HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了影响开源自托管平台 Coolify 的多个高危安全漏洞的详细信息，这些漏洞可能导致身份验证绕过和远程代码执行。 漏洞列表如下： CVE-2025-66209 (CVSS评分: 10.0) – 数据库备份功能中的命令注入漏洞，允许任何具有数据库备份权限的已认证用户在主机服务器上执行任意命令，导致容器逃逸和服务器完全被入侵。 CVE-2025-66210 (CVSS评分: 10.0) – 数据库导入功能中的已认证命令注入漏洞，允许攻击者在受管理的服务器上执行任意命令，导致整个基础设施被入侵。 CVE-2025-66211 (CVSS评分: 10.0) – PostgreSQL 初始化脚本管理中的命令注入漏洞，允许具有数据库权限的已认证用户在服务器上以 root 身份执行任意命令。 CVE-2025-66212 (CVSS评分: 10.0) – 动态代理配置功能中的已认证命令注入漏洞，允许具有服务器管理权限的用户在受管理的服务器上以 root 身份执行任意命令。 CVE-2025-66213 (CVSS评分: 10.0) – 文件存储目录挂载功能中的已认证命令注入漏洞，允许具有应用/服务管理权限的用户在受管理的服务器上以 root 身份执行任意命令。 CVE-2025-64419 (CVSS评分: 9.7) – 通过 docker-compose.yaml 触发的命令注入漏洞，使攻击者能在 Coolify 实例上以 root 身份执行任意系统命令。 CVE-2025-64420 (CVSS评分: 10.0) – 信息泄露漏洞，允许低权限用户查看 Coolify 实例上 root 用户的私钥，从而通过 SSH 获得对服务器的未授权访问，并使用该密钥以 root 用户身份进行身份验证。 CVE-2025-64424 (CVSS评分: 9.4) – 在某个资源的 Git 源代码输入字段中发现命令注入漏洞，允许低权限用户（成员）在 Coolify 实例上以 root 身份执行系统命令。 CVE-2025-59156 (CVSS评分: 9.4) – 操作系统命令注入漏洞，允许低权限用户注入任意 Docker Compose 指令，并在底层主机上实现 root 级别的命令执行。 CVE-2025-59157 (CVSS评分: 10.0) – 操作系统命令注入漏洞，允许普通用户在部署期间通过 Git 仓库字段注入在底层服务器上执行的任意 shell 命令。 CVE-2025-59158 (CVSS评分: 9.4) – 对数据的不当编码或转义，允许具有低权限的已认证用户在项目创建期间发起存储型跨站脚本（XSS）攻击，当管理员稍后尝试删除该项目或其关联资源时，该攻击会在浏览器上下文中自动执行。 以下版本受这些缺陷影响： CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 – <= 4.0.0-beta.448 （已在 >= 4.0.0-beta.451 中修复） CVE-2025-66212, CVE-2025-66213 – <= 4.0.0-beta.450 （已在 >= 4.0.0-beta.451 中修复） CVE-2025-64419 – < 4.0.0-beta.436 （已在 >= 4.0.0-beta.445 中修复） CVE-2025-64420, CVE-2025-64424 – <= 4.0.0-beta.434 （修复状态不明） CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 – <= 4.0.0-beta.420.6 （已在 4.0.0-beta.420.7 中修复） 根据攻击面管理平台 Censys 的数据，截至 2026 年 1 月 8 日，约有 52,890 个暴露在外的 Coolify 主机，其中大部分位于德国（15,000 个）、美国（9,800 个）、法国（8,000 个）、巴西（4,200 个）和芬兰（3,400 个）。 虽然没有迹象表明这些漏洞在野外被利用，但鉴于其严重性，用户必须尽快应用修复措施。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了三个恶意的npm软件包，这些软件包旨在传播一种先前未被记录的名为NodeCordRAT的恶意软件。 这些软件包的名称如下所示，截至2025年11月，它们已被全部下架。这些包是由一个名为”wenmoonx”的用户上传的。 bitcoin-main-lib (2,300 次下载) bitcoin-lib-js (193 次下载) bip40 (970 次下载) Zscaler ThreatLabz的研究人员Satyam Singh和Lakhan Parashar表示：”bitcoin-main-lib和bitcoin-lib-js这两个包在安装过程中会执行一个postinstall.cjs脚本，该脚本会安装包含恶意负载的bip40包。这个最终的负载，被ThreatLabz命名为NodeCordRAT，是一个具有数据窃取能力的远程访问木马。” NodeCordRAT的名称来源于其使用npm作为传播媒介，以及利用Discord服务器进行命令与控制通信。该恶意软件能够窃取谷歌Chrome浏览器的凭证、API令牌以及MetaMask等加密货币钱包的助记词种子短语。 据这家网络安全公司称，评估认为此次攻击活动的背后威胁行为者，是以合法的bitcoinjs项目中存在的真实仓库（例如bitcoinjs-lib、bip32、bip38）为蓝本来命名这些恶意包的。 “bitcoin-main-lib”和”bitcoin-lib-js”都包含一个”package.json”文件，其中将”postinstall.cjs”指定为安装后脚本，从而导致包含NodeCordRAT负载的”bip40″包被执行。 该恶意软件除了对受感染主机进行指纹识别，以在Windows、Linux和macOS系统上生成唯一标识符外，还利用一个硬编码的Discord服务器来打开隐蔽通信通道，以接收指令并执行它们—— !run：使用Node.js的exec函数执行任意shell命令 !screenshot：截取整个桌面屏幕截图，并将PNG文件窃取到Discord频道 !sendfile：将指定文件上传到Discord频道 Zscaler表示：”这些数据是使用硬编码令牌通过Discord的API进行窃取，并发送到一个私密频道的。被窃取的文件通过Discord的REST端点/channels/{id}/messages作为消息附件上传。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起新型攻击活动的细节：攻击者以 WhatsApp 为传播载体，向巴西用户投放一款名为 Astaroth 的 Windows 银行木马。 该攻击活动被安克诺斯威胁研究团队命名为 “粉红河豚”。 这家网络安全公司在提交给thehackernews的一份报告中指出：“该恶意软件会获取受害者的 WhatsApp 联系人列表，并自动向每位联系人发送恶意消息，以此扩大感染范围。 报告还提到：“Astaroth 木马的核心程序仍由德尔福语言编写，安装程序则依托 VB 脚本运行；而此次新增的 WhatsApp 蠕虫模块，完全采用 Python 语言开发。这一特征凸显出威胁攻击者正越来越多地使用多语言模块化组件。” Astaroth 木马又名 “吉尔达马”，自 2015 年起便在网络环境中被发现，其攻击目标主要集中在拉美地区，尤其是巴西，攻击目的是窃取用户数据。2024 年，安全人员监测到多个威胁集群（代号分别为 “菠萝” 和 “水玛卡拉”）通过钓鱼邮件传播该木马。 对巴西用户而言，利用 WhatsApp 传播银行木马是一种新兴攻击手段，其兴起的原因在于这款即时通讯软件在巴西的极高普及率。就在上月，趋势科技曾披露另一威胁集群 “水萨西”，同样借助 WhatsApp 传播 “特立独行” 木马和 “卡斯巴内罗” 木马变种。 2025 年 11 月，赛门铁克发布的一份报告显示，该机构正在追踪一个名为 “STAC3150” 的多阶段恶意软件传播活动。该活动同样以巴西的 WhatsApp 用户为目标，传播 Astaroth 木马。受影响的设备中，超过 95% 位于巴西，另有少量分布在美国和奥地利。 这项攻击活动至少从 2025 年 9 月 24 日起就已活跃。攻击者通过发送包含下载器脚本的 ZIP 压缩包发起攻击：该脚本会获取 PowerShell 或 Python 脚本，用于收集 WhatsApp 用户数据以进一步传播；同时，压缩包内还包含一个 MSI 格式的安装程序，负责部署木马。安克诺斯此次的发现，正是这一攻击趋势的延续 —— 以 WhatsApp 消息分发 ZIP 文件，作为恶意软件感染的切入点。 安克诺斯公司介绍：“当受害者解压并打开该压缩包时，会看到一个伪装成正常文件的 VB 脚本。一旦执行该脚本，就会触发下一阶段恶意组件的下载流程，标志着设备入侵正式开始。” 恶意软件核心模块 该恶意软件包含两大核心功能模块： Python 传播模块：收集受害者的 WhatsApp 联系人信息，并自动向每位联系人转发恶意 ZIP 文件，以蠕虫传播的方式扩大感染范围。 银行木马模块：在设备后台持续运行，实时监控受害者的网页浏览行为；一旦检测到用户访问银行相关网址，便会立即激活，窃取用户登录凭证，帮助攻击者实现经济牟利。 安克诺斯公司还指出：“恶意软件的开发者还内置了一套实时追踪和上报传播数据的机制。该程序会定期记录传播统计数据，包括成功发送的恶意消息数量、发送失败次数，以及以‘每分钟发送条数’为单位的传播速率。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 从“Vibe Coding”到“Vibe Hacking” 在科技圈，开发者早已接纳 “Vibe Coding” 的理念 —— 让AI根据意图而非精确指示来编写代码。开发者只需描述目标、分析并调整输出结果、反复迭代优化、复制粘贴代码，便可快速推进工作。在这个过程中，效率远比理解代码原理更重要。 黑客群体照搬了这一思路，并赋予其全新的名称——“Vibe Hacking”。“Vibe Hacking”并非特指某一种技术手段，而是一种理念。这种理念认为，黑客攻击不再需要精通各类工具或钻研系统原理，只需在人工智能的引导下，跟着直觉行事。 其核心逻辑简单直白：只要人工智能给出的方案听起来言之凿凿，那这个方案就一定够用。 这种理念无处不在，无论是Telegram群聊、针对新手的论坛回复，还是黑客服务的广告宣传，都能看到它的影子。“Vibe Hacking”将网络犯罪重新定义为人人皆可为之的事情 ，它不再是一门需要潜心修炼的手艺，而是一套可以照本宣科的流程。 但如果人工智能服务商增设安全防护机制，阻止恶意内容生成，又会发生什么？ 在地下黑产圈，人工智能越狱已迅速发展成一门独立的生意。规避安全管控的各类技巧被公开交易、打包出售，与其他网络犯罪服务别无二致。 例如，目前已出现不少俄语电报频道，专门兜售人工智能越狱方法，提供绕过内容过滤机制的分步操作指南。 “Hacking-GPT”的兴起 与这种攻击理念相伴而生的，是一波全新的地下工具潮，它们常常被宣传为犯罪的AI副驾驶。 像 FraudGPT、PhishGPT、WormGPT 和 Red Team GPT 这样的名字在地下频道中公开流传。些工具被标榜为能够一键生成钓鱼邮件、编写诈骗脚本及聊天话术、用通俗语言解释漏洞原理、全程指导用户实施攻击步骤。 对买家而言，信息很明确：你不需要知道黑客攻击如何运作——AI会告诉你该怎么做。 其中一些工具是定制的。许多则不是。实际上，很多”黑客GPT”工具只不过是包装了提示词、模板或回收指南的语言模型。但这样的真相，往往无人在意。 真正关键的是，这些工具能给人带来的心理感受：让人充满信心、觉得自己有能力实施攻击，迫不及待采取行动。 换汤不换药 尽管这些服务都打着AI的旗号，但实际兜售的犯罪勾当，其实并无太多新意。地下黑市的主流业务，依旧是那些大家耳熟能详的项目： 电子邮箱账户破解 社交媒体账户劫持 账号凭证获取与找回 诈骗及信用卡盗刷相关服务 真正发生改变的，是宣传话术。 卖家不再强调技术专业性，而是突出操作的便捷性；不再吹嘘个人技术有多高超，而是承诺全程自动化。AI成了一块金字招牌，哪怕没人能说清它到底在服务中发挥了什么作用。 “AI驱动型黑客攻击”“AI辅助型账户访问”“AI支持的凭证找回”，诸如此类的说法层出不穷，被随意贴在各类服务之上。而这些服务，其实在AI成为热门词汇之前就早已存在。 下面这则来自Tor论坛的帖子，看起来或许有些荒诞，但它真实反映出网络犯罪分子思维与运营模式的转变。 帖主对比了自己过去抢劫自动取款机的经历，以及如今所谓的 “更明智之选”：通过越狱AI系统，结合 n8n、MCP 等自动化平台实施犯罪。 无论其中的描述是否夸大其词，都折射出犯罪分子心态的重大转变,从需要承担物理风险的犯罪模式，转向低投入、高回报、借助人工智能实现的捷径式犯罪，且暴露风险大幅降低。 与以往任何一次地下黑产潮流一样，不法分子正利用当下的人工智能热潮，向渴望走捷径的网络犯罪新手兜售华而不实的服务。 许多打着人工智能旗号的服务广告，被一字不差地复制粘贴到多个论坛和电报频道。对这些卖家而言，曝光度远比原创性重要，营造出的信心感远比实际效果重要。 人工智能没有改变地下黑市的交易内容，它改变的是买家的心理安全感。 打着人工智能旗号的黑客服务，很少针对经验丰富的犯罪分子，其目标客户主要是初涉诈骗领域的新手、技术水平低下的攻击人员、对 “专业黑客攻击” 心存畏惧的人、渴望走捷径而非钻研技术的投机者等。 “AI全程包办”“无需任何经验”“只需提供攻击目标” 之类的话术，在广告中随处可见。其承诺简单直白：你无需搞懂背后的原理，只需按指令操作就行。 这与 “钓鱼即服务” 和勒索软件联盟项目的运营模式如出一辙：通过消除潜在犯罪者的恐惧心理、降低入行门槛，实现犯罪生态的扩张。 地下广告越来越精准地触达那些从不认为自己是 “专业黑客” 的人群，包括新手、抱着猎奇心态的投机分子、对命令行和漏洞利用链心存畏惧的人。 这种转变带来的结果，未必是攻击手段变得更高明，而是攻击的频次大幅增加。 AI开辟犯罪新蓝海 长期以来，有一个观点在业内流传：早期的钓鱼邮件之所以漏洞百出，其实是故意为之。诈骗分子的目标，从来都不是那些能识破拙劣语法和生硬句式的人，而是通过这种方式筛选出那些不会对明显破绽产生怀疑的易受骗人群。 正因如此，人们的收件箱里曾充斥着这样的邮件： 这些邮件绝非因粗心而写得糟糕，而是故意写得荒诞不经。这是一种粗糙却有效的手段，目的是提前筛选出最易受害的目标群体。 但得益于AI技术，现代诈骗邮件措辞考究、表达流畅、极具迷惑性。诈骗分子不再需要依靠蹩脚的语言来筛选目标，反而能批量生成近乎完美的邮件,这些邮件可根据目标人群量身定制、适配不同地区语言习惯，还能精准拿捏受害者的心理。 曾经满是拙劣骗局的 “红海”，已悄然转变为隐蔽性极强的 “蓝海”。这并非因为诈骗行为消失了，而是因为诈骗手段变得愈发难以识别。 “Vibe Hacking”鼓励人们在完全不理解行为后果的情况下贸然行动，将鲁莽操作视为常态。它推崇速度而非谨慎，重视信心而非理解。 “Vibe Hacking”的核心，并非编写更优质的代码或设计更精妙的漏洞利用程序，而是在不求甚解的情况下盲目行动。如今，这种心态正以前所未有的速度蔓延。 2026 年，黑客们想要的只有AI—— 他们的目的，不是精进黑客技术，而是走捷径、跳过技术钻研的苦功。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国科学院与南洋理工大学的联合研究团队，研发出一款名为AURA的新型防护框架，专门用于保护图检索增强生成（GraphRAG）系统中的专有知识图谱，使其免遭窃取与非法滥用。 该研究成果于一周前发表于学术预印本平台 arXiv。论文指出，通过向知识图谱中注入看似真实的虚假数据，可使被盗取的图谱副本对攻击者完全失效，同时确保授权用户的正常使用不受影响。 知识图谱是支撑各类高级 GraphRAG 应用的核心技术，其应用场景覆盖辉瑞的药物研发、西门子的智能制造等关键领域，承载着价值数百万美元的海量知识产权。 现实中的多起数据泄露事件印证了知识图谱面临的安全风险：2018 年，谷歌旗下自动驾驶公司 Waymo 的一名工程师窃取了 1.4 万份激光雷达数据文件；2020 年，黑客通过欧洲药品管理局系统，窃取了辉瑞 – 生物科技联合研发的疫苗相关数据。 攻击者窃取知识图谱的核心目的，是私自复刻 GraphRAG 系统的功能优势。这类窃取行为能够规避水印技术的追踪 —— 水印技术需要获取模型输出结果才能生效；同时也能绕过加密技术的防护 —— 加密会降低低延迟查询的响应速度。 传统防护手段在攻击者离线私自使用失窃图谱的场景下完全失效。尽管欧盟《人工智能法案》与美国国家标准与技术研究院（NIST）的相关框架均强调数据韧性的重要性，但针对这一防护空白，此前始终没有有效的解决方案。 AURA 框架的数据掺假防护策略 AURA 框架跳出了传统的 “防御窃取” 思路，转而采用“降低失窃数据价值”的全新防护路径：它会在知识图谱的关键节点中注入 “掺假数据”，也就是模仿真实数据结构的虚假三元组。 框架通过最小顶点覆盖算法筛选关键节点：针对小规模知识图谱，采用整数线性规划算法实现自适应求解；针对大规模知识图谱，则采用Malatya启发式算法，确保以最少的修改覆盖图谱的全部关联边。 掺假数据的生成兼顾结构合理性与语义一致性：借助 TransE、RotatE 等链接预测模型保障数据结构可信，同时依托大语言模型实现语义层面的连贯。在掺假数据的筛选阶段，研究团队采用基于语义偏差值的影响驱动策略，通过计算句子嵌入向量的欧式距离，为每个节点挑选破坏性最强的掺假数据。 授权系统可通过嵌入在数据中的高级加密标准加密元数据标记（以 “备注” 属性形式存在），在数据检索后利用密钥过滤掉掺假内容，该机制经验证可达到选择明文攻击下的不可区分性（IND-CPA）安全级别。 研究团队基于 MetaQA、WebQSP、FB15k-237、HotpotQA 四大主流数据集，结合 GPT-4o、Gemini-2.5-flash、通义千问 2.5-7B、Llama2-7B 四款大模型开展测试。结果显示，该框架可使94%—96% 的正确答案转为错误输出（危害评分 HS），且掺假数据的检索命中率（ARR）达到 100%。 数据集 GPT-4o 危害评分 数据保真度（CDPA） 延迟增幅 MetaQA 94.7 100% 1.20% WebQSP 95.0 100% 14.05% FB15k-237 94.3 100% 1.50% HotpotQA 95.6 100% 2.98% 测试同时证实，AURA 注入的掺假数据能够有效规避各类检测与净化手段：ODDBALL 异常检测算法的识别率仅为 4.1%，Node2Vec 算法识别率仅为 3.3%；SEKA 数据净化工具的清除率仅为 5.5%，知识图谱嵌入（KGE）技术的清除率也仅为 19.8%。在多跳推理场景下，危害评分随推理步数上升而提高，三跳推理时危害评分达到 95.8%，且该效果在各类检索工具及微软 GraphRAG 等先进框架中均保持稳定。 消融实验验证了混合生成策略的显著优势：纯大语言模型生成的掺假数据易被结构校验机制识别，而纯链接预测模型生成的掺假数据则存在语义缺陷。 实验还发现，每个节点仅注入一条掺假数据，就能使危害评分稳定在 94% 以上的高水平；增加掺假数据的数量，仅能带来边际效益的小幅提升。 该框架目前存在两项局限性：一是尚未解决节点文本描述的防护问题，二是无法完全规避内部人员的数据提纯风险，但可通过 API 访问管控机制缓解这一隐患。AURA 框架开创性地提出了知识图谱知识产权保护的 “主动降级”理念，与 “投毒攻击检索增强生成”“知识图谱投毒攻击” 等攻击性投毒技术，以及 “检索增强生成水印” 等被动水印技术形成鲜明区别。 随着 GraphRAG 技术的普及应用，微软、谷歌、阿里巴巴等科技巨头均已开始布局该防护领域，AURA 框架的落地将为企业抵御人工智能时代的数据窃取攻击提供强有力的技术支撑。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  Linux 内核中存在一处高危竞争条件漏洞（漏洞编号CVE-2025-38352），其验证性利用代码已在GitHub 上公开发布。  该漏洞于今年年初被发现，攻击目标直指内核的POSIX CPU 定时器实现模块，此前曾被用于针对 32 位安卓设备的小规模定向攻击。 CVE-2025-38352 是 Linux 内核handle_posix_cpu_timers()函数中存在的释放后使用漏洞。 此漏洞的触发条件为内核配置项CONFIG_POSIX_CPU_TIMERS_TASK_WORK处于关闭状态 —— 该配置是大多数 32 位安卓内核的默认选项，但 64 位系统一般不会采用。 漏洞的成因是僵尸进程触发 POSIX CPU 定时器时引发的竞争条件：攻击者通过精准把控僵尸进程的创建、父进程对其的回收操作以及定时器的删除时机，可诱导内核访问已释放的内存区域，进而实现权限提升或内核代码执行。 区块链安全公司 Zellic 的研究员Faith发布了一款名为Chronomaly的全功能漏洞利用工具，专门针对 Linux 内核 5.10.x 版本发起攻击。 该研究员还同步发布了一个分为三部分的系列技术博客，详细拆解漏洞的发现过程、技术原理及利用手法，借此对外公布这款漏洞利用工具。 这款漏洞利用工具的一大显著优势是无需依赖内核符号偏移量或特定内存地址，因此可跨不同内核配置环境移植使用。 工具中集成了两项核心技术：一是通过操控 CPU 定时器实现的竞争时间窗口延长技术，二是针对sigqueue结构体的跨缓存区分配策略。 需要注意的是，该漏洞利用工具需在至少配备双核 CPU 的多核系统中运行，才能稳定触发竞争条件漏洞。 经测试验证，该工具可成功攻击运行 5.10.157 版本内核的 QEMU 虚拟化 Linux 系统，且其参数可根据不同运行环境灵活调整。 目前，该漏洞已被列入CISA的已知被利用漏洞目录，这意味着该漏洞已存在真实的在野攻击活动。 尽管漏洞威胁目前主要集中于 32 位安卓设备，但相关内核组件同样存在于其他基于 Linux 的 32 位操作系统中，这些系统也面临潜在风险。 GitHub 上的漏洞公告指出，用户应尽快将内核更新至已修复该漏洞的版本，或启用内核配置项CONFIG_POSIX_CPU_TIMERS_TASK_WORK以规避风险。 Linux 主线内核已通过编号为f90fff1e152dedf52b932240ebbd670d83330eca的提交记录完成漏洞修复，修复的核心逻辑为禁止内核对僵尸进程执行定时器处理操作。 设备制造商及系统管理员应将内核更新列为优先事项，以缓解这一高危漏洞带来的安全风险。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款名为GoBruteforcer的高复杂度 Go 语言僵尸网络，正针对全球范围内的 Linux 服务器发起猛烈攻击，通过暴力破解手段尝试获取 FTP、MySQL、PostgreSQL 及 phpMyAdmin 等公网暴露服务的弱密码。  Check Point Research近期记录到该恶意软件的 2025 年变种版本，其技术水平较之前版本实现大幅升级，已成功攻陷数万台服务器。 该僵尸网络采用模块化感染链架构，核心组件包含网页后门、下载器、互联网中继聊天（IRC）僵尸程序以及暴力破解模块。 据切克波因特的分析数据显示，全球超5 万台公网暴露服务器或面临高布鲁特福瑟攻击风险，目前有近 570 万台 FTP 服务器、223 万台 MySQL 服务器及 56 万台 PostgreSQL 服务器在默认端口上暴露。 人工智能生成服务器配置成攻击推手 本轮GoBruteforcer攻击浪潮的爆发，主要源于两大关键因素：一是大量运维人员直接复用人工智能生成的服务器部署示例，这类配置模板普遍存在通用用户名与弱默认密码问题；二是 XAMPP 等老旧网站集成环境仍被广泛使用，其搭载的各类服务缺乏基础加固措施。 研究人员发现，该僵尸网络在暴力破解的凭证列表中，大量使用 “appuser”“myuser” 等通用运维用户名，而这些用户名恰好是大型语言模型在生成数据库配置示例时最常推荐的默认名称。 切克波因特的调查显示，高布鲁特福瑟使用的凭证列表，与一个包含 1000 万条泄露密码的数据库存在约2.44% 的重合度。 尽管这一匹配成功率看似较低，但庞大的暴露服务基数，使得暴力破解攻击对威胁行为体而言具备极高的经济效益。谷歌 2024 年《云威胁态势报告》指出，在遭攻陷的云环境中，47.2% 的初始入侵路径均源于弱密码或缺失身份验证机制，这也印证了此类攻击手段的可行性。 僵尸网络的命令与控制服务器会下发包含 200 组凭证的列表用于暴力破解任务，且攻击配置文件每周会更新数次。 密码列表的生成逻辑十分固定，仅基于 375-600 个常用弱密码构成基础库，再衍生出 “appuser1234”“operatoroperator” 等基于用户名变体的密码组合。 相较于 2023 年首次被记录的早期版本，2025 年变种版本实现多项重大技术升级：其 IRC 僵尸程序组件已完全基于 Go 语言重构，并使用加布勒混淆工具（Garbler）进行深度代码混淆，彻底取代了原先基于 C 语言的开发架构。 该恶意软件还新增进程伪装技术，通过调用prctl系统调用将自身进程名修改为 “init”，并对二进制文件进行覆盖处理，以此躲避安全检测。 研究人员还发现一个以加密货币敛财为目标的攻击活动，威胁行为体在攻陷服务器后，会部署额外的 Go 语言工具集，其中包含针对波场（TRON）及币安智能链的挖矿程序与钱包窃取工具。 在一台被攻陷的服务器上，调查人员提取到一个包含约 2.3 万个波场钱包地址的文件，并通过链上交易数据分析证实，这批攻击已成功实现经济收益。 该僵尸网络通过多重机制保障自身的抗打击能力：内置备用 C2 服务器地址、基于域名的故障恢复路径，以及将已感染主机升级为分发节点或 IRC 中继服务器的功能。 IRC 僵尸程序模块每日可完成两次更新，暴力破解组件则通过与系统架构匹配的 Shell 脚本下载，并在执行前校验文件的 MD5 哈希值，确保恶意程序未被篡改。 攻击兼具广谱性与针对性 GoBruteforcer的攻击活动同时具备广谱扫射与定向行业打击的双重特征。通用型攻击活动会组合使用通用运维用户名与标准弱密码发起试探；而专项攻击任务则会采用 “cryptouser”“appcrypto” 等加密货币相关用户名，或 “wpuser” 这类针对 WordPress 系统的专属凭证。 该恶意软件还会针对性攻击 XAMPP 集成环境 —— 这一热门开发工具通常默认启用 FTP 服务，并将 FTP 根目录映射到公网可访问的网页路径，存在严重安全隐患。 僵尸网络的架构设计具备高效攻击能力，受感染主机每秒可扫描约 20 个 IP 地址，且在 FTP 攻击任务执行期间，能将带宽消耗控制在较低水平：出站流量约 64 千比特 / 秒，入站流量约 32 千比特 / 秒。 攻击线程池的规模会根据目标服务器的 CPU 架构动态调整：64 位系统上会运行 95 个并发暴力破解线程，32 位系统则会适配为更少的线程数。 该恶意软件还具备智能目标筛选能力，会主动排除私有网络、云服务商网段及美国国防部 IP 地址范围，以此降低被安全监测系统发现的概率。 防护建议 企业可通过以下措施降低GoBruteforcer攻击风险：实施强密码策略、关闭不必要的公网暴露服务、部署多因素身份验证机制，以及持续监测异常登录尝试行为。 相关威胁指标（IOC） 类型 指标内容 描述 网络地址 190.14.37[.]10 命令与控制服务器（活跃端点） 网络地址 93.113.25[.]114 命令与控制服务器（活跃端点） 网络地址 fi.warmachine[.]su 命令与控制服务器 网络地址 xyz.yuzgebhmwu[.]ru 命令与控制服务器（活跃端点） 网络地址 pool.breakfastidentity[.]ru 命令与控制服务器 网络地址 pandaspandas[.]pm 命令与控制服务器（列表中重复出现） 网络地址 my.magicpandas[.]fun 命令与控制服务器 文件哈希（SHA-256） 7423b6424b26c7a32ae2388bc23bef386c30e9a6acad2b63966188cb49c283ad IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） 8fd41cb9d73cb68da89b67e9c28228886b8a4a5858c12d5bb1bffb3c4addca7c IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） bd219811c81247ae0b6372662da28eab6135ece34716064facd501c45a3f4c0d IRC 僵尸程序（ARM 架构） 文件哈希（SHA-256） b0c6fe570647fdedd72c920bb40621fdb0c55ed217955557ea7c27544186aeec IRC 僵尸程序（ARM64 架构） 文件哈希（SHA-256） ab468da7e50e6e73b04b738f636da150d75007f140e468bf75bc95e8592468e5 暴力破解模块（x86 架构） 文件哈希（SHA-256） 4fbea12c44f56d5733494455a0426b25db9f8813992948c5fbb28f38c6367446 暴力破解模块（x64 架构） 文件哈希（SHA-256） 64e02ffb89ae0083f4414ef8a72e6367bf813701b95e3d316e3dfbdb415562c4 暴力破解模块（ARM 架构） 文件哈希（SHA-256） c7886535973fd9911f8979355eae5f5abef29a89039c179842385cc574dfa166 暴力破解模块（ARM64 架构） 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  网络威胁行为体正利用邮件路由配置漏洞及伪造防护措施的配置失误，仿冒企业内部域名发送邮件，以此实施钓鱼攻击。 微软威胁情报团队在周二发布的报告中指出：“威胁行为体借助该攻击路径，投递各类钓鱼邮件，这些邮件多与Tycoon 2FA等钓鱼即服务平台相关联。邮件诱饵主题涵盖语音留言、共享文档、人力资源部通知、密码重置或过期提醒等，最终目的是窃取用户凭证信息。” 尽管此类攻击手段并非首次出现，但微软表示，自 2025 年 5 月起，该攻击手法的使用频次显著上升，被用于针对多个行业、各类企业的随机性攻击活动。其中就包括一系列通过伪造邮件实施的企业金融诈骗攻击。 一旦攻击得逞，威胁行为体可窃取用户凭证，并借此开展后续攻击活动，包括数据窃取、企业邮箱劫持等。 这类安全隐患主要出现在以下场景：企业租户配置了复杂的邮件路由规则，且未严格落实域名伪造防护机制。复杂路由的典型案例为：将邮件交换记录先指向本地部署的 Exchange 邮件环境或第三方邮件服务，再跳转至微软 365 平台。 这种配置方式会形成安全漏洞，让攻击者有机可乘，发送看似源于企业租户内部域名的伪造钓鱼邮件。调查发现，绝大多数采用该攻击路径的钓鱼活动，均使用了Tycoon 2FA钓鱼即服务工具包。微软透露，仅在 2025 年 10 月，就拦截了超过 1300 万封与该工具包相关的恶意邮件。 钓鱼即服务工具包属于即插即用型平台，即便是技术水平有限的诈骗分子，也能借助这类工具轻松创建并管理钓鱼攻击活动。平台提供可自定义的钓鱼邮件模板、攻击基础设施等功能，助力诈骗分子窃取用户凭证，并通过中间人钓鱼手段绕过多因素认证机制。 微软还发现，部分伪造邮件以虚假发票为诱饵，诱导企业进行转账支付，进而造成企业的经济损失。此外，这类钓鱼邮件还会仿冒电子签名平台等正规服务，或谎称来自人力资源部门，以薪资调整、福利变更等事由实施诈骗。 用于金融诈骗的钓鱼邮件，往往伪装成企业首席执行官、服务供应商、公司财务部门之间的沟通对话内容。为增加骗局可信度，邮件通常会附带三份伪造文件： 伪造的数千美元金额转账发票，要求收款方将款项汇入指定银行账户； 美国国税局 W-9 表格，表格中包含用于开立该诈骗账户的个人姓名及社会安全号码； 伪造的银行证明信，谎称由开立诈骗账户的网络银行员工出具。  微软补充道：“攻击者可能在邮件正文中植入可点击链接，或在附件中嵌入二维码，诱导收件人访问钓鱼页面。此类邮件最显著的特征，就是对终端用户显示为‘内部邮箱发送’，且邮件的‘发件人’与‘收件人’字段甚至会使用同一个邮箱地址。” 为防范此类风险，微软建议企业采取以下防护措施：部署严格的基于域名的邮件身份验证、报告与一致性协议拒绝策略及发件人策略框架强制失效策略，同时正确配置第三方连接器（如反垃圾邮件过滤服务、邮件归档工具等）。 需要特别注意的是，若企业租户将 MX 记录直接指向微软 365（Office 365）平台，则不会受到此类攻击路径的威胁。此外，微软建议企业在非必要情况下关闭直接发送功能，以拦截仿冒企业域名的钓鱼邮件。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Veeam发布安全更新，修复其Backup & Replication软件存在的多个漏洞，其中包括一个可导致远程代码执行的 “严重” 级别漏洞。 该漏洞编号为CVE-2025-59470，通用漏洞评分系统（CVSS）评分为9.0。 Veeam在周二发布的公告中指出：“该漏洞允许备份操作员或磁带操作员通过发送恶意的时间间隔或排序参数，以 PostgreSQL 数据库用户权限执行远程代码。” 根据Veeam官方文档，备份操作员可执行启动 / 停止现有备份任务、导出备份、复制备份、创建 VeeamZip 格式备份等操作；而磁带操作员则有权限运行磁带备份任务或磁带目录任务、弹出磁带、导入 / 导出磁带、将磁带移入介质池、复制或擦除磁带、设置磁带密码。 也就是说，这两类操作员角色均拥有较高权限，企业本就应采取充分防护措施，防止相关权限被滥用。 威睿表示，尽管该漏洞的 CVSS 评分为 9.0，但结合实际情况将其定级为 “高严重性”；同时强调，若客户遵循威睿推荐的安全配置指南，该漏洞的被利用风险将有所降低。 此外，该公司还修复了同一款产品中存在的另外三个漏洞： CVE-2025-55125（CVSS 评分：7.2）：备份操作员或磁带操作员可通过创建恶意备份配置文件，以系统管理员权限执行远程代码。 CVE-2025-59468（CVSS 评分：6.7）：备份管理员可通过发送恶意密码参数，以 PostgreSQL 数据库用户权限执行远程代码。 CVE-2025-59469（CVSS 评分：7.2）：备份操作员或磁带操作员可获得系统管理员权限写入文件。 上述四个漏洞均影响威睿 Backup & Replication 13.0.1.180 版本及所有 13.x 系列早期版本，并已在13.0.1.1071 版本中完成修复。 Veeam目前未提及这些漏洞存在在野利用情况，但鉴于该款软件此前曾被威胁行为体利用相关漏洞发起攻击，用户必须及时安装补丁完成修复。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  据西班牙国家航空——伊比利亚航空——证实，本周某网络安全公司曝光的泄露数据，实为去年 11 月已被确认的一起数据泄露事件中失窃的信息。  本周一，网络安全公司Hudson Rock发布报告称，一个名为Zestix的威胁行为体，公开拍卖从约 50 家大型企业及律所的企业文件共享平台窃取的数据。 西班牙国家航空赫然在列。Hudson Rock指出，黑客疑似通过信息窃取恶意软件感染员工设备，获取登录凭证后入侵了该航司的ShareFile 云文件共享系统。ShareFile 由进步软件公司开发，是大型企业广泛使用的文件存储与共享工具。 黑客据称窃取了77GB 数据，涵盖空客 A320 和 A321 机型的技术资料、维修文件、发动机数据及其他内部文档，其中还包括飞机损伤图表、机密机队数据等敏感内容。 西班牙国家航空发言人向安全情报公司 Recorded Future 表示，Hudson Rock这份报告所涉事件，与去年 11 月曝光的安全事件实为同一宗，当时该威胁行为体曾就这批数据勒索 15 万美元赎金。 该发言人还透露，航空公司已就此次数据泄露事件向西班牙数据保护局等多家监管机构进行报备，并于去年秋季向数百名相关客户发送了泄露通知。 航空公司在致受害者的信函中强调：“本次文件共享系统泄露的信息范围有限，且均不涉及航班运营核心环节，因此未对飞行安全造成任何影响。” 此外，西班牙国家航空补充说明，此次数据泄露还涉及部分客户个人信息，具体包括姓名、电子邮箱、电话号码、航空俱乐部会员编号，同时还有部分未来航班的预订参考码遭到访问。 “我们已为所有受影响客户启用双重身份验证，确保除本人外，任何人都无法通过官方应用、网站或客服中心修改其预订信息或进行任何交易操作。” 航空公司表示。 不过，对于本次泄露的技术资料细节，该发言人并未进一步回应记者提问。 Hudson Rock指出，这批失窃数据中包含 “数字签名及专有配置参数”，此类信息对竞争对手或相关国家行为体具有较高利用价值。 值得注意的是，Hudson Rock报告中列出的其他涉事企业，均未确认自身遭遇数据泄露。 该网络安全公司还披露，威胁行为体泽斯蒂克斯于2024 年末首次被发现，活跃于俄语私密论坛，其身份为 “初始访问中介”—— 即通过信息窃取恶意软件入侵企业系统，再将非法获取的系统访问权限以比特币形式出售牟利。 报告同时提到，另有多家安全机构证实，泽斯蒂克斯的其中一个化名与一名伊朗籍人员相关联，且该组织与Funksec网络犯罪团伙存在关联。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta 已开始封堵 WhatsApp 中被用来“指纹识别”设备操作系统的元数据泄露点，但要把各类签名完全隐藏仍面临长期挑战。 攻击者若想把高级间谍软件投递给某名用户，往往会选择拥有 30 亿用户的 WhatsApp 做渠道。他们先利用 0day（无需受害者交互即可投毒）把 payload 推送到用户端。2025 年曝出的 Paragon 间谍软件事件，就是通过这类 0day 对数十名用户下手。 WhatsApp 0day 极其罕见，全利用链在灰/白市常被叫到 100 万美元。 “先识系统、再选漏洞” 在真正动用 0day 前，攻击者必须知道目标运行什么操作系统，才能匹配相应漏洞。过去两年多名研究者演示：只需知道手机号，即可在侦察阶段无感地收集到以下信息—— 用户主力设备与所有已关联设备 各设备的 OS 类型、设备“年龄” 是在手机 App 还是桌面浏览器上使用 WhatsApp 原因在于 WhatsApp 给各端分配的加密密钥 ID（key ID）具有可预测特征。 研究进展 ZenGo 钱包联合创始人兼 CTO Tal Be’ery 是这项调查的主要推动者之一。他和同伴将发现报告给 Meta 后，一度未见动作，直到近期 Be’ery 用自己编写的非公开工具测试时发现： Android 端的关键 ID 已开始被随机化； iPhone 端仍用“初始值很小、隔几天才递增”的策略，因此依旧能高置信区分出 Android 与 iPhone。 Be’ery 在周一发表的博客中肯定 Meta“迈出了第一步”，但批评其静默推送、无 CVE、无赏金，且与报告者沟通不足。他认为后续若把相关字段在所有平台都随机化，这一隐私漏洞将被“彻底消灭”。 WhatsApp 回应 WhatsApp 对 SecurityWeek 表示，公司持续在不同向量上强化安全，同时需兼顾 30 亿用户的体验。关于“操作系统可被推断”，官方指出： 设备指纹识别并非 WhatsApp 独有，iMessage 等平台也存在； OS 本身为优化体验会暴露差异（如 iMessage 输号即可判断对方是否苹果设备）； 推断 OS 需先有 0day 才能转化为实际攻击，行业普遍将其定级为“低危”，通常不分配 CVE；Be’ery 报告的情形未达到 WhatsApp 阈值。 不过，WhatsApp 承认该报告帮助其修复了另一处“无效消息处理”缺陷，并优化了同类漏洞的赏金流程，已向研究员发放奖金。 数据与行动 Meta 自启动赏金计划以来已支付 2500 万美元，其中 2025 年发放 400 万。 WhatsApp 推出 Research Proxy 工具，方便学者对其协议做安全研究。 在反间谍软件战线，Meta 继续诉讼、情报共享与用户教育并举——去年已胜诉 NSO Group，后者被勒令停止攻击 WhatsApp 并支付数百万惩罚性赔偿金（NSO 已提起上诉）。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全公司 VulnCheck 与 Shadowserver 基金会发现，攻击者正在利用一个编号为 CVE-2026-0625 的命令注入漏洞，对早已停保的 D-Link DSL 路由器发起攻击。该漏洞位于 dnscfg.cgi 接口，因 CGI 库输入过滤不当，允许未认证攻击者通过 DNS 配置参数注入并执行任意 Shell 命令，实现远程代码执行。 时间线 12 月 15 日：Shadowserver 蜜罐捕获到首次利用尝试；VulnCheck 随后向 D-Link 报告。 利用手法尚未公开披露，VulnCheck 表示“目前未见公开 PoC”。 已确认受影响型号（均 2020 年起 EoL，不再提供补丁） DSL-526B ≤ 2.01 DSL-2640B ≤ 1.07 DSL-2740R < 1.17 DSL-2780B ≤ 1.01.14 D-Link 仍在排查其他固件版本，但由于历代固件实现差异大，暂无远程型号识别方案，只能通过固件提取确认。 利用场景 大多数家庭路由默认仅在内网开放 CGI 管理接口，因此实际利用需： 受害者浏览器访问恶意网页（CSRF/JS 攻击）； 设备被手动开启远程管理并暴露于公网。 缓解措施 立即停用并更换仍在运行的上述 EoL 设备； 若暂时无法替换，应关闭远程管理、降低为仅本地访问，并置于隔离或访客网段； 保持固件为官方最后可用版本，启用最强安全策略。 D-Link 提醒：停保产品不再获得任何固件更新、漏洞补丁或技术支持。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 开源工作流自动化平台 n8n 被披露存在一处关键安全漏洞，已登录攻击者可在服务器上执行任意系统命令。该漏洞编号 CVE-2025-68668，CVSS 评分 9.9，由 Cyera Research Labs 的 Vladimir Tokarev 与 Ofek Itach 发现并命名为 N8scape。 受影响版本：1.0.0 ≤ n8n < 2.0.0 修复版本：2.0.0（已发布） 根因：Python Code Node 在使用 Pyodide 时存在沙箱逃逸，导致拥有“创建或修改工作流”权限的已登录用户能够以 n8n 进程相同权限在宿主机上执行任意操作系统命令。 n8n 官方说明 自 1.111.0 起已提供“基于 task runner 的原生 Python 运行器”可选功能，用于加强隔离；需手动设置环境变量 N8N_RUNNERS_ENABLED 与 N8N_NATIVE_PYTHON_RUNNER 开启。 在 2.0.0 中该实现被设为默认，彻底移除旧有 Pyodide 路径。 临时缓解方案（无法立即升级时） 禁用整个 Code Node NODES_EXCLUDE: "[\"n8n-nodes-base.code\"]" 仅关闭 Python 支持 N8N_PYTHON_ENABLED=false 强制使用新 runner 沙箱 N8N_RUNNERS_ENABLED=true N8N_NATIVE_PYTHON_RUNNER=true 此外，n8n 本月还修复了另一处 9.9 分漏洞 CVE-2025-68613，同样可导致任意代码执行，建议用户尽快升级至 2.0.0 及以上版本。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，英国政府罕见地公开承认，其多年来对政府系统网络安全的管理方式存在根本缺陷，并坦言“到2030年让所有政府机构免受已知网络漏洞与攻击手段影响”的原定目标已不可能实现。 这份由科学、创新与技术部（DSIT）提交给议会的《政府网络行动计划》被视为一次重大政策重置。文件直言，现行问责机制使英国政府“从中央到地方、再到供应链”普遍暴露在攻击风险之下，责任归属“各级都不清晰”。 “为保护关键国家基础设施、捍卫公共机构并维持民众对核心服务的信任，我们必须彻底改变做法、显著加快节奏。”行动计划写道。文件警告，尽管多年投入，公共部门面临的网络风险仍“极高”，且“绝非假设，而是反复出现的现实”，例如导致至少一名患者死亡的 Synnovis 勒索软件事件，就是系统性失灵的缩影。 一、设立“政府网络部队” 新路线摒弃过去“只发指导性建议、无强制力”的模式，转向集中化、强制性管理。2026 年底前将组建“政府网络部队”（Government Cyber Unit），统一制定政策方向、协调落地并作为唯一问责主体。 重大事件响应也将集中化：定期举行跨政府演习，提升大规模中断的应对能力。 面向政府的战略供应商，合同中将写入更严格的网络安全条款，以堵住第三方风险。 二、人才与薪酬 2023 年一份被嘲“薪水过低”的招聘广告让政府饱受诟病。此次官方同步推出“政府网络职业体系”，希望吸引并留住顶尖人才。 皇家联合军种研究院（RUSI）网络研究员 Joe Jarnecki 认为，这能提高岗位吸引力，“但政府永远给不出私营企业的价码”。他质疑：“既然是内部战略，为何公开？透明度值得欢迎，可受众到底是谁？” 三、立法层面 同一天，《网络安全与韧性法案》（CSRB）迎来二读。批评者担心该法案对私营关键服务设下重罚，却给公共部门留“后门”，形成“双轨制”。 RUSI 研究员 Jamie MacColl 指出，欧盟 NIS2 指令把公共部门一并纳入，而英国 CSRB 目前并未做到；行动计划此时发布，正是为了缓解这类批评。 文件承诺“让高级官员对网络结果负责，而非把安全当成纯技术问题”，但未写明若做不到将如何处罚。MacColl 直言：“我没看到任何有牙齿的执行机制。” 四、失败根源：老旧 IT + 资金缺口 行动计划承认，政府防御能力远落后于威胁升级速度。GCHQ 局长去年警告，国家正面临几十年来最“复杂拥挤”的威胁环境，攻击量一年增长四倍。 全国审计署（NAO）早已指出，各部门依赖的遗留系统“难以甚至无法达到现代安全标准”。数十年投资不足，使“技术债”越滚越大。 新计划并不打算一次性替换所有老旧资产，而是先建立“关键数字资产清单”，摸清家底与漏洞。 MacColl 总结：“最大的潜台词是钱。NAO 报告说得直白——IT 预算缺口不补，光靠一份网络行动计划无法根治。没有额外资金，内阁办公室或 DSIT 能推动的幅度终究有限。” 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国 CERT 协调中心（CERT/CC）披露了一个尚未修补的安全漏洞，影响 TOTOLINK EX200 无线中继器。该漏洞可让已远程通过身份验证的攻击者直接获得设备完整控制权。 漏洞编号 CVE-2025-65606（CVSS 评分暂缺），成因在于固件上传环节的错误处理逻辑缺陷：当触发特定错误时，设备会意外启动一个无需任何认证的 root 级 Telnet 服务。漏洞发现者 Leandro Kogan 已向 CERT/CC 报告此问题。 CERT/CC 指出：“已登录管理界面的攻击者可通过构造畸形固件包，令固件上传处理程序进入异常错误状态，从而在设备上启动无认证的 root Telnet 服务，获得完整系统权限。” 成功利用该漏洞的前提，是攻击者必须先取得 Web 管理界面的合法身份，才能使用固件上传功能。 CERT/CC 解释称，当固件上传模块解析到特定格式错误的固件文件时，会进入“异常错误状态”，随即以 root 权限拉起 Telnet 服务且不做任何身份校验。这条意料之外的远程管理通道可被用来劫持受影响设备，进而篡改配置、执行任意命令或植入持久化后门。 截至目前，TOTOLINK 尚未发布任何补丁，且该产品已处于停止维护状态。TOTOLINK 官网显示，EX200 最后一次固件更新停留在 2023 年 2 月。 在官方修复方案出炉前，CERT/CC 建议用户： 仅允许受信任网络访问管理界面 禁止未授权用户登录设备后台 持续监控异常活动 尽快更换为仍在支持列表的新型号设备 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Chrome 网上应用店中存在两款新的恶意扩展程序，专门用于窃取用户与 OpenAI ChatGPT 及 DeepSeek 的聊天记录，并将浏览数据一并上传至攻击者控制的服务器。 这两款扩展程序的名称及其用户数量如下： Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI（ID：fnmihdojmnkclgjpcoonokmkhjpjechg，用户量约 60 万） AI Sidebar with Deepseek, ChatGPT, Claude, and more.（ID：inhcgfpbfdjbjogdfjbclgolkmhnooop，用户量约 30 万） 此次发现紧随另一起事件：拥有数百万安装量的 Urban VPN Proxy 扩展程序也被曝出暗中监控用户与 AI 聊天机器人的对话。Secure Annex 将这种通过浏览器扩展窃取 AI 对话的行为命名为 “Prompt Poaching”（提示词掠夺）。 OX Security 的研究员 Moshe Siman Tov Bustan 表示，这两款新发现的扩展程序“每 30 分钟将用户的聊天记录及所有 Chrome 标签页 URL 上传至远程 C2 服务器”。他指出：“这些恶意软件通过请求用户授权‘匿名、不可识别的分析数据’，实则窃取了 ChatGPT 与 DeepSeek 的完整对话内容。” 这两款恶意扩展程序伪装成合法扩展 “Chat with all AI models (Gemini, Claude, DeepSeek…) & AI Agents”（由 AITOPIA 开发，用户量约 100 万）。截至发稿时，这两款扩展仍可在 Chrome 网上应用店下载，不过前者已被取消了“精选”标识。 安装后，这些扩展会诱导用户授权其收集“匿名浏览行为数据”，声称用于优化侧边栏体验。一旦用户同意，嵌入的恶意代码便开始收集浏览器标签页信息及 AI 聊天内容。 具体做法是：扩展程序会查找网页中的特定 DOM 元素，提取聊天消息并本地存储，随后上传至远程服务器（如 chatsaigpt[.]com 或 deepaichats[.]com）。 更令人担忧的是，攻击者还利用 AI 驱动的网页开发平台 Lovable 托管其隐私政策及其他基础设施（如 chataigpt[.]pro 或 chatgptsidebar[.]pro），以掩盖其恶意行为。 安装此类扩展的后果可能非常严重，因为它们不仅能窃取用户与 ChatGPT、DeepSeek 的对话内容，还能获取浏览记录、搜索关键词甚至企业内部 URL。 OX Security 警告称：“这些数据可能被用于企业间谍活动、身份盗用、定向钓鱼攻击，或在地下论坛出售。若企业员工安装了这些扩展，可能在不知情的情况下泄露了知识产权、客户数据及商业机密。” 合法扩展也加入“Prompt Poaching”行列 Secure Annex 还指出，一些看似合法的浏览器扩展也在进行“Prompt Poaching”，包括： Similarweb（用户量约 100 万） Sensor Tower 的 Stayfocusd（用户量约 60 万） Similarweb 据称于 2025 年 5 月引入了监控 AI 对话的功能，并在 2026 年 1 月 1 日的更新中弹出了完整的服务条款，明确告知用户其输入至 AI 工具的数据将被收集，用于“深入分析流量与参与度指标”。其 2025 年 12 月 30 日的隐私政策更新也明确指出： 此类信息包括您输入或提交至某些人工智能工具的提示词、查询、内容、上传或附加的文件（如图片、视频、文本、CSV 文件）及其他输入内容，以及您从这些 AI 工具中获得的输出结果（包括任何附加文件）——统称为“AI 输入与输出”。 鉴于 AI 工具中常见的 AI 输入与输出及元数据的性质，可能会无意中收集或处理某些敏感数据。然而，我们的处理目的并非为了识别您的身份。尽管我们无法保证所有个人数据都被移除，但我们会尽可能采取措施过滤或移除您输入至这些 AI 工具中的识别信息。 进一步分析发现，Similarweb 使用 DOM 抓取或劫持浏览器原生 API（如 fetch() 和 XMLHttpRequest()）——与 Urban VPN Proxy 类似——通过加载远程配置文件，实现对 ChatGPT、Claude、Gemini 和 Perplexity 的对话数据抓取。 Secure Annex 的 John Tuckner 告诉 The Hacker News，这种行为在 Chrome 和 Edge 版本的 Similarweb 扩展中均存在。其 Firefox 版本最后一次更新是在 2019 年。 Tuckner 表示：“显然，‘Prompt Poaching’已经到来，正在窃取你最敏感的对话内容，而浏览器扩展就是其利用的载体。目前尚不清楚这是否违反了谷歌‘扩展应单一用途、不得动态加载代码’的政策。” “这仅仅是开始。越来越多的公司将意识到这些数据的价值。扩展开发者为了变现，也会将这类由营销公司提供的复杂库集成到自己的应用中。” 建议 若您已安装上述扩展程序并担心隐私泄露，建议立即卸载，并避免安装来源不明的扩展，即使它们带有“精选”标签。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  据观察，与俄罗斯相关的威胁行为者UAC-0184一直在利用Viber即时通讯平台投递恶意ZIP压缩包，以此针对乌克兰军方和政府实体。 “该组织在2025年持续对乌克兰军方和政府部门进行高强度情报搜集活动”。 该黑客组织也被追踪为Hive0156，主要以在网络钓鱼邮件中利用战争主题诱饵，在针对乌克兰实体的攻击中投递Hijack Loader而闻名。该恶意软件加载器随后会成为感染Remcos远程访问木马的途径。 该威胁行为者最早由乌克兰计算机应急响应小组于2024年1月初记录。随后的攻击活动被发现利用Signal和Telegram等即时通讯应用作为恶意软件的传播载体。中国安全厂商的最新发现表明，这一战术得到了进一步演化。 攻击链包括将Viber用作初始入侵向量，分发包含多个Windows快捷方式文件的恶意ZIP压缩包。这些LNK文件伪装成Microsoft Word和Excel官方文档，以诱骗接收者打开它们。 这些LNK文件旨在向受害者展示一个诱饵文档以降低其怀疑，同时在后台通过PowerShell脚本从远程服务器获取第二个ZIP压缩包，从而静默执行Hijack Loader。 攻击通过一个多阶段过程在内存中重构并部署Hijack Loader，该过程采用了DLL侧加载和模块堆叠等技术来规避安全工具的检测。随后，该加载器通过计算相应程序的CRC32哈希值，扫描环境中安装的安全软件，例如卡巴斯基、Avast、BitDefender、AVG、Emsisoft、Webroot和微软的相关产品。 除了通过计划任务建立持久性外，该加载器还在通过将其注入”chime.exe”进程来隐蔽执行Remcos RAT之前，采取措施破坏静态签名检测。这款远程管理工具使攻击者能够管理终端、执行负载、监控活动并窃取数据。 “尽管作为合法的系统管理软件进行营销，但其强大的侵入能力使其经常被各种恶意攻击者用于网络间谍和数据窃取活动”，”通过Remcos提供的图形用户界面控制面板，攻击者可以对受害者的主机进行批量自动化管理或精确的手动交互操作。” 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位使用标识符1011进行活动的威胁行为者在暗网论坛上公开声称，其已获取并泄露了来自NordVPN开发基础设施的敏感数据。 据报道，此次泄露暴露了超过十个数据库的源代码，以及可能对该VPN提供商运营安全构成重大风险的关键身份验证凭证。 攻击者声称，他们是通过位于巴拿马的一台配置错误的开发服务器获得访问权限的。这一发现凸显了整个科技行业存在安全防护不足的开发环境所带来的持续脆弱性。 根据最初的披露，泄露的受损数据包括NordVPN核心系统的源代码仓库、Salesforce API密钥和Jira令牌。 这些凭证允许直接访问用于客户关系管理和项目跟踪的关键业务工具。 该威胁行为者已发布了样本SQL转储文件，揭示了敏感数据库表的结构，包括salesforce_api_step_details表和api_keys配置，这证明了其对NordVPN后端基础设施的访问权限。 Dark Web Informer的分析师在2026年1月4日威胁行为者在暗网论坛分享证据后，确认了此次泄露。 研究人员指出，这一事件例证了开发服务器为何常常因其相比生产环境更为宽松的安全配置而成为有吸引力的目标。 数据库架构信息和API密钥结构的泄露，显著增加了针对NordVPN更广泛生态系统发起后续攻击的风险。 此次攻击途径的核心是针对配置错误服务器进行凭证暴力破解，这种技术对于缺乏适当速率限制和访问控制的系统而言，仍然具有令人不安的效力。 这种方法涉及系统性地尝试各种密码组合直至获得进入权限，在防御措施缺失或不足的情况下，这是一种直接但有效的手段。 此次泄露与标准数据盗窃的不同之处在于源代码本身的暴露，这使得攻击者获得了数百万用户赖以保护隐私的系统的架构知识。 其影响超出了NordVPN的直接运营范围。随着API密钥和Jira令牌进入公开流通，威胁态势已扩大到包括在集成服务内进行潜在的横向移动，以及对内部项目管理系统的可能操纵。 安全研究人员建议NordVPN立即对所有开发基础设施进行安全审计，在所有平台上轮换已泄露的凭证，并通过强制执行多因素认证来加强身份验证协议。 管理类似开发环境的组织应实施更严格的访问控制和持续监控，以防止发生类似的泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  WhatsApp的多设备加密协议长期存在元数据泄露问题，使得攻击者能够对用户设备的操作系统进行指纹识别，从而有助于精准投递恶意软件。近期研究显示Meta已进行部分修复，但透明度问题依然存在。 Meta旗下的WhatsApp拥有超过30亿月活跃用户，其使用端到端加密来保障消息安全；然而，其多设备功能却会暴露设备信息。 在该设置下，发送方与接收方的每个设备建立独立会话，使用的是在设备而非服务器上生成的唯一加密密钥。 密钥ID在实现上的差异，会揭示设备运行的是Android还是iOS系统，这对网络攻击链中的侦查环节至关重要。 攻击者可被动利用此漏洞，无需用户交互即可通过查询WhatsApp服务器获取会话密钥，从而识别操作系统类型，进而向Android设备部署精准漏洞利用程序和恶意软件，同时避免触及iOS设备或惊动受害者。 2024年初，Tal A. Be’ery在WOOT’24上的研究揭露了基于Signal协议实现的、按设备建立的会话会泄露设备数量、类型和身份信息。 同年晚些时候，攻击者已能精确定位特定设备进行漏洞利用。2025年，Gabriel Karl Gegenhuber等人在WOOT’25上详细阐述了操作系统指纹识别方法：Android的签名预密钥ID每月从0开始缓慢递增，而iOS的模式则截然不同。 Tal A. Be’ery使用定制工具验证了这一点，确认攻击者可将这些泄露信息串联起来：先检测操作系统，然后悄无声息地投递针对特定操作系统的恶意负载。 近期，WhatsApp已将Android签名预密钥ID的分配方式更改为在整个24位范围内随机取值，从而阻断了该攻击途径。这一变动是通过监测工具发现的，标志着Meta改变了先前认为此问题”无法采取行动”的立场。 然而，一次性预密钥仍然具有区分度：iOS的ID起始值较低且每隔几天递增，而Android则使用完全随机的范围。修复后经过调整的工具仍能可靠地检测出操作系统。 这使得高级持续性威胁能够利用WhatsApp作为传播恶意软件的渠道，正如Paragon间谍软件案例所示。查询过程中不会向用户发出任何通知，从而保持了攻击的隐蔽性。 批评者指出，此次修复措施的推出并未像处理另一个类似问题那样，向研究人员发出警报、提供漏洞赏金或分配CVE编号。CVE通过CVSS评分记录问题，而非用于指责；此类疏漏阻碍了问题的追踪。 虽然修复措施在持续改进，但实现跨平台的完全随机化并提高CVE透明度，将能更好地保护数十亿用户，促进社区协作。在当前风险持续存在的情况下，用户应限制关联设备数量并监控账户活动。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新的ClickFix社会工程攻击活动正瞄准欧洲的酒店业，利用虚假的Windows蓝屏死机界面诱使用户在其系统上手动编译并执行恶意软件。 蓝屏死机是Windows操作系统遇到致命且无法恢复的错误导致系统停止时显示的崩溃界面。 在12月首次发现、并被Securonix研究人员追踪为”PHALT#BLYX”的新攻击活动中，冒充Booking.com的网络钓鱼邮件引发了一次部署恶意软件的ClickFix社会工程攻击。 ClickFix社会工程攻击是一种设计用于显示错误或问题，然后提供”修复”方案来解决该问题的网页。这些错误可能是虚假的错误消息、安全警告、验证码挑战或更新通知，指示访问者在其计算机上运行命令来解决问题。 受害者最终通过运行攻击者指令中提供的恶意PowerShell或Shell命令而感染自己的机器。 在这项新的ClickFix攻击活动中，攻击者发送冒充酒店客人取消Booking.com预订的网络钓鱼邮件，通常发送给酒店企业。声称的退款金额足够大，足以给邮件接收者制造一种紧迫感。 点击邮件中的链接会将受害者带到一个托管在’low-house[.]com’上的虚假Booking.com网站，Securonix将其描述为真实Booking.com网站的”高保真克隆”。 Securonix报告称：”该页面使用了Booking.com官方品牌元素，包括正确的配色方案、徽标和字体样式。在外行人看来，它与真实网站无法区分。” 该网站托管着恶意JavaScript，向目标显示虚假的”加载时间过长”错误，诱使他们点击按钮刷新页面。 然而，当目标点击该按钮时，浏览器会进入全屏模式并显示虚假的Windows蓝屏死机崩溃界面，从而启动ClickFix社会工程攻击。 该界面提示用户打开Windows”运行”对话框，然后按CTRL+V，这将粘贴已复制到Windows剪贴板的恶意命令。 接着提示用户按键盘上的”确定”按钮或Enter键来执行该命令。 真正的蓝屏死机消息不会提供恢复指令，只会显示错误代码和重启通知，但经验不足的用户或急于解决纠纷的酒店员工可能会忽略这些欺骗迹象。 粘贴提供的命令会运行一条PowerShell命令，该命令会打开一个诱饵性的Booking.com管理员页面。同时，在后台下载一个恶意的.NET项目（v.proj）并使用合法的Windows MSBuild.exe编译器进行编译。 执行时，该有效负载会添加Windows Defender排除项并触发用户账户控制提示以获取管理员权限，然后使用后台智能传输服务下载主要加载器，并通过在启动文件夹中放置.url文件来建立持久性。 该恶意软件是DCRAT，一种远程访问木马，通常被威胁行为者用于远程访问受感染设备。 该恶意软件使用进程空洞技术注入到合法的’aspnet_compiler.exe’进程中，并直接在内存中执行。 首次与命令与控制服务器联系时，恶意软件会发送其完整的系统指纹，然后等待执行命令。 它支持远程桌面功能、键盘记录、反向Shell以及在内存中执行额外有效负载。在Securonix观察到的案例中，攻击者投放了一个加密货币挖矿程序。 随着远程访问的建立，威胁行为者现在在目标网络中获得了立足点，使他们能够传播到其他设备、窃取数据并可能危害其他系统。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文