HackerNews

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）报告称，一个新发现的僵尸网络采用 “霰弹枪式” 策略攻陷设备 —— 其搭载了超 50 个漏洞利用工具，目标涵盖路由器、服务器、摄像头及其他网络产品。 该僵尸网络被命名为RondoDox，于 2025 年年中开始活跃，最初与CVE-2023-1389 漏洞的利用相关。此漏洞是 TP-Link Archer AX21 路由器广域网（WAN）接口中的命令注入漏洞，最早在 2022 年多伦多 Pwn2Own 黑客大赛中被披露。 2025 年 6 月，研究人员发现 RondoDox 开始针对CVE-2024-3721和CVE-2024-12856 漏洞发起攻击 —— 这两个高严重性漏洞分别存在于 TBK 品牌硬盘录像机（DVR）和四信（Four-Faith）路由器中，此后该僵尸网络的攻击目标清单大幅扩展。 据趋势科技透露，目前 RondoDox 的攻击范围已覆盖来自30 余家厂商的设备，包括路由器、硬盘录像机（DVR）、网络录像机（NVR）、闭路电视（CCTV）系统、网页服务器及其他网络设备。 RondoDox 共针对56 个漏洞发起攻击，其中 18 个漏洞尚未分配 CVE 标识（CVE 是漏洞统一编号系统，未分配标识意味着漏洞可能未被广泛公开或记录）。这些漏洞中，绝大多数属于 “命令注入漏洞”（攻击者可通过注入恶意命令控制设备），且有部分漏洞已被纳入美国网络安全与基础设施安全局（CISA）的 “已知被利用漏洞清单”（KEV List）—— 这一清单的纳入，凸显了设备厂商及用户 “立即打补丁修复漏洞” 的紧迫性。 2025 年 9 月末，网络安全公司 CloudSek 发出警告：自 2025 年年中以来，RondoDox 的攻击频次激增230% 。促成这一增长的关键因素，是该僵尸网络对 “弱密码”“未过滤输入” 及 “老旧 CVE 漏洞” 的批量利用（老旧漏洞指已被公开但仍有大量设备未修复的漏洞）。 CloudSek 指出，被 RondoDox 感染的设备会被用于三类恶意活动：加密货币挖矿（占用设备算力获取非法收益）、分布式拒绝服务（DDoS）攻击（操控大量感染设备瘫痪目标网站或服务器），以及入侵企业内部网络（以感染设备为 “跳板”，渗透企业核心系统）。 研究还发现，RondoDox 的操控者会通过快速轮换基础设施（如更换控制服务器 IP、域名）的方式躲避检测；同时，RondoDox 的恶意程序文件（二进制文件）常与另外两种知名僵尸网络恶意程序 ——Mirai和Morte的载荷（Payload，即实现恶意功能的核心代码）捆绑分发。 趋势科技表示：“近期，RondoDox 进一步扩大了传播范围 —— 它利用‘加载器即服务’（Loader-as-a-Service）基础设施，将自身与 Mirai/Morte 的载荷打包分发。这种捆绑方式使得‘检测与清除恶意程序’的需求变得更加迫切。” RondoDox 的攻击目标架构涵盖ARM 架构、MIPS 架构及多种 Linux 系统架构（这些架构广泛应用于路由器、摄像头等嵌入式设备）。它能够通过发送 HTTP、UDP、TCP 数据包发起 DDoS 攻击，且会通过 “模拟知名游戏平台流量” 或 “伪装成 VPN 服务流量” 的方式，隐藏自身恶意通信行为，躲避安全系统的检测。 趋势科技强调：“此次 RondoDox 采用‘霰弹枪式’策略，针对 30 余家厂商的 50 余个漏洞发起攻击 —— 这一现象凸显了一个核心风险：对于那些‘将网络基础设施暴露在互联网中，且未采取充分安全管控措施’的机构而言，其面临的威胁始终存在且不容忽视。”   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场持续的 “短信钓鱼”（smishing）诈骗正以纽约人为目标 —— 诈骗者发送伪装成来自 “税务与财政部门” 的短信，声称可提供 “通胀退款”（Inflation Refund），实则企图窃取受害者的个人及财务信息。 “通胀退款” 本是纽约州推出的正规政策：符合条件的居民会自动收到退款支票，以帮助抵消通胀带来的影响。 该政策的合格受众包括：已提交纳税申报表、收入达到特定门槛，且未被其他纳税人列为受抚养人的群体。纽约居民无需申请、注册或提供任何个人信息即可收到支票，因为符合条件者会自动收到退款。 “BleepingComputer”媒体发现，在此次新型短信钓鱼攻击中，诈骗短信谎称属于纽约州 “通胀退款计划” 的一部分，催促收件人点击链接，提交信息以完成退款流程。 诈骗短信内容如下：“您的退款申请已处理并获批。请于 2025 年 9 月 29 日前提供准确的付款信息。资金将在 1-2 个工作日内存入您的银行账户，或通过纸质支票邮寄给您。” 短信还威胁称：“根据《纽约州修订法规》第 5747.11 条，若未在 2025 年 9 月 29 日前提交所需付款信息，将导致该笔退款被永久没收。” 点击短信中的链接后，用户会进入一个伪装成 “纽约州税务与财政部门” 的虚假页面，页面提示访客点击 “查询退款”（Check Refund）按钮以查看退款状态。 点击该按钮后，会跳转至另一页面，要求用户提交个人信息，包括姓名、地址、电子邮箱、电话号码及社会安全号码（Social Security Number，美国公民及居民的重要身份标识）。诈骗者可利用这些提交的信息实施身份盗窃与财务诈骗。 9 月 28 日，纽约州州长凯西・霍楚尔（Kathy Hochul）办公室已就该诈骗发布警告，指出诈骗者通过短信、电子邮件及直邮信件等方式，诱骗民众提供敏感的付款信息。 霍楚尔州长表示：“纽约居民无需采取任何额外行动即可获得通胀退款支票，只需满足资格要求即可。” “当前有诈骗分子瞄准本州的通胀退款计划，在此我明确声明：税务部门（Tax Department）和美国国税局（IRS）绝不会通过电话或短信向个人索要个人信息。本届政府呼吁纽约居民保持警惕，并向税务部门举报此类诈骗，以保护自己免受侵害。” 纽约州税务与财政部门也同步发布警告，称该机构绝不会通过短信、电话或电子邮件，就通胀退款支票事宜联系纳税人。 为保护自身安全，收件人应注意以下几点：避免访问通过非预期邮件或短信发来的网站；挂断任何与税务相关的陌生来电；绝不同意与他人当面会面以递交税款。 若民众认为自己收到了此类诈骗信息，或已不幸中招，应立即向纽约州税务部门或美国国税局（IRS）举报。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI 查封了黑客组织 ShinyHunters所使用的 BreachForums 论坛域名。该域名此前被用作数据泄露勒索平台，与针对 Salesforce 的大规模攻击相关；而该黑客组织声称，执法部门还窃取了这个臭名昭著的黑客论坛的数据库备份。 此次被查封的域名为 Breachforums.hn。今年夏天，该域名曾被用于重新上线 BreachForums 黑客论坛，但不久后，因多名涉嫌运营该论坛的人员被捕，网站再次下线。 2025 年 10 月，一个名为 “Scattered Lapsus$ Hunters”的黑客团伙将该域名改造为 Salesforce 数据泄露平台，以勒索那些受 Salesforce 数据窃取攻击影响的企业。该团伙声称其成员与 ShinyHunters、Scattered Spider及 Lapsus$这三个勒索组织存在关联。 上周二，该平台的明网域名 breachforums.hn 及其 Tor 暗网版本均已下线。其中，Tor 暗网站点很快恢复访问，但 BreachForums 明网域名始终无法打开 —— 其域名已切换至美国政府此前查封其他域名时所用的 Cloudflare 域名服务器。  10 月 9 日晚，FBI 完成了查封行动：在该网站添加了查封公告横幅，并将域名的域名服务器切换为 ns1.fbi.seized.gov 与 ns2.fbi.seized.gov。 根据查封公告内容，在美国与法国执法部门的协作下，双方在 Scattered Lapsus$ Hunters团伙开始泄露 Salesforce 攻击所获数据之前，就已控制了 BreachForums 论坛的网络基础设施。 然而，由于该团伙的 Tor 暗网站点仍可访问，其声称将在美国东部时间10月10日晚 11 点 59 分开始泄露 Salesforce 相关数据，目标直指未支付赎金的企业。 2023 年以来的数据库备份已被 FBI 掌控 除捣毁上述数据泄露平台外，ShinyHunters 组织证实，执法部门还获取了 BreachForums 黑客论坛此前多个版本的存档数据库。 “BleepingComputer”媒体核实，ShinyHunters通过 Telegram 发布了一条用其 PGP 密钥签名的信息。该黑客组织在信息中称，此次查封 “早已不可避免”，并表示 “论坛时代已经结束”。 通过对执法部门行动后的情况分析，ShinyHunters得出结论：2023 年以来 BreachForums 论坛的所有数据库备份，以及该论坛最新一次重启后所有的第三方托管（escrow）数据库，均已被泄露。 该团伙还表示，其后台服务器已被查封，但该组织在暗网上的数据泄露站点仍在运行。 ShinyHunters称，其核心管理团队无人被捕，但不会再重新上线 BreachForums 论坛，并指出从今往后，此类论坛都应被视为 “蜜罐”。 根据该黑客组织的消息，在RaidForum平台被捣毁后，同一核心团队曾计划多次重启论坛，并利用 pompompurin等管理员作为幌子。 ShinyHunters 团伙在 FBI 查封 BreachForums 后的声明 该网络犯罪团伙强调，此次查封并未影响其针对 Salesforce 的攻击行动，数据泄露仍按原计划于美东时间当日晚 11 点 59 分进行。 该团伙的暗网数据泄露站点显示，受 Salesforce 攻击影响的企业名单冗长，其中包括联邦快递（FedEx）、迪士尼 / 葫芦视频（Disney/Hulu）、家得宝（Home Depot）、万豪（Marriott）、谷歌（Google）、思科（Cisco）、丰田（Toyota）、盖璞（Gap）、麦当劳（McDonald’s）、沃尔格林（Walgreens）、因斯塔卡特（Instacart）、卡地亚（Cartier）、阿迪达斯（Adidas）、萨克斯第五大道精品百货（Saks Fifth Avenue）、法航 – 荷航集团（Air France & KLM）、环联（TransUnion）、HBO MAX、联合包裹速递服务公司（UPS）、香奈儿（Chanel）及宜家（IKEA）等。 黑客声称，他们窃取了超 10 亿条包含用户信息的记录。 Scattered Lapsus$ Hunters利用 BreachForums 开展 Salesforce 攻击行动 BreachForums 论坛最近一次以经典形式重启，是由ShinyHunters于 2025 年 7 月宣布的 —— 此前几天，法国执法部门逮捕了该论坛前几次重启版本的 4 名管理员，其中包括用户名分别为 ShinyHunters、Hollow、Noct 和 Depressed 的人员。 与此同时，美国当局宣布对凯・韦斯特（Kai West）提起指控。凯・韦斯特又名 “IntelBroker”，是 BreachForums 网络犯罪生态系统中的知名成员。 2025 年 8 月中旬，BreachForums 论坛下线。ShinyHunters发布了一条经 PGP 签名的消息，称该论坛的基础设施已被法国 BL2C 部门（注：法国警方专门打击网络犯罪的单位）和 FBI 查封，并警告不会再有后续重启计划。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙国民警卫队（Guardia Civil）已捣毁 “GXC Team” 网络犯罪组织，并抓获其所谓的头目 —— 一名 25 岁的巴西男子，代号为 “GoogleXcoder”。 “GXC Team” 运营着一个 “犯罪即服务”（CaaS，Crime-as-a-Service）平台，通过 Telegram（电报）和一个俄语黑客论坛，提供人工智能驱动的钓鱼工具包、安卓恶意软件及语音诈骗工具。 西班牙国民警卫队宣布：“国民警卫队已捣毁西班牙境内最活跃的钓鱼犯罪组织之一，抓获了一名 25 岁的巴西男子。该男子被认为是西班牙语环境下，大规模盗取账号凭证工具的主要提供者。” 网络安全公司 Group-IB 一直对该组织进行追踪，并表示 “GXC Team” 的攻击目标包括西班牙、斯洛伐克、英国、美国和巴西的银行、交通及电子商务机构。 “GXC Team” 组织概况 该组织的钓鱼工具包可仿冒数十家西班牙及国际机构的网站，且至少支持 250 个钓鱼网站的运行。此外，该威胁组织还开发了至少 9 种安卓恶意软件，这些软件能拦截短信和一次性密码（OTP），可用于劫持用户账号及验证欺诈性交易。“GXC Team” 还为客户提供全面的技术支持和诈骗活动定制服务，堪称一个 “专业级、高收益” 的犯罪平台。 今年 5 月 20 日，西班牙警方开展行动，在坎塔布里亚、巴利亚多利德、萨拉戈萨、巴塞罗那、马略卡岛帕尔马、圣费尔南多及拉利内亚德孔波斯特拉等地同步实施突袭。 在此次行动中，警方查获了包含钓鱼工具包源代码、客户沟通记录及财务记录的电子设备。执法人员还追回了从受害者处盗取的加密货币，并关停了用于推广诈骗活动的 Telegram 频道，其中一个频道名为 “偷光奶奶的一切”。 当局表示，此次全国范围的突袭行动之所以能开展，得益于对查获设备的分析，以及对 “GoogleXcoder” 加密货币交易记录的追踪 —— 而该头目在一年多前就已被逮捕。 西班牙国民警卫队解释道：“由于案件复杂性，对查获设备的法医鉴定及加密货币交易记录的追踪持续了一年多。这些工作使得我们能够重建整个犯罪网络，并成功识别出 6 名与该犯罪组织服务直接相关的人员。” 目前针对 “GXC Team” 的调查仍在进行中，西班牙当局表示，未来可能会采取进一步行动，抓获该网络犯罪集团的更多成员。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报组（GTIG）与Mandiant在周四发布的一份新报告中表示，自2025年8月9日起，甲骨文公司电子商务套件（EBS）软件的一个安全漏洞遭到零日漏洞利用，可能已影响到数十家机构。 谷歌云威胁情报首席分析师John Hultquist在接受The Hacker News采访时表示：“我们仍在评估这一事件的范围，但相信已有数十家组织受到影响”，“过去一些Cl0p的数据勒索行动中受害者多达数百家。不幸的是，这类大规模零日攻击活动正在成为网络犯罪的常态。” 这次活动带有Cl0p勒索软件团伙的典型特征。攻击者组合利用了多个不同漏洞，其中包括一个编号为CVE-2025-61882（CVSS评分9.8）的零日漏洞，用以入侵目标网络并窃取敏感数据。谷歌称，其发现可疑活动可追溯至2025年7月10日，但这些早期尝试的成功程度尚不明确。Oracle此后已发布补丁修复漏洞。 攻击背景与手法 Cl0p又名Graceful Spider，自2020年活跃以来，曾多次利用零日漏洞发动大规模攻击，目标包括Accellion旧版文件传输设备（FTA）、GoAnywhere MFT、Progress MOVEit MFT和Cleo LexiCom等软件。以往 FIN11 黑客组织发起的钓鱼邮件活动通常是 CL0P 勒索软件部署的前奏，但谷歌表示，此次发现该文件加密恶意软件的操控者似乎是另一个不同的黑客组织。 2025 年 9 月 29 日，新一轮攻击正式展开，攻击者利用数百个被盗的第三方机构账户（这些账户分属不同组织）向企业高管发起大规模钓鱼邮件攻击。据称，这些账户的凭证是在地下论坛购买的，很可能来自信息窃取恶意软件日志。 邮件中声称攻击者已入侵目标机构的甲骨文电子商务套件应用并窃取敏感数据，要求对方支付一笔未指明金额的赎金，否则将泄露被盗信息。截至目前，此次攻击事件的受害者尚未出现在 CL0P 的数据泄露网站上，这与该组织以往的攻击模式一致 —— 通常会等待数周后才公布受害者名单。 攻击者在攻击过程中综合运用了服务器端请求伪造、回车换行注入、身份验证绕过及可扩展样式表语言模板注入等多种技术手段，以获取目标甲骨文电子商务套件服务器的远程代码执行权限并建立反向 shell。 技术细节 谷歌表示，2025 年 8 月前后，发现某威胁行为者利用 “/OA_HTML/SyncServlet” 组件的漏洞实现远程代码执行，并最终通过模板预览功能触发可扩展样式表语言负载。目前已发现该负载中嵌入了两条不同的 Java 负载链： GOLDVEIN.JAVA：这是名为 “金脉”（GOLDVEIN）的下载器的 Java 变种（该下载器的 PowerShell 版本最早于 2024 年 12 月在多起克利奥软件产品漏洞利用事件中被发现），能够从命令与控制服务器接收第二阶段负载。 SAGEGIFT：这是一款为甲骨文 WebLogic 服务器定制的 Base64 编码加载器，用于启动内存驻留型投放器 SAGELEAF，进而安装恶意 Java servlet 过滤器 SAGEWAVE，该过滤器可用于安装一个加密压缩包，其中包含未知的后续阶段恶意软件（不过其主要负载与 FIN11 黑客组织的 GOLDTOMB 后门程序中的命令行界面模块存在部分重合）。 此外，还观察到威胁行为者通过电子商务套件的 “applmgr” 账户执行各类侦察命令，并通过运行 GOLDVEIN.JAVA 的 Java 进程启动 bash 进程执行相关命令。 值得注意的是，2025 年 7 月事件响应过程中发现的部分攻击痕迹，与 2025 年 10 月 3 日 “分散的 LAPSUS$ 猎人” 电报群泄露的一个漏洞利用程序存在重合。但谷歌表示，目前尚无足够证据表明该网络犯罪团伙参与了此次攻击活动。 战略评估 GTIG 指出，从此次攻击投入的资源规模来看，发起初始入侵的威胁行为者很可能在攻击前投入了大量资源进行研究。 这家科技巨头表示，目前尚未正式将此次系列攻击归属于某个已知威胁组织，但强调攻击者使用 CL0P 名号这一行为值得关注。不过，有迹象表明该威胁行为者与 CL0P 存在关联。谷歌还指出，此次攻击中使用的后期利用工具与此前疑似 FIN11 组织攻击活动中使用的恶意软件（如 GOLDVEIN 和 GOLDTOMB）存在重合，且用于发送近期勒索邮件的一个被盗账户此前曾被 FIN11 组织使用过。 声明中提到：“先利用广泛使用的企业级应用程序中的零日漏洞，数周后发起大规模品牌化勒索活动，这一模式是 FIN11 组织的典型攻击特征，该模式具有战略优势，可能也会被其他威胁行为者借鉴。” “针对存储敏感数据的面向公众的应用程序及设备发起攻击，可能会提高数据窃取效率，因为威胁行为者无需投入时间和资源进行横向渗透。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表中发现了一组新的恶意软件包，共计 175 个，这些软件包被用于一场特殊的攻击行动，为凭证窃取攻击提供便利。 据网络安全公司 Socket 透露，这些软件包的总下载量已达 2.6 万次，它们构成了一场大规模钓鱼攻击行动的基础设施。该行动代号为 “比姆格里”（Beamglea），目标直指全球范围内 135 多家工业、科技及能源企业。 安全研究员库什・潘迪亚表示：“尽管这些软件包采用随机命名方式，降低了开发人员误安装的可能性，但下载量中很可能包含安全研究人员、自动扫描程序以及漏洞披露后对软件包进行分析的内容分发网络（CDN）基础设施的相关下载。” 研究发现，这些软件包利用 npm 的公共注册表和unpkg.com的内容分发网络来托管重定向脚本，将受害者引导至凭证收集页面。上个月末，安全公司 Safety 的保罗・麦卡蒂首次发现了该攻击行动的部分异常情况。 具体而言，该类库中包含一个名为 “redirect_generator.py” 的 Python 文件，通过编程方式创建并发布名为 “redirect-xxxxxx” 的 npm 软件包（其中 “x” 代表随机字母数字字符串）。随后，该脚本会将受害者的电子邮件地址和自定义钓鱼链接注入到软件包中。 一旦软件包在 npm 注册表上发布，这款 “恶意软件” 就会创建一个 HTML 文件，其中包含指向与新发布软件包相关联的 UNPKG 内容分发网络的链接（例如 “unpkg [.] com/[email protected]/beamglea.js”）。据称，攻击者利用这一机制分发 HTML 恶意负载，当受害者打开该文件时，会从 UNPKG 内容分发网络加载 JavaScript 脚本，并被重定向至微软凭证收集页面。 JavaScript 文件 “beamglea.js” 是一个重定向脚本，其中包含受害者的电子邮件地址以及用于捕获凭证的目标钓鱼链接。Socket 公司表示，已发现超过 630 个伪装成采购订单、技术规格说明书或项目文件的 HTML 文件。 换言之，这些 npm 软件包并非设计为在安装时执行恶意代码。相反，攻击者利用 npm 和 UNPKG 来托管钓鱼基础设施。目前尚不清楚这些 HTML 文件的具体传播途径，但有可能是通过电子邮件传播，诱骗收件人打开这些特制的 HTML 文件。 Socket 公司指出：“当受害者在浏览器中打开这些 HTML 文件时，JavaScript 脚本会立即将其重定向至钓鱼域名，同时通过 URL 片段传递受害者的电子邮件地址。” “随后，钓鱼页面会自动预填充电子邮件字段，营造出受害者正在访问一个已识别其身份的合法登录入口的假象。这种预填充凭证的方式能降低受害者的怀疑，从而显著提高攻击成功率。” 这些发现再次凸显了威胁攻击者技术不断演进的本质 —— 他们持续调整攻击手段以规避防御者的检测，而防御者也在不断研发新的检测技术。此次事件则暴露出攻击者对合法基础设施的大规模滥用行为。 潘迪亚表示：“npm 生态系统在不知情的情况下成为了攻击基础设施，而非直接的攻击载体。安装这些软件包的开发人员不会发现任何恶意行为，但打开特制 HTML 文件的受害者会被重定向至钓鱼网站。” “攻击者通过 9 个账户发布了 175 个软件包，并自动生成针对特定受害者的 HTML 文件，构建了一个低成本且具有韧性的钓鱼基础设施。该基础设施无需支付服务器托管费用，还能利用可信的内容分发网络服务。npm 的开放注册表、unpkg.com的自动分发功能以及极简代码的结合，形成了一套可复制的攻击方案，其他攻击者很可能会效仿采用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 查明，三项分别针对思科与帕洛阿尔托网络防火墙、飞塔虚拟专用网络（VPN）的漏洞利用行动，其攻击 IP 均来自相同子网。 这家威胁情报公司最初于 9 月初发出警告，称监测到针对思科 ASA 设备（自适应安全设备，常用于防火墙与 VPN 功能）的扫描尝试 —— 而大约三周后，思科才披露了两个影响 “安全防火墙自适应安全设备（ASA）” 和 “安全防火墙威胁防御（FTD）” 软件的零日漏洞。 这两个漏洞的编号分别为CVE-2025-20333（CVSS 评分 9.9，属于极高风险）和CVE-2025-20362（CVSS 评分 6.5，属于中高风险），已被 “ArcaneDoor” 间谍行动利用。 上周，GreyNoise 又发布警告，指出针对帕洛阿尔托网络 “GlobalProtect”（全球保护，一款远程访问 VPN 解决方案）登录入口的扫描活动大幅增加，且参与该活动的 “唯一自治系统编号（ASN，用于标识互联网中的网络服务提供商或网络段）” 数量也显著上升。 该网络安全公司观察到，短短两天内，相关扫描活动激增 500%，攻击来源涉及约 1300 个独立 IP。随后几天，随着更多威胁者加入，参与攻击的独立 IP 数量迅速攀升至 2200 个。 在过去一周内，GreyNoise 监测到针对帕洛阿尔托网络防火墙的独立登录尝试超过 130 万次，并已公布该攻击行动中使用的凭证（用户名与密码组合）列表。 本周四，GreyNoise 进一步警告称：针对思科与帕洛阿尔托网络防火墙的扫描行动，其 IP 来源与针对飞塔 VPN 的暴力破解攻击 IP 同属相同子网 —— 这意味着三类攻击存在关联。 GreyNoise 表示：“飞塔 VPN 暴力破解尝试激增后，通常会在六周内出现飞塔 VPN 漏洞的披露。基于这些发现，建议阻断所有对飞塔 SSL VPN 发起暴力破解的 IP，并考虑加强防火墙与 VPN 设备的防御措施。” 事实上，GreyNoise 指出：针对知名厂商防火墙与 VPN 产品的攻击活动若出现激增，约 80% 的情况下，这都是一个早期预警信号 —— 意味着这些产品的新漏洞可能在未来六周内被披露。 此次针对思科、飞塔、帕洛阿尔托网络设备的三项攻击行动，存在三大关键关联特征：使用相同的 TCP 指纹（TCP 协议通信时的独特特征，可用于识别攻击工具或来源）、利用相同子网、在相似时间段内出现活动高峰。 GreyNoise 强调：“我们高度确信，这三项攻击行动至少在一定程度上由同一（或同一批）威胁者主导。” 目前，该公司已同步公布了飞塔 VPN 攻击行动中使用的凭证列表。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 奥地利数据保护机构于周三作出裁定，认定微软通过其教育软件非法追踪学生 —— 具体违规行为包括未向学生提供数据访问权限，以及在未获得同意的情况下使用 Cookie（小型数据存储文件）。 奥地利数据保护局（Datenschutzbehörde，简称 DSB）的这一裁决，源于 2024 年奥地利隐私倡导组织 “noyb”（全称 “none of your business”，意为 “与你无关”，专注于数据隐私维权）提起的投诉。该组织指控这家科技巨头在处理儿童数据时，违反了欧盟《通用数据保护条例》（General Data Privacy Regulation，简称 GDPR）。 本案的投诉人是一名未成年人的父亲，其孩子所在的学校正使用微软教育软件。他表示，自己从未同意微软使用 Cookie，也无法获取关于孩子数据被如何使用的相关信息。 微软 365 教育版（Microsoft 365 Education）是学校区域（指学区）常用的工具，用于技术管理、支持协作及在云端存储数据。该套件包含 Word、Excel、Outlook、PowerPoint 等 Office 办公应用，同时涵盖安全工具与 Teams 等协作平台。 noyb 组织的数据保护律师菲利克斯・米科拉施（Felix Mikolasch）于周五（同注，未明确具体日期）在一份事先准备好的声明中表示：“该裁决凸显了微软 365 教育版在透明度上的缺失。学校几乎无法向学生、家长及教师说明他们的数据正被如何处理。” 微软发言人在一份事先准备好的声明中回应称，公司将对该裁决进行审查，并强调：“微软 365 教育版符合所有必需的数据保护标准，教育领域的机构可继续合规使用该产品，完全符合 GDPR 要求。” 目前，奥地利数据保护机构已责令微软采取两项整改措施：一是向本案投诉人提供其孩子的数据访问权限；二是开始更清晰地说明其收集的数据将被用于何种用途。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zimbra 零日漏洞详情 Zimbra 协作套件（Zimbra Collaboration）中一个现已修复的安全漏洞，于今年早些时候被作为零日漏洞（指未被厂商发现、未修复的漏洞）利用，攻击者借此针对巴西军方发起网络攻击。 该漏洞编号为CVE-2025-27915，CVSS 漏洞评分（衡量漏洞严重程度的标准）为 5.4，本质是 Zimbra 经典网页客户端（Classic Web Client）中的存储型跨站脚本漏洞（XSS） 。其成因是对 ICS 日历文件中的 HTML 内容过滤不充分，最终可导致攻击者执行任意代码。 美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）对该漏洞的描述指出：“当用户查看包含恶意 ICS 条目（指 ICS 文件中的特定内容块）的电子邮件时，嵌入在<details>标签内、通过ontoggle事件触发的 JavaScript 代码会被执行。” 这种漏洞利用方式使得攻击者能在受害者的会话（即用户当前登录状态）中运行任意 JavaScript 代码，进而可能实施未授权操作 —— 例如设置邮件过滤器，将受害者的邮件重定向至攻击者控制的邮箱地址。最终，攻击者可对受害者账号执行多种未授权操作，包括邮件劫持与数据窃取。 漏洞修复与真实攻击案例 Zimbra 已于 2025 年 1 月 27 日发布的版本（9.0.0 Patch 44、10.0.13、10.1.5）中修复了该漏洞。不过，当时 Zimbra 发布的安全公告中，并未提及该漏洞已被用于真实世界的攻击活动。 但据网络安全公司 StrikeReady Labs 于 2025 年 9 月 30 日发布的报告显示，已监测到的真实攻击活动中，身份不明的威胁 actor（指发起攻击的个人或组织）通过伪造利比亚海军礼宾办公室的身份，向巴西军方发送包含恶意 ICS 文件的邮件，利用上述漏洞发起攻击。 该恶意 ICS 文件中包含一段 JavaScript 代码，其功能相当于一个 “全能数据窃取器”：可将受害者的账号凭证（如用户名密码）、电子邮件、联系人信息及共享文件夹数据窃取至外部服务器（域名为 “ffrk [.] net”）；同时会搜索受害者邮箱中特定文件夹内的邮件，并添加名为 “Correo” 的恶意 Zimbra 邮件过滤规则，将这些邮件自动转发至邮箱 “[email protected]”。 为躲避检测，这段恶意脚本还被设计了两种反侦察机制：一是隐藏邮箱界面中的部分元素，避免被用户察觉；二是设置 “触发条件”—— 仅当距离上次执行已超过 3 天时才会启动（防止频繁运行导致暴露）。 相关攻击模式与 Zimbra 回应 目前尚不清楚此次针对巴西军方的攻击背后的具体组织，但今年早些时候，网络安全公司 ESET 曾披露，代号为APT28的俄罗斯高级持续性威胁组织（APT，指具备长期潜伏、精准攻击能力的黑客组织），曾利用包括 Roundcube、Horde、MDaemon 及 Zimbra 在内的多款网页邮件系统中的 XSS 漏洞，获取未授权访问权限。 此外，其他黑客组织（如Winter Vivern、UNC1151，后者又名 “Ghostwriter”）也采用过类似攻击手法（利用 XSS 漏洞）实施凭证窃取。 最新更新 在《黑客新闻》（The Hacker News）获取的一份声明中，Zimbra 表示其调查未发现该漏洞被用于针对巴西实体发起攻击的证据，并强调：“所有运行 2025 年 1 月及之后发布的版本（9.0.0 Patch 44、10.0.13、10.1.5）的 Zimbra 协作套件（ZCS）实例均不受该漏洞影响，不存在持续风险。” 目前《黑客新闻》已联系 StrikeReady Labs 寻求进一步置评，若收到回复将对报道进行补充更新。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意 PyPI 包详情 网络安全研究人员已标记 Python 软件包索引（PyPI，Python Package Index）仓库中的一个恶意软件包。该包声称可提供创建 SOCKS5 代理服务的功能，同时暗藏类似后门的隐秘功能，能在 Windows 系统上投放额外有效负载（恶意代码）。 这个名为 “soopsocks” 的欺诈性软件包，在被下架前累计被下载 2653 次。它由一名名为 “soodalpie” 的用户于 2025 年 9 月 26 日首次上传，而该用户账号也正是在当天创建的。 JFrog（软件安全公司）在一份分析报告中表示：“该软件包在提供（代理）功能的同时，还表现出针对 Windows 平台的后门代理服务器行为，会通过 VBScript（Visual Basic 脚本）或可执行文件版本，以自动化方式完成安装流程。” 其中的可执行文件 “_AUTORUN.EXE” 是一个 Go 语言编译文件。除了包含宣传中提及的 SOCKS5 代理实现代码外，它还被设计用于运行 PowerShell 脚本、设置防火墙规则，并以提升后的权限重新启动自身。此外，该文件还会执行基础的系统与网络侦察操作，例如获取 Internet Explorer 浏览器的安全设置和 Windows 系统的安装日期，并将这些信息泄露至一个硬编码（固定写入代码中）的 Discord 网络钩子（webhook，用于接收外部数据的接口）。 进一步恶意行为分析 在 soopsocks 的 0.2.5 和 0.2.6 版本中，Python 包会启动一个名为 “_AUTORUN.VBS” 的 Visual Basic 脚本。该脚本同样能够运行 PowerShell 脚本，进而从外部域名 “install.soop [.] space:6969” 下载一个包含合法 Python 二进制文件的 ZIP 压缩包，并生成一个批处理脚本 —— 该批处理脚本被配置为通过 “pip install” 命令安装 soopsocks 包并运行它。 随后，PowerShell 脚本会调用这个批处理脚本，触发 Python 包的执行。接着，该 Python 包会（若尚未获取）提升自身权限至管理员级别，配置防火墙规则以允许通过 1080 端口进行 UDP 和 TCP 通信，将自身安装为系统服务，保持与 Discord 网络钩子的通信连接，并通过创建计划任务在主机上建立持久化机制，确保系统重启后能自动启动。 JFrog 指出：“从表面上看，soopsocks 是一个设计完善的 SOCKS5 代理，具备完整的 Windows 启动支持。但从其运行方式和执行的操作来看，存在明显的恶意行为特征 —— 例如修改防火墙规则、获取高权限、执行各类 PowerShell 命令，以及从简单的可配置 Python 脚本，逐步演变为包含硬编码参数的 Go 语言可执行文件，且该版本还具备向预设 Discord 网络钩子发送侦察数据的能力。” 相关行业安全动态 此次恶意包披露之际，据 Socket（软件供应链安全公司）消息，npm（JavaScript 包管理平台）的包维护者正就一系列问题表达担忧，包括：GitHub 为应对日益增多的软件供应链攻击而推出大规模变更后，npm 缺乏原生的 CI/CD（持续集成 / 持续部署）双因素认证（2FA）流程、受信任发布的自托管工作流支持不足，以及令牌管理机制不完善等。 本周早些时候，GitHub 宣布将很快吊销 npm 发布者的所有旧版令牌，并规定所有 npm 精细化访问令牌的默认有效期将从 30 天缩短至 7 天，最长有效期为 90 天 —— 而此前这类令牌的有效期是无限制的。 GitHub 表示：“长期有效的令牌是供应链攻击的主要攻击向量。当令牌被盗用时，较短的有效期能缩小暴露窗口，降低潜在危害。这一变更使 npm 与业内已普遍采用的安全最佳实践保持一致。” 与此同时，Socket 公司还发布了一款名为 “Socket Firewall” 的免费工具。该工具可在安装阶段拦截 npm、Python 和 Rust 生态系统中的恶意包，帮助开发者保护其开发环境免受潜在威胁。 该公司补充道：“Socket Firewall 不仅能保护用户免受有问题的顶级依赖包（直接引入的依赖）影响，还能阻止包管理器获取任何已知含恶意的传递依赖包（由顶级依赖包间接引入的依赖）。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁参与者正积极利用 “服务查找器”（Service Finder）WordPress 主题存在的一个严重安全漏洞。该漏洞可使攻击者未经授权访问任意账户（包括管理员账户），进而控制存在漏洞的网站。 此次被追踪为CVE-2025-5947（CVSS 评分：9.8，属于严重级别）的身份验证绕过漏洞，影响的是 “服务查找器预订”（Service Finder Bookings）插件 —— 该插件是 “服务查找器” 主题的捆绑插件。该漏洞由一名化名 “Foxyyy” 的研究人员发现。 Wordfence 研究员 István Márton 表示：“此漏洞允许未经验证的攻击者访问网站上的任意账户，包括拥有‘管理员’权限的账户。” 该漏洞的核心问题是 “权限提升”，其根源在于身份验证绕过：该插件在通过 “账户切换功能”（service_finder_switch_back ()）让用户登录前，未充分验证用户的 Cookie 值。 因此，未经验证的攻击者可利用这一漏洞，以任意用户（包括管理员）的身份登录网站，从而实际控制该网站，并将其用于恶意目的 —— 例如植入恶意代码，将用户重定向至虚假网站，或利用该网站托管恶意软件。 该漏洞影响所有版本号小于等于 6.0 的 “服务查找器” 主题。插件维护者已于 2025 年 7 月 17 日发布 6.1 版本，修复了此问题。根据 Envato 市场（知名主题 / 插件交易平台）的数据，该主题已售出超过 6100 份。 这家 WordPress 安全公司（指 Wordfence）表示，自 2025 年 8 月 1 日起，已监测到针对 CVE-2025-5947 漏洞的利用活动，截至目前已检测到超过 13800 次攻击尝试。不过，目前这些攻击尝试的成功率尚不清楚。 以下 IP 地址被监测到针对 “服务查找器预订” 插件的 “账户切换功能” 发起攻击： 5.189.221.98 185.109.21.157 192.121.16.196 194.68.32.71 178.125.204.198 建议网站管理员对网站进行审计，排查是否存在可疑活动，并确保所有插件和主题均已更新至最新版本。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Legit Security 近日披露了 GitHub Copilot Chat 人工智能助手的一个漏洞，该漏洞导致敏感数据泄露并允许攻击者完全控制 Copilot 的回复。 通过结合内容安全策略（CSP）绕过与远程提示注入，Legit Security 的研究员 Omer Mayraz 成功从私有仓库中泄露了 AWS 密钥和零日漏洞信息，并影响了 Copilot 向其他用户提供的回复。 Copilot Chat 旨在提供代码解释和建议，并允许用户通过 HTML 注释在渲染的 Markdown 中隐藏内容。隐藏评论仍会触发向仓库所有者发送的拉取请求通知，但不会显示评论内容。然而，相关提示也会被注入到其他用户的上下文中。 Mayraz 解释说，隐藏评论功能允许用户影响 Copilot，使其向其他用户显示代码建议，包括恶意软件包。Mayraz 还发现，他可以制作包含访问用户私有仓库指令的提示，对其内容进行编码，并将其附加到 URL 中。“当用户点击该 URL 时，数据就会被回传给我们，”他指出。 不过，GitHub 严格的内容安全策略阻止从非平台拥有的域名获取图片及其他内容，从而防止通过向受害者聊天中注入 HTML <img> 标签来泄露数据。当 README 或 Markdown 文件中包含外部图片时，GitHub 会解析这些图片以识别 URL，并使用开源项目 Camo 为每个文件生成匿名代理 URL。外部 URL 会被重写为 Camo 代理 URL，当浏览器请求图片时，Camo 代理会检查 URL 签名，并且仅当 URL 由 GitHub 签名时才从原始位置获取外部图片。 这种做法通过使用受控代理获取图片来确保安全，防止利用任意 URL 泄露数据，并且在 README 中显示图片时不会暴露图片 URL。 “我们注入到受害者聊天中的每个 <img> 标签必须包含预先生成的有效 Camo URL 签名，否则 GitHub 的反向代理将不会获取内容，”Mayraz 指出。 为了绕过这一保护机制，该研究员创建了一个包含字母表中所有字母和符号的字典，为每个字符预生成对应的 Camo URL，并将该字典嵌入到注入的提示中。 他创建了一个对每个请求返回 1×1 透明像素的服务器，构建了可用于从仓库泄露敏感内容的字母和符号的 Camo URL 字典，随后制作了触发漏洞的提示。 Mayraz 发布了概念验证视频，演示了如何利用该攻击从私有仓库中泄露零日漏洞和 AWS 密钥。 8月14日，GitHub 通知该研究员，已通过禁止使用 Camo 泄露用户敏感信息的方式修复了该问题。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 TwoNet 的亲俄黑客组织在不到一年的时间里，从发起分布式拒绝服务（DDoS）攻击转向瞄准关键基础设施。 最近，该威胁行为者声称攻击了一家水处理厂，但事实证明这是一个由威胁研究人员专门设置的高仿真蜜罐系统，用于观察攻击者的行动。这场对诱饵设施的入侵发生在 9 月，揭示了威胁行为者从初始访问到实施破坏性行动仅用了约 26 小时。 为企业 IT 和工业网络提供 cybersecurity 解决方案的 Forescout 公司研究人员，在监控 TwoNet 在虚假水处理厂的活动时发现，黑客于上午 8:22 尝试使用默认凭证并获得了初始访问权限。在第一天，该黑客组织试图枚举系统上的数据库；在使用了适用于该系统的正确 SQL 查询后，他们在第二次尝试中取得了成功。 攻击者随后创建了一个名为 Barlati 的新用户账户，并利用一个编号为 CVE-2021-26829 的旧版存储型跨站脚本（XSS）漏洞宣布了他们的入侵。 他们利用这一安全问题在人机界面（HMI）上触发了一个弹出警报，显示信息为 “被 Barlati 黑客入侵”。 然而，他们还采取了更具破坏性的行动，以干扰流程并禁用日志和警报。Forescout 的研究人员表示，TwoNet 并未意识到自己入侵的是一个诱饵系统，他们通过从数据源列表中移除连接的可编程逻辑控制器（PLC）来禁用实时更新，并在人机界面中更改了 PLC 的设定值。“攻击者没有尝试权限提升或利用底层主机，而是完全专注于人机界面的 Web 应用层”。 第二天上午 11:19，Forescout 研究人员记录了入侵者的最后一次登录。 虽然 TwoNet 最初只是另一个亲俄黑客组织，专注于对支持乌克兰的实体发起 DDoS 攻击，但该团伙似乎正在从事各种网络活动。 Forescout 在攻击者的 Telegram 频道上发现，TwoNet 试图瞄准 “敌国” 关键基础设施组织的人机界面（HMI）或监控与数据采集（SCADA）系统界面。 该团伙还公布了情报和警务人员的个人详细信息，提供各种网络犯罪服务的商业报价，如勒索软件即服务（RaaS）、黑客雇佣，或提供对波兰 SCADA 系统的初始访问权限。 “这种模式与其他从 ‘ 传统 ‘ 的 DDoS 攻击 / 网站篡改转向操作技术（OT）/ 工业控制系统（ICS）操作的组织相似，”Forescout 研究人员表示。 为降低被入侵的风险，Forescout 建议关键基础设施领域的组织确保系统具有强大的身份验证，且不暴露在公共网络上。 对生产网络进行适当分段，结合基于 IP 的访问控制列表用于管理员界面访问，即使攻击者入侵了企业网络，也能将其阻挡在外。 Forescout 还建议使用协议感知检测，以对利用尝试和人机界面中的更改发出警报。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SonicWall 公司周三披露，未经授权的第三方访问了所有使用其云备份服务的客户的防火墙配置备份文件。 该公司表示：”这些文件包含加密的凭证和配置数据；虽然加密仍保持有效，但持有这些文件可能会增加遭受定向攻击的风险。” 该公司还指出，正在着手通知所有合作伙伴和客户，并已发布工具协助进行设备评估和补救。同时，公司也在敦促用户登录系统检查自己的设备状况。 几周前，SonicWall 曾因 MySonicWall 账户遭遇安全漏洞导致防火墙配置备份文件泄露，而敦促客户重置凭证。此次事件正是在这之后发生的。 MySonicWall 门户上提供的受影响设备列表已被分配优先级，以帮助客户确定补救工作的先后顺序。标签分类如下： 活跃 – 高优先级：启用了面向互联网服务的设备 活跃 – 低优先级：未启用面向互联网服务的设备 不活跃：90 天内未与服务器通信的设备 最新的事后分析与该公司最初的评估大相径庭。起初，该公司声称威胁行为体仅访问了不到 5% 客户存储在云端的防火墙偏好备份文件。公司当时还表示，虽然这些文件中的凭证已加密，但其中包含 “可能使攻击者更容易潜在利用相关防火墙的信息”。 目前尚不清楚有多少客户使用该云备份服务。SonicWall 尚未透露攻击何时开始，也未指明幕后黑手是谁。不过，该公司表示，此后已 “加固” 了其基础设施，增加了额外的日志记录，并引入了更强的身份验证控制，以防止类似事件再次发生。 建议用户立即采取以下步骤： 登录MySonicWall.com账户，验证已注册的防火墙是否存在云备份 如果相关字段为空，则不受影响 如果字段包含备份详情，验证受影响的序列号是否在账户中列出 如果显示了序列号，用户应按照所列防火墙的遏制和补救指南操作 SonicWall 表示，如果客户使用了云备份功能，但未显示序列号或仅显示部分已注册序列号，公司将在未来几天提供额外指导。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种名为 ClayRat 的安卓间谍软件攻击活动正迅速演变，该软件通过伪装成 WhatsApp、谷歌相册（Google Photos）、TikTok 和 YouTube 等热门应用，借助 Telegram 频道与仿冒钓鱼网站的组合手段，将俄罗斯用户列为攻击目标。 移动安全公司 Zimperium 的研究员维什努・普拉塔帕吉里在一份提交给《黑客新闻》（The Hacker News）的报告中指出：“一旦激活，该间谍软件可窃取短信、通话记录、通知和设备信息，调用前置摄像头拍照，甚至能直接从受害者设备发送短信或拨打电话。” 该恶意软件还具备自我传播功能 —— 会向受害者手机通讯录中的所有联系人发送恶意链接。这一行为表明，攻击者采用了极具攻击性的策略，将已被入侵的设备用作恶意软件的传播载体。 这家移动安全公司表示，过去 90 天内，他们已检测到不少于 600 个恶意软件样本和 50 个投放器（dropper）。且该恶意软件的每一次迭代都会新增多层混淆技术，以规避安全检测、绕过防护机制。其名称 “ClayRat” 源于可远程操控受感染设备的命令与控制面板（C2 面板）。 此次攻击链的运作流程如下：先将毫无防备的访问者重定向至攻击者控制的仿冒网站，再引导至其掌控的 Telegram 频道；在频道中，攻击者通过人为抬高下载量、发布伪造好评来伪造 “热门” 假象，诱骗用户下载 APK 安装文件。 在另一些案例中，部分仿冒网站声称提供 “YouTube 增强版”（YouTube Plus）及各类高级功能，实则暗藏 APK 文件 —— 这些文件能绕过谷歌为安卓 13 及更高版本系统设置的安全防护，突破 “禁止侧载应用” 的限制。 该公司解释道：“为绕过平台限制及新版安卓系统新增的防护壁垒，部分 ClayRat 样本以‘投放器’形式存在：用户可见的应用仅是一个轻量级安装程序，会显示伪造的谷歌应用商店（Play Store）更新界面，而真正的加密恶意载荷（payload）则隐藏在应用的资源文件中。这种基于会话的安装方式降低了用户的风险感知，从而提高了‘用户访问网页后即安装间谍软件’的成功率。” 一旦完成安装，ClayRat 会通过标准 HTTP 协议与 C2 服务器通信，并请求用户将其设为默认短信应用 —— 借此获取敏感内容的访问权限与消息功能控制权，进而秘密窃取通话记录、短信、通知，并向所有联系人进一步传播恶意软件。 该恶意软件的其他功能还包括：拨打电话、获取设备信息、调用设备摄像头拍照，以及向 C2 服务器发送设备上所有已安装应用的列表。 ClayRat 的威胁性不仅体现在其监控能力上，更在于它能自动将受感染设备转化为传播节点 —— 这使得攻击者无需任何人工干预，就能迅速扩大攻击范围。 与此同时，卢森堡大学与谢赫・安塔・迪奥普大学的学者发现，在非洲销售的经济型安卓智能手机中，部分预装应用拥有过高权限，其中某厂商提供的应用程序竟会向外部第三方传输设备标识符与位置信息。 这项研究对从 7 款非洲市场智能手机中收集的 1544 个 APK 文件进行了分析，结果显示：“145 个应用（占比 9%）会泄露敏感数据，249 个应用（占比 16%）在暴露关键组件时缺乏足够防护措施；此外，许多应用还存在其他风险：226 个应用会执行特权或危险命令，79 个应用会对短信进行操作（读取、发送或删除），33 个应用会执行静默安装操作。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正针对美国高校及其他机构发起攻击活动，将员工的薪资款项转移至由攻击者控制的账户中。 微软表示，这些被称为 “工资单海盗” 的黑客通过钓鱼邮件获取 Workday等第三方平台的访问权限。微软称：“自 2025 年 3 月以来，我们发现 3 所高校中有 11 个账户被成功入侵，这些账户被用于向 25 所高校的近 6000 个邮箱账户发送钓鱼邮件。” 该公司研究人员在 2025 年上半年全程追踪到了这一攻击活动，并指出，尽管威胁行为体的目标是 Workday 账户，但其他多个存储员工人力资源或支付信息的系统也可能面临风险。 微软透露，黑客通过包含恶意链接的钓鱼邮件窃取多因素认证（MFA）验证码。获取验证码后，攻击者便能劫持受害者的 Workday 账户资料。侵入员工账户后，黑客会创建一条收件箱规则，自动删除所有来自 Workday 的预警邮件，从而在修改银行账户信息时不被发现。微软将这些威胁 actors 命名为 “Storm-2657”，并表示已联系部分受影响客户，为其提供应对该攻击活动的建议。 Workday 的一位发言人表示：“我们鼓励客户启用防钓鱼的多因素认证方式，并在薪资发放等敏感操作环节增加额外验证步骤，以防范此类威胁。” “报告疑似新冠病例”—— 钓鱼邮件的伪装形式 这些钓鱼邮件形式多样，针对多所高校发送。其中多封邮件包含谷歌文档（Google Docs）链接，主题通常围绕新冠疫情或课堂不当行为指控展开。 部分邮件的主题栏内容包括 “报告疑似新冠病例 —— 请确认您的接触状态” 或 “教职员工合规通知 —— 课堂不当行为报告”。曾出现过这样一起案例：某机构向 500 人发送了一封关于 “疾病接触状态” 的钓鱼邮件，仅有 10% 的收件人将其举报为钓鱼邮件。 微软解释道：“最新发现的攻击手法中，钓鱼邮件会伪装成来自正规高校或高校关联机构的信息。为了让邮件看起来更可信，Storm-2657 会根据收件人所在的机构定制邮件内容。”有些邮件被伪装成校长办公室的官方通知，或人力资源部门发送的薪酬调整相关邮件。除了删除受害者收件箱中所有来自 Workday 的邮件外，攻击者还会将自己的设备注册到受害者的多因素认证系统中，以便长期维持账户访问权限。 与 “商业邮件妥协” 攻击的关联 此类攻击是 “商业邮件妥协”（BEC）攻击的一种变体。在这类攻击中，黑客会接管邮件对话或账户，并将合法账户替换为自己控制的账户。 “商业邮件妥协” 仍是最棘手且造成损失最严重的网络犯罪类型之一。美国联邦调查局（FBI）报告显示，2024 年此类攻击造成的损失超过 20 亿美元。 大多数此类攻击的目标是涉及电汇或自动清算所（ACH）支付业务的企业，最终目的是诱骗受害者将资金误转入黑客控制的账户。 去年，某领先碳产品供应商的一名员工被诱骗向网络犯罪分子进行了多次电汇，导致约 6000 万美元被盗。美国田纳西州的一个学区也遭遇类似骗局，被骗走数百万美元。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正提醒公众警惕一场针对 WordPress 网站的恶意攻击活动：攻击者通过注入恶意 JavaScript 代码，将网站访客重定向至可疑站点。 网站安全公司 Sucuri 的研究员普贾・斯里瓦斯塔瓦在上周发布的分析报告中指出：“访客会被注入‘无交互感染型恶意软件’（drive-by malware），例如伪装成 Cloudflare 验证页面的恶意内容。” 该公司表示，其启动调查的起因是一位客户的 WordPress 网站向访客推送了可疑的第三方 JavaScript 代码。最终调查发现，攻击者对网站主题相关文件 “functions.php” 进行了恶意篡改。 注入 “functions.php” 的代码中包含谷歌广告（Google Ads）的引用，此举很可能是为了规避检测。但实际上，这段代码相当于一个 “远程加载器”，会向域名 “brazilc [.] com” 发送 HTTP POST 请求，而该域名会返回一个包含两个组件的动态载荷： 一个托管在远程服务器 “porsasystem [.] com” 上的 JavaScript 文件（截至发稿时，已有 17 个网站引用过该文件），其中包含实现网站重定向的代码； 一段 JavaScript 代码，用于创建一个 1×1 像素的隐藏 iframe（内嵌框架），并在框架中注入模仿 Cloudflare 合法资源的代码，例如 “cdn-cgi/challenge-platform/scripts/jsd/main.js”—— 该 API 是 Cloudflare 机器人检测与验证平台的核心组件。 数字取证与事件响应（DFIR）外包服务 值得注意的是，域名 “porsasystem [.] com” 已被标记为 “Kongtuke” 流量分发系统（TDS）的一部分。该系统还有多个别名，包括 404 TDS、Chaya_002、LandUpdate808 和 TAG-124。 根据 2025 年 9 月 19 日 Mastodon 平台上名为 “monitorsg” 的账号分享的信息，该攻击感染链的流程如下：用户访问已被入侵的网站后，会触发 “porsasystem [.] com/6m9x.js” 的执行，随后跳转至 “porsasystem [.] com/js.php”，最终将受害者引导至 ClickFix 风格的页面，以分发恶意软件。 上述发现凸显了保护 WordPress 网站的必要性，具体措施包括：确保插件、主题及网站软件保持最新版本；设置强密码；定期扫描网站以检测异常情况；警惕未经授权创建的管理员账号（此类账号常被用于在恶意软件被检测和清除后，仍能维持对网站的持久控制）。 利用 IUAM ClickFix 生成器创建 ClickFix 页面 与此同时，帕洛阿尔托网络公司（Palo Alto Networks）的 Unit 42 团队披露了一款名为 “IUAM ClickFix 生成器” 的钓鱼工具包。攻击者可借助该工具包，利用 ClickFix 社会工程学技术感染用户设备，并通过模仿 “浏览器验证挑战”（常用于拦截自动化流量）创建可自定义的钓鱼着陆页。 安全研究员阿米尔・埃尔萨德表示：“这款工具能让威胁行为者创建高度可定制的钓鱼页面，这些页面会模仿内容分发网络（CDN）和云安全服务商常用的‘浏览器验证挑战响应界面’（用于防御自动化威胁）。这种伪造的界面设计得足以让受害者信以为真，从而提升钓鱼诱饵的成功率。” 这类定制化钓鱼页面还具备剪贴板操控功能 —— 这是 ClickFix 攻击中的关键步骤；同时能检测用户使用的操作系统，以便针对性地调整感染流程，并推送兼容的恶意软件。 目前已发现至少两起案例：威胁行为者利用该工具包生成的页面，部署了 DeerStealer 和 Odyssey Stealer 等信息窃取恶意软件，其中 Odyssey Stealer 专门针对苹果 macOS 系统设计。 IUAM ClickFix 生成器的出现，印证了此前微软发布的一则预警：自 2024 年底起，地下论坛中商用 ClickFix 构建工具的数量持续增加。另一款集成了类似功能的知名钓鱼工具包是 “Impact Solutions”。 微软在 2025 年 8 月曾指出：“这些工具包支持创建包含多种诱饵的着陆页，其中就包括伪装成 Cloudflare 的页面；还能生成恶意命令，诱骗用户将其粘贴到 Windows‘运行’对话框中。工具包开发商声称可保证绕过杀毒软件和网页防护（部分甚至宣称能绕过微软 Defender SmartScreen），并能确保载荷的持久化运行。” 毋庸置疑，这类工具进一步降低了网络犯罪的门槛，使得攻击者无需具备深厚技术知识或投入大量精力，就能发起规模化、复杂的跨平台攻击。 借助缓存走私技术，ClickFix 攻击更具隐蔽性 此前研究人员还发现了一场新型攻击活动：该活动对 ClickFix 攻击模式进行了创新，采用了一种名为 “缓存走私”（cache smuggling）的隐蔽技术，无需在目标主机上显式下载任何恶意文件，就能规避检测。 Expel 公司首席威胁研究员马库斯・哈钦斯表示：“这场攻击活动与以往的 ClickFix 变种不同，其恶意脚本不会下载任何文件，也不会与互联网进行通信。实现这一点的关键，是利用浏览器缓存将任意数据预先存储到用户设备上。” 互联网安全中心（CIS）构建工具包 该网络安全公司记录的这场攻击中，ClickFix 风格的钓鱼页面伪装成 “Fortinet VPN 合规检查器”，并采用 “FileFix 战术” 欺骗用户：诱使用户打开 Windows 文件资源管理器，然后将恶意命令粘贴到地址栏中，最终触发恶意载荷的执行。 这段隐藏的恶意命令会通过 conhost.exe 程序运行一个 PowerShell 脚本。该脚本的特别之处在于，它不会下载任何额外的恶意软件，也不会与攻击者控制的服务器通信。相反，它会执行一段伪装成 JPEG 图片的混淆载荷 —— 而这段载荷在用户访问钓鱼页面时，就已被浏览器缓存到本地。 哈钦斯解释道：“无论是网页本身还是 PowerShell 脚本，都没有显式下载任何文件。只需让浏览器缓存这个伪造的‘图片’，恶意软件就能将整个压缩文件植入本地系统，而无需通过 PowerShell 命令发起任何网络请求。” “这种技术的潜在影响令人担忧：缓存走私可能成为一种规避防护的手段 —— 原本用于检测‘恶意文件下载与执行’的防护机制，将无法识别此类攻击。表面上下载的是一个看似无害的‘image/jpeg’文件，但实际上其内容会被提取，并通过隐藏在 ClickFix 钓鱼诱饵中的 PowerShell 命令执行。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Figma MCP 漏洞详情 网络安全研究人员披露了热门工具 figma-developer-mcp（模型上下文协议，MCP）服务器中一个现已修复的漏洞。该漏洞可能使攻击者实现代码执行。 此漏洞编号为 CVE-2025-53967，CVSS 评分为 7.5，属于命令注入漏洞，根源在于对用户输入未进行安全处理，从而为攻击者发送任意系统命令打开了方便之门。 该漏洞的 GitHub 安全公告指出：“服务器会直接将未经验证的用户输入嵌入到命令行字符串中，进而构造并执行 Shell 命令。这使得 Shell 元字符注入（如 |、>、&& 等）成为可能。成功利用该漏洞可导致攻击者以服务器进程的权限执行远程代码。” 由于 Framelink Figma MCP 服务器会提供多种工具，供用户借助 Cursor 等人工智能（AI）驱动的编码代理在 Figma 中执行操作，因此攻击者可通过间接提示注入的方式，诱使 MCP 客户端执行非预期操作。 数字取证与事件响应（DFIR）外包服务 网络安全公司 Imperva 于 2025 年 7 月发现并报告了该问题。该公司将 CVE-2025-53967 描述为一种 “设计疏漏”，存在于（服务器的） fallback 机制（故障转移 / 备用机制）中，可能使恶意攻击者实现完全的远程代码执行，导致开发人员面临数据泄露风险。 安全研究员约汉・西拉姆表示，该命令注入漏洞 “发生在构建用于向 Figma API 端点发送流量的命令行指令过程中”。 漏洞利用流程分为以下几个步骤： MCP 客户端向 MCP 端点发送 “初始化（Initialize）” 请求，以获取 mcp-session-id（MCP 会话 ID），该 ID 将用于后续与 MCP 服务器的通信。 客户端向 MCP 服务器发送 JSONRPC 请求，调用 “tools/call” 方法以使用相关工具，例如 “get_figma_data”（获取 Figma 数据）或 “download_figma_images”（下载 Figma 图片）。 该漏洞的核心问题存在于 “src/utils/fetch-with-retry.ts” 文件中。该文件首先尝试使用标准的 fetch API 获取内容，若获取失败，则会通过 child_process.exec（Node.js 中的子进程执行模块）调用 curl 命令 —— 而这一过程恰好引入了命令注入漏洞。 Imperva 指出：“由于 curl 命令是通过将 URL 和标头值直接插入到 Shell 命令字符串中构造而成的，恶意攻击者可精心设计特殊的 URL 或标头值，以注入任意 Shell 命令。这可能导致在主机上执行远程代码（RCE）。” 在概念验证（PoC）攻击中，同一网络中的远程攻击者（例如连接公共 Wi-Fi 的攻击者或已入侵企业设备的攻击者）可通过向存在漏洞的 MCP 发送一系列请求来触发该漏洞。此外，攻击者也可通过 DNS 重绑定攻击，诱骗受害者访问精心构造的恶意网站。 figma-developer-mcp 的 0.6.3 版本已修复该漏洞，该版本于 2025 年 9 月 29 日发布。作为缓解措施，建议避免将 child_process.exec 与不可信输入结合使用，而是改用 child_process.execFile—— 该方法可消除 Shell 解释带来的风险。 这家隶属于泰雷兹（Thales）集团的公司（指 Imperva）表示：“随着人工智能驱动的开发工具不断发展并获得广泛采用，安全考量必须与技术创新保持同步。此漏洞深刻提醒我们，即便是设计用于本地运行的工具，也可能成为攻击者的强大入口。” Center for Internet Security（CIS，互联网安全中心）构建工具包 与此同时，网络安全公司 FireTail 披露，谷歌已决定不修复其 Gemini AI 聊天机器人中一个新的 ASCII 走私攻击漏洞。该漏洞可被利用来构造特殊输入，这些输入能绕过安全过滤机制，并诱导聊天机器人产生不良响应。其他易受此类攻击影响的大型语言模型（LLM）还包括 DeepSeek 和 xAI 的 Grok。 该公司表示：“当 Gemini 等大型语言模型与谷歌 Workspace 等企业平台深度集成时，此漏洞的危险性会尤其突出。这种攻击技术可实现自动化的身份伪造和系统性的数据投毒，将一个用户界面（UI）层面的漏洞转化为潜在的安全噩梦。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Discord（知名社交平台）表示，不会向声称窃取了该公司 Zendesk 客服系统数据的威胁行为者支付赎金。黑客称此次泄露涉及 550 万独立用户的信息，其中包括部分用户的政府身份证件（如身份证、护照等）及不全的支付信息。 对于黑客 “泄露 210 万张政府身份证件照片” 的说法，Discord 同样予以驳斥，称实际仅有约 7 万名用户的政府身份证件照片可能被曝光。 尽管黑客声称泄露是通过 Discord 的 Zendesk 客服系统发生的，但 Discord 并未证实这一说法，仅表示事件与一款用于客户支持的第三方服务有关。 Discord 官方回应：未自身遭入侵，数据量说法不实 Discord 在给 BleepingComputer（科技媒体）的声明中表示：“首先，正如我们在博客文章中所提及的，此次事件并非 Discord 自身系统遭入侵，而是我们用于辅助客户服务的第三方服务出现问题。 其次，目前流传的数据规模说法均不准确，这些说法是黑客试图向 Discord 勒索赎金的手段之一。在全球范围内受影响的账户中，我们已确认约 7 万名用户的政府身份证件照片可能被曝光 —— 这些照片是我们的服务商此前用于审核年龄相关申诉时留存的。 第三，我们不会为这些人的非法行为提供任何‘奖励’（即支付赎金）。” 黑客自述：通过外包客服账户入侵，窃取 1.6TB 数据 BleepingComputer 与黑客沟通后了解到，对方认为 Discord 未如实披露此次泄露的严重性，并声称从 Discord 的 Zendesk 系统中窃取了 1.6 太字节（TB）的数据。 据威胁行为者称，他们自 2025 年 9 月 20 日起，持续访问 Discord 的 Zendesk 系统长达 58 小时。但黑客表示，此次入侵并非源于 Zendesk 自身的漏洞或安全 breach，而是通过一个 “外包客服账户” 实现的 —— 该账户归属 Discord 合作的业务流程外包（BPO）服务商旗下的一名客服人员，且该账户已被黑客控制。 如今，许多企业会将客服及 IT 帮助台业务外包给 BPO 服务商，这类外包账户已成为黑客的热门攻击目标，攻击者可通过其获取下游客户环境的访问权限。 黑客还声称，通过 Discord 内部的 Zendesk 系统，他们得以访问一款名为 “Zenbar” 的客服应用。借助该应用，黑客可执行多种客服相关操作，例如关闭用户的双重认证（MFA）、查询用户的手机号及邮箱地址等。 攻击者表示，通过入侵 Discord 的客服平台，他们窃取了 1.6TB 的数据，其中包括约 1.5TB 的工单附件（如用户提交的申诉材料）和超过 100GB 的工单对话记录（客服与用户的沟通内容）。 黑客称，这些数据涉及约 840 万条客服工单，覆盖 550 万独立用户，其中约 58 万名用户的信息中包含某种形式的支付数据。 不过，威胁行为者也向 BleepingComputer 承认，他们无法确定政府身份证件的具体泄露数量，但认为远不止 Discord 所说的 7 万份 —— 因为仅涉及 “年龄验证” 的工单就有约 52.1 万条（这类工单通常需用户提交身份证件）。 泄露数据样本含多类敏感信息，支付数据或通过系统集成获取 黑客还分享了部分窃取的用户数据样本，内容涵盖多种敏感信息，包括：用户邮箱地址、Discord 用户名及 ID、手机号、不全的支付信息（如部分银行卡号）、出生日期、双重认证相关配置信息、账户可疑活动等级，以及其他 Discord 内部标注的用户信息。 黑客称，部分用户的支付信息可通过 Zendesk 与 Discord 内部系统的集成功能获取。据其描述，这些集成功能使得攻击者能通过 Zendesk 平台，向 Discord 内部数据库发起数百万次 API 查询，进而获取更多用户数据。 目前，BleepingComputer 尚未能独立核实黑客的说法，也无法确认所提供数据样本的真实性。 勒索谈判破裂，黑客威胁公开泄露数据 黑客透露，该团伙最初向 Discord 索要 500 万美元赎金，后降至 350 万美元，并在 9 月 25 日至 10 月 2 日期间与 Discord 进行了私下谈判。 在 Discord 终止沟通并就此事发布公开声明后，黑客表示 “极度愤怒”，并威胁称若赎金要求得不到满足，将公开泄露所有窃取的数据。 BleepingComputer 就黑客的说法向 Discord 提出了进一步疑问（例如 “为何在完成年龄验证后仍留存用户的政府身份证件”），但除上述声明外，未获得更多回应。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将 Synacor Zimbra 协作套件（ZCS）的一个漏洞（漏洞编号：CVE-2025-27915）添加至其已知被利用漏洞（KEV）目录中。 CVE-2025-27915 是 Zimbra 协作套件（9.0-10.1 版本）中存在的一种存储型跨站脚本（XSS）漏洞，由 ICS 文件中 HTML 过滤不充分所致。当受害者打开包含恶意 ICS 条目（日历数据交换格式）的电子邮件时，JavaScript 代码会通过<ontoggle>事件执行，攻击者借此可劫持会话、设置邮件重定向并窃取数据。 StrikeReady 公司的研究人员发现，威胁行为者利用恶意 iCalendar（.ICS）文件，通过零日攻击（指漏洞未被公开且无补丁修复时发起的攻击） exploiting 了 Zimbra 协作套件中的 CVE-2025-27915 漏洞。ICS 文件原本用于共享日历数据，而在今年早些时候，该文件被恶意利用以向目标系统植入 JavaScript 有效负载。 StrikeReady 发布的报告指出：“2025 年初，一个显示来自 193.29.58.37 的发送方伪造利比亚海军礼宾办公室的身份，向巴西军方发起攻击，利用的正是 Zimbra 协作套件中的零日漏洞 CVE-2025-27915。此次攻击借助了恶意 ICS 文件，这是一种常用的日历格式文件。” 美国网络安全与基础设施安全局：Zimbra 零日攻击事件详情 研究人员在分析大小超过 10KB 且嵌入了混淆 JavaScript 代码的 ICS 文件时，发现了这些攻击行为。 该恶意脚本以 Zimbra 网页邮件系统为攻击目标，窃取用户凭证、电子邮件、联系人及共享文件夹等信息，并将数据泄露至ffrk.net网站。此脚本采用多种规避检测技术：恶意代码延迟 60 秒执行、活动时间限制为 3 天、隐藏用户界面痕迹，且会强制闲置用户登出以窃取数据。研究人员还发现，该脚本通过多个立即调用函数表达式（IIFEs）实现异步运行。 以下是该恶意软件具备的功能： 注入隐藏表单字段，在无可见界面提示的情况下捕获用户名和密码； 窃取在认证表单中输入的凭证信息； 跟踪输入操作（鼠标 / 键盘），若用户处于闲置状态，则终止会话以实施数据窃取； 调用 Zimbra SOAP 接口枚举文件夹并提取电子邮件； 定期（约每 4 小时）将捕获的邮件内容上传至攻击者服务器； 创建名为 “Correo” 的邮件转发规则，将邮件重定向至某个质子邮箱（ProtonMail）地址； 收集认证相关数据及备份令牌并发送给攻击者； 提取通讯录、通讯组列表及共享文件夹中的内容； 注入后延迟 60 秒释放有效负载，以规避快速检测； 限制全功能活动时长为 3 天，之后需进入冷却期； 隐藏或移除界面元素，最大限度减少入侵痕迹； 以多个独立代码块异步运行，拆分执行流程以增加分析难度。 StrikeReady 尚未确定此次攻击的具体实施组织，但指出仅有少数资源充足的行为体具备发起零日攻击的能力。研究人员发现，此次攻击所采用的战术、技术与程序（TTPs，网络攻击领域常用术语，指攻击方的行动模式）与白俄罗斯 APT 组织 UNC1151 的攻击手法存在相似之处。 根据《第 22-01 号具有约束力的行动指令：降低已知被利用漏洞的重大风险》（BOD 22-01）的要求，美国联邦民事执行部门（FCEB）所属机构必须在截止日期前修复已发现的漏洞，以防范利用目录中所列漏洞发起的攻击。专家还建议私营机构核查该漏洞目录，并及时修复自身基础设施中存在的相关漏洞。 美国网络安全与基础设施安全局要求联邦机构于 2025 年 10 月 28 日前完成该漏洞的修复工作。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文