HackerNews

HackerNews 编译，转载请注明出处： 昨日，美国对委内瑞拉发动 “大规模军事打击”，抓获委内瑞拉总统尼古拉斯・马杜罗及其夫人，目前二人已被押解至美国纽约，面临联邦指控。特朗普暗示，美国动用了网络攻击及其他技术手段切断了当地电力供应。 互联网监测机构NetBlocks在Mastodon上发文称：“已确认：监测数据显示，委内瑞拉加拉加斯部分地区的互联网连接中断，时间点与美国军事行动期间的停电情况吻合。此次行动对首都实施了打击，并将马杜罗总统拘捕带离委内瑞拉。” 据美国政治新闻网POLITICO报道：“唐纳德・特朗普总统表示，在对委内瑞拉首都加拉加斯发起军事打击、抓获委内瑞拉总统尼古拉斯・马杜罗的行动中，美方动用了网络攻击或其他技术手段切断了当地电力供应。”若该消息属实，这将是美国网络作战力量少有的一次公开实战应用。 特朗普在海湖庄园举行的新闻发布会上详述此次行动时称：“当时的加拉加斯一片漆黑，全城电力基本中断，这正是我们技术优势的体现。那是一个黑暗之夜，也是一场致命行动。” Tor的监测数据可以呈现，美军军事行动期间，委内瑞拉境内使用该匿名网络的用户数量是否出现显著变化。下图数据显示，该国 Tor 网络用户量出现急剧攀升。 委内瑞拉 Tor 用户数量的激增，是社会陷入严重政治与信息危机的典型信号。当民众意识到常规网络渠道已不再安全可靠时，便会转向具备匿名性、抗审查能力的工具，以此突破本土信息壁垒。 此次事件后，多重因素共同推动了这一趋势。 首先，有报道称社交媒体、即时通讯软件及独立新闻网站遭遇封锁、限流或选择性屏蔽，民众被迫使用 Tor 绕过网络过滤，获取境外媒体、非政府组织及流亡群体发布的信息。 其次，随着压制力度不断升级，活动人士、记者及普通民众愈发担忧自身网络浏览与通讯内容遭到监控。Tor 能够隐藏用户 IP 地址，并通过多节点中继传输网络数据，成为少数能保障用户安全组织活动、披露证据，甚至只是安全浏览新闻的工具。 最后，面对当局的网络管控，海外侨民网络与数字权利组织通常会迅速行动，推广 Tor 等工具并发布使用指南，一旦形成传播规模，用户数量便会出现爆发式增长。 图表呈现的趋势显示，前期使用量量平稳波动，后期突然跃升至此前基准线的数倍，与其他危机事件中的情况高度吻合，例如部分国家爆发大规模抗议活动或选举后动荡，当局随即实施网络管控时。这一变化并非临时性技术故障，而是民众网络行为的根本性转变：数万委内瑞拉人试图在常规网络渠道风险高企的当下，重新掌控自身的网络浏览、言论表达与信息分享权利。 值得一提的是，2025年12 月中旬，委内瑞拉国家石油公司PDVSA曾遭遇网络攻击，其石油出口业务一度受扰。该公司当时宣称，此次攻击仅波及部分行政系统，未对生产运营造成实质影响。 委内瑞拉国家石油公司强调，其安全防护机制有效避免了供应链及出口业务中断，并将此次网络攻击定性为一次蓄意挑衅，直指美方试图通过网络手段夺取委内瑞拉石油资源。该油气企业明确指控，美国政府是此次网络攻击的幕后黑手。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 索赔管理公司Sedgwick证实，其专注于政府业务的子公司正在处理一起网络安全事件。 在新年前夕，TridentLocker勒索软件团伙声称攻击了Sedgwick政府解决方案公司，并窃取了3.4千兆字节的数据。 Sedgwick的一位发言人证实，公司目前正在处理该子公司的一起安全事件。该子公司为国土安全部、移民和海关执法局、海关和边境保护局、公民及移民服务局、劳工部以及网络安全和基础设施安全局等联邦机构提供索赔和风险管理服务。 该发言人称：”在发现该事件后，我们立即启动了事件响应预案，并通过外部法律顾问聘请了外部网络安全专家，协助对受影响的隔离文件传输系统进行调查。” “重要的是，Sedgwick政府解决方案公司的系统与公司其他业务系统是隔离的，更广泛的Sedgwick系统或数据未受影响。此外，没有证据表明索赔管理服务器被访问，Sedgwick政府解决方案公司为客户提供服务的能力也未受影响。” 公司已通知执法部门，并正在就此事与客户保持沟通。 网络安全和基础设施安全局与国土安全部没有回应置评请求。该公司还为美国所有50个州的市政机构以及史密森尼学会和纽约与新泽西港务局提供服务。 网络安全专家表示，TridentLocker是一个于2023年11月新出现的勒索软件团伙。该团伙此前曾声称对比利时邮政与包裹服务公司bpost的攻击负责，bpost已证实近期遭遇了数据泄露。 自出现以来，该团伙在其数据泄露网站上总共列出了12个受害者。 勒索软件团伙曾多次针对像Sedgwick这样的联邦政府承包商。一年前，知名政府承包商Conduent遭受攻击后，超过1000万人的信息被泄露。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月，与伊朗有关的黑客组织Handala声称，已完全入侵了两名以色列政要的移动设备。 然而，Kela网络情报研究人员的详细分析揭示，实际入侵范围更有限——攻击目标是特定的Telegram账户，而非完全获取设备访问权限。 该组织声称，在”章鱼行动”中入侵了前总理纳夫塔利·贝内特的iPhone 13，并泄露了联系人列表、照片、视频以及约1900条聊天记录。 此后不久，他们声称以类似方式访问了以色列参谋长察希·布拉弗曼的设备。尽管这些声称十分惊人，但实际的入侵暴露了账户安全方面的严重漏洞，而非设备层面的入侵。 Kela的分析师对泄露的材料进行了取证检查，发现大多数被曝光的对话是Telegram在同步过程中自动生成的空联系人卡片。 只有大约40个对话包含实际消息，其中显示实质性交流的对话更少。所有被曝光的联系人都链接到活跃的Telegram账户，证实数据来源于Telegram本身。 Kela的研究人员和分析师指出，该事件凸显了会话管理和账户安全实践中的严重漏洞，即使在加密消息平台上也是如此。 了解感染和账户接管机制可以揭示Handala是如何在没有完全设备访问权限的情况下入侵这些账户的。 该组织可能采用了多种攻击向量，包括SIM卡交换攻击——攻击者控制受害者的电话号码以接收登录验证码。 他们也可能利用电信基础设施中SS7协议的漏洞，在网络层面拦截短信。此外，Handala可能使用了复杂的钓鱼活动，通过虚假登录页面或恶意二维码窃取一次性密码。 会话劫持是另一种可能的攻击向量，即攻击者从Telegram Desktop复制tdata文件夹——该认证文件包含活跃会话数据，当在其他地方恢复时，可绕过一次性密码和多因素认证，提供完整的账户访问权限。 该组织的操作手法还包括通过多种技术获取一次性验证码：通过语音通话触发验证、利用未更改的默认PIN码从语音信箱提取验证码，或冒充Telegram支持人员，通过社会工程手段诱使工作人员泄露凭据。 Telegram的默认设置显著放大了这些风险。云密码功能是可选的，且默认禁用，这意味着仅凭一次性密码即可获得完整的账户访问权限。 标准聊天缺乏端到端加密，数据以云聊天的形式存储在Telegram服务器上，而非本地存储，这大大扩展了攻击面。 Handala最早于2023年12月出现，在多个网络犯罪论坛建立存在，并运营多个Telegram频道和社交媒体账户。 他们的行动主要针对以色列公司和组织，一贯在其活动中表现出对伊朗和巴勒斯坦事业的支持，这表明其具有国家支持或亲国家的动机。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 5 月，Covenant Health遭遇Qilin勒索软件团伙攻击，导致超过 47.8 万名个人的数据安全受到影响。 总部位于马萨诸塞州安多弗市的Covenant Health, Inc.是一家提供医疗服务和患者护理的医疗机构，其运营的医院、诊所及相关医疗设施遍布多个州，包括马萨诸塞州、缅因州、新罕布什尔州、宾夕法尼亚州和佛蒙特州。 该机构的网络攻击始于 2025 年 5 月 26 日，导致旗下多家医院、诊所及医疗网点的系统被迫关闭。起初，尚不清楚是否存在数据被盗或勒索软件植入情况，Covenant Health随即聘请顶尖网络安全专家遏制事件影响并展开调查。尽管部分系统和门诊实验室受到波及，但医疗服务仍基本未中断，新罕布什尔州的圣约瑟夫医院及缅因州的两家医院也受到了此次攻击的影响，院方建议患者按原计划就诊。 目前，该医疗机构已通知相关用户，其个人信息和健康数据可能因 2025 年 5 月 18 日发生的网络攻击而泄露。 Covenant Health曾在 7 月报告称，有 7800 人受到此次数据泄露事件影响，但在 2025 年 12 月更新数据显示，受影响总人数已达 478188 人。 提交给缅因州总检察长办公室的数据泄露通知中写道：“2025 年 12 月 31 日，圣约健康公司已根据《健康保险流通与责任法案》（45 CFR § 164.404）及《缅因州修订法规》第 10 篇第 1348 条规定，向可能受影响的患者（包括缅因州居民）邮寄了通知函（随附通知函样本）。对于社会保障号码可能涉及此次泄露的马萨诸塞州居民，圣约健康公司将提供免费的信用监控和身份保护服务。”“同时，圣约健康公司已设立专属免费呼叫中心，解答与该事件相关的咨询。我们已加强信息技术环境的安全性，以防止此类事件再次发生。” 此次泄露的数据包括患者姓名、出生日期、住址、社会保障号码（SSN）、病历编号、健康保险信息，以及诊疗相关信息（如诊断结果、诊疗日期和治疗类型等）。 2025 年 6 月，Qilin勒索软件团伙宣布对该起攻击负责，并声称窃取了 850GB 的敏感数据。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 在发布的报告中称：“2025 年圣诞假期期间，GreyNoise 监测到一场针对 Adobe ColdFusion 服务器的协同漏洞利用攻击活动。此次攻击似乎由单一威胁行为者发起，其使用的基础设施位于日本（归属 CTG Server Limited 公司）。该攻击源贡献了约 98% 的攻击流量，系统性地利用了 2023 – 2024 年间披露的 10 余个 ColdFusion 相关 CVE 漏洞。” 这名单一威胁行为者借助日本的基础设施，产生了约 98% 的攻击流量，且利用了 2023 – 2024 年间的 10 余个 ColdFusion CVE 漏洞。攻击采用 ProjectDiscovery Interactsh 工具进行带外验证，主要攻击向量为 JNDI/LDAP 注入。大部分攻击活动发生在圣诞节当天，这一刻意选择的时间点，显然是为了利用假期期间安全监控力度减弱的漏洞。 研究人员共监测到 5940 条利用 2023 – 2024 年间 ColdFusion 漏洞的恶意请求，攻击峰值出现在 12 月 25 日。 这些请求的攻击目标主要集中在美国（4044 次）、西班牙（753 次）和印度（128 次）的服务器。 GreyNoise 已锁定该主导威胁行为者所使用的两个 IP 地址（134.122.136 [.] 119、134.122.136 [.] 96），这两个 IP 均由 CTG Server Limited 公司（自治系统编号 AS152194）托管，几乎所有已监测到的 ColdFusion 漏洞利用流量都来自这两个 IP。它们占总请求量的 98% 以上，在多数情况下同步运作，共享 Interactsh 会话，展现出自动化、协同化的行为特征，会循环使用多种攻击类型。少量攻击活动来自加拿大、印度、美国及 Cloudflare 网络中的其他几个次要 IP。CTG Server Limited 是一家在香港注册的服务商，其 IP 地址资源近期增长迅速，且此前就与钓鱼攻击、垃圾邮件、伪造路由以及薄弱的滥用行为管控存在关联，这使其作为 “纵容性托管环境” 的角色引发担忧。 以下是此次攻击所针对的 ColdFusion 漏洞清单： 分析表明，此次 ColdFusion 相关攻击活动，仅占这两个 IP 所发起的大规模漏洞扫描活动的约 0.2%。总体而言，该操作共产生超过 250 万条请求，针对 2001 – 2025 年间披露的 767 个 CVE 漏洞，涉及 1200 余种攻击特征码，以及数千个独特指纹和带外应用安全测试（OAST）域名。 该攻击活动以侦察为主要目的，随后开展漏洞利用、本地文件包含（LFI）及远程代码执行（RCE）尝试。攻击目标涵盖 47 余种技术栈，包括 Java 应用服务器、Web 框架、内容管理系统（CMS）平台、网络设备及企业级软件。从活动规模、覆盖漏洞的广度以及自动化特征来看，这是一场系统性、基于模板的侦察行动，覆盖了全球范围内的漏洞环境。 专家已发布此次攻击活动的入侵指标（IOC），供相关方参考防御。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ShadyPanda和GhostPoster背后的威胁行为体，目前被确认与第三项攻击活动有关，该活动代号为DarkSpectre，已影响了Google Chrome、Microsoft Edge和Mozilla Firefox的220万用户。 此活动经评估系一个中国威胁行为者所为，Koi Security以代号DarkSpectre对其进行追踪。总体而言，这三项活动在超过七年的时间里，总共影响了超过880万用户。 本月初，网络安全公司Koi Security首次揭露了ShadyPanda活动，该活动针对所有三种浏览器的用户，以促进数据窃取、搜索查询劫持和联盟欺诈。据发现，它影响了560万用户，其中包括130万新发现的受害者，这些受害者源自被标记为属于同一集群的100多个扩展程序。 这还包括一个名为”New Tab – Customized Dashboard”的Edge插件，该插件包含一个逻辑炸弹，在触发其恶意行为前会等待三天。这种延时激活的企图是为了在审查期间给人以合法的印象，从而获得批准。 其中9个扩展目前处于活跃状态，另有85个是”休眠潜伏者”，它们目前是良性的，旨在吸引用户基础，然后通过恶意更新将其武器化。Koi表示，在某些情况下，恶意更新是在扩展存在超过五年后才引入的。 第二项活动GhostPoster主要针对Firefox用户，通过看似无害的实用工具和VPN工具向他们投放恶意JavaScript代码，旨在劫持联盟链接、注入跟踪代码以及实施点击和广告欺诈。对此活动的进一步调查发现了更多浏览器插件，包括一个用于Opera的Google Translate扩展（开发者”charliesmithbons”），其安装量接近一百万。 最近的发现，”The Zoom Stealer”（Zoom窃取者），是DarkSpectre发起的第三次此类活动，其使用一组横跨Chrome、Edge和Firefox的18个扩展程序，通过收集在线会议相关数据（如包含密码的会议URL、会议ID、主题、描述、预定时间、注册状态等）来协助企业情报搜集。 已识别的扩展及其对应ID列表如下： Google Chrome: Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp) ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep) X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha) Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga) Zoom.us Always Show “Join From Web” (aedgpiecagcpmehhelbibfbgpfiafdkm) Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf) CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo) GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme) Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai) Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn) Mute All on Meet (adjoknoacleghaejlggocbakidkoifle) Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj) Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn) Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl) Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi) Microsoft Edge: Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj) Mozilla Firefox: Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, 发布者：”invaliddejavu”) x-video-downloader ([email protected], 发布者：”invaliddejavu”) 正如扩展名称所示，其中大多数被设计成模仿面向企业的视频会议应用工具（如Google Meet、Zoom和GoTo Webinar），通过WebSocket连接实时外泄会议链接、凭据和参与者列表。 每当用户通过安装了这些扩展之一的浏览器访问网络研讨会注册页面时，它还能收集关于网络研讨会演讲者和主持人的详细信息，例如姓名、职位、简介、个人资料照片、公司关联信息，以及徽标、宣传图片和会话元数据。 研究发现，这些插件会请求访问超过28个视频会议平台，包括Cisco WebEx、Google Meet、GoTo Webinar、Microsoft Teams、Zoom等，无论它们是否真的需要这些访问权限。 研究人员Tuval Admoni和Gal Hachamov表示：”这不是消费者欺诈——这是企业间谍基础设施。’Zoom窃取者’代表着更具针对性的东西：对企业会议情报的系统性收集。用户得到了广告宣传的功能。这些扩展赢得了信任和正面评价。与此同时，监控在后台悄然运行。” 网络安全公司表示，收集到的信息可能被用来推动企业间谍活动（将数据出售给其他不良行为者），并支持社会工程和大规模冒充行动。 此活动与中国相关联的线索基于以下几点：持续使用托管在阿里云上的命令与控制（C2）服务器；与中国省份（如湖北）相关的互联网内容提供商（ICP）备案；包含中文字符串和注释的代码工件；以及专门针对京东、淘宝等中国电子商务平台的欺诈计划。 Koi表示：”DarkSpectre现在很可能部署了更多的基础设施——那些看起来完全合法的扩展，因为它们目前确实是合法的。它们仍处于建立信任的阶段，积累用户、获得徽章、等待时机。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Transparent Tribe的威胁行为体近期发起了一系列新的攻击，针对印度政府、学术和战略实体部署远程访问木马，以获取对受感染主机的持久控制权。 网络安全公司CYFIRMA在一份技术报告中表示：“该攻击活动采用欺骗性投递技术，包括一个伪装成合法PDF文档的武器化Windows快捷方式文件，其中嵌入了完整的PDF内容以规避用户怀疑。” Transparent Tribe是一个已知对印度组织实施网络间谍活动的黑客组织。据评估，这个具有国家背景的对手源自巴基斯坦，至少自2013年以来一直活跃。 该威胁行为体拥有不断演进的RAT武器库以实现其目标。Transparent Tribe近年来使用的木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT。 最近的攻击始于一封鱼叉式钓鱼邮件，内含一个包含伪装成PDF的LNK文件的ZIP压缩包。打开该文件会触发使用”mshta.exe”执行远程HTML应用程序（HTA）脚本，该脚本会解密并将最终的RAT载荷直接加载到内存中。同时，HTA会下载并打开一个诱饵PDF文档，以免引起用户怀疑。 CYFIRMA指出：“建立解码逻辑后，HTA利用ActiveX对象与Windows环境交互。这种行为展示了环境分析和运行时操纵，确保了与目标系统的兼容性，并提高了执行可靠性——这些是滥用’mshta.exe’的恶意软件中常见的技术。” 该恶意软件的一个显著特点是能够根据受感染机器上安装的防病毒软件调整其持久化方法： 如果检测到卡巴斯基（Kapsersky），它会在”C:\Users\Public\core”下创建工作目录，将经过混淆的HTA有效载荷写入磁盘，并通过在Windows启动文件夹中投放一个LNK文件来建立持久性，该LNK文件进而使用”mshta.exe”启动HTA脚本。 如果检测到Quick Heal，它通过创建批处理文件和恶意LNK文件在Windows启动文件夹中建立持久性，将HTA有效载荷写入磁盘，然后使用批处理脚本调用它。 如果检测到Avast、AVG或Avira，它通过直接将有效载荷复制到启动目录并执行来工作。 如果未检测到可识别的防病毒解决方案，则回退到结合使用批处理文件执行、基于注册表的持久化以及载荷部署，然后再启动批处理脚本。 第二个HTA文件包含一个名为”iinneldc.dll”的DLL，该DLL充当功能齐全的RAT，支持远程系统控制、文件管理、数据窃取、屏幕截图捕获、剪贴板操纵和进程控制。 该网络安全公司表示：“Transparent Tribe仍然是一个高度持久且战略驱动的网络间谍威胁，持续专注于针对印度政府实体、教育机构和其他具有战略意义的部门进行情报收集。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球仍有超过10,000台Fortinet防火墙存在CVE-2020-12812漏洞，这是一个在五年半前披露的多因素身份认证绕过漏洞. Shadowserver近期将该问题纳入其每日”易受攻击HTTP服务报告”，表明该漏洞仍遭活跃利用，相关设备的暴露风险持续存在。 CVE-2020-12812源于FortiOS SSL VPN门户中的身份验证不当问题，影响版本6.4.0、6.2.0至6.2.3以及6.0.9及更早版本。攻击者只需在登录时更改合法用户名的大小写（例如将”user”改为”User”），即可绕过第二重身份验证因子（通常是FortiToken）。 这一漏洞的成因是大小写敏感性不匹配：FortiGate将本地用户名视为大小写敏感，而轻型目录访问协议服务器通常忽略大小写，使得攻击者可通过群组成员身份完成认证，无需触发多因素认证。 该漏洞的 CVSS v3.1 基础评分为 7.5（高危），具备网络可访问性、低攻击复杂度特点，可能对数据机密性、完整性和系统可用性造成影响。2021 年，勒索软件攻击者利用该漏洞实施攻击后，其被纳入美国网络安全与基础设施安全局的已知被利用漏洞目录。 近期攻击活动 2025年12月，Fortinet发布产品安全事件响应团队公告，详细说明该漏洞在野外的 “近期滥用情况”，且与特定配置相关：启用了MFA的本地FortiGate用户，关联到LDAP，并且属于映射到SSL VPN、IPsec或管理员访问身份验证策略的LDAP组。威胁行为者利用此漏洞获得未经授权的内部网络访问权限，促使Fortinet敦促立即进行检查和修补。 Shadowserver的扫描证实了该漏洞的持续性，其针对暴露端口上的易受攻击HTTP服务进行扫描。 Shadowserver的仪表盘显示，截至 2026 年 1 月初，存在该漏洞的设备数量超 10,000 台。世界地图可视化数据显示，漏洞暴露密集区域集中在北美、东亚和欧洲，非洲及南美洲部分地区的暴露程度相对较低。 Fortinet建议用户升级至修复后的 FortiOS 版本（6.0.10 及以上、6.2.4 及以上、6.4.1 及以上），并验证配置以避免本地 – LDAP 混合多因素认证部署模式。 同时，应禁用非必要的 SSL VPN 暴露面，执行最小权限原则，并监控日志中是否存在大小写变体登录尝试。企业应订阅影子服务器基金会的报告以获取定制化警报，并及时运行其易受攻击HTTP扫描。 这种持续存在的威胁凸显了企业防火墙中遗留漏洞带来的风险，这些漏洞可能为勒索软件攻击提供便利，或在被入侵的网络内实现横向移动。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场规模空前的网络侧录攻击席卷全球网络，专门针对网购用户及账户注册用户发起攻击。安全研究人员发现，这场全球性攻击行动动用了 50 多个恶意脚本，在用户支付结账与账户注册环节拦截敏感信息，标志着网络犯罪分子攻击电商平台的手段已大幅升级 —— 从单纯窃取信用卡信息，演变为窃取用户完整身份信息。 一、攻击核心特征与技术手段 模块化定制负载：攻击者针对 Stripe、Mollie、PagSeguro、OnePay、PayPal 等主流支付网关开发专属恶意程序模块，使恶意代码能与合法支付界面完美融合，大幅降低安全团队与用户的检测难度。 伪装域名与传播网络：Source Defense Research查明攻击者搭建了复杂的域名网络用于分发和控制攻击，如googlemanageranalytic.com、gtm-analyticsdn.com、jquery-stupify.com等域名均伪装成常用分析工具或脚本库，以规避怀疑。 多元攻击向量与反取证 注入虚假支付表单，构建逼真钓鱼界面；采用静默侧录技术，在用户输入时秘密记录信息。 内置隐藏表单输入、生成符合卢恩算法的无效信用卡号等反取证手段，阻碍事件响应与分析。 攻击目标全面升级：不再局限于信用卡信息，还主动窃取用户登录凭证、个人身份信息与邮箱地址，进而发起账户劫持攻击，通过创建恶意管理员账户获取长期控制权，实现从单纯盗刷到全面身份盗用的转变。 二、攻击影响与持久化机制 该攻击已发展为成熟的长期驻留攻击模式：攻击者窃取凭证并获取管理员权限后，可长期控制受影响网站，持续从各类交易流程中窃取数据。对电商企业而言，此类攻击不仅会造成用户数据泄露，还可能因长期数据窃取导致巨额经济损失与声誉崩塌。 三、防御建议 电商平台运营方需强化客户端安全防护，具体措施包括： 部署内容安全策略（CSP），限制脚本执行权限。 实施实时支付表单监控，提前拦截恶意注入代码。 加强第三方脚本审计，采用子资源完整性（SRI）验证机制，确保外部脚本来源可信。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 30 日消息，节日期间两所法国高校遭遇网络攻击，数千名学生的数据据称已被窃取。里尔大学与格勒诺布尔高等管理学院本周成为攻击目标，其校名于 12 月 29 日出现在某臭名昭著的黑客论坛上，或致数千名学生信息面临泄露风险。这波攻击使本就遭遇内政部网络攻击、正处于网络安全修复期的法国雪上加霜，同时也呼应了美国多所顶尖高校今年频发的网络安全事件。 一、两所院校数据泄露详情 格勒诺布尔高等管理学院 网名为 CZX 的攻击者称于 11 月入侵该校系统，窃取 1.35GB 数据，波及超 40 万人（该校实际在校学生 7000 余人，数据含学生及外部订阅者信息）。 泄露数据包括姓名、邮箱、电话、住址、学术与职业背景、活动参与情况、订阅偏好、IP 地址等，来源疑似学校客户关系管理或营销系统。该攻击者此前也曾宣称入侵过其他法国企业与机构。 里尔大学 知名黑客组织 “LAPSUS$ 团伙” 宣称入侵这所拥有 8 万余名学生的法国顶尖高校，窃取近 2000 名学生数据。 泄露信息包含学生校内身份标识（NIP）、姓名、出生日期、住址、个人及工作邮箱、电话与行政数据等。研究人员指出，出生日期与其他个人信息一同泄露，大幅提升了身份被盗用的风险。 二、黑客组织背景与攻击关联 **LAPSUS\(团伙**：今年与Scattered Spider、Shiny Hunters合并为Scattered LAPSUS$ Hunters。6 月被谷歌威胁研究人员锁定，涉嫌攻击 Salesforce 及帕洛阿尔托网络、Cloudflare 等多家知名网络安全企业，还宣称入侵过戴尔、威瑞森等公司，之后虽宣称 “达成目标” 停止活动，但研究人员认为这是其在成员被捕后进行重组的策略。 近期法国其他网络攻击事件：两周前法国内政部遭网络攻击，已确认并逮捕一名嫌疑人；11 月欧洲光纤通信公司法国分部的工单管理平台被入侵，部分客户信息被盗。 三、欧美高校网络安全态势 美国哥伦比亚大学、耶鲁大学、哈佛大学今年均遭网络攻击。10 月，黑客组织 Cl0p 利用甲骨文电子商务套件的零日漏洞入侵哈佛大学，泄露 1.4TB 数据，含校内支付系统日志、内部工具源代码等；8 月哥伦比亚大学数据泄露，波及近 90 万人；4 月耶鲁大学合作酒店集团遭勒索软件攻击，私密数据被窃。 研究人员指出，此类高校攻击多以核心个人联系信息泄露为特征，而里尔大学因泄露出生日期，其风险等级更高，学生面临身份盗窃等威胁。目前相关高校暂未回应媒体问询。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  2025 年 12 月 30 日消息，黑客已污染数百万开发者常用的 Open VSX 插件市场，植入一款可窃取加密货币、凭证及各类敏感数据的恶意软件，最新一波恶意插件仅针对 macOS 用户发起攻击。 一、恶意攻击浪潮与伪装手段 Koi Security研究人员发出警告，这已是 GlassWorm这款危险的自复制恶意软件出现的第四波攻击，其活跃时长仅两个半月。该恶意软件伪装成实用开发工具潜入 Open VSX 市场，此平台是 Visual Studio Code 及 Cursor 等多款衍生代码编辑器的开源插件市场。 攻击演进：该恶意软件于 10 月首次被发现时，主要针对 Windows 系统，而此次新变种则专门锁定苹果 macOS 用户。 伪装插件：锦鲤安全在 Open VSX 平台检测到三款恶意插件，下载量已达 5 万次，其中一款伪装成智能代码格式化插件 “Prettier Pro”，另外两款则冒充提升开发效率的工具。 攻击动机：研究人员称，黑客专挑 “有鱼的地方下钩”，macOS 是加密货币、Web3 领域及初创企业开发者的常用系统，正是该恶意软件的核心攻击目标群体。 二、玻璃蠕虫 3.0 核心特性与攻击流程 技术升级与隐匿设计 采用 AES – 256 – CBC 强加密算法，将恶意程序嵌入插件附带的 JavaScript 文件中，区别于前三个针对 Windows 版本依赖不可见 Unicode 字符和 Rust 编译二进制文件的方式。 插件安装后，恶意程序会等待 15 分钟再执行恶意代码，以此规避多数 5 分钟后就会超时的自动化沙箱环境检测。 借助索拉纳区块链发布含 Base64 编码 URL 的交易备注来控制恶意软件，这种方式难以被摧毁，无域名可供拉黑。 窃币与窃密手段 检测 Ledger Live、Trezor Suite 等硬件钱包应用，用植入木马的版本替换它们；同时可攻击 MetaMask、Phantom 等 50 多种浏览器插件与桌面钱包。 窃取 GitHub 令牌、Git 凭证等以实现自我复制；还会窃取 macOS 钥匙串密码、数据库文件、VPN 配置等敏感数据。 顽固攻击特征：第四波攻击沿用此前的基础设施（主控制服务器 IP 为 45.32.151.157），且所有恶意功能均正常运行，研究人员预测第五波攻击大概率会接踵而至。 三、安全警示与应对建议 研究人员指出，攻击者会快速借鉴安全研究成果并更新攻击手段，基于区块链的控制基础设施让传统特征码检测与域名拉黑策略失效。开发者可通过以下方式降低风险： 仅从可信来源安装 Open VSX 插件，安装前核查插件开发者背景与用户评价。 及时轮换 GitHub、NPM 等平台的令牌，定期备份 SSH 密钥并限制其权限。 启用硬件钱包二次验证，定期清理浏览器扩展与桌面钱包中的敏感数据。 若发现恶意或存在漏洞的插件，可通过邮箱 openvsx@eclipse – foundation.org向 Open VSX 平台举报。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  2025 年 12 月 30 日消息，两款经谷歌 “精选” 认证的 Chrome 浏览器插件被爆出暗中窃取用户在 ChatGPT 与DeepSeek平台的对话记录，目前累计安装量已超 90 万。 该恶意软件攻击活动潜藏于 Chrome 网上应用店，涉事插件伪装成 AITOPIA 公司开发的合法侧边栏工具，宣称可在任意网站添加侧边栏以实现大语言模型对话功能。网络安全公司 OX Security 研究人员发现，这些插件虽功能正常，却内置间谍程序。 涉事插件与窃取行为 Chat GPT for Chrome with GPT – 5, Claude Sonnet & DeepSeek AI：安装量超 60 万，带有谷歌 “精选” 标识。 AI Sidebar with Deepseek, ChatGPT, Claude, and more：安装量超 30 万。 插件安装后，每 30 分钟就会窃取一次用户与 ChatGPT、深度求索的对话记录及浏览行为数据，并向外传输。研究人员指出，AI 对话常包含专有代码、个人信息等敏感内容，这些数据可能被用于企业间谍活动、身份盗窃、定向钓鱼攻击，或在暗网交易，企业员工安装后可能泄露知识产权与商业机密。 处置进展与安全提醒 OX 团队已向谷歌通报情况，但截至 12 月 30 日，谷歌响应团队仍在审查，涉事插件尚未下架。研究人员呼吁用户立即卸载相关插件，并提醒安装插件时需谨慎，即便带有 “精选” 标识，非可信来源插件也存在风险。 这并非 Chrome 商店首次出现功能性插件窃取数据事件，此前曾有一款安装量超 600 万、评分 4.7 星且获 “精选” 认证的插件被发现窃取 AI 对话内容。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一、变种发现与溯源 Aikido 恶意软件研究员查理・埃里克森于发现 30 分钟后发布报告称，该变种虽与前两版差异明显，但可确定攻击者掌握原始蠕虫源代码，且对代码重新混淆处理，排除模仿攻击可能。沙虫攻击始于 8 月针对 nx 包的 S1ngularity 行动，首波攻击 9 月 16 日爆发，11 月 24 日出现 2.0 版本 “再临” 攻击。 二、攻击机制与危害 沙虫区别于传统恶意包，直接嵌入开发者工作流，目标窃取开发环境敏感凭证： 安装时执行，扫描开发机与 CI/CD 环境密钥； 将被盗凭证上传至公开 GitHub 仓库； 利用凭证进一步入侵更多 npm 包。 首波攻击曾影响超 500 个常用 npm 包与数万个 GitHub 仓库，促使 GitHub 收紧包发布认证机制。第二波则利用漏洞披露至强制可信发布迁移的窗口期发动。 三、3.0 变种新特征与漏洞 结构与隐匿升级 重构文件结构，重命名安装器与载荷组件； 改用新 GitHub 仓库描述防字符串检测； 新增 5 类泄露文件名，聚焦环境变量、云凭证等； 移除 “失效开关”，优化错误处理，适配 Windows 系统，调整数据收集顺序。 致命漏洞 代码存在文件名错误，本应读取c0nt3nts.json，却错误保存为c9nt3nts.json，导致功能异常。 四、行业警示与防护建议 漏洞管理公司 Mondoo 首席安全官帕特里克・芒奇指出，沙虫 3.0 是 “无差别攻击武器”，其快速迭代凸显供应链仍是攻击重灾区，类似高影响攻击将增多。美国网络安全与基础设施安全局等机构已发布预警。 防护建议： 排查受影响包，轮换环境密钥； 监控 GitHub 新描述仓库，限制 npm 安装生命周期脚本； 启用发布流程多因素认证与范围令牌。 埃里克森强调，事件仍在进展中，需持续关注动态。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国电商巨头Coupang宣布，将出资约 11.7 亿美元（约合 1.685 万亿韩元），以购物代金券形式补偿 3370 万名受近期数据泄露事件影响的用户。 Coupang在新闻稿中表示：“公司计划于明年 1 月 15 日起，向 11 月末接到个人信息泄露通知的 3370 万账户用户发放总价值 1.685 万亿韩元的购物代金券。Coupang会员与普通会员将获得同等补偿，此前接获通知后注销账户的用户也包含在内。公司将通过短信逐步通知所有 3370 万账户用户代金券兑换流程。” Coupang素有 “韩国亚马逊” 之称，是韩国头部电商及物流平台。该公司 2024 年营收约 303 亿美元，2025 年第三季度净收入达 93 亿美元，同比增长 18%；全球员工约 6 万 – 6.5 万人，活跃用户约 2470 万。 12 月初，Coupang披露这起大规模数据泄露事件，影响持续超 5 个月。公司 11 月 18 日最初监测到 4500 个账户遭未授权访问，后续调查确认韩国地区约 3370 万个用户账户受影响，泄露信息包括姓名、邮箱、手机号、配送地址及部分订单记录，但支付数据、信用卡号、登录凭证等敏感信息未遭泄露。 Coupang称，此次泄露始于 2025 年 6 月 24 日，攻击者通过境外服务器非法入侵。事发后，公司阻断了攻击路径、强化内部监控，并聘请顶级独立安全机构专家协助调查。韩国副总理兼科学技术信息通信部长官裴京勋在首尔紧急召集政府核心官员召开会议。 Coupang已向美国证券交易委员会通报其涉案情况。Coupang创始人兼董事长金范锡宣布，所有被盗数据已全部追回，嫌疑人的存储设备也已被缴获。 Coupang韩国临时首席执行官哈罗德・罗杰斯表示：“每位受影响用户将获得四张总价值 5 万韩元的代金券，可在全平台通用。用户自 1 月 15 日起可在Coupang App 中查询领取资格。” 他还称：“此次事件将成为Coupang践行‘以客户为中心’理念、切实履行责任的契机，助力公司转型为用户信赖的企业。我再次向所有用户致以诚挚歉意。” 此次数据泄露是韩国近期多起网络安全事件之一。Coupang此前也曾多次遭遇安全事故，包括 2020-2021 年期间用户及配送员信息泄露，以及 2023 年 12 月发生的影响超 2.2 万名用户的数据泄露事件。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名立陶宛籍男子因涉嫌传播一款基于 KMSAuto 的剪贴板窃密恶意软件被捕，该恶意程序已感染全球约 280 万台 Windows 及 Office 系统设备。 这名 29 岁男子在国际刑警组织协调下，由格鲁吉亚引渡至韩国。韩方当局表示，该男子对盗版激活工具 KMSAuto 进行木马化改造，植入剪贴板窃密恶意程序。这款恶意软件会暗中监控受害者剪贴板中的加密货币钱包地址，并将其替换为攻击者控制的钱包地址，在用户毫无察觉的情况下劫持加密货币转账交易。 韩国警察厅指出，嫌疑人将恶意程序捆绑在 KMSAuto 工具中，诱导用户下载运行。这类专门窃取剪贴板中加密货币地址的恶意程序被称为剪贴板窃密器。 警方发布的新闻稿显示：“2020 年 4 月至 2023 年 1 月期间，嫌疑人以盗版 Windows 激活工具 KMSAuto 为伪装，在全球范围内传播该恶意软件，下载量累计约达 280 万次，韩国境内也出现感染案例。” 调查数据显示，共有 3100 个加密货币钱包地址遭到篡改，涉及 8400 笔交易，被盗虚拟资产价值约合 17 亿韩元；韩国境内已确认 8 名受害者，累计损失约 1600 万韩元。 案件的调查始于 2020 年 8 月。当时一名受害者在进行加密货币转账时，恶意软件自动将目标钱包地址替换为黑客地址，导致其价值约 1200 万韩元的 1 枚比特币被盗，而该用户的感染源正是从网上下载的盗版激活工具 KMSAuto。经深入侦查，警方发现这是一起针对 6 个国家的交易所及企业发起的大规模跨国网络犯罪，随即追踪非法加密货币资金流向，最终锁定这名立陶宛籍嫌疑人。在国际合作伙伴协助下，警方查获嫌疑人相关设备，通过国际刑警组织发布红色通缉令，并于格鲁吉亚将其抓获。 韩国警察厅网络调查局局长朴宇铉表示：“为防范恶意程序造成各类危害，民众需警惕来源不明的软件程序。未来，警方将与全球各国执法机构开展合作，通过引渡等手段，对这类无国界网络犯罪进行严厉打击。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两名网络安全从业人员上周认罪，他们此前受业已解散的 “阿尔法 HV / 黑猫” 网络犯罪组织指使，发起多起勒索软件攻击，相关行为已构成犯罪。 瑞安・戈德堡与凯文・马丁均承认一项 “合谋以勒索手段妨碍商业活动” 罪名，最高可面临 20 年监禁，二人的量刑听证会定于 3 月 12 日举行。 40 岁的戈德堡来自佐治亚州，曾任职于网络安全事件响应公司西格尼亚；36 岁的马丁来自得克萨斯州，曾是数字铸币公司的勒索软件谈判专家。两人于三个月前被提起公诉，戈德堡于 9 月 22 日被捕，马丁则在 10 月 14 日落网。 法庭文件显示，2023 年 4 月至 12 月期间，二人与另一名未公开身份的同伙联手，借助 “阿尔法 HV / 黑猫” 勒索软件对多家机构发动攻击 —— 他们利用自身在网络安全事件响应领域的职务便利，向多名受害者实施勒索。 检察官透露，受害者包括佛罗里达州一家医疗企业、马里兰州一家制药公司、加利福尼亚州一家诊所、弗吉尼亚州一家无人机企业以及加利福尼亚州一家工程公司。 起诉书指出，三人发起的攻击导致诊所的患者照片被窃取，并被发布在该勒索软件团伙的泄密网站上。 两人从佛罗里达州那家医疗企业勒索得约 120 万美元，并将其中 20% 上交 “阿尔法 HV” 组织管理人员，其余攻击均未得逞。据悉，戈德堡在接受联邦调查局问话 10 天后，便于 6 月与其妻子购买了飞往巴黎的单程机票。 美国司法部助理部长泰森・杜瓦表示：“这两人利用自身精湛的网络安全专业能力实施勒索软件攻击，而这类犯罪本应是他们职责所在、全力阻止的行为。” 美国联邦检察官贾森・雷丁・基尼奥内斯补充道：“戈德堡与马丁利用受信任的权限和技术能力，对美国受害者实施勒索，从数字胁迫行为中牟利。” 数字铸币公司发表声明称，对马丁的行为予以强烈谴责，其行为均是 “在公司毫不知情、未获许可且未参与的情况下擅自实施”。 声明指出：“他的行为严重违背公司价值观与道德准则。调查期间，我们全程配合美国司法部的工作，并支持这一判决结果，认为这是追究责任的关键一步。” 西格尼亚公司此前向Recorded Future News透露，公司得知相关情况后，立即解雇了戈德堡。 该公司于 11 月表示：“尽管西格尼亚并非本次调查对象，但我们正与联邦调查局保持密切合作。” 由于案件属于正在进行的联邦调查，公司暂无法提供更多信息。 “阿尔法 HV / 黑猫” 曾是业内极为猖獗的勒索软件团伙，2024 年遭执法部门打击后宣告解散。该团伙曾对拉斯维加斯最大酒店、某市值数十亿美元的房地产巨头发动破坏性攻击，后续又通过勒索软件摧毁了联合健康集团的核心系统，最终选择关闭运营。 美国司法部称，该团伙通过 “勒索软件即服务” 模式，在全球范围内攻击了超 1000 名受害者。联邦调查局为此研发了解密工具，据称帮助受害者避免了 9900 万美元的赎金损失。 戈德堡与马丁的案件，让网络保险及勒索软件谈判行业再次陷入舆论焦点。该行业长期以来饱受诟病，其与网络犯罪团伙的复杂互动关系以及在网络安全事件中的应对策略，一直存在较大争议。 联邦调查局特工负责人布雷特・斯基尔斯提醒：“机构在委托第三方处理勒索软件事件响应时，应开展尽职调查；发现可疑或违规行为需及时举报；一旦遭遇勒索软件攻击，应立即向联邦调查局及其他执法伙伴报告，以保障自身的安全与隐私。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 绰号为银狐的威胁行为者将攻击目标转向印度，在钓鱼攻击活动中利用个人所得税相关诱饵，分发一款名为谷鼠远程控制木马（又名 “温诺斯 4.0”）的模块化远程控制木马。 CloudSEK研究员普拉杰沃尔・阿瓦斯 thi 与库希克・帕尔在上周发布的分析报告中指出：“此次精密攻击采用了包含动态链接库劫持与模块化谷鼠远程控制木马在内的复杂攻击链，以此确保恶意程序能够长期驻留目标设备。” 银狐黑客组织另有 “游蛇”“山谷大盗”“UTG-Q-1000”“虚空蜘蛛” 等多个追踪代号，该组织是一个源自中国的激进网络犯罪团伙，自 2022 年起便持续活跃。 该组织实施的攻击活动类型多样，动机涵盖间谍活动、情报搜集、经济牟利、虚拟货币挖矿以及业务运营干扰等多个方面，是少数采用多元化攻击手段开展入侵行动的黑客团伙之一。 银狐的攻击目标最初以中文用户及相关机构为主，如今已拓展至公共、金融、医疗、科技等多个行业的机构。该组织主要借助搜索引擎优化投毒与钓鱼攻击两种方式，投放谷鼠远程控制木马、幽灵变种木马、牵手木马（又名 “幽灵文件木马”）等多款幽灵远程控制木马变种。 云安科梳理的攻击感染链条显示，攻击者会发送伪装成印度所得税部门的钓鱼邮件，邮件附件为诱饵 PDF 文件。用户一旦打开该 PDF，就会被引导至 “ggwk [.] cc” 恶意域名，进而下载一个名为 “税务事宜.zip” 的压缩包。 该压缩包内包含一个同名的 Nullsoft 脚本安装程序（“税务事宜.exe”），该程序会借助迅雷公司开发的 Windows 下载管理器 “迅雷.exe” 这一合法可执行文件，以及一个被恶意植入的动态链接库文件 “libexpat.dll” 实现加载运行。 这款恶意动态链接库文件会先执行多种反分析与反沙箱检测操作，确保恶意软件能在受感染主机上不受阻碍地运行，随后会关闭 Windows 更新服务，并充当 “甜甜圈加载器” 的载体，最终将谷鼠远程控制木马的最终有效载荷注入被掏空的 “资源管理器.exe” 进程中。 谷鼠远程控制木马可与外部控制服务器建立通信并等待后续指令，其采用插件化架构，能够灵活扩展功能，支持攻击者实施键盘记录、凭据窃取以及防御规避等操作。 云安科表示：“常驻于注册表的插件与延迟信标机制，使这款远程控制木马在设备重启后仍能存活，同时保持较低的隐蔽性特征。按需模块投递功能则允许攻击者根据受害者的身份与价值，开展针对性的凭据窃取与监视活动。” 与此同时，英国国家计算机应急响应小组指出，他们发现了银狐黑客组织用于追踪恶意安装程序下载活动的暴露链接管理面板（“ssl3 [.] space”）。该面板针对多款常用软件（包括微软团队办公软件）的恶意安装程序进行下载量统计，具体包含以下信息： 托管后门安装程序的恶意网页 钓鱼网站下载按钮的日点击量 下载按钮自上线以来的累计点击量 调查发现，银狐搭建的虚假网站仿冒了云聊、飞连 VPN、微软团队、开源 VPN、切切、三条、信号、西瓜视频、截图工具、搜狗、电报、远程桌面工具、金山办公、有道云笔记等多款知名应用。对下载链接来源 IP 地址的分析显示，至少有 217 次点击来自中国，其次为美国（39 次）、中国香港（29 次）、中国台湾（11 次）以及澳大利亚（7 次）。 该机构研究员狄龙・阿什莫尔与阿舍・格鲁表示：“银狐借助搜索引擎优化投毒手段，分发了至少 20 款常用应用的后门安装程序，涵盖通讯工具、虚拟专用网络以及办公生产力软件等类别。这些恶意程序主要针对中国境内的中文用户及机构，攻击最早可追溯至 2025 年 7 月，同时在亚太、欧洲、北美等地区也造成了额外的受害案例。” 通过这些虚假网站分发的压缩包内，包含一个基于 Nullsoft 脚本的安装程序。该程序会将微软防御杀毒软件加入排除列表，通过计划任务实现恶意程序持久化，随后连接远程服务器获取谷鼠远程控制木马的有效载荷。 值得注意的是，瑞利奎斯特公司近期发布的一份报告指出，银狐黑客组织在针对中国境内机构发起攻击时，曾仿冒俄罗斯威胁行为者的攻击特征，并使用与微软团队相关的钓鱼诱饵网站，试图混淆攻击溯源方向。 英国国家计算机应急响应小组强调：“该管理面板的数据显示，来自中国内地的点击量达数百次，且受害者遍布亚太、欧洲、北美等多个地区，这印证了此次攻击活动的波及范围之广，以及其针对中文用户的精准战略定位。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 欧洲航天局在周二发布的官方声明中披露：“近期，我局察觉到一起网络安全事件，涉事服务器均位于本机构企业外网。我们已启动安全取证分析工作，目前工作正在进行中，同时已采取相关措施，对所有可能受影响的设备进行安全加固。” 欧洲航天局强调，此次事件影响范围有限。“截至目前的分析结果显示，仅有极少数外网服务器可能受到波及。这些服务器主要用于支撑科学界非涉密合作工程项目的开展。所有相关利益相关方均已收到通知，后续一旦掌握更多信息，我们将第一时间发布更新公告。” 关于此次攻击的入侵路径、实施主体以及被窃取的数据，相关细节目前仍十分匮乏。欧洲航天局明确表示，涉事服务器均处于其核心企业防御体系之外，这类服务器很可能由第三方合作机构托管，主要用于对地观测、行星探测等航天任务的联合研究工作。 尽管这些服务器存储的均为非涉密数据，但平台内往往包含工程设计图纸、仿真模拟数据以及遥测数据等内容。这些信息虽不涉密，却可能间接帮助敌对势力锁定航天基础设施的攻击目标。 安全警醒 网络安全专家认为，此次事件为航天领域敲响了警钟。“国家级黑客组织经常针对航天机构展开侦察，以窃取知识产权。” CyberSpace Watch的威胁情报分析师埃琳娜・瓦斯奎兹博士表示，“即便是‘非涉密’数据，也可能成为供应链攻击的助力，2023 年俄乌冲突期间发生的Viasat黑客攻击事件就是典型例证。” 欧洲航天局表示，此次事件未对核心业务造成干扰，阿丽亚娜 6 型火箭发射任务、欧几里得望远镜数据处理工作等均正常推进。不过，其科学界合作伙伴，包括各大高校以及空中客车公司等私营企业，可能需要就终端安全问题接受严格审查。 随着安全取证工作的持续推进，欧洲航天局此番公开透明的应对态度或有助于提升公众信任，但同时也凸显出，在拓展型网络中构建零信任安全架构的必要性已迫在眉睫。当前，欧盟层面出台航天网络安全强制规范的呼声日益高涨，欧洲航天局承诺将尽快发布后续进展。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一组影响多款主流蓝牙耳机及耳塞设备的高危漏洞。黑客利用这些漏洞，可窃听用户通话、盗取敏感数据，甚至直接劫持与之配对的智能手机。 这组漏洞的编号分别为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702，主要影响搭载络达（Airoha）蓝牙系统级芯片 的设备。索尼、Bose、JBL、Marshall、Jabra等多家主流音频设备厂商的产品均采用该芯片。 漏洞编号 漏洞名称 通用漏洞评分系统（CVSS）评分 CVE-2025-20700 低功耗蓝牙（BLE）认证缺失漏洞 8.8 CVE-2025-20701 传统蓝牙认证缺失漏洞 8.8 CVE-2025-20702 RACE 协议远程代码执行 / 任意读取漏洞 9.6 研究人员最初于 2025 年 6 月披露了这些漏洞，为设备厂商留出了开发安全补丁的时间。 然而时隔半年，仍有大量设备未完成补丁推送。为此，研究人员公开发布了漏洞完整技术细节，同时配套发布了一份白皮书及RACE 工具包—— 用户和安全专业人员可借助该工具检测自身设备是否存在漏洞风险。 络达是蓝牙系统级芯片领域的核心供应商，其产品尤其广泛应用于真无线立体声（TWS）耳塞设备。该公司向各大厂商提供芯片参考设计方案及软件开发工具包（SDK），厂商基于此进行产品集成与功能开发。 ERNW 安全研究团队发现，搭载络达芯片的设备会通过低功耗蓝牙、传统蓝牙、通用串行总线人机接口设备等多种接口，开放一款名为RACE 的自定义协议。 RACE 协议最初设计用途为工厂调试与固件更新，具备强大的底层操作能力，支持对设备闪存和随机存取存储器的任意地址进行读写操作。 CVE-2025-20700 漏洞：存在于低功耗蓝牙的通用属性配置文件（GATT）服务中，核心问题是认证机制缺失。黑客无需与耳机配对，即可在蓝牙信号覆盖范围内发现并连接存在漏洞的设备，静默获取 RACE 协议的访问权限。这类连接通常不会向用户推送任何通知，攻击过程具备完全隐蔽性。 CVE-2025-20701 漏洞：针对传统蓝牙连接的认证机制缺陷。尽管这类连接有时更容易被用户察觉，甚至可能造成音频播放中断，但黑客可利用未授权访问权限建立双向音频连接，借助耳机的免提配置文件（HFP），通过设备麦克风实现窃听。 CVE-2025-20702 漏洞：聚焦于 RACE 协议本身暴露的高危功能。 通过该漏洞，黑客可发送特定指令获取设备信息、读取闪存页面、对 RAM 执行任意读写操作，还能提取设备的传统蓝牙地址。这些操作足以让黑客对设备进行永久性篡改，并窃取其中的敏感配置数据。 从耳机蔓延至智能手机 这组漏洞最严重的危害在于，黑客可通过漏洞链攻击，实现对配对智能手机的入侵。攻击流程如下：首先，黑客通过低功耗蓝牙或传统蓝牙连接附近存在漏洞的耳机；随后利用 RACE 协议导出设备闪存中的数据。 闪存中存储着设备的配对列表，包含所有曾配对设备的信息，其中就有耳机与智能手机之间用于双向认证的加密链路密钥（Link Key）。 一旦获取该链路密钥，黑客即可伪装成受信任的耳机设备，以特权身份连接受害者的智能手机。 ERNW 研究团队指出，这种攻击方式可衍生多种攻击路径：提取受害者的手机号码与通讯录信息；唤醒苹果智能语音助手（Siri）或谷歌智能语音助手，发送信息或拨打电话；劫持来电通话；甚至利用手机内置麦克风建立窃听连接。 研究人员通过概念验证攻击，成功入侵了受害者的 WhatsApp 及亚马逊账户，直观印证了这些漏洞的真实危害程度。 目前，研究人员已确认多款热门设备存在漏洞，但受影响产品的完整清单尚未完全明确。 已核实存在漏洞的设备包括：索尼 WH 系列与 WF 系列多款耳机（含旗舰型号 WH-1000XM5 和 WF-1000XM5）、博士消噪耳塞、杰宝 LIVE Buds 3、马歇尔 MAJOR V 与 MINOR IV，以及拜雅（Beyerdynamic）、捷波朗、德斐尔（Teufel）等品牌的多款机型。 部分厂商已发布修复漏洞的固件更新。其中捷波朗的信息披露最为透明，不仅在其安全中心公开列出受影响设备型号，还在固件更新说明中标注了对应的漏洞编号。马歇尔和拜雅也已推送相关更新，但不同厂商的信息公开程度差异显著。 安全建议 用户层面：应立即通过设备厂商官方应用或官网，为蓝牙耳机安装最新固件更新。记者、外交官、政界人士等高危目标人群，建议暂时改用有线耳机，彻底规避蓝牙攻击风险；同时需定期查看手机蓝牙配对列表，移除不常用的配对设备，减少链路密钥泄露的潜在风险。 厂商层面：必须立即应用络达提供的软件开发工具包安全补丁，并在产品上市前开展全面的安全评估。遵循成熟的蓝牙安全测试方法论，可有效避免同类漏洞在后续产品中复现。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年圣诞节期间，一场协同攻击行动爆发，黑客针对 Adobe ColdFusion 服务器及其他 47 种以上技术平台发起了超 250 万次恶意请求。 经调查，此次攻击由单一威胁攻击者发起，其攻击基础设施位于日本境内。这表明攻击者正开展大规模漏洞扫描行动，目标既包括最新暴露的漏洞，也涵盖了近 20 年间的遗留漏洞。 在针对 ColdFusion 服务器的专项攻击阶段，攻击者利用了 2023-2024 年间披露的 10 余个高危漏洞（CVE 编号），其中圣诞节当天的攻击流量峰值占比高达 68%。攻击者特意选择节假日发起攻击，此时企业安全团队人手不足、防护能力下降，显然是有意利用这一监控空档期。 此次攻击共波及全球 20 个国家的 ColdFusion 服务器，相关恶意请求约 5940 次，其中美国地区的攻击会话占比达 68%。 攻击流量主要来自 CTG 服务器有限公司托管的两个核心 IP 地址，分别是 134.122.136.119 与 134.122.136.96。 攻击技术细节 该威胁攻击者借助 ProjectDiscovery Interactsh这一带外测试平台，验证攻击是否成功生效，并在 oast.pro、oast.site 及 oast.me 等服务上部署了近 1 万个独立的带外测试域名，用于接收攻击回调信息。 攻击者采用的核心攻击路径为WDDX 反序列化漏洞，进而触发Java 命名和目录接口 / 轻量级目录访问协议注入（JNDI/LDAP 注入） 攻击，攻击目标直指 com.sun.rowset.JdbcRowSetImpl 这一 Java 组件调用链。值得注意的是，针对 ColdFusion 服务器的攻击仅占此次大规模行动的 0.2%。 对整个攻击行动的全面分析显示，攻击者对 Java 应用服务器、Web 框架、内容管理系统平台及企业级应用中的 767 个不同漏洞展开了系统性侦察。其中，攻击频率最高的两个漏洞分别是 Confluence 的 OGNL 注入漏洞（CVE-2022-26134），遭 12481 次攻击；以及 “破壳” 漏洞（Shellshock，CVE-2014-6271），遭 8527 次攻击。 网络指纹分析结果显示，此次攻击共出现 4118 个独立的 JA4H HTTP 签名，这意味着攻击者很可能使用了 “Nuclei” 等框架开展模板化扫描。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文