康泰纳仕根本不在乎用户数据安全。我们花了一个月时间才说服他们修复网站漏洞。接下来几周，我们会陆续泄露超过 4000 万用户的数据，敬请期待！” 起初，Lovely 假扮安全研究员，声称希望协助康泰纳仕进行负责任的漏洞披露；但随后承认已下载完整数据库并威胁公开，误导了 DataBreaches.net。 黑客声称已侵入康泰纳仕的集中式账户体系，覆盖旗下《纽约客》《WIRED》《Vogue》《GQ》等主要品牌，总计逾 4000 万用户，并扬言将分批公开这些用户的个人资料。 Hackread 报道称，泄露文件中还包含近 950 万条标记为“NIL”的记录以及若干国际小型子集，进一步佐证了“统一身份基础设施”的存在。 被泄信息包括：姓名、邮箱地址、用户 ID、显示昵称、账户创建与更新时间戳，部分记录还含最后登录时间。 数据集中既有系统生成的测试邮箱，也有真实个人邮箱，确认最早可追溯到 2011 年的真实用户账户；创建时间跨度为 2011–2022 年，登录活跃度不一。 未涉及密码或支付信息。 Hudson Rock 联合创始人 Alon Gal 通过将泄露记录与窃密木马日志比对，验证了数据真实性。 “Hudson Rock 利用窃密木马感染数据，确认这 230 万条《WIRED》记录属实。更令人担忧的是，黑客声称即将公开一份包含 4000 万行的康泰纳仕更大规模数据库，预计波及《Vogue》《纽约客》《名利场》等知名刊物。”公司官网 Infostealers 发布的报告指出。 “我们验证发现，当前数据真实且新鲜，最新条目截至 2025 年 9 月 8 日。” Gal 强调，超 10.2 万条家庭地址的泄露已带来严重风险，若更大规模数据发布，可能引发人肉搜索、报假警（swatting）以及利用康泰纳仕品牌背景实施精准鱼叉式钓鱼攻击。 目前，该数据集已被收录进“Have I Been Pwned”泄露查询库。   消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 披露了一个高危安全漏洞，可能允许未认证用户读取未初始化的堆内存。 该漏洞编号为 CVE-2025-14847（CVSS 评分：8.7），被描述为“长度参数不一致处理不当”的问题。当程序未能正确处理长度字段与实际数据长度不一致的情况时，就会触发该漏洞。 根据 CVE.org 的描述：“Zlib 压缩协议头中的长度字段不匹配，可能允许未认证客户端读取未初始化的堆内存。” 受影响的数据库版本包括： MongoDB 8.2.0 至 8.2.3 MongoDB 8.0.0 至 8.0.16 MongoDB 7.0.0 至 7.0.26 MongoDB 6.0.0 至 6.0.26 MongoDB 5.0.0 至 5.0.31 MongoDB 4.4.0 至 4.4.29 所有 MongoDB Server v4.2 版本 所有 MongoDB Server v4.0 版本 所有 MongoDB Server v3.6 版本 该问题已在以下 MongoDB 版本中得到修复： 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 MongoDB 官方表示：“攻击者可在未认证的情况下，通过客户端利用服务器的 zlib 实现，返回未初始化的堆内存。我们强烈建议尽快升级至已修复版本。” 如果无法立即更新，建议通过启动 mongod 或 mongos 时设置 networkMessageCompressors 或 net.compression.compressors 参数，显式排除 zlib 来禁用 MongoDB 服务器的 zlib 压缩。MongoDB 支持的替代压缩算法包括 snappy 和 zstd。 安全公司 OP Innovate 指出：“CVE-2025-14847 允许远程、未认证的攻击者触发 MongoDB 服务器返回其堆中的未初始化内存。这可能导致敏感内存数据泄露，包括内部状态信息、指针或其他有助于进一步攻击的数据。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 又名 Bronze Highland、Daggerfly、StormBamboo 的 Evasive Panda APT 组织自 2022 年 11 月起持续发动定向攻击，通过“中间人（AitM）+ DNS 投毒”组合手法，向土耳其、中国、印度等多国目标植入 MgBot 后门，行动至少延续至 2024 年 11 月。 攻击者将恶意程序伪装成搜狐影音、爱奇艺、IObit Smart Defrag、腾讯 QQ 等主流应用的“升级包”。当用户点击更新时，DNS 响应被篡改，域名解析指向攻击者服务器，例如 p2p.hd.sohu.com[.]cn 被解析为恶意 IP，下载到的 sohuva_update_10.2.29.1-lup-s-tp.exe 实为木马。 Securelist 分析指出，黑客先通过 DNS 投毒劫持合法更新请求，再把加密后的恶意组件存放在自己服务器，并借特定域名解析返回，加大溯源难度。 初始加载器使用单字节 XOR 解密配置，若当前用户为 SYSTEM，则复制自身并追加 ext.exe 后缀。随后解密 9556 字节 shellcode，因 .data 段默认不可执行，调用 VirtualProtect 改权限以隐蔽运行。 多阶段感染与混合加密 1. 第一段 shellcode 在安装目录寻找指定 DAT 文件，存在则调用 CryptUnprotectData 本地解密，用完即删； 2. 若无 DAT，则通过被 DNS 投毒的 dictionary[.]com（按受害者地理位置返回不同恶意 IP）下载加密数据； 3. 第二段载荷伪装成 PNG，采用 DPAPI+RC5 混合加密：RC5 密钥先被 DPAPI 加密并存放于 perf.dat 前 16 字节，剩余部分为 RC5 加密内容； 4. 次级加载器 libpython2.4.dll 借助合法签名程序 evteng.exe 进行 DLL 侧载，进一步隐蔽； 5. 最终解密出的 MgBot 被注入 svchost.exe，实现长期驻留。配置内含战役名、硬编码 C2 地址及加密密钥，部分服务器已活跃多年。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为巩固美国在人工智能领域的领先地位，美国国家标准与技术研究院（NIST）宣布投入 2000 万美元启动一项大型 AI 安全计划，用于新建两大研发中心——“美国制造业生产力 AI 经济安全中心”和“保护美国关键基础设施免受网络威胁 AI 经济安全中心”。两家机构均由非营利组织 MITRE 运营。 NIST 在 12 月 22 日的公开声明中表示，这些中心将开发必要的技术评估与进步，“有效保护美国在 AI 创新中的主导地位，应对对手利用 AI 带来的威胁，并降低对不安全 AI 依赖的风险”。该院期望借此实现应用科学与先进技术的突破，为国家最紧迫的挑战提供颠覆性创新解决方案。 美国商务部副部长保罗·达巴尔称，这笔投资将“推动美国制造业复兴”，提升制造商竞争力并吸引国内外资本。兼任商务部标准与技术代理副部长、NIST 代理院长的克雷格·伯克哈特亦指出：“与 MITRE 的新协议将聚焦提升美国企业高效生产高价值产品的能力，满足国内外市场需求，并催化新技术、新设备的发现与商业化。” 该投资是 NIST《21 世纪美国技术领先战略》的一部分，旨在加速关键与新兴技术从研发到落地的进程，并与白宫 2025 年 7 月发布的《美国人工智能行动计划》中“加速 AI 创新”和“建设美国 AI 基础设施”两大支柱相契合。 两大中心将承接 NIST 主导的一系列 AI 与安全项目，包括前身为“美国 AI 安全研究所”的“AI 标准与创新中心”（CAISI）。此外，NIST 即将公布 Manufacturing USA 项目下的“韧性制造 AI 研究院”，拟投入 7000 万美元联邦资金并撬动私人投资，强化 AI 驱动的供应链与制造韧性。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 本周三表示，在特定配置下，已观察到五年前披露的一个 FortiOS SSL VPN 安全缺陷（CVE-2020-12812）被“近期滥用”。该漏洞评分 5.2，属于认证不当：若登录时改变用户名大小写，可在启用 2FA 的情况下跳过第二因素验证。 Fortinet 早在 2020 年 7 月就解释过：当用户本地启用 2FA，且认证类型指向远程 LDAP 时，本地与远程对大小写敏感度不一致，即可触发绕过。该漏洞随后被多家威胁组织利用，美国政府也在 2021 年将其列入“边界设备被武器化漏洞”清单。 2025 年 12 月 24 日，Fortinet 更新公告，给出精确触发条件： 1. FortiGate 上存在引用 LDAP 并启用 2FA 的本地用户条目； 2. 这些用户同时是 LDAP 服务器某组成员； 3. FortiGate 配置了对应 LDAP 组，并把它用在管理、SSL 或 IPsec VPN 等认证策略中。 一旦满足，LDAP 用户即可绕过 2FA，直接走 LDAP 完成登录。原因在于 FortiGate 把用户名当大小写敏感，而 LDAP 不区分。若用户用 “Jsmith”“jSmith” 等非完全匹配的大小写形式登录，FortiGate 找不到本地条目，就会按其他策略继续匹配，最终落到 LDAP 组，凭正确密码即可成功，无视本地 2FA 或禁用状态。 Fortinet 已在 2020 年 7 月发布 6.0.10、6.2.4、6.4.1 修复。若无法升级，可为所有本地账户执行： set username-case-sensitivity disable 对于 6.0.13、6.2.10、6.4.7、7.0.1 及更高版本，应使用： set username-sensitivity disable 关闭后，FortiGate 会把所有大小写形式视为同一用户，避免回落到错误配置的 LDAP 组。进一步缓解可删除不必要的 LDAP 组，彻底阻断攻击路径。 新公告未透露攻击细节或是否得手，仅建议客户如发现管理员或 VPN 用户未经 2FA 成功登录，立即联系支持并重置全部凭据。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 区块链情报公司 TRM Labs 最新调查显示，2022 年 LastPass 数据泄露事件中被窃的加密备份文件，因部分用户主密码强度不足，至今仍在被黑客离线破解，导致加密货币资产持续失窃，最近一次盗币发生在 2025 年 10 月。 链上证据显示，俄罗斯网络犯罪集团深度参与：相关资金多次与俄罗斯关联基础设施交互，混币前后控制权一致，且持续使用高风险俄系交易所套现。TRM Labs 指出，评估结论“基于完整的链上证据链”。 2022 年，LastPass 遭重大入侵，攻击者获取大量客户加密密码库，内含加密货币私钥、助记词等敏感信息。英国信息专员办公室（ICO）本月早些时候以“未采取足够技术和安全措施”为由，对 LastPass 处以 160 万美元罚款。事发后 LastPass 曾警告，黑客可能用暴力破解手段还原主密码；TRM Labs 证实这一预言已成现实。 “任何主密码薄弱的密码库都可能被离线爆破，2022 年的一次入侵为攻击者打开了持续数年的盗窃窗口。由于用户未更换密码或加固库文件，黑客在数年后仍能破解并转走资产，最晚一批盗币发生在 2025 年底。” 资金流向凸显俄罗斯背景：混币后主要通过 Cryptomixer.io 洗白，再经 Cryptex、Audia6 两家俄系交易所套现。其中 Cryptex 已于 2024 年 9 月被美国财政部制裁，理由是其接收逾 5120 万美元勒索软件赃款。TRM Labs 目前已追踪到 3500 万美元被盗数字资产：2800 万美元在 2024 年末至 2025 年初通过 Wasabi Wallet 混币并换成比特币；另 700 万美元于 2025 年 9 月的新一轮盗币中被发现。 尽管攻击者采用 CoinJoin 混币技术，TRM Labs 仍通过聚类提款与“剥皮链”手法还原资金路径，将混合后的比特币锁定至上述两家交易所。 TRM Labs 全球政策主管 Ari Redbord 表示：“这是单一泄露演变为多年盗窃的典型案例。即便使用混币器，操作习惯、基础设施复用及套现行为仍会暴露幕后黑手。高风险俄系交易所仍是全球网络犯罪的核心出口，此案再次证明‘去混币’与生态级分析对追踪和执法至关重要。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将影响 Digiever DS-2105 Pro 网络硬盘录像机（NVR）的安全漏洞（CVE-2023-52163，CVSS 8.8）列入“已知被利用漏洞”目录，并指出已有活跃攻击证据。 该漏洞属于命令注入类，可在认证后实现远程代码执行。CISA 公告称：“Digiever DS-2105 Pro 存在缺失授权漏洞，攻击者可通过 time_tzsetup.cgi 注入命令。” Akamai 与 Fortinet 的多份报告显示，该漏洞已被用于投递 Mirai、ShadowV2 等僵尸网络。TXOne Research 安全研究员颜达伦指出，由于设备已进入生命周期终止（EoL）状态，CVE-2023-52163 及其伴随的任意文件读取漏洞（CVE-2023-52164，CVSS 5.1）均未获得官方补丁。 成功利用需先登录设备并发送特制请求。在补丁缺失的情况下，用户应避免将设备暴露于互联网，并立即修改默认口令。 CISA 同时要求联邦文职行政机构（FCEB）在 2025 年 1 月 12 日前采取缓解措施或停用该产品，以抵御持续威胁。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 官方警告 IT 管理员立即修复一个严重漏洞（CVE-2025-14847），该漏洞可被攻击者远程利用，直接执行任意代码并控制服务器。 漏洞成因在于长度参数处理不一致，无需认证、无需用户交互即可发动低复杂度攻击。受影响版本覆盖 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29，以及所有 4.2、4.0、3.6 系列。 官方给出的安全版本为：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暂时无法升级，应立即关闭 zlib 压缩功能，即在启动 mongod/mongos 时通过 networkMessageCompressors 或 net.compression.compressors 参数显式排除 zlib。 MongoDB 安全团队周五公告称：“攻击者可在无需认证的情况下，利用服务端 zlib 实现缺陷返回未初始化的堆内存。强烈建议尽快升级。” MongoDB 是全球主流的非关系型数据库，数据以 BSON（二进制 JSON）文档形式存储，客户超 6.25 万家，包括数十家《财富》500 强企业。此前，美国网络安全与基础设施安全局（CISA）曾将 MongoDB 组件 mongo-express 的远程代码执行漏洞（CVE-2019-10758）列入“已知被利用漏洞”清单，并要求联邦机构限期修复。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非洲 19 个国家的执法机构联手打击网络犯罪，取得重大胜利。在为期一个月的 Operation Sentinel中，警方于 11 月 27 日行动结束时，共逮捕 574 名嫌疑人，并成功捣毁 6 种勒索软件变种。 该行动于 10 月 27 日启动，11 月 27 日结束，重点打击三大日益猖獗的网络威胁：企业邮箱入侵诈骗（BEC）、数字勒索和勒索软件攻击。执法部门已禁用 6000 多个恶意链接，追回约 300 万美元非法资金，而此次行动调查的案件相关损失估计超过 2100 万美元。“哨兵行动” 充分展现了快速国际合作在防范重大经济损失方面的巨大成效。 典型案例 塞内加尔：一家大型石油企业遭遇精密的企业邮箱入侵诈骗，诈骗分子入侵企业内部邮件系统，伪装成高管批准了一笔 790 万美元的电汇。塞内加尔当局在数小时内冻结了收款账户，成功阻止了转账。 加纳：一家金融机构遭到勒索软件攻击，100 太字节数据被加密，约 12 万美元被盗。加纳当局通过先进的恶意软件分析，锁定了勒索软件类型，开发出解密工具，成功恢复近 30 太字节数据，并逮捕多名嫌疑人。行动还捣毁了一个横跨加纳与尼日利亚的网络诈骗团伙，该团伙通过仿冒知名快餐品牌的专业网站和移动应用，骗取 200 多名受害者共 40 万美元。加纳警方逮捕 10 名嫌疑人，缴获 100 多台电子设备，关闭 30 台诈骗服务器。 贝宁：执法部门关闭 43 个恶意域名，禁用 4318 个与勒索相关的社交媒体账户，逮捕 106 人。 喀麦隆：警方迅速阻止了一场针对汽车销售平台的钓鱼攻击，并在数小时内紧急冻结相关银行账户。 国际刑警组织网络犯罪部主任尼尔・杰顿表示：“非洲地区网络攻击的规模和复杂程度正不断升级。‘哨兵行动’体现了非洲执法部门保护民众生计与关键基础设施安全的坚定决心。” 此次行动的成功离不开行业领军企业的协作支持，包括西姆鲁团队（Team Cymru）、影子服务器基金会（The Shadowserver Foundation）、趋势科技（Trend Micro）、TRM 实验室（TRM Labs）和乌普萨拉安全公司（Uppsala Security），这些机构为追踪攻击源头和冻结非法资产提供了关键技术支持。“哨兵行动” 有 19 个国家参与，并得到英国外交、联邦和发展办公室通过非洲联合打击网络犯罪计划（AFJOC）提供的支持。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Seqrite Labs的安全研究人员发现了一场代号为Operation IconCat的网络攻击活动，攻击者利用伪装成合法安全工具的恶意文档，专门针对以色列各类机构发起攻击。 该攻击活动始于 2025 年 11 月，已致使以色列信息技术、人力资源服务及软件开发等多个行业的多家企业遭受入侵。 此次攻击的核心手段是心理诱导：攻击者伪造酷似 Check Point、SentinelOne 等知名杀毒软件厂商的文档，用户打开这些伪装文件后，会在不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。这一案例充分体现了社会工程学与复杂技术手段相结合，足以绕过传统安全防护体系。 两大攻击链路 图标猫行动包含两条独立的攻击链路，二者战术相似，但投放的恶意软件变种不同。第一条链路以 PDF 文档为传播载体，第二条则借助隐藏了程序代码的 Word 文档发起攻击。赛格瑞特的分析师通过分析 2025 年 11 月 16-17 日来自以色列的可疑文件上传记录，成功识别出这些恶意软件。 链路一：PDF 文档传播 PYTRIC 恶意软件 第一轮攻击中，攻击者使用名为help.pdf的文件，伪装成 Check Point 安全扫描器说明书。文档诱导用户从 Dropbox 下载一款名为 “安全扫描器” 的工具，该文件的解压密码为 “cloudstar”。文档中还附有看似真实的截图和详细的安全扫描操作指南。 这份 PDF 文件是传播 PYTRIC 恶意软件的入口，该恶意软件基于 Python 开发，通过 PyInstaller 打包生成可执行程序。 PYTRIC 具备远超普通恶意软件的危害能力。分析显示，它可扫描整个系统文件、检查管理员权限，并能执行删除系统数据、清除备份文件等破坏性操作。该恶意软件通过名为 “Backup2040” 的 Telegram 机器人进行通信，使攻击者能够远程控制受感染的设备，其目的不仅是窃取信息，更在于彻底销毁数据。 链路二：Word 文档传播 RUSTRIC 植入程序 第二条攻击链路流程类似，但使用了名为 RUSTRIC 的 Rust 语言植入程序。攻击者通过仿冒的以色列人力资源公司 L.M. 集团的邮箱（伪造域名 l-m.co.il）发送钓鱼邮件，邮件附件是一个被篡改的 Word 文档，文档中的隐藏宏会提取并执行最终的恶意载荷。 RUSTRIC 拥有先进的侦察能力，可检测 28 款主流杀毒软件的存在，包括 Quick Heal、CrowdStrike 和卡巴斯基等。该程序通过 Windows 管理规范（WMI）执行后，会运行系统命令识别受感染计算机，并与攻击者控制的服务器建立连接。 安全团队应将此类攻击活动列为最高优先级威胁，需立即开展调查并采取补救措施。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯洛伐克网络安全公司 ESET 发布数据显示，名为 “诺曼尼（Nomani）” 的投资诈骗活动增幅达 62%，其传播范围也已从脸书扩展至YouTube等其他社交媒体平台。 该公司透露，今年已拦截超 6.4 万个与该诈骗相关的独立恶意链接，检测到的诈骗活动主要集中在捷克、日本、斯洛伐克、西班牙和波兰等国。 诺曼尼诈骗最早于 2024 年 12 月由 ESET 首次披露，诈骗分子通过社交媒体恶意广告、仿冒企业官方帖文以及人工智能生成的视频推荐，诱导用户投资不存在的虚假项目，并以高额回报为诱饵实施诈骗。 当受害者申请提取承诺收益时，诈骗分子会以各种理由要求其支付额外费用，或提供身份证、信用卡信息等更多个人资料。与这类投资诈骗的常见套路一致，其最终目的都是造成受害者的经济损失。 更严重的是，诈骗分子还会在社交媒体上以欧洲刑警组织和国际刑警组织相关名义设下二次陷阱，谎称可协助受害者追回被骗资金，诱导受害者再次遭受财产损失。 ESET 指出，该诈骗活动近期又有显著升级，其中包括优化 AI 生成视频的逼真度，降低潜在受害者识别诈骗的概率。 该公司称：“用于诱导用户填写钓鱼表单或访问钓鱼网站的名人换脸视频，如今分辨率更高，人物动作与呼吸的不自然感大幅减少，音视频同步效果也显著提升。” 诈骗分子制作的虚假内容还常常借助热点事件或公众熟知的人物来增加可信度。例如在捷克发现的一起案例中，一篇虚假新闻称政府正通过该诈骗团伙运营的某加密货币平台进行投资并获利丰厚。 为避免恶意广告被平台系统拦截，诈骗分子仅在短时间内投放广告，通常仅持续数小时。另一关键手段是，当用户不符合定向投放条件时，会将其重定向至正常的伪装页面，而非直接跳转到外部钓鱼表单。 ESET 表示：“为进一步降低被发现的风险，诈骗分子越来越多地滥用社交媒体广告系统提供的合法工具，如用表单和问卷替代外部网页来收集受害者信息。” 研究人员还发现，钓鱼页面模板也有明显改进，代码注释中的复选框等特征表明诈骗分子很可能使用 AI 工具编写 HTML 代码。此外，托管这类投资诈骗模板的 GitHub 代码库，其开发者多为俄罗斯或乌克兰用户。 尽管诈骗手段不断翻新，但 2025 年下半年诺曼尼诈骗的检测量有所下降，这表明在执法部门加大打击力度的情况下，诈骗分子可能被迫调整作案策略。 ESET 称：“值得欣慰的是，尽管与 2024 年相比，今年的总检测量有所上升，但 2025 年下半年的检测量较上半年下降了 37%，这是一个积极信号。” 该报告发布之际，路透社的一项新调查显示，元宇宙公司去年在中国的 180 亿美元广告收入中，有 19% 来自诈骗、非法赌博、色情等违禁内容广告，这些广告由该公司在中国的广告代理合作伙伴投放，部分代理商甚至允许商家发布违禁广告。报道发布后，元宇宙公司已宣布对相关合作项目展开审查。 此前路透社的另一篇报道也曾披露，该公司曾预计 2024 年来自此类广告的收入将占其全球总收入的 10%，约 160 亿美元，其中包括诺曼尼诈骗团伙投放的广告，这一数据凸显了此类问题的严重性。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款名为MacSync的新型 macOS 窃密木马变种，该木马通过一款经过数字签名与公证的 Swift 应用传播，此应用伪装成即时通讯软件安装程序，以此绕过苹果的 Gatekeeper 安全验证机制。 “不同于早期主要依赖‘拖拽至终端’或‘一键修复’类技术的 MacSync 窃密木马变种，该样本采用了更具欺骗性、无需用户手动操作的攻击手段。”Jamf 公司安全研究员泰斯・哈夫莱尔表示。 这家苹果设备管理与安全企业指出，该最新变种以经过代码签名和公证的 Swift 应用形式，封装在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像文件中，文件托管于恶意域名zkcall[.]net/download。 由于这款应用经过签名和公证，它可以在苹果设备上运行，且不会被 Gatekeeper、XProtect 等系统内置安全工具拦截或标记。即便如此，研究人员发现该安装程序仍会显示引导用户右键打开应用的说明 —— 这是一种绕开系统安全防护的常用手段。目前苹果已吊销了该程序对应的代码签名证书。 这款基于 Swift 语言开发的释放器，在通过辅助组件下载并执行编码脚本前，会执行一系列前置检查操作，包括验证网络连接状态、设置约 3600 秒的最小执行间隔以限制运行频率、移除文件的隔离属性，以及在执行前对文件进行有效性验证。 “值得注意的是，该变种用于获取载荷的 curl 命令，与早期版本存在明显差异。” 哈夫莱尔解释道，“它没有使用常见的-fsSL参数组合，而是拆分为-fL和-sS两个参数，同时新增了--noproxy等额外选项。” “这些改动，再加上动态填充变量的使用，表明攻击者在载荷的获取与验证方式上进行了刻意调整，其目的很可能是提升攻击可靠性或规避检测。” 该攻击活动还采用了另一种规避手段：制作异常大容量的磁盘镜像文件。通过嵌入无关的 PDF 文档，将镜像文件的大小扩充至 25.5MB。 经解析，这款经 Base64 编码的恶意载荷正是 MacSync 窃密木马，它是 2025 年 4 月首次出现的 Mac.c 木马的更名版本。据 MacPaw 公司月锁实验室分析，MacSync 内置了功能完备的 Go 语言代理程序，其功能已不局限于简单的数据窃取，还可实现远程控制操作。 值得一提的是，研究人员还发现攻击者曾使用伪装成谷歌会议（Google Meet）、带代码签名的恶意磁盘镜像文件，传播奥德赛（Odyssey）等其他 macOS 窃密木马。不过就在上个月，威胁攻击者仍在通过未签名的磁盘镜像文件传播数字窃密木马（DigitStealer）。 Jamf 公司指出：“这种传播方式的转变，折射出 macOS 恶意软件领域的一个普遍趋势 —— 攻击者正越来越多地尝试将恶意程序植入经过签名和公证的可执行文件中，使其外观更接近合法应用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对中东和北非地区多国的协同性虚假网络招聘广告骗局被揭露，诈骗分子借该地区远程办公模式的持续普及伺机作恶。 这类骗局依托制作精良的社交媒体广告，以 “轻松完成简单线上任务即可赚取收入” 为诱饵，背后实则暗藏窃取钱财与个人信息的有组织诈骗活动。 国际网络安全公司 Group-IB 于今日发布调查报告，详细披露了这一诈骗活动。报告指出，诈骗分子正是利用了新冠疫情后远程办公普及所引发的用工行为转变，伺机实施诈骗。 研究中引用的一份 Rcademy 报告显示，中东地区超 60% 的劳动者如今更倾向于全职远程工作，这一趋势为诈骗行为提供了可乘之机。 此类诈骗并非零散作案，而是规模化运作。Group-IB 的研究人员发现，2025 年全年共出现 1500 余条诈骗招聘广告，其中埃及、海湾地区国家、阿尔及利亚、突尼斯、摩洛哥、伊拉克和约旦成为主要目标区域。 每一轮诈骗攻势都经过精心的本地化适配：诈骗分子使用地区方言、本地货币单位，并植入受众熟悉的品牌元素，以此提高广告可信度，增强用户参与度。 骗局运作流程 虚假招聘广告通常出现在脸书、照片墙和抖音等社交平台，且往往冒用知名电商平台、银行或政府机构的名义发布。一旦有用户作出回应，诈骗分子会迅速将沟通转移至 WhatsApp 或 Telegram 等私人即时通讯软件，并在这些平台上实施核心诈骗行为。 诈骗分子会以 “入职审核” 为借口，要求受害者提供个人信息及财务信息。在许多案例中，他们还会要求受害者缴纳押金，声称缴纳后可获取报酬更高的 “任务”。初期，诈骗分子会返还小额返利以骗取受害者信任，随后便会彻底失联。 研究显示，这些诈骗活动由有组织犯罪团伙操控。团伙在多个国家重复使用相同的诈骗脚本、品牌伪装模板、虚假网站以及 Telegram 群组架构。 这种高度协同的作案模式不仅让骗局得以快速规模化扩散，相比传统的单次诈骗行为，其追踪难度也大幅提升。 对用户及平台造成的影响 诈骗分子利用用户对知名机构的信任，以及社交媒体广告的低成本特性实施诈骗。广告宣称 “仅需几分钟完成任务，日薪可达 10 至 170 美元”，所承诺的收入水平普遍高于当地平均薪资，以此诱骗经济状况较为脆弱的群体入局。 Group-IB 警示称：“总体而言，这类骗局绝非零散广告的简单堆砌，而是一场协同运作、分步骤实施的犯罪活动，拥有统一的基础设施、重复使用的钓鱼手段以及固定的作案模式。” “防御方可通过整合广告关键词、平台传播路径、品牌冒用特征、网站识别指标及诈骗分子身份信息等多维度数据，更高效地在多国范围内追踪、拦截并瓦解此类诈骗活动。” 为防范此类威胁，该公司建议用户提高警惕，同时呼吁平台方加强安全防护措施。 个人层面，应避免向未经验证的招聘方泄露个人及财务信息；对不切实际的高薪承诺保持质疑；通过官方网站或可信招聘平台核实招聘方资质；发现可疑广告及时举报。 企业及社交平台层面，则需加强招聘类广告的审核力度，密切监测品牌或政府部门名义被冒用的情况，并开展多语言反诈宣传活动，提醒高危用户群体提高防范意识。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威科法律信息库旗下法律人工智能助手文森特，存在文档隐藏式提示注入攻击漏洞，攻击者可通过在用户浏览器生成虚假登录页面实施凭证窃取。攻击者在案件文件中植入白底白字的隐形代码，触发恶意超文本标记语言程序运行。文森特人工智能漏洞波及全球超 20 万家律所及威科法律信息库用户。 上述漏洞由 “提示防护” 公司的研究人员发现，他们已于本周一发布博客文章披露相关情况。 研究人员表示，这款专为律师打造的人工智能助手文森特，可能被黑客钻空子。黑客会在文档中植入隐藏文本，律所法务团队在不知情的情况下将文档上传至威科法律信息库平台，就会触发人工智能输出恶意超文本标记语言代码，随后该代码会在用户浏览器中加载运行。 这种间接提示注入攻击存在远程代码执行风险，最终会对毫无防备的威科法律信息库用户发起 “屏幕覆盖式” 钓鱼攻击。 屏幕覆盖式攻击是一种 “复杂攻击手段”，指在合法应用或网站界面上覆盖一层虚假界面 —— 本事件中具体表现为虚假登录页面，以此诱骗用户泄露敏感信息。 威科法律信息库官方称，这是一个综合性法律智能平台，旨在帮助法律从业者完成 “各类工作中的研究、分析及法律实务操作”。 该人工智能平台已被全球排名前十的八家律所采用。就在上月，全球领先的法律科技解决方案供应商克利欧公司以 10 亿美元的里程碑式交易收购威科法律信息库，使得使用该平台的律所、律师协会及政府机构数量突破 20 万家。 “我们已通过负责任的方式向威科法律信息库披露了这一漏洞。” 提示防护公司联合创始人兼董事总经理尚卡尔・克里希南表示，威科法律信息库 “迅速采取了有效行动，并依照我们的修复建议完成了系统更新”。 恶意弹窗可窃取登录信息 提示防护公司指出，这一新型远程代码执行漏洞可能被黑客操控，以未经授权的方式访问律所内部系统，进而可能导致大量敏感客户文件外泄。 研究人员将攻击流程拆解为 “三步攻击链”：首先通过提示注入手段，在网络来源的文档中植入 “白底白字” 的隐藏文本；随后，法务团队在案件研究过程中上传这些文档。 在本次研究案例中，隐藏文本以伪造证人证言的形式植入，且研究人员预先设定文森特人工智能需解析文档中的所有直接引语。 而当 “文森特人工智能读取文档并解析‘直接引语’—— 包括攻击者用白底白字植入的伪造证言时”，隐藏的恶意超文本标记语言代码会在受害者的浏览器中自动执行。 “当这段代码在聊天界面输出时，用户浏览器会将其当作文森特人工智能网页的一部分进行处理。” 克里希南表示，“恶意代码会加载攻击者的网站，并将其覆盖在用户的聊天界面之上。” 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库的登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 强化威科法律信息库安全防护的建议 研究还指出，文森特人工智能模型还可能被诱导输出 “存储在标记语言超链接或超文本标记语言元素中的恶意脚本程序”。 克里希南称，这一漏洞可支持攻击者通过 “零点击数据窃取” 方式盗取信息、劫持用户会话、强制用户下载文件或进行加密货币挖矿，且 “每次打开聊天界面，攻击程序都会自动运行”。 会话令牌也存在被盗风险，一旦失窃，攻击者便可 “代表用户在威科法律信息库平台执行操作”，包括访问平台内存储的数据。 配图：提示防护公司 文森特人工智能钓鱼漏洞示意图 之四 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 提示防护公司建议相关机构采取以下防护措施： 确保在威科法律信息库的 “文件集” 功能中，所有来源不可信的文档均被清晰标记； 将不可信文档的可见权限设置为 “仅授权人员可见”，而非 “全组织可见”； 明令禁止用户上传来源未经核实的网络文档。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文