HackerNews

HackerNews 编译，转载请注明出处： 德克萨斯州与伊利诺伊州政府机构近日相继发布数据泄露警报，事件涉及数万民众敏感信息。 5月12日，德克萨斯州交通部（TxDOT）工作人员发现其车祸记录信息系统（CRIS）存在异常活动，调查显示黑客入侵某账户后下载近30万份车祸报告。该系统依法记录车祸细节及涉事人员信息，泄露数据包含姓名、住址、驾照号、车牌号、车险保单号等核心信息，所有报告还涵盖伤情描述及事故经过叙述。 尽管法律未强制要求公开通报，德州政府仍决定向受影响民众寄送通知信函警示风险。目前已冻结涉事账户并持续调查，但未回应黑客背景问询。受害者收到警告需警惕涉及历史车祸的可疑邮件、短信或来电，官方已开通专项咨询热线。 同日，伊利诺伊州医疗家庭服务部（HFS）披露2月发生的数据泄露事件：黑客通过入侵其他政府邮箱向HFS员工发送伪装邮件，诱使一名员工点击后窃取其邮件与文档。事件导致933人信息被盗，涵盖社会安全号、驾照、州身份证件，以及儿童抚养、医疗补助相关的财务数据。 两起事件凸显政府系统安全风险，尤其涉及民生数据的部门更需强化防护。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美最大上市食品批发商联合天然食品公司（UNFI）近日遭遇网络攻击，被迫关闭部分系统。这家总部位于罗德岛的企业运营着53座配送中心，为遍布美加的3万余家商超连锁、电商平台、天然产品卖场及餐饮服务商供应生鲜冻品。作为亚马逊全食超市的主要供应商，UNFI在2024年8月财报中披露年营收达310亿美元，合作供应商超1.1万家，雇员总数逾2.8万人。 公司在提交美国证监会的8-K公告及官网声明中证实，6月5日（周四）发现的网络攻击迫使部分系统下线，导致客户订单履行受阻。UNFI表示：“事件已并预计将持续造成业务运营临时中断。”企业已启动事件响应预案，主动隔离受影响系统，同时通报执法部门并聘请外部网络安全专家介入调查。目前正通过变通方案维持基础服务，全力恢复系统安全运行。 社交媒体自6月5日起涌现大量员工爆料，称系统瘫痪导致轮班取消。UNFI尚未披露攻击性质及是否发生数据泄露，也未有任何勒索组织宣称负责。公司发言人伊内斯·德米兰达向媒体强调：“评估未授权活动期间，客户、供应商与员工权益是最高优先级。”按原计划，UNFI将于6月11日（周二）发布2025财年第三季度财报。 此次事件延续了食品行业频遭网络威胁的趋势：今年3月沃尔玛旗下山姆会员店疑遭Clop勒索组织入侵；2021年全球最大牛肉生产商JBS食品遭REvil勒索攻击，被迫关停全球多地工厂并支付1100万美元赎金。过去数月，Scattered Spider威胁组织与DragonForce勒索软件持续袭击英国零售业（含哈罗德百货、Co-op超市、玛莎百货），近期攻击矛头已转向美国企业。       消息来源：  bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部近期提交民事没收诉讼，要求没收与朝鲜伪造IT员工计划相关的774万美元加密货币资产。该计划涉及此前被起诉的朝鲜外贸银行（FTB）代表沈贤燮（Sim Hyon Sop）。冻结资产涵盖加密货币、NFT及其他数字资产。 司法部在声明中指出：“朝鲜IT工作者通过非法就业积累数百万美元加密货币资产，目的是规避美国对朝制裁。这些资金最初因2023年4月对沈贤燮的起诉而被冻结，其涉嫌与IT工作者共谋。当朝鲜试图清洗这些非法所得时，美国政府成功冻结并扣押了774万美元涉案资金。” 诉状揭示朝鲜通过加密资产非法融资的核心手段：派遣IT工作者秘密潜入中国、俄罗斯等国，利用伪造身份骗取区块链公司远程职位。雇主在不知情下以USDC、USDT等稳定币支付薪酬，变相资助朝鲜政权。这些工作者通过虚假身份、小额转账、链跳转（chain hopping）、NFT购买等方式洗钱，并利用美国账户掩盖资金来源。清洗后的资金通过沈贤燮及朝鲜国防部关联企业Chinyong CEO金尚曼（Kim Sang Man）等人回流朝鲜——该企业自2017年起受美制裁。 司法部国家安全司司长Sue J. Bai强调：“朝鲜长期利用全球远程IT雇佣及加密生态系统规避制裁，为其武器计划提供资金。此次百万美元级没收行动彰显我们切断非法融资渠道的决心，将持续运用法律工具遏制朝鲜破坏稳定计划。” 2024年5月，司法部起诉涉嫌协助朝鲜IT工作者冒用美籍身份渗透数百家企业的亚利桑那州女子、乌克兰男子及三名外籍人士。该计划派遣数千名技术人员使用盗取的美籍身份渗透企业，通过美国支付平台、招聘网站及代理电脑欺诈超300家美企，成为美当局起诉的最大规模同类案件。行动时间跨度为2020年10月至2023年10月，情报专家推测其旨在为朝鲜核计划融资。 主要被告克里斯蒂娜·查普曼（Christina Marie Chapman）5月在亚利桑那州被捕，乌克兰籍奥列克桑德·迪登科（Oleksandr Didenko）同期于波兰落网，美方正寻求引渡。查普曼面临共谋欺诈、电汇欺诈、银行欺诈、加重身份盗窃等12项指控。FBI同步发布警报，警示私营领域防范朝鲜IT工作者威胁。 同年8月，田纳西州居民马修·努特（Matthew Isaac Knoot）因运营“笔记本农场”协助朝鲜IT工作者获取美企远程职位被捕。诉状显示，努特帮助朝鲜工作者使用窃取身份冒充美国公民，在其住所托管公司笔记本电脑，安装未授权软件提供访问权限，并通过朝中关联账户清洗薪酬。朝鲜IT工作者主要潜伏中俄两国，以虚假身份骗取远程工作，每人年收入可达30万美元。 执法部门估算受害企业审计修复损失超50万美元。努特被控共谋破坏受保护计算机、洗钱、电汇欺诈等六项罪名，若成立将面临最高20年监禁（其中身份盗窃罪强制最低刑期2年）。       消息来源：  securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究显示，尽管多数高管和员工自信能识别钓鱼诈骗，但实际判断错误率极高。网络罪犯往往无需入侵公司系统，只需诱导员工点击恶意邮件即可得手。 网络安全公司Dojo对2000名英国员工和高管的调研揭示令人警醒的事实：56%的参与者无法辨别真实邮件与钓鱼诈骗，尽管他们普遍对自身识别能力高度自信。这种现象不仅存在于基层员工——高管群体同样容易中招，尤其面对人工智能生成的钓鱼攻击时。2025年英国企业遭遇钓鱼攻击的比例已达85%（较去年上升2%），但仍有27%的企业高层将网络安全视为次要事务。 核心数据披露 识别能力缺陷：53%受访者未能识别测试中的钓鱼邮件；仅38%能准确挑出测试组中两封真实邮件 高管表现矛盾：识别商业通讯工具(Slack)和密码管理应用(Dashlane)真实邮件的正确率达58%（远超普通员工的36%），但66%高管未能识破AI生成的钓鱼邮件（尽管90%自称有信心） 经典诈骗漏洞：47%未发现虚假Google警报邮件的危险信号；57%误信伪造的Google表格邀请；48%未察觉伪造Dropbox消息的虚假网址 AI诈骗成功率：64%普通员工和66%高管被AI生成的诈骗邮件欺骗 测试方法 研究团队向2000名参与者（含高管与普通员工）发送六封邮件：三封为通用内容，三封针对不同职级定制，并额外加入AI生成的钓鱼邮件进行测试。 AI诈骗技术升级 测试采用ChatGPT生成的钓鱼邮件，模仿Google警报风格并植入虚假网址（如[email protected]），制造紧迫感诱导下载文件。这类邮件成功欺骗了64%普通员工。经典CEO诈骗手段同样有效：64%员工未识破伪造高管邮件，其中应届毕业生受骗率高达68%。诈骗话术强调“加急签署”“今日截止”等时间压力，刻意阻止收件人通过电话核实真伪。 高管群体漏洞 创始人群体表现最差，73%被AI生成的诈骗邮件欺骗。Dojo首席信息安全官纳维德·伊斯兰指出：“56%英国工作者无法区分钓鱼邮件，仅半数能正确定义‘钓鱼攻击’概念，这暴露了认知鸿沟。若不优先保护数据资产，企业投资将面临重大风险。” 人为因素成最大弱点 伦敦市警察局网络保护官丹尼尔·霍顿强调：“影视剧中黑客疯狂打键盘的画面纯属虚构——罪犯极少强攻系统，而是通过钓鱼攻击和社会工程学针对人。”他指出高达88%的安全漏洞源于人为失误：“无论是弱密码、不良数字习惯或误点邮件链接，网络安全始终始于人也终于人。” 企业防护建议 强化培训：超越年度安全视频形式，实施逼真钓鱼演练，培训员工查验邮件信头而非仅依赖拼写错误识别 警惕AI威胁：勿轻信“能识别深度伪造”的自信，需默认所有收件箱均为威胁载体 锁定邮件协议：采用基于域名的认证机制(DMARC, SPF, DKIM)，确保内部通讯工具无法被仿冒 重点防护前线：为频繁接触诈骗尝试的行政、接待及财务人员提供专项支持       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Palo Alto Networks旗下Unit 42团队警告称，新型Windows恶意软件Blitz正通过含后门的游戏作弊工具包传播，对游戏作弊者发起攻击。该恶意软件诱使安卓游戏玩家在电脑模拟器上使用不公平优势手段。 Blitz恶意软件最早于2024年被发现，至今仍在持续更新版本进行攻击活动。需注意该恶意软件与正规游戏辅助工具Blitz.gg（提供实时数据统计的覆盖应用）无关。 Blitz恶意软件伪装成游戏作弊工具传播，其攻击分为两个阶段：下载器先获取僵尸程序载荷，使黑客获得计算机的全面远程控制权。网络犯罪分子还滥用合法代码托管平台散布虚假作弊工具，曾将恶意软件托管在人工智能代码库Hugging Face Spaces上，并在Telegram等社交平台活跃传播。 Unit 42研究人员在报告中指出：“Blitz幕后操纵者疑似俄语使用者，社交媒体使用代号sw1zzx，此人很可能就是开发者。其通过Telegram渠道散布含后门的游戏作弊工具作为初始感染载体。” 至少存在两波Blitz攻击活动：早期通过仿冒正规软件破解安装包传播，后期转为游戏作弊工具包传播。主要针对热门手游《Standoff 2》玩家（该游戏下载量超1亿次）。 当用户下载含虚假作弊工具的压缩包，解压并运行.exe文件后，Blitz下载器将在后台激活。该工具包内含实际作弊程序（可能是黑客破解所得），针对《Standoff 2》的作弊工具需在安卓模拟器BlueStacks上运行。下载器通过加密和反沙盒检测规避查杀，通过验证后即连接远程服务器获取Blitz僵尸程序。 该僵尸程序可实现全面感染： 键盘记录：窃取密码等敏感数据 屏幕监控：截取用户活动画面 加密货币挖矿：利用CPU秘密挖掘门罗币 DDoS攻击：将设备变为僵尸网络节点 远程命令执行：运行任意指令或下载更多恶意软件 研究人员从某命令控制服务器提取的289个已注册僵尸主机显示，俄罗斯用户占比最高（166例），其次为乌克兰（45例）、白俄罗斯（23例）和哈萨克斯坦（12例）。当Unit 42发布威胁情报后，恶意软件运营者在Telegram发布告别声明并提供了木马清除工具。 Unit 42强调：“强烈建议用户避免下载破解软件及游戏作弊工具，此类行为不仅违反法律伦理，更会使系统面临包括Blitz在内的重大安全风险。”       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利政府在被指控使用间谍软件监控批评者的手机后，该国议会文件周一表示已终止与以色列监控软件公司Paragon的合同。Paragon未立即回应路透社的置评请求。 Meta旗下WhatsApp聊天服务今年早些时候称，Paragon间谍软件曾针对多名用户进行监控，包括一名记者和批评总理乔治亚·梅洛尼的移民海上救援组织Mediterranea成员。意大利政府二月承认国内有七名手机用户成为该间谍软件目标，但否认参与非法活动，并表示已要求国家网络安全局调查此事。 议会安全委员会COPASIR最新报告显示，在媒体强烈抗议后，意大利情报部门先是暂停了与Paragon的合作，最终终止了合同。报告称意国内情报机构AISI和对外情报机构AISE分别于2023年和2024年与Paragon签约，经检察官授权后对极少数目标使用该软件。该委员会表示，对外情报机构使用该软件是为追查逃犯、打击非法移民、涉嫌恐怖主义、有组织犯罪、燃油走私及反间谍活动。 报告特别指出，海上救援组织Mediterranea成员“并非作为人权活动家被监控，而是因其可能涉及非常规移民的活动”获得政府授权。梅洛尼的情报事务负责人、内阁副秘书长阿尔弗雷多·曼托瓦诺于2024年9月5日批准对该组织成员卢卡·卡萨里尼和朱塞佩·卡恰使用Paragon间谍软件。曼托瓦诺暂未回应此事。 另据披露，西西里岛法官上月已下令以协助非法移民罪审判Mediterranea六名成员（含上述两人），这是首次有救援船船员面临此类起诉，所有被告均否认有不当行为。报告同时指出，调查网站Fanpage主编弗朗切斯科·坎切拉托（其自称是监控目标）未有证据表明遭Paragon软件监控，这与他向路透社等媒体的指控不符。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）就Badbox 2.0僵尸网络发布安全警报后，敦促智能家居用户警惕联网设备中的入侵指标（IoCs）。 该执法机构在公共服务公告（PSA）中称，威胁行为者要么在用户购买前给设备预装恶意软件，要么通过设置过程中必须下载的含后门“必要应用”实施感染。受影响设备主要包括电视流媒体设备、数字投影仪、售后车辆信息娱乐系统、电子相框等产品。 公告补充道：“一旦这些受感染的物联网设备接入家庭网络，便可能沦为Badbox 2.0僵尸网络的一部分，成为已知用于恶意活动的住宅代理服务节点。” Badbox 2.0是原始Badbox僵尸网络在2024年遭打击后出现的第二代变种。与前代相同，它主要针对安卓系统产品。FBI指出：“Badbox 2.0僵尸网络由数百万受感染设备组成，其维护的众多代理服务后门被网络犯罪分子出售或免费提供，用于实施各类犯罪活动。” 公告特别警示用户需警惕两类设备：要求禁用Google Play Protect安全设置的设备，以及宣传具备“解锁”或“免费访问内容”功能的通用电视流媒体设备。同时建议用户避免使用非官方应用市场和陌生品牌产品，若发现无法解释的可疑网络流量应立即采取行动。 为降低网络风险，FBI建议家庭互联网用户采取以下措施： 监控家庭网络的互联网流量 检查所有接入家庭网络的物联网设备是否存在可疑活动 避免从宣传免费流媒体内容的非官方市场下载应用 保持所有操作系统、软件和固件更新，优先修补防火墙漏洞及暴露于互联网的系统中已知被利用的漏洞 据Human Security早前监测，2023年10月的原始Badbox活动中已发现74,000台安卓手机、平板和联网电视盒存在感染迹象。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 威胁行为者正利用Wazuh服务器中一个现已修复的关键安全漏洞，部署两种不同的Mirai僵尸网络变种，并利用它们发动分布式拒绝服务（DDoS）攻击。 Akamai于2025年3月下旬首次发现了这些利用活动，该公司称该恶意活动针对的是CVE-2025-24016（CVSS评分：9.9）。这是一个不安全反序列化漏洞，允许在Wazuh服务器上远程执行代码。 该漏洞影响了服务器软件4.4.0及以上所有版本，已于2025年2月通过发布4.9.1版本得到修复。在补丁发布的同时，概念验证（PoC）漏洞利用代码也被公开披露。 该问题的根源在于Wazuh API中，分布式API（DistributedAPI）的参数被序列化为JSON格式，并使用文件 framework/wazuh/core/cluster/common.py 中的 “as_wazuh_object”函数进行反序列化。威胁行为者可通过注入恶意JSON负载来利用此漏洞远程执行任意Python代码。 Akamai表示，在漏洞及其PoC公开披露仅仅几周后，他们就发现了两个不同的僵尸网络试图利用CVE-2025-24016。这些攻击分别发生在2025年3月初和5月。 “这是僵尸网络运营商针对新发布的CVE所采用的漏洞利用时间窗口不断缩短的最新例证。”安全研究人员Kyle Lefton和Daniel Messing在分享给The Hacker News的一份报告中表示。 在第一种情况下，成功的漏洞利用为执行一个shell脚本铺平了道路，该脚本充当下载器，从外部服务器（“176.65.134[.]62”）为不同架构下载Mirai僵尸网络负载。据评估，这些恶意软件样本是自2023年就已存在的LZRD Mirai的变种。 值得注意的是，LZRD最近也被部署在利用已终止支持（EoL）的GeoVision物联网（IoT）设备的攻击中。然而，Akamai告诉The Hacker News，没有证据表明这两个活动集群是同一个威胁行为者所为，因为LZRD被众多僵尸网络运营商使用。 对 “176.65.134[.]62” 及其关联域名的进一步基础设施分析，导致了其他Mirai僵尸网络版本的发现，包括名为 “neon” 和 “vision” 的LZRD变种，以及一个更新版的V3G4。 该僵尸网络利用的其他安全漏洞还包括Hadoop YARN中的漏洞、TP-Link Archer AX21（CVE-2023-1389）的漏洞以及中兴ZTE ZXV10 H108L路由器中的远程代码执行漏洞。 第二个滥用CVE-2025-24016的僵尸网络采用了类似的策略，使用恶意shell脚本来分发另一个称为Resbot（又名Resentual）的Mirai僵尸网络变种。 “我们注意到关于这个僵尸网络的一个有趣之处是它使用的关联语言。它使用了各种域名来传播恶意软件，这些域名都带有意大利语命名法，”研究人员说。“这种语言命名约定可能表明这是一场专门针对意大利语用户拥有和运行的设备发起的活动。” 除了试图通过端口21上的FTP传播以及进行telnet扫描外，该僵尸网络还被发现利用了针对华为HG532路由器（CVE-2017-17215）、Realtek SDK（CVE-2014-8361）和TrueOnline ZyXEL P660HN-T v1路由器（CVE-2017-18368）等多种漏洞进行传播。 “Mirai的传播相对而言仍在持续，因为重新利用和重用旧源代码来建立或创建新的僵尸网络仍然相当简单，”研究人员表示。“而且僵尸网络运营商通常只需利用新发布的漏洞就能取得成功。” CVE-2025-24016远非唯一被Mirai僵尸网络变种滥用的漏洞。在最近的攻击中，威胁行为者还利用了CVE-2024-3721（一个影响TBK DVR-4104和DVR-4216数字录像设备的中等严重性命令注入漏洞）将设备招募进僵尸网络。 该漏洞被用来触发一个shell脚本的执行，该脚本负责从远程服务器（“42.112.26[.]36”）下载Mirai僵尸网络并执行它，但在执行前会检查自身是否在虚拟机或QEMU中运行。 俄罗斯网络安全公司卡巴斯基表示，感染主要集中在中国、印度、埃及、乌克兰、俄罗斯、土耳其和巴西，并补充说他们识别出超过50,000台暴露在互联网上的DVR设备。 “利用未修补的物联网设备和服务器中的已知安全漏洞，加上针对基于Linux系统的恶意软件的广泛使用，导致大量僵尸程序不断扫描互联网以寻找要感染的设备。”安全研究员Anderson Leite说。 此消息披露之际，根据StormWall分享的统计数据，在2025年第一季度，中国、印度、新加坡、日本、马来西亚、香港地区、印尼、韩国和孟加拉国已成为亚太地区受攻击最多的目标。 “API洪水攻击和地毯式轰炸攻击比传统的TCP/UDP容量攻击增长更快，促使公司采用更智能、更灵活的防御措施，”该公司表示。“与此同时，不断升级的地缘政治紧张局势推动了对政府系统和台湾地区的攻击激增——突显了黑客活动分子和国家资助的威胁行为者活动的增加。” 此前，美国联邦调查局（FBI）发布警告称，BADBOX 2.0僵尸网络已感染了数百万台互联网连接设备（其中大部分是中国制造），以将其变成住宅代理（residential proxies）来促进犯罪活动。 “网络犯罪分子通常在用户购买前就在产品中预装恶意软件进行配置，或者在设备下载含有后门的必要应用程序（通常在设置过程中）时感染设备，从而未经授权访问家庭网络，”FBI表示。 “BADBOX 2.0僵尸网络由数百万台受感染设备组成，并维护着众多通往代理服务的后门。网络犯罪分子通过出售或免费提供对受感染家庭网络的访问权限来利用这些后门进行各种犯罪活动。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Qilin勒索组织近期利用两个Fortinet漏洞发起攻击，该漏洞允许攻击者在未认证状态下远程执行恶意代码。该组织（又名Phantom Mantis）自2022年8月以“Agenda”为名运营勒索软件即服务(RaaS)，其暗网泄露站点已披露超310名受害者，包括汽车巨头Yangfeng、出版集团Lee Enterprises、澳大利亚法院服务署Victoria及病理服务商Synnovis。其中Synnovis遭攻击导致伦敦多家NHS医院被迫取消数百例诊疗安排。 威胁情报公司PRODAFT发现，Qilin近期通过部分自动化攻击模式瞄准多个Fortinet漏洞，主要针对西班牙语国家机构，但预计攻击范围将扩大至全球。“Phantom Mantis在2025年5月至6月发起协同入侵，中高度置信证据表明其通过CVE-2024-21762、CVE-2024-55591等FortiGate漏洞实现初始访问”，PRODAFT在向BleepingComputer提供的内部警报中表示。尽管当前攻击呈现地域倾向，但目标选择仍具随机性。 本次攻击利用的两大漏洞中： CVE-2024-55591：早在2024年11月已被其他威胁组织作为零日漏洞利用，Mora_001勒索运营商曾借此部署与LockBit犯罪团伙关联的SuperBlack勒索软件 CVE-2024-21762：Fortinet于今年2月发布补丁，美国网络安全局(CISA)将其列入高危漏洞目录并勒令联邦机构在2月16日前加固设备。后续扫描显示仍有近15万台设备未修复 Fortinet漏洞常被用于网络间谍活动及勒索攻击。例如今年2月披露的黑客组织Volt Typhoon曾利用FortiOS SSL VPN漏洞（CVE-2022-42475及CVE-2023-27997）部署定制远控木马Coathanger——该恶意软件此前曾渗透荷兰国防部军事网络。       消息来源：  bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国税务解决方案公司Optima Tax Relief遭遇Chaos勒索软件攻击，攻击者现已泄露窃取的公司数据。作为知名税务服务机构，该公司专为个人及企业解决联邦与州税问题，自称全美领先税务解决商，累计为客户处理超30亿美元税务债务。 近日，Chaos勒索团伙将Optima Tax Relief列入其数据泄露网站，宣称窃取69GB数据。泄露内容包含公司内部数据与客户案件档案，其中税单通常载有社会安全号码、电话号码、家庭住址等敏感信息，可能被其他威胁组织用于恶意活动或身份盗窃。 知情人士向BleepingComputer透露，此次攻击采用双重勒索模式：攻击者不仅窃取数据，同时加密了公司服务器。Chaos是2025年3月新出现的勒索组织，其数据泄露网站首批公布了五名受害者。需注意该团伙不同于2021年出现的Chaos勒索软件生成器——后者常被用于网络钓鱼和恶意软件活动。 该团伙上周还宣称攻陷慈善组织救世军，但未获对方回应。BleepingComputer已就事件细节联系Optima Tax Relief，尚未获得回复。       消息来源：  bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 特朗普政府于6月6日发布升级版网络安全行政令，包含近十二项指令以强化国家安全，涵盖人工智能应用、后量子密码技术、物联网设备认证及应对国家级别网络威胁等领域。该行政令是对奥巴马政府2015年签署的13694号行政令及特朗普今年1月25日签署的《促进国家网络安全创新》14144号行政令的补充。 特朗普在行政令序言中强调：“我下令采取新行动提升国家网络安全防御能力，重点包括：保护数字基础设施、确保关键数字服务安全、增强应对核心威胁的能力”。 核心指令要点： 人工智能整合 要求2025年11月1日前将AI技术整合至联邦网络用于漏洞管理，并在8月1日前推进安全软件开发。身份安全企业CyberArk创新高级副总裁凯文·博切克指出：“全球AI竞争加速催生了新型攻击面，AI防御技术能快速识别漏洞、扩大威胁检测规模并实现自动化防护”。该指令同时要求11月前向学术研究界开放网络安全研究数据集。 后量子密码技术 针对量子计算机未来可能破解现有公钥密码体系的威胁，行政令要求联邦政府过渡至抗量子破解的加密算法，并在2025年12月前建立支持后量子密码(PQC)的产品动态清单。博切克特别警示“机器身份泛滥”风险：“当前企业机器身份数量已达人类身份的82倍，但68%机构缺乏AI身份管控能力”。 物联网与系统加固 指令要求2027年1月起所有联邦采购的物联网设备必须携带“美国网络信任标记”认证标签；美国国家标准与技术研究院(NIST)需在2025年9月更新安全补丁部署指南；联邦预算管理局(OMB)则获三年期限制定政府IT系统现代化改造及风险应对框架。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现大量存在漏洞的光伏逆变器暴露在互联网上。近35,000台太阳能发电设备的管理界面可直接访问，攻击者可利用一系列已知漏洞实施攻击。对设备所有者而言，在线查看光伏板发电数据虽然便利，却带来巨大风险——黑客同样能访问这些设备。 网络安全公司Forescout旗下Vedere Labs实验室披露，35,000台暴露设备涵盖42个品牌的逆变器、数据记录仪、网关等设备。攻击者通过Shodan搜索引擎可轻易发现这些设备。研究人员不仅新发现46个漏洞，还确认93个已知漏洞的存在，暴露设备可能面临更多未知风险。 研究人员警告，攻击者可能利用漏洞造成大范围停电，类似今年早些时候西班牙电网瘫痪事件。“随着这些系统逐渐成为全球电网的关键组件，其对电网稳定性的威胁与日俱增”，报告指出。暴露设备最多的品牌包括：德国SMA（12,434台）、奥地利Fronius（4,409台）、德国Solare Datensysteme（3,832台）、日本Contec（2,738台）和中国阳光电源（2,132台）。值得注意的是，这与市场份额排名并不一致，华为、锦浪科技等头部厂商未出现在暴露名单中。 暴露设备中SMA Sunny Webbox占比最高，该设备自2014年12月起就存在硬编码漏洞。地域分布显示：76%位于欧洲（德国与希腊各占全球总量的20%），17%在亚洲，5%在美洲。研究人员解释：“设备暴露通常源于用户配置端口映射，这种行为已被厂商明确反对”。监测还发现，威胁组织频繁攻击暴露设备，至少43个IP地址近期针对SolarView Compact设备发起攻击，这些设备运行着27种不同固件版本，且无一更新至最新版本。 Forescout警告：“数千台暴露设备往往未打补丁，极易被攻击者劫持”。建议用户及时更新固件并关闭管理界面的互联网直连权限。路透社此前报道称，部分中国制造的太阳能设备存在“不明通信模块”，进一步增加了安全风险。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对GlueStack相关组件的供应链攻击，超过12个软件包被植入恶意代码。据Aikido Security向The Hacker News透露，攻击者通过篡改“lib/commonjs/index.js”文件注入恶意程序，可执行shell命令、截取屏幕截图并上传受感染设备文件，这些软件包周下载量合计近100万次。 未授权访问权限可被用于加密货币挖矿、窃取敏感信息甚至关闭服务等后续攻击。Aikido表示首次检测到软件包被入侵发生在2025年6月6日21:33（GMT）。受影响软件包及版本如下： @gluestack-ui/utils 0.1.16（101次下载） @react-native-aria/button 0.2.11（174次下载） 恶意代码与上月npm软件包“rand-user-agent”被攻破后分发的远程访问木马相似，表明可能系同一攻击者所为。该木马升级版新增两条指令：收集系统信息（“ss_info”）和获取主机公网IP（“ss_ip”）。项目维护方已撤销访问令牌并将受影响版本标记为弃用，建议用户回退至安全版本。 Aikido声明强调：“潜在影响规模巨大，木马的持久化机制尤其危险——即使维护者更新软件包，攻击者仍能持续访问受感染设备。” 恶意npm软件包具备破坏性功能 安全机构Socket同期发现两个伪装成合法工具的恶意npm包——express-api-sync（下载量112次）和system-health-sync-api（下载量861次）。前者在收到硬编码密钥“DEFAULT_123”的HTTP请求后，会执行“rm -rf *”命令递归删除当前目录所有文件。后者则兼具信息窃取与破坏功能，并根据操作系统切换删除命令（Windows执行“rd /s /q .”，Linux执行“rm -rf *”）。 安全研究员Kush Pandya指出：“express-api-sync是钝器，system-health-sync-api则是配备情报收集功能的瑞士军刀级破坏工具。”该软件包通过硬编码SMTP凭证（用户名auth@corehomes[.]in，Base64编码密码）以邮件为隐蔽通信信道，所有关键事件均会发送至[email protected]。攻击者可通过“//system/health”和“//sys/maintenance”端点触发破坏命令，后者作为主后门被封锁时的备用机制。 PyPI软件包伪装Instagram工具窃取凭证 软件供应链安全公司同时在Python包索引（PyPI）发现名为imad213的凭证窃取程序，下载量达3,242次。该程序冒充Instagram涨粉工具，使用Base64编码隐藏恶意行为，并通过Netlify托管文件实现远程紧急停止开关。执行时会诱导用户输入Instagram凭证，随后将凭证发送至10个第三方机器人服务。 该程序由用户im_ad__213（又名IMAD-213）上传，其同期发布的其他三个恶意软件包包括： taya（930次下载）：窃取Facebook/Gmail/Twitter/VK凭证 a-b27（996次下载）：功能同上 poppo213（3,165次下载）：利用Apache Bench发动DDoS攻击 攻击者在GitHub文档中声称该库“仅用于教育研究”，并建议用户使用临时账户避免主账户风险。安全人员指出这实为制造虚假安全感。程序启动后先验证外部服务器文本文件内容是否为“imad213”，通过验证才继续执行。凭证除本地保存为“credentials.txt”外，同时发送至多个土耳其Instagram涨粉工具关联域名（注册于2021年6月）。 Socket警告：“10个机器人服务同时接收凭证，显示凭证洗白（credential laundering）的早期迹象——通过多服务分发掩盖凭证来源。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度中央调查局（CBI）宣布，已逮捕6名犯罪嫌疑人并捣毁两个非法呼叫中心，该团伙涉嫌针对日本公民实施复杂的跨国技术支持诈骗。 该执法机构表示，作为打击网络金融犯罪的“查克拉五号行动”（Operation Chakra V）的一部分，其于2025年5月28日协调搜查了德里、哈里亚纳邦和北方邦的19个地点。 据CBI称，这些网络犯罪集团主要针对日本公民，冒充包括微软在内的多家跨国公司的技术支持人员实施诈骗。该机构称：“该集团运营的呼叫中心伪装成合法客服中心，诱使受害者相信其电子设备已遭入侵，并以此为由胁迫受害者将资金转入骡子账户（mule accounts）。” 当局表示，他们与日本国家警察厅及微软公司合作，得以追踪该诈骗计划的实施者及其运作架构。此外，执法人员还查获了电脑、存储设备、数字录像机（DVR）和手机等关键物证。 CBI指出，该犯罪集团利用先进的社会工程技术及“技术欺诈手段”欺骗受害者，以虚假借口骗取钱财。 微软的Steven Masada表示：“随着网络犯罪即服务（cybercrime-as-a-service）的发展，网络犯罪分子之间的联系日益增强且全球化，我们必须持续审视这些犯罪者运作的整个生态系统，并与多个国际伙伴协调，以切实应对网络犯罪。” 微软进一步透露，其一直与日本网络犯罪管控中心（JC3）密切合作，共同打击虚假技术支持诈骗，自2024年5月以来已在全球范围内清除约66,000个恶意域名和URL。 此次跨部门协作使得识别这些诈骗活动背后的更广泛网络成为可能，该网络包括弹窗制作方、搜索引擎优化者、潜在客户信息提供方、物流与技术供应商、支付处理方以及人才提供方。“这些犯罪者利用生成式人工智能扩大其犯罪规模，包括筛选潜在受害者、自动化生成恶意弹窗窗口以及进行语言翻译以针对日本受害者，”Masada称，“此类活动凸显了网络犯罪者日益复杂的作案手法，也强调了主动开展全球协作以保护受害者的重要性。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科Talos最新报告显示，俄罗斯威胁组织再次使用破坏性恶意软件瞄准乌克兰关键基础设施。2022年1月至2月俄乌冲突爆发期间，攻击者曾协调部署WhisperGate、HermeticWiper、IsaacWiper及CaddyWiper等擦除器恶意软件；同年4月，Industroyer2被用于攻击工业控制系统。 随着俄罗斯在网络空间加剧活动，2023年12月乌克兰最大移动运营商Kyivstar的IT基础设施遭部分摧毁。最新事件中，乌克兰某关键基础设施实体成为新型擦除器PathWiper的攻击目标。 该恶意软件与HermeticWiper存在相似性——后者被归因于俄罗斯军事情报总局（GRU）关联的APT组织沙虫（亦被追踪为Seashell Blizzard、APT44、Iridium、TeleBots和Voodoo Bear），在2024年2月俄罗斯全面入侵乌克兰时被发现。Talos指出，两者均以主引导记录（MBR）和NTFS相关构件为破坏目标，但机制存在差异：PathWiper会扫描所有连接的驱动器与卷，识别卷标并记录有效数据；而HermeticWiper仅遍历0到100编号的物理驱动器。 攻击者利用合法端点管理框架执行恶意命令并部署PathWiper，其使用的文件名和操作均模仿该管理工具的控制台特征。Talos解释称：“管理工具控制台发出的指令会被终端客户端接收，并以批处理文件形式执行。其命令行部分与Impacket命令执行相似，但此类命令不一定表明环境中存在Impacket。” PathWiper运行时尝试卸载卷，并用随机数据覆盖文件系统构件，每个驱动器和卷对应独立线程。目标构件包括MBR、MFT（主文件表）、MFTMirr（镜像文件）、LogFile（日志文件）、Boot（引导文件）、Bitmap（位图）、TxfLog（事务日志）、Tops（拓扑文件）及AttrDef（属性定义）。 2022年部分针对乌克兰的擦除器攻击被归因于GRU下属APT组织“Cadet Blizzard”，该组织成员已于去年被美国司法部起诉。研究人员警示：“擦除器恶意软件的持续演进，凸显俄乌战争长期化背景下乌克兰关键基础设施面临的威胁未减。”       消息来源：  securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患：通过HTTP明文传输数据并在代码中硬编码密钥，导致用户隐私与安全面临风险。赛门铁克安全技术响应团队研究员指出：“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据，以明文形式暴露浏览域名、设备ID、操作系统信息、使用分析数据乃至卸载记录。” 这种未加密的网络流量使其极易遭受中间人攻击（AitM）。恶意攻击者可在公共Wi-Fi等开放网络中拦截甚至篡改数据，引发更严重后果。以下为存在风险的扩展清单： HTTP传输漏洞扩展 SEMRush Rank（ID: idbhoeaiokcojcgappfigpifhpkjgmab）与PI Rank（ID: ccgdboldgdlngcgfdolahmiilojmfndl）：通过HTTP调用“rank.trellian[.]com” Browsec VPN（ID: omghfjlpggmjjaagoclmmobgdodcjboh）：卸载时通过HTTP访问卸载链接 MSN新标签页（ID: lklfbkdigihjaaeamncibechhgalldgl）与MSN主页、必应搜索与新闻（ID: midiombanaceofjhodpdibeppmnamfcj）：通过HTTP向“g.ceipmsn[.]com”发送设备唯一标识符 DualSafe密码管理器与数字保险库（ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc）：向“stats.itopupdate[.]com”发送含扩展版本、浏览器语言等信息的HTTP请求 研究人员特别指出：“密码管理器使用未加密请求传输遥测数据，严重削弱用户对其安全性的信任。” 硬编码密钥风险扩展 Online Security & Privacy（ID: gomekmidlodglbbmalcneegieacbdmki）、AVG Online Security（ID: nbmoafcmbajniiapeidgficgifbfmjfo）等：暴露Google Analytics 4密钥，攻击者可伪造数据推高分析成本 Equatio数学工具（ID: hjngolefdpdnooamgdldlkjgmdcmcjnc）：嵌入Azure语音识别API密钥，可能导致开发者服务费用激增 Awesome截屏工具（ID: nlipoenfbbikpbjkfpfillcgkoblgpmj）等：泄露AWS S3访问密钥，攻击者可非法上传文件 Microsoft Editor编辑器（ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa）：暴露遥测密钥“StatsApiKey” Antidote Connector（ID: lmbopdiikkamfphhgcckcjhojnokgfeo）：第三方库InboxSDK含硬编码API密钥（影响超90款扩展） Trust Wallet钱包（ID: egjidjbpglichdcondbcbdnbeeppgdph）：泄露法币通道API密钥，可伪造加密货币交易 攻击者利用这些密钥可能造成API服务费用暴涨、托管非法内容、伪造遥测数据等后果，甚至导致开发者账户被封禁。 研究人员强调：“从GA4密钥到Azure语音密钥，这些案例证明几行代码足以危及整个服务。核心解决方案是永远不要在客户端存储敏感凭证。”开发者应采取三项关键措施： 全面启用HTTPS数据传输 通过凭证管理服务在后端服务器安全存储密钥 定期轮换密钥以降低风险 赛门铁克警告用户：“此类风险绝非理论假设——未加密流量极易被截获，数据可能用于用户画像分析、钓鱼攻击等定向攻击。建议立即卸载存在不安全调用的扩展程序，直至开发者完成修复。”该事件揭示关键教训：安装量或品牌知名度无法等同于安全实践水平，用户需严格审查扩展程序的协议类型与数据共享行为。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者近期重新泄露了2021年影响7000万用户的AT&T数据泄露事件相关数据，此次将此前分散的文件进行整合，直接关联用户的社会安全号码和出生日期。AT&T向BleepingComputer表示正在调查该数据，但认为其源自已知泄露事件，只是被重新打包发布：“网络犯罪分子重新打包已泄露数据牟利的情况并不罕见。我们刚获悉有黑客论坛声称出售AT&T数据，正展开全面调查。” 据HackRead最早披露，该数据发布于俄语黑客论坛。发布者宣称数据源自2024年AT&T的Snowflake数据窃取攻击（该事件曾暴露1.09亿用户的通话记录），但BleepingComputer分析证实实际数据源于2021年ShinyHunters黑客组织实施的AT&T数据泄露——当时该组织试图以20万美元出售数据。2024年3月，另有威胁行为体在犯罪论坛免费泄露了完整数据集，称其为ShinyHunters窃取的原始数据，包含姓名、地址、电话号码及加密的出生日期、社会安全号码等敏感信息，并附带解密映射文件。 本次泄露数据经BleepingComputer验证，实为2024年泄露数据的清洗版本：清除了内部冗余字段，并将解密后的社会安全号码和出生日期直接关联至用户记录。原始8832万条记录经去重后降至8602万条有效数据，进一步处理显示仅4889万个电话号码关联有效用户信息（因部分用户在不同地址使用相同号码导致重复）。最终结论：本次事件并非新的数据泄露，也非Snowflake失窃数据，而是2021年泄露数据的重组版本。         消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究团队在TLS证书中发现异常痕迹后，揭露了令人不安的事实：美国数百家水务公司的控制室操作面板暴露在公共互联网上，其中数十套系统无需密码即可完全控制水泵、阀门和化学药剂投加设备。 事件始于2024年10月，网络安全公司Censys例行扫描工业控制系统时，发现多台主机部署的证书中嵌有“SCADA”（监控与数据采集系统）字样。进一步调查显示，这些设备均运行同一款冷门浏览器端人机交互平台。研究人员获取实时操作界面截图时，目睹了水处理厂的动态流程画面：水箱液位波动、氯气泵启停状态切换、警报信号实时闪烁。 通过解析网页标题标签，团队确认所有暴露系统均属于市政水务设施，并依据访问权限划分为三类：需凭证认证（Authenticated）、仅可查看（Read-only）以及最危险的完全开放（Unauthenticated）。Censys在报告中指出：“40套系统处于完全开放状态，任何拥有浏览器的攻击者都能实施操控。” 由于涉及公共基础设施，该公司打破常规逐项披露流程，直接将包含IP地址、端口及地理位置信息的完整清单批量提交给美国环保署（EPA）和涉事软件商。九天内，24%的暴露系统完成防火墙加固或安全升级；一个月后，随着厂商发布多因素认证指南，防护率提升至58%。截至2025年5月的最新扫描，暴露系统已从最初的300余套降至不足20套。 此事件促使美国政府于去年末紧急发布警报，要求水务机构加强防护面向互联网的人机交互界面（HMI）。美国环保署和网络安全局（CISA）联合技术文件明确警告：“黑客已多次利用暴露的HMI漏洞——例如2024年亲俄黑客曾篡改水务设备参数，导致水泵和鼓风设备超负荷运行。”这些控制界面通常作为监控系统的延伸组件，使操作人员能远程管理工业设备，但配置缺陷可能引发灾难性后果。       消息来源：  securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国税务海关总署（HMRC）近日披露，犯罪团伙通过钓鱼手段盗用超过10万个纳税人账户，并利用这些账户向政府提交虚假退税申请，导致4700万英镑（约合6400万美元）资金被非法提取。HMRC首席执行官约翰-保罗·马克斯6月4日向议会财政委员会表示，该事件源于攻击者通过钓鱼活动或外部数据泄露获取个人信息，而非HMRC系统遭到入侵。 受影响的纳税人将在三周内收到通知信函，其账户已被临时锁定并清除异常登录信息。马克斯强调，所有受影响的纳税人不会因此承担经济损失，HMRC已从税务记录中删除错误申报信息。数据显示，HMRC去年成功拦截了犯罪分子试图窃取的19亿英镑资金，实际损失金额仅占攻击总额的2.5%。 HMRC副首席执行官安吉拉·麦克唐纳指出，诈骗者利用被盗身份信息创建或劫持在线账户，通过高度组织化的犯罪网络实施欺诈。尽管当局未透露具体攻击手法，但网络安全专家推测这可能涉及信息窃取软件感染或社工攻击。目前相关刑事调查仍在进行，部分嫌疑人已于去年被逮捕。 税务部门发言人重申，此次事件属于“利用外部获取的个人信息实施欺诈”，并非针对HMRC系统的网络攻击。该机构正与执法部门合作追回被盗资金，并建议纳税人警惕可疑邮件、短信及电话，避免在非官方渠道提交敏感信息。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌6月4日（周三）披露，黑客正诱骗欧美企业员工安装篡改版Salesforce关联应用，借此窃取海量数据、入侵企业云服务并实施勒索。 谷歌威胁情报小组追踪为UNC6040的黑客组织“在诱骗员工方面特别有效”。研究人员称，该组织诱导员工安装篡改版Salesforce数据加载器（Data Loader）——该专有工具通常用于批量导入Salesforce环境数据。黑客通过语音电话诱骗员工访问伪装的Salesforce关联应用设置页面，诱导其批准黑客仿制的未授权篡改应用。 若员工安装该应用，黑客将获得“从受侵Salesforce客户环境直接访问、查询和窃取敏感信息的强大能力”。研究人员指出，此类访问权限常使黑客能在客户网络内横向移动，进而攻击其他云服务及内部企业网络。 谷歌旗下Mandiant在X平台警示称：“企业准备好应对语音钓鱼了吗？UNC6040是以经济利益驱动的威胁集群，专门通过语音钓鱼（vishing）入侵企业Salesforce系统实施大规模数据窃取。” 该活动技术基础设施与松散犯罪生态系统“The Com”存在关联特征。谷歌发言人向路透社透露，过去数月约有20家机构遭UNC6040攻击，其中部分机构数据已被成功窃取。Salesforce发言人则声明：“无证据表明该问题源于平台固有漏洞”，并强调这是“针对个人网络安全意识漏洞的社会工程骗局”。 该发言人拒绝透露具体受影响客户数量，但表示“仅涉及少数客户，并非普遍性问题”。实际上，Salesforce早在2025年3月就预警过语音钓鱼攻击及篡改版数据加载器的滥用风险。 上月，可口可乐欧洲太平洋合作伙伴（CCEP）的64GB数据遭泄露。业内人士怀疑攻击者并非直接入侵可口可乐系统，而是通过该公司Salesforce账户获取数据。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文