HackerNews

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf周一披露，去年一场针对巴基斯坦、孟加拉国和斯里兰卡政府机构及关键基础设施运营商的间谍活动，被归因于一个名为”SloppyLemming”的印度关联威胁组织。这是Cloudflare 2024年9月所识别威胁活动的扩展。 该活动自2025年1月起持续一年，采用两种攻击方式：一是投递含BurrowShell恶意软件的PDF文件——该后门程序可截屏并操控文件系统；二是发送携带具备键盘记录与侦察功能恶意软件的Excel文档。 研究人员指出，该组织技术能力中等：多阶段执行链显示其掌握防御规避技术并熟悉Windows内部机制，但开放目录暴露等运营安全漏洞表明其手法不及更严谨的对手。这与组织名称中的”Sloppy（ sloppy 意为 sloppy/ sloppy ）”相符，指其历史上不稳定的运营安全。 攻击者使用去年注册的112个Cloudflare域名托管恶意软件，域名采用巴基斯坦和孟加拉国政府主题名称以诱骗受害者。 事件响应人员确认，活动目标包括巴基斯坦核监管局等核监管机构、国防后勤组织及电信基础设施，以及孟加拉国能源公用事业和金融机构。巴基斯坦海军、国家后勤公司、DESCON电力公司、孟加拉国电网公司，以及特殊通信组织和巴基斯坦电信公司均在目标之列。 研究人员称，SloppyLemming自2021年起持续实施网络间谍攻击，其目标与印度政府利益一致。 “PDF阅读器已禁用” 活动通常以含恶意文档的社会工程或鱼叉式钓鱼邮件开场。文档打开后，受害者看到模糊内容被”PDF阅读器已禁用”字样覆盖，并被诱导执行进一步操作以允许黑客访问。 恶意软件包含键盘记录功能及持久化机制、网络扫描、截屏等功能。至少有一封恶意邮件冒充孟加拉国金融机构。 Arctic Wolf发现其调查结果与Trellix 2025年10月披露的内容存在部分重叠。 Cloudflare此前表示，SloppyLemming活动始于2022年末，主要针对巴基斯坦，同时攻击斯里兰卡、尼泊尔、孟加拉国、印度尼西亚和中国，重点瞄准政府、执法、能源、电信及技术实体。Cloudflare未将该活动与印度行为者直接关联，但称其与CrowdStrike追踪的”Outrider Tiger”威胁组织相符。CrowdStrike将该组织描述为”印度关联针对性入侵对手”，采用复杂凭据收集技术，”支持印度国家情报收集需求”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络司令部对伊朗通信网络实施了网络攻击。美军最高将领表示，这一行动为美国与以色列联合发动的历史性轰炸行动创造了条件。 参谋长联席会议主席丹·凯恩将军周一在五角大楼记者会上披露，代号”史诗狂怒”的行动中，网络司令部与太空司令部率先”叠加非动能效应”，支援本次导致伊朗最高领袖哈梅内伊及多名高级官员丧生的军事行动。 凯恩表示：”协同太空与网络作战有效干扰了责任区内的通信与传感器网络，使敌方丧失侦察、协调和有效反击能力。”这些行动共同”扰乱、迷惑并混淆了敌人”。 这是军方迄今对网络司令部在特朗普第二任期标志性军事行动中所扮演角色的最公开承认。 此前Recorded Future News曾报道，该司令部去年为支持针对伊朗核设施的成功轰炸，曾瘫痪伊朗导弹防御系统。凯恩与特朗普总统今年早些时候也曾暗示，网络司令部参与了对委内瑞拉首都的断电行动，以及为抓捕马杜罗而实施的防空雷达与手持无线电干扰。 自美以周六联合打击伊朗目标以来，已出现多起疑似网络行动，包括以色列数字部队攻击多家新闻网站和宗教日历应用，发布劝降与反政府信息。 华盛顿与耶路撒冷官员正防范伊朗代理组织或盟友的报复性网络攻击。伊朗过往曾发动勒索软件、拒绝服务攻击等多种恶意活动。周一，约旦称其国家网络安全中心挫败了针对该国小麦储备系统的伊朗网络攻击。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为 “QuickLens – Search Screen with Google Lens” 的 Chrome 扩展已被从 Chrome 应用商店下架，该扩展遭入侵后推送恶意软件，并试图窃取数千名用户的加密货币。 QuickLens 最初是一款允许用户在浏览器中直接使用 Google Lens 搜索的 Chrome 扩展。该扩展用户量约达 7000，并曾获得 Google 官方推荐标识。 但在 2026 年 2 月 17 日，该扩展发布了 5.8 新版本，其中包含恶意脚本，可实施 ClickFix 攻击并窃取用户信息。 恶意 QuickLens 浏览器扩展 Annex 安全研究人员首次报告称，该扩展在开发者交易平台 ExtensionHub 出售后，近期已更换所有者。 Annex 表示，2026 年 2 月 1 日，所有者变更为 [email protected]，所属实体为 “LLC Quick Lens”，新隐私政策托管在一个几乎无法使用的域名上。仅两周多后，恶意更新便推送给了用户。 Annex 分析显示，5.8 版本申请了新的浏览器权限，包括 declarativeNetRequestWithHostAccess 和 webRequest。 该版本还包含 rules.json 文件，可移除所有页面与框架中的浏览器安全头，包括 Content-Security-Policy (CSP)、X-Frame-Options 和 X-XSS-Protection。这些安全原本会增加在网站上运行恶意脚本的难度。 该更新还会与位于 api.extensionanalyticspro [.] top 的命令与控制（C2）服务器通信。据 Annex 称，该扩展生成持久 UUID，通过 Cloudflare 追踪接口获取受害者国家信息，识别浏览器与操作系统，随后每 5 分钟轮询 C2 服务器获取指令。 BleepingComputer 本周在看到大量用户反馈在所有访问页面均出现伪造 Google 更新提示后，注意到该扩展。 一名用户在 Reddit 求助称：“我访问的每个网站都弹出这个，我以为是 Chrome 没更新，但更新后依然出现。我当然不会在运行框里执行它复制到剪贴板的代码，但它每个网站都弹，导致我无法进行任何操作。” BleepingComputer 对该扩展的分析显示，它会连接到 C2 服务器 https://api.extensionanalyticspro [.] top/extensions/callback?uuid=[uuid]&extension=kdenlnncndfnhkognokgfpabgkgehoddto，并接收一组恶意 JavaScript 脚本。 这些载荷会在每次页面加载时执行，使用的技术被 Annex 称为 “1×1 GIF 像素 onload trick”。 恶意 JavaScript 载荷数组（来源：BleepingComputer） 由于该扩展移除了所有访问网站的 CSP 头，因此即使在通常会阻止内联 JavaScript 的网站上也能执行。 第一个载荷会连接 google-update [.] icu，获取额外载荷并显示伪造的 Google 更新提示。点击更新按钮会触发 ClickFix 攻击，诱导用户在电脑上运行代码以完成验证。 导致 ClickFix 攻击的伪造 Google 更新提示（来源：Reddit） 对于 Windows 用户，会下载名为 googleupdate.exe 的恶意可执行文件。 执行后，恶意软件启动隐藏 PowerShell 命令，再启动第二个 PowerShell 进程，使用自定义 “Katzilla” 用户代理连接 drivers [.] solutions/META-INF/xuoa.sys。响应内容通过管道传入 Invoke-Expression 执行。但在 BleepingComputer 分析载荷时，该第二阶段 URL 已不再提供恶意内容。 由 https://api.extensionanalyticspro [.] top C2 下发的另一个恶意 JavaScript “代理” 用于窃取加密货币钱包与凭据。 该扩展会检测是否安装了 MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Solflare、Backpack、Brave Wallet、Exodus、Binance Chain Wallet、WalletConnect、Argon 等加密货币钱包。若检测到，则会尝试窃取操作记录与助记词，用于劫持钱包并盗取资产。 另一个脚本会捕获登录凭据、支付信息及其他敏感表单数据。 其他载荷用于爬取 Gmail 收件箱内容、提取 Facebook Business Manager 广告账户数据、收集 YouTube 频道信息。 现已下架的该扩展页面评论称，macOS 用户会被投放 AMOS (Atomic Stealer) 信息窃取器。BleepingComputer 无法独立核实该说法。 Google 已将 QuickLens 从 Chrome 应用商店下架，Chrome 会自动为受影响用户禁用该扩展。 QuickLens 被 Chrome 禁用并标记为恶意软件（来源：BleepingComputer） 安装过 QuickLens – Search Screen with Google Lens 的用户应彻底卸载该扩展，扫描设备恶意软件，并重置浏览器中保存的所有密码。 若使用上述任一加密货币钱包，应将资金转移至新钱包。 该扩展并非首个用于 ClickFix 攻击的扩展。上月，Huntress 发现一款浏览器扩展会故意导致浏览器崩溃，随后显示伪造修复程序并安装 ModeloRAT 恶意软件。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国防部长皮特・赫格塞思指示五角大楼将 AI 初创公司 Anthropic 列为 “供应链风险” 后，Anthropic 于周五作出强硬回应。 该公司表示：“此次行动源于数月谈判陷入僵局，我们要求对旗下 AI 模型 Claude 的合法使用增设两项例外：禁止用于美国民众大规模国内监控与完全自主武器”。 “无论战争部施加何种恐吓或惩罚，都不会改变我们在大规模国内监控与完全自主武器问题上的立场。” 美国总统唐纳德・特朗普在 Truth Social 发文称，已下令所有联邦机构在未来六个月内逐步停用 Anthropic 技术。 赫格塞思随后在 X 平台发文，要求所有与美军有业务往来的承包商、供应商及合作伙伴立即停止与 Anthropic 的一切商业活动。 赫格塞思写道：“结合总统关于联邦政府停用 Anthropic 技术的指令，我指示战争部将 Anthropic 列为国家安全供应链风险”。 该认定是五角大楼与 Anthropic 就美军使用其 AI 模型进行数周谈判后的结果。 该公司本周发文称，其合同不应支持大规模国内监控或自主武器研发，理由是该技术尚不具备安全可靠支撑此类应用的能力。 Anthropic 表示：“我们支持将 AI 用于合法的对外情报与反情报任务。但将这些系统用于大规模国内监控与民主价值观相悖，AI 驱动的大规模监控对我们的基本自由构成严重且新型的风险。” 该公司还批评美国战争部（DoW）的立场：战争部仅愿与允许 “一切合法使用” 技术、且移除所有安全防护的 AI 公司合作，以此打造 “AI 优先” 作战部队、强化国家安全。 五角大楼上月发布的备忘录称：“战争部不应存在多元化、公平性、包容性及社会意识形态，因此不得采用融入意识形态‘调校’、影响其对用户提示给出客观真实回应能力的 AI 模型。” “战争部还必须采用无使用政策限制、不会阻碍合法军事应用的模型。” 针对该认定，Anthropic 称其 “缺乏法律依据”，并表示这将为所有与政府谈判的美国公司开创危险先例。 该公司还指出，依据《美国法典》第 10 编第 3252 条，供应链风险认定仅适用于战争部合同中 Claude 的使用，不影响其为其他客户提供服务。 五角大楼首席发言人肖恩・帕内尔周四在 X 平台发文称，战争部无意开展大规模国内监控或部署无人参与的自主武器，并称相关说法为 “虚假信息”。 帕内尔称：“我们的要求很简单：允许五角大楼将 Anthropic 模型用于一切合法用途。” “这是简单且符合常理的要求，可避免 Anthropic 危及关键军事行动、让作战人员陷入风险。我们绝不允许任何公司左右我们的作战决策条款。” 这场持续僵局也导致科技行业出现两极分化。 谷歌与 OpenAI 数百名员工签署公开信，呼吁各自公司支持 Anthropic，与五角大楼就 Claude 等 AI 工具军事应用展开对抗。 xAI 首席执行官埃隆・马斯克周五站在特朗普政府一方，称 “Anthropic 仇视西方文明”。 Anthropic 与美国政府对峙之际，OpenAI 首席执行官萨姆・奥尔特曼称，OpenAI 已与美国国防部（DoD）达成协议，在其涉密网络部署模型。 OpenAI 还请求国防部将相关条款推广至所有 AI 公司。 奥尔特曼在 X 平台发文称：“AI 安全与普惠是我们使命的核心，两项最重要的安全原则是禁止国内大规模监控、武力使用需人类负责，包括自主武器系统。” “战争部认同这些原则，并将其纳入法律与政策，我们也将其写入协议。” 最新进展 Anthropic 与美国政府的公开争执使其 Claude 聊天机器人登顶苹果美国免费应用榜，即便 OpenAI 首席执行官萨姆・奥尔特曼称，该公司被列为供应链风险开创了 “极其可怕的先例”。 OpenAI 还披露了与五角大楼在涉密环境部署先进 AI 系统的协议细节，补充称 “我们认为该协议的安全防护比此前所有涉密 AI 部署协议都更严格，包括 Anthropic 的协议”。 该公司称，与战争部的合作遵循三条红线。 包括禁止将 OpenAI 技术用于大规模国内监控、指挥自主武器系统，以及社会信用体系等高风险自动化决策。 该公司声明称：“在协议中，我们通过更全面、多层级的方式守护这些红线。” “我们对安全技术栈拥有完全自主权，通过云端部署，经审查的 OpenAI 人员全程参与，且有严格的合同保护。” 奥尔特曼还表示，公司未来将考虑承诺公开红线的所有变更，附公开说明，并在生效前设置强制公示期。 OpenAI 国家安全合作主管卡特里娜・马利根在领英发文称，协议将部署限制在云端 API，公司对部署的模型与安全技术栈拥有控制权，AI 专家全程参与，若模型未拒绝应拒绝的查询或出现超出预期的操作风险，可随时调整。 马利根称：“自主系统需要边缘端推理。” “通过将部署限制在云端 API，我们可确保模型无法直接集成到武器系统、传感器或其他作战硬件中。” OpenAI 协议达成之际，《华尔街日报》报道称，尽管存在使用分歧，美国仍借助 Anthropic 的 AI 工具对伊朗发动大规模空袭。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大零售巨头 Canadian Tire 2025 年 10 月发生的数据泄露事件影响超过 3800 万个账户。 该公司表示，事件于 10 月 2 日被发现，涉及对电商数据库的未授权访问。 该零售巨头 10 月宣布：“该数据库包含在 Canadian Tire、SportChek、Mark’s/L’Équipeur 和 Party City 中一个或多个平台拥有电商账户的客户的基本个人信息。” Canadian Tire 当时称，泄露信息包括姓名、电子邮箱、出生日期、加密密码，部分账户还涉及不完整的信用卡号码。 该公司表示，仅有不到 15 万个账户的出生日期信息泄露。 Canadian Tire 还强调，泄露的密码和信用卡信息无法用于登录用户账户或进行欺诈交易与购物，且 Canadian Tire 银行信息及 Triangle Rewards 会员数据未受影响。 本周，与该事件相关的数据集已被添加到数据泄露通知网站 Have I Been Pwned。 据该网站显示，此次攻击约有 4200 万条记录泄露，其中包括 3830 万个电子邮箱地址。 除 Canadian Tire 公布的信息外，泄露数据还包括地址、电话号码和性别信息。 Have I Been Pwned 指出：“密码以 PBKDF2 哈希形式存储，部分记录还包含出生日期和部分信用卡数据（卡类型、有效期、掩码卡号）。” Canadian Tire 已通过电子邮件通知受影响用户，但尚未公开确认受影响人数。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 三星与德克萨斯州就其智能电视涉嫌非法收集内容观看信息一事达成和解协议。 作为协议的一部分，该电视制造商将修订其隐私声明，向消费者清晰说明其数据收集和处理行为。 去年 12 月，德克萨斯州总检察长 Ken Paxton 对包括三星在内的多家电视制造商提起诉讼，指控其使用自动内容识别（ACR）技术，在未事先获得用户明确知情同意的情况下收集和处理观看数据。 今年 1 月，德克萨斯州获得了针对三星的短期临时限制令（TRO），要求其停止在该州非法收集消费者数据，法院确认其行为违反了《德克萨斯州欺骗性贸易行为法》（DTPA）。 尽管该命令于次日被撤销，但诉讼仍在进行。 针对三星的指控称，该公司利用 ACR 技术截取消费者电视屏幕截图，以识别其观看内容，并将这些信息用于定向广告。 法院在支持临时限制令时认定，有 “充分理由相信” 三星使用 “暗黑模式” 自动将用户纳入该系统，包括 “用户需要在四个及以上菜单中点击超过 200 次才能阅读隐私声明和披露信息”。 三星在向 BleepingComputer 发表的声明中表示，尽管其不认为观看信息服务（VIS）系统违反任何法规，但已同意 “进行改进，进一步强化隐私声明”。 三星电子美国公司发言人表示：“我们坚持原有电视隐私政策，相关声明符合德克萨斯州现行法规，作为值得信赖的品牌，三星很自豪能走在保护消费者隐私与安全的前沿。” “和解协议证实了三星自诉讼提起以来的立场 —— 三星电视不会监视消费者。事实上，三星允许用户掌控自身隐私，并可随时更改隐私设置。” 德克萨斯州总检察长 Ken Paxton 宣布：“根据协议，三星必须在未获得德克萨斯州消费者明确同意的情况下，停止所有 ACR 观看数据的收集与处理。” “此外，协议要求三星立即更新其智能电视，采用清晰醒目的声明与同意界面，确保德克萨斯州用户能够在知情情况下决定是否允许收集其数据及数据使用方式。” Paxton 对三星同意实施消费者保护措施表示赞赏，同时强调其他厂商尚未采取类似积极行动。 包括索尼、LG、海信、TCL 科技在内的智能电视制造商尚未针对诉讼做出任何整改。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美以联军对德黑兰发动联合先发制人空袭之际，一场复杂的网络心理战同步展开。 据《连线中东》报道，数百万伊朗民众与军人不仅被爆炸声惊醒，还收到来自遭入侵移动应用的未授权推送通知。 该事件标志着国家级网络战进入新阶段，将数字入侵与实体军事行动相结合。 军事打击期间遭劫持的祈祷应用 此次数字攻势的主要载体是 BadeSaba Calendar，一款在谷歌应用商店下载量超 500 万的热门祈祷时间应用。 《连线中东》指出，周六上午实体打击开始后不久，该应用通知系统即被劫持，用于投放心理战信息。 从当地时间上午 9:52 开始，用户收到大量标题为 “援助即将到来” 的推送通知。 提供给《连线中东》的截图显示，这些信息明确敦促伊朗军人放弃阵地、放下武器以换取赦免。 推送通知均以 “援助即将到来” 为标题，敦促伊朗军队投降（来源：Wired） 上午 10:02 的后续通知警告称 “镇压势力将为其残忍无情的行为付出代价”；10:14 的信息则呼吁军队加入 “解放运动”，建立自由伊朗。 尽管确切恶意软件或利用技术尚未确认，《连线中东》援引网络安全专家分析称，这是一场高度协同的国家级行动，而非普通网络犯罪攻击。 BeyondTrust 首席安全顾问 Morey Haber 向该媒体表示，如此规模的攻击需要提前周密策划。 攻击者很可能早已入侵应用后端基础设施，将通知设为触发式载荷，与实体空袭精准同步。 目前攻击归属尚未确认，尚无黑客组织或国家实体官方宣称对此次入侵负责。 Miaan 集团数字权利研究员 Narges Keshavarznia 向《连线中东》表示，目前判断行动由以色列情报机构还是伊朗反政府黑客组织实施仍为时过早。 全国范围严重网络中断 应用遭入侵的同时，伊朗发生严重网络中断。《连线中东》记录显示，这是该国在国家危机期间常用的防御或管控手段。 报告援引网络监测工具 NetBlocks 数据称，伊朗全国网络流量暴跌至正常水平的 4%。   伊朗本土云服务商 ArvanCloud 数据显示，主要数据中心与国内节点均失去国际连通性。 此外，《连线中东》报道称，包括 IRNA、ISNA 在内的伊朗官方通讯社疑似遭协同网络攻击而下线。 数字权利倡导者警告称，通信中断严重影响移动数据、宽带与 VPN 使用，导致信息隔绝，民众无法记录事件或寻求帮助。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子找到了绕过用户防御的新方法 —— 将恶意软件隐藏在看似正常的游戏工具中。微软安全团队发现一项活跃攻击活动，攻击者向毫无防备的用户分发热门游戏工具的木马化版本。 这些伪造工具一旦运行，会静默部署远程访问木马（RAT），使攻击者获得对受感染主机的完全无限制控制权。 该攻击活动标志着威胁行为者的攻击方式发生明显转变，他们利用日常软件攻击范围更广、警惕性更低的受害者群体。 恶意软件通过浏览器和聊天平台传播，用户极易在不知情的情况下下载并运行受感染文件。 该活动中使用的两个主要文件名为 Xeno.exe 和 RobloxPlayerBeta.exe，选择这些名称是因为它们对游戏玩家而言看起来熟悉且完全可信。 通过针对游戏社区，攻击者赌定年轻用户或休闲用户对运行从聊天群或非正规第三方网站下载的可执行文件警惕性较低。 该手段有效降低受害者警惕性，并显著提升攻击者的整体成功率。 微软威胁情报分析师识别出该恶意软件并追踪其完整攻击链，揭示出一个经过精心策划的多阶段感染流程。 研究人员指出，最终载荷是一种多功能威胁，可同时充当加载器、执行器、下载器和 RAT。 这种组合能力使其远胜于单纯的数据窃取工具，攻击者可随时利用其安装更多恶意软件、执行远程命令并窃取敏感信息。 该攻击活动的影响十分严重，不可低估。 一旦 RAT 成功安装，攻击者通过 IP 地址为 79.110.49 [.] 15 的命令与控制（C2）服务器连接受害者主机。从此时起，受攻陷系统完全处于攻击者控制之下。 主机上的个人文件、登录凭据以及所有存储或输入的数据均可被静默窃取，用户毫无察觉。 对于员工可能使用个人设备办公的机构而言，该威胁会造成严重且深远的后果。 感染机制与持久化手段 该攻击活动的巧妙之处在于恶意软件的自安装方式及规避安全工具检测的手段。 受害者运行木马化游戏工具后，恶意下载器会在主机上静默部署便携式 Java 运行环境，随后执行名为 jd-gui.jar 的恶意 Java 归档文件。 使用便携式 Java 运行环境意味着攻击者无需受害者设备预先安装 Java，恶意软件自带所需全部组件。 为避免被检测，下载器采取多项谨慎措施。它利用 PowerShell 及系统自带工具（LOLBins）—— 特别是合法 Windows 工具 cmstp.exe—— 以融入正常系统活动的方式执行代码。 下载器完成任务后会自删除，以清除在系统中的所有痕迹。攻击者还直接在 Microsoft Defender 中为 RAT 组件添加排除项，实质上让安全工具完全忽略恶意文件。 为确保恶意软件在系统重启后依然运行，攻击者创建了计划任务和名为 world.vbs 的启动脚本。 这些持久化机制确保 RAT 在每次系统启动时运行，为攻击者在受感染系统中提供稳定持久的立足点。 机构与个人用户应采取以下措施防御该威胁： ・拦截或监控指向已知恶意域名与 IP 地址的外连流量，并对从非企业来源下载 java [.] zip 或 jd-gui.jar 设置告警。 ・利用 EDR 遥测数据在终端中检索相关进程与组件。 ・审计 Microsoft Defender 排除项与计划任务，排查可疑或随机命名条目，并删除恶意任务与启动脚本。 ・发现受影响终端后立即隔离，收集 EDR 遥测数据，并重置受攻陷主机上所有活跃用户的凭据。 入侵指标（IOC）     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Shadowserver Foundation 披露，自 2025 年 12 月起，针对命令注入漏洞的攻击活动中，已有超过 900 个 Sangoma FreePBX 实例持续被植入 Web Shell。 其中 401 个实例位于美国，其次为巴西 51 个、加拿大 43 个、德国 40 个、法国 36 个。 该非营利机构表示，此次入侵大概率通过利用 CVE-2025-64328（CVSS 评分：8.6）实现，这是一个可导致认证后命令注入的高危安全漏洞。 FreePBX 在 2025 年 11 月的漏洞公告中表示：“该漏洞的影响在于，任何能够访问 FreePBX 管理面板的用户都可利用此漏洞在底层主机上执行任意 Shell 命令。攻击者可利用该漏洞以 asterisk 用户身份获取系统远程访问权限。” 该漏洞影响版本号大于等于 17.0.2.36 的 FreePBX。该漏洞已在 17.0.3 版本中修复。 建议增加安全控制以确保仅授权用户可访问 FreePBX 管理控制面板（ACP），限制来自恶意网络对 ACP 的访问，并将 filestore 模块更新至最新版本。 该漏洞随后在野外遭到积极利用，促使美国网络安全与基础设施安全局（CISA）于本月早些时候将其加入已知被利用漏洞（KEV）目录。 来源：The Shadowserver Foundation 在上月末发布的报告中，Fortinet FortiGuard Labs 披露，代号为 INJ3CTOR3 的网络诈骗行动背后的威胁组织从 2025 年 12 月初开始利用 CVE-2025-64328 投放代号为 EncystPHP 的 Web Shell。 该网络安全公司指出：“通过利用 Elastix 和 FreePBX 管理上下文，该 Web Shell 以提升权限运行，可在受攻陷主机上执行任意命令，并通过 PBX 环境发起外呼行为。” 建议 FreePBX 用户尽快将部署版本更新至最新，以应对活跃威胁。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜威胁组织 ScarCruft 被发现使用一系列新型工具，其中包括一款利用 Zoho WorkDrive 进行命令与控制（C2）通信以下载更多载荷的后门，以及一款利用可移动介质转发命令、攻陷物理隔离网络的植入程序。 Zscaler ThreatLabz 将该攻击活动命名为 Ruby Jumper，其中部署了 RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK、FOOTWINE、BLUELIGHT 等多款恶意软件，用于对受害系统实施监控。该网络安全公司于 2025 年 12 月发现此次活动。 安全研究员 Seongsu Park 表示：“在 Ruby Jumper 攻击活动中，受害者打开恶意 LNK 文件后，该文件会执行 PowerShell 命令，并扫描当前目录，根据文件大小定位自身。” “随后，由 LNK 文件启动的 PowerShell 脚本从该 LNK 文件内的固定偏移量中提取多个内嵌载荷，包括诱饵文档、可执行载荷、额外 PowerShell 脚本和批处理文件。” 该活动使用的诱饵文档之一展示了一篇从朝鲜报纸翻译成阿拉伯语的关于巴以冲突的文章。 其余三个载荷均用于逐步将攻击推进至下一阶段：批处理脚本启动 PowerShell，PowerShell 负责解密并加载包含载荷的 shellcode。名为 RESTLEAF 的 Windows 可执行载荷在内存中运行，并使用 Zoho WorkDrive 作为 C2，这是该威胁组织首次在攻击活动中滥用该云存储服务。 RESTLEAF 通过有效访问令牌成功在 Zoho WorkDrive 基础架构中完成认证后，会下载 shellcode 并通过进程注入执行，最终部署 SNAKEDROPPER。SNAKEDROPPER 安装 Ruby 运行环境，通过计划任务实现持久化，并释放 THUMBSBD 和 VIRUSTASK。 THUMBSBD 伪装为 Ruby 文件，利用可移动介质在联网系统与物理隔离系统之间转发命令、传输数据。该恶意软件可收集系统信息、从远程服务器下载二级载荷、外传文件并执行任意命令。若检测到可移动介质，恶意软件会创建隐藏文件夹，用于存放攻击者下发的命令或存储执行结果。 THUMBSBD 投放的载荷之一是 FOOTWINE，这是一个内置 shellcode 加载器的加密载荷，具备键盘记录、音视频采集能力，用于实施监控。该恶意软件通过 TCP 使用自定义二进制协议与 C2 服务器通信。 该恶意软件支持的完整命令如下： ·     sm：交互式命令 Shell ·     fm：文件与目录操作 ·     gm：插件与配置管理 ·     rm：修改 Windows 注册表 ·     pm：枚举运行中的进程 ·     dm：截屏与键盘记录 ·     cm：音视频监控 ·     s_d：从 C2 服务器接收批处理脚本内容，保存至 % TEMP%\SSMMHH_DDMMYYYY.bat 并执行 ·     pxm：建立代理连接并双向转发流量 ·     [filepath]：加载指定 DLL THUMBSBD 还用于分发 BLUELIGHT，这是一款至少从 2021 年起就被归属于 ScarCruft 的后门。该恶意软件利用 Google Drive、Microsoft OneDrive、pCloud、BackBlaze 等合法云服务作为 C2，执行任意命令、枚举文件系统、下载额外载荷、上传文件并自删除。 VIRUSTASK 同样以 Ruby 文件形式释放，功能与 THUMBSBD 类似，作为可移动介质传播组件，将恶意软件扩散至未受感染的物理隔离系统。 Park 解释道：“与负责命令执行和数据外传的 THUMBSBD 不同，VIRUSTASK 专注于利用可移动介质实现对物理隔离系统的初始访问。” Park 表示：“Ruby Jumper 攻击活动采用多级感染链，以恶意 LNK 文件为起点，利用 Zoho WorkDrive、Google Drive、Microsoft OneDrive 等合法云服务部署新型独立 Ruby 执行环境。” “最关键的是，THUMBSBD 和 VIRUSTASK 利用可移动介质绕过网络隔离，感染物理隔离系统。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织协调开展的为期一年、代号 “指南针行动” 的打击行动，导致 30 人被捕，179 名嫌疑人与以儿童和青少年为目标的网络犯罪集团 “The Com” 关联。 欧洲刑警组织在周四发布的新闻稿中表示，调查人员确认 62 名受害者，并直接保护其中 4 人免受该组织侵害。 指南针行动于 2025 年 1 月启动，由欧洲刑警组织欧洲反恐中心主导，汇集 28 国执法机构打击 The Com（Community 的缩写）。 欧洲刑警组织称其为去中心化虚无主义极端网络，The Com 是由英语系网络罪犯组成的松散组织，以针对、侵害并招募青少年实施敲诈、暴力及制作儿童性剥削材料（CSAM）闻名。 The Com 活跃于各类社交媒体、在线游戏、即时通讯应用和音乐流媒体平台，下设多个分支，包括： ·     Offline Com：宣扬破坏财产、伤害他人及实施恐怖活动 ·     Cyber Com：策划网络入侵与勒索软件攻击 ·     (S) extortion Com：胁迫未成年人实施性犯罪，煽动自残与自杀 另一个 2021 年出现的分支 “764” 在 The Com 中臭名昭著，该组织诱导未成年人制作色情内容，用于敲诈或在成员间传播。 2025 年 4 月，764 两名头目（21 岁 Leonidas Varagiannis、20 岁 Prasan Nepal）被捕，被控运营跨国儿童剥削团伙，面临终身监禁。 The Com 此前与 2025 年 4 月针对玛莎百货、Co-op、哈罗德百货的重大勒索软件攻击，以及 2023 年 9 月拉斯维加斯赌场入侵事件有关联。 欧洲刑警组织欧洲反恐中心负责人 Anna Sjöberg 表示：“这些网络专门在儿童最放松的数字空间里针对他们。” “指南针行动使我们能够提前干预、保护受害者，并瓦解那些利用脆弱人群实现极端目的的组织。没有任何国家能独自应对这一威胁，通过合作，我们正在封堵他们试图藏身的空隙。”   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 管理员必须紧急修补一个高危漏洞，该漏洞可使攻击者逃逸隔离的 jail 环境。 该漏洞编号为 CVE-2025-15576，尽管常与系统崩溃相关，但其也可导致危险的 jail 逃逸。 该漏洞允许受 jail 限制的进程绕过受限环境，未授权获取对宿主底层文件系统的完全访问权限。 FreeBSD jail 是一种操作系统虚拟化技术，可安全隔离进程。其使用类 chroot 机制限制进程对文件和目录的访问。 但 CVE-2025-15576 暴露了两个同级独立 jail 交互时，目录文件描述符处理中的高危缺陷。该漏洞仅在特定系统配置下触发。 若管理员将两个同级 jail 通过 nullfs 挂载共享目录，两 jail 内的协同进程可通过 Unix 域套接字建立连接。 恶意进程可通过该套接字交换目录描述符。在正常文件系统名称查找过程中，内核会检查目录是否位于 jail 根目录之下。 但由于该漏洞，当目录描述符通过套接字交换时，内核无法正确终止查找。因此，进程可成功获取完全位于其受限 jail 目录树之外的目录文件描述符。该漏洞的主要影响是文件系统隔离完全失效。 若攻击者控制两个通过 nullfs 与 Unix 域套接字共享的 jail 内的进程，即可来回传递目录描述符，突破 chroot 限制。一旦逃逸 jail 环境，攻击者即可获得完整文件系统访问权限。 攻击者可访问根文件系统、修改关键系统文件、窃取敏感数据，或发起进一步攻击以在宿主上提权。 重要的是，管理员必须确保无特权用户无法向受 jail 限制的进程传递目录描述符。 目前暂无可缓解该漏洞的临时解决方案。管理员必须立即将 FreeBSD 系统升级至已修补的发布分支。 对于从二进制分发包安装的系统（如 FreeBSD 14.3 或 13.5 RELEASE 版本），管理员可使用内置更新工具部署修补程序。 执行 freebsd-update fetch 然后执行 freebsd-update install 即可安全应用补丁。必须重启系统才能使安全更新生效。 对于源码安装环境，管理员必须从 FreeBSD 官方安全门户下载对应补丁，验证 PGP 签名并重新编译内核。 为确保完全防护，需验证系统运行的是 2026 年 2 月 24 日之后的已修补内核。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名乌克兰男子对运营 OnlyFake 网站认罪，该 AI 驱动网站为全球用户生成并出售超过 10000 份伪造身份证件照片。 27 岁的 Yurii Nazarenko（化名 John Wick、Tor Ford、Uriel Septimberus）承认，其订阅制平台 OnlyFake 使用人工智能生成高度逼真的伪造护照、驾照和社会保障卡。 美国检察官 Jay Clayton 周四表示：“我们依靠政府签发的身份证件打击恐怖主义、劫持、欺诈、洗钱及其他多种犯罪。OnlyFake 制作伪造身份证件及其他文件的行为使所有人面临风险，必须予以制止。” 起诉书显示，Nazarenko 的 OnlyFake 平台可让用户生成美国全部 50 个州的伪造数字驾照、美国护照及护照卡，以及约 56 个其他国家的身份证件数字版本。 用户还可使用个人信息定制伪造数字证件，选择随机信息，并选择最终成品为扫描件或桌面拍摄件样式。 图片 OnlyFake 网站（美国司法部） 纽约联邦检察官表示，这些伪造数字证件主要用于绕过银行和加密货币交易所的客户身份验证（KYC）要求，该要求是《爱国者法案》规定的反洗钱保障措施。 2024 年 5 月至 6 月，FBI 卧底特工从 OnlyFake 网站多次购买，获取了纽约州伪造驾照、美国护照及社会保障卡。 OnlyFake 仅接受加密货币支付，并提供最多 1000 份伪造证件的折扣批量套餐。2024 年 2 月 404 Media 报道该网站后，Nazarenko 通过多钱包中转加密货币支付并删除邮件，试图掩盖行踪。 FBI 助理局长 James C. Barnacle, Jr. 补充称：“Yurii Nazarenko 搭建网站制作超过 10000 份伪造身份证件，通过非法获利赚取数十万美元。该平台为客户提供了大量犯罪机会，包括绕过传统监管进行洗钱。” Nazarenko 于 2025 年 9 月从罗马尼亚被引渡回国，并同意没收 120 万美元。他目前面临最高 15 年监禁，定于 2026 年 6 月 26 日宣判。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 嵌入在可访问客户端代码中的 Google Maps 等服务 API 密钥，可被用于向 Gemini AI 助手进行身份认证并访问私有数据。 研究人员在扫描各行业机构（甚至包括 Google 自身）的互联网页面时，发现了近 3000 个此类密钥。 该问题在 Google 推出 Gemini 助手、开发者开始在项目中启用 LLM API 后出现。在此之前，Google Cloud API 密钥不被视为敏感数据，即使暴露在公网也无风险。 开发者可使用 API 密钥扩展项目功能，例如在网站中加载地图、嵌入 YouTube、使用追踪或 Firebase 服务。 Gemini 推出后，Google Cloud API 密钥同时成为了 Google AI 助手的身份认证凭证。 TruffleSecurity 研究人员发现该问题并警告：攻击者可从网页源码中复制 API 密钥，通过 Gemini API 服务访问私有数据。 由于 Gemini API 并非免费使用，攻击者可利用该权限发起 API 调用为自身牟利。 Truffle Security 表示：“根据模型与上下文窗口不同，攻击者耗尽 API 调用额度可能导致单个受害账户每天产生数千美元费用。” 研究人员警告称，这些 API 密钥已在公开 JavaScript 代码中暴露多年，如今却在无人察觉的情况下突然获得了更高危的权限。 （来源：TruffleSecurity） TruffleSecurity 扫描了 2025 年 11 月的 Common Crawl 数据集（大量热门网站的代表性快照），在代码中发现超过 2800 个公开暴露的活跃 Google API 密钥。 据研究人员称，部分密钥被大型金融机构、安全公司和招聘公司使用。他们已向 Google 报告该问题，并提供了来自其基础设施的样本。 在其中一例中，一个仅用作标识符的 API 密钥至少从 2023 年 2 月开始部署，并嵌入在 Google 某产品公网网站的页面源码中。 Google 暴露的密钥（来源：TruffleSecurity） Truffle Security 通过调用 Gemini API 的 /models 端点并列出可用模型对该密钥进行了测试。 研究人员已于去年 11 月 21 日将该问题告知 Google。 经过多轮沟通，Google 于 2026 年 1 月 13 日将该漏洞归类为 “单服务权限提升”。 Google 在向 BleepingComputer 发表的声明中表示，已知晓该报告，并 “与研究人员合作解决了该问题”。 Google 发言人向 BleepingComputer 表示：“我们已实施主动措施，检测并阻止泄露的 API 密钥访问 Gemini API。” Google 表示，新的 AI Studio 密钥将默认仅限定 Gemini 权限，泄露的 API 密钥将被禁止访问 Gemini，且检测到泄露时将发送主动通知。 开发者应检查项目中是否启用了 Gemini（Generative Language API），审计环境中所有 API 密钥是否公开暴露，并立即轮换密钥。 研究人员还建议使用 TruffleHog 开源工具检测代码与仓库中暴露的活跃密钥。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Aeternum C2 的新型僵尸网络加载器细节，该恶意软件采用基于区块链的命令与控制（C2）架构，使其难以被取缔。 Qrator Labs 在提交给 The Hacker News 的报告中表示：“Aeternum 不依赖传统服务器或域名实现命令与控制，而是将指令存储在公共的 Polygon 区块链上。” “该网络被包括全球最大预测市场 Polymarket 在内的去中心化应用广泛使用。这种方式使 Aeternum 的 C2 架构具备事实上的永久性，且能够抵御传统取缔手段。” 这并非首次发现僵尸网络依赖区块链实现 C2 通信。 2021 年，谷歌表示已采取行动干扰名为 Glupteba 的僵尸网络，该网络将比特币区块链用作备用 C2 机制，以获取真实 C2 服务器地址。 Aeternum C2 的相关细节最早于 2025 年 12 月曝光，Outpost24 旗下 KrakenLabs 披露，名为 LenAI 的威胁行为者在地下论坛以 200 美元的价格兜售该恶意软件，向客户提供管理面板与已配置的编译版本。 据称，支付 4000 美元即可获得完整的 C++ 源代码及后续更新。 该恶意软件为原生 C++ 加载器，提供 32 位与 64 位版本，其运行机制是将下发给受感染主机的命令写入 Polygon 区块链上的智能合约。 僵尸主机随后通过查询公共远程过程调用（RPC）端点读取这些命令。 所有操作均通过基于网页的管理面板进行，客户可在面板中选择智能合约、选择命令类型、指定载荷 URL 并进行更新。 可面向全部终端或指定终端的命令会以交易形式写入区块链，之后所有轮询该网络的受感染设备均可获取该命令。 Qrator Labs 表示：“命令一经确认，除钱包持有者外，其他任何人都无法修改或删除。” “操作者可同时管理多个智能合约，每个合约可承载不同的载荷或功能，例如剪切器、信息窃取器、远程访问木马或挖矿程序。” 根据 Ctrl Alt Intel 本月早些时候发布的两部分研究内容，该 C2 面板基于 Next.js 网页应用实现，允许操作者向 Polygon 区块链部署智能合约。智能合约中包含一个函数，当恶意软件通过 Polygon RPC 调用该函数时，合约会返回加密命令，该命令随后会在受害主机上解密并执行。 除利用区块链实现抗取缔能力外，该恶意软件还集成了多种反分析功能，以延长感染存活时间。其中包括检测虚拟化环境，同时为客户提供通过 Kleenscan 扫描其编译版本的能力，确保不被杀毒软件厂商检出。 这家捷克网络安全厂商表示：“运营成本极低：价值 1 美元的 Polygon 网络原生代币 MATIC，即可支持 100 至 150 次命令交易。操作者无需租用服务器、注册域名或维护任何基础设施，仅需一个加密货币钱包和面板的本地副本即可。” 该威胁行为者随后试图以 10000 美元的价格出售整套工具包，声称无暇提供支持且正在参与其他项目。LenAI 称：“我将把整个项目出售给一个人，允许转售和商业使用，授予全部‘权限’。我还会提供尚未实现的开发相关实用提示 / 笔记。” 值得注意的是，LenAI 还开发了另一款恶意软件工具 ErrTraffic，该工具可使威胁行为者在受攻陷网站上制造虚假故障，自动实施 ClickFix 攻击，制造虚假紧急感并诱骗用户执行恶意指令。 本次披露发布的同时，Infrawatch 也公布了一项地下服务的细节：该服务将专用笔记本硬件部署到美国家庭中，将这些设备纳入名为 DSLRoot 的住宅代理网络，用于转发恶意流量。 该硬件运行基于 Delphi 编写的 DSLPylon 程序，该程序具备枚举网络中受支持调制解调器的能力，并可通过安卓调试桥（ADB）集成功能远程控制家用网络设备与安卓设备。 Infrawatch 表示：“溯源分析确认，该服务运营者为白俄罗斯公民，常住地为明斯克和莫斯科。据估计，DSLRoot 在美国 20 多个州运营约 300 台活跃硬件设备。” 该运营者身份已确认为 Andrei Holas（别名 Andre Holas、Andrei Golas），该服务由 BlackHatWorld 上名为 GlobalSolutions 的用户推广，声称提供实体住宅 ADSL 代理，无限制使用价格为每月 190 美元。套餐价格为半年 990 美元、一年 1750 美元。 该公司指出：“DSLRoot 的定制软件可通过 ADB 对家用调制解调器（ARRIS / 摩托罗拉、贝尔金、D-Link、华硕）与安卓设备实现自动化远程管理，支持 IP 地址轮换与连接控制。” “该网络无需认证即可运行，允许客户端通过美国住宅 IP 匿名转发流量。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技已修复 Apex One 中的两处高危漏洞，攻击者可利用这些漏洞在受影响的 Windows 系统上执行远程代码。该公司已发布安全更新，并强烈建议客户尽快安装补丁，以防范漏洞被利用，避免环境遭受入侵。 Trend Micro Apex One 是一款一体化高级终端安全解决方案。 该方案通过单一代理提供勒索软件防护、零日威胁防御、EDR、预测式机器学习、DLP 及虚拟补丁功能。 该安全厂商修复的第一个漏洞为控制台目录遍历 RCE 漏洞，编号 CVE-2025-71210（CVSS 评分 9.8）。 安全公告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” 该公司修复的第二个漏洞同样为控制台目录遍历远程代码执行漏洞，编号 CVE-2025-71211（CVSS 评分 9.8）。报告指出，该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。 报告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” CoreCloud Tech 的研究人员 Jacky Hsieh 与 Charles Yang 通过 TrendAI 零日计划报告了这两处漏洞。SaaS 版本已完成缓解处理，无需用户操作。 趋势科技已修复 SaaS 版 Apex One 中的相关漏洞，并发布关键补丁版本 14136。 该公司同时修复了 Windows 代理中的两处高危权限提升漏洞：（CVE-2025-71212：扫描引擎符号链接跟随本地权限提升漏洞；CVE-2025-71213：来源验证错误本地权限提升漏洞以及影响 macOS 代理的四个问题。） 该网络安全厂商未披露这些漏洞是否已在真实攻击中被利用。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DIY 连锁品牌 ManoMano 正通知客户发生数据泄露事件，该事件由黑客入侵第三方服务提供商导致。 该公司向 BleepingComputer 证实，其于 2026 年 1 月获悉此次入侵事件。事件调查结果显示，共有 3800 万人受到影响。 该公司向 BleepingComputer 表示：“我们可以确认，ManoMano 近期已就涉及一家第三方客户服务提供商（分包商）的安全事件通知了客户。” “2026 年 1 月，我们发现与该提供商相关的未授权访问行为，导致与客户账户及客服交互相关的部分个人数据被未授权提取。” ManoMano 是一家法国电商企业，运营专注于 DIY、家居装修、园艺及相关产品的在线商城。 其业务覆盖法国、比利时、西班牙、意大利、德国和英国，据称其线上商城每月独立访客量达 5000 万。 本月早些时候，一名使用化名 “Indra” 的人员在黑客论坛宣称对 ManoMano 发动攻击，声称其持有 3780 万用户账户信息以及数千份支持工单和附件。 据未经证实的报道，遭入侵的机构是一家位于突尼斯的客户支持服务提供商，该机构发生了 Zendesk 系统泄露。 网络安全公司 Hackmanac 发布消息称，ManoMano 于本周开始通知客户其数据已被盗取。 ManoMano 发言人向 BleepingComputer 解释称，暴露的信息因人而异，取决于用户与平台的交互类型。 暴露的数据类型包括： ·     姓名 ·     电子邮箱 ·     电话号码 ·     客服沟通记录 ManoMano 强调，账户密码未被访问，公司系统内未发生数据篡改。 ManoMano 发言人表示：“发现事件后，我们立即采取措施加固环境安全，包括禁用相关访问权限、撤销分包商对客户数据的访问权限，并强化访问控制与监控。” “我们已通知包括 CNIL 和 ANSSI 在内的相关监管机构，并告知受影响客户保持警惕，防范钓鱼攻击与社会工程学攻击。” 发送给客户的通知（来源：ManoMano） ManoMano 向 BleepingComputer 提供的通知样本中包含对客户的建议，包括核验 incoming 通信与发件人身份、监控银行账户是否存在欺诈交易、避免点击可疑链接或下载邮件附件。 ManoMano 表示，调查仍在进行中，现阶段无法提供更多技术细节。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Juniper 网络 PTX 系列路由器所搭载的 Junos OS Evolved 网络操作系统存在一处高危漏洞，可能未经身份验证的攻击者可利用该漏洞以 root 权限远程执行代码。 PTX 系列路由器是高性能核心与对等互联路由器，专为高吞吐量、低延迟和规模化场景设计。 该系列路由器广泛应用于互联网服务提供商、电信运营商以及云网络场景。 该安全漏洞编号为 CVE-2026-21902，由 “本机异常检测” 框架中的权限配置错误导致，该框架本应仅通过内部路由接口向内部进程开放。 但 Juniper 网络在安全公告中说明，该缺陷可使攻击者通过外部开放端口访问该框架。 由于该服务以 root 身份运行且默认启用，成功利用漏洞后，内网中的攻击者无需身份验证即可完全控制设备。 该漏洞影响 PTX 系列路由器上 25.4R1-S1-EVO 和 25.4R2-EVO 之前的 Junos OS Evolved 版本。 更早版本也可能受影响，但厂商不对已停止工程支持或已终止生命周期（EoL）的版本进行评估。 25.4R1-EVO 之前的版本以及标准（非 Evolved）Junos OS 版本不受 CVE-2026-21902 影响。 Juniper 网络已在 25.4R1-S1-EVO、25.4R2-EVO 和 26.2R1-EVO 版本中提供修复。 Juniper 网络安全事件响应团队（SIRT）表示，在发布安全公告时，尚未发现该漏洞被恶意利用的情况。 若无法立即打补丁，厂商建议使用防火墙过滤规则或访问控制列表（ACL），仅允许受信任网络访问受漏洞影响的端点。 管理员也可通过以下命令完全禁用存在漏洞的服务： ‘request pfe anomalies disable’ Juniper 网络的设备常被云数据中心、大型企业等高带宽需求的服务商使用，因此极易成为高级黑客的攻击目标。 2025 年 1 月，名为 J‑magic 的恶意软件活动针对半导体、能源、制造和 IT 行业的 Juniper VPN 网关，部署在收到 “魔术包” 后激活的网络嗅探恶意软件。 2024 年 12 月，Juniper 网络 Smart 路由器成为 Mirai 僵尸网络攻击目标，被纳入分布式拒绝服务（DDoS）攻击集群。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apple 于周四宣布，iPhone 和 iPad 已获得北约批准用于处理涉密信息，并被列入该军事联盟的信息保障产品目录（NIAPC）。 该科技巨头表示，其手机和平板是首款获得该级别认证的消费类设备，具体为北约受限级（NATO RESTRICTED）。 NIAPC 是北约官方认证通过的网络安全产品登记目录，联盟成员国及其军事、民用机构可使用这些产品满足关键的业务安全需求。 NIAPC 对列入目录的安全产品实施严格准入规则：产品通常必须来自北约国家、持有认可认证、获得国家主管机构批准，并证明符合北约市场适用性。认证采用逐案酌情审批制，违规行为将面临被移除目录或暂停资格的风险。 列入 NIAPC 后，iPhone 和 iPad 可直接用于处理涉密信息，无需额外专用软件或配置。目录明确说明，iOS 和 iPadOS 原生的邮件、日历和通讯录应用可提供安全的数据访问能力。 Apple 表示，在此之前，iPhone 和 iPad 已通过德国联邦信息安全办公室（BSI）评估，获得处理德国政府涉密数据的批准。BSI 开展的测试同时确保了这些设备符合北约安全要求。 BSI 主席 Claudia Plattner 表示：“只有在移动产品开发之初就将信息安全纳入考量，安全的数字化转型才能成功。” “在 BSI 针对德国涉密信息环境使用的 iOS 和 iPadOS 平台及设备安全进行严格审核的基础上，我们很高兴确认其符合北约各国的信息保障要求。” NIAPC 目录中注明了 “indigo configuration”，但 Apple 澄清这只是 BSI 在评估期间指定的名称。该公司指出，获得北约批准的是标准设备配置。 此外，尽管北约目录中提及 iOS 26 和 iPadOS 26，但 Apple 表示 BSI 实际是在更早版本的操作系统上完成测试的。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个此前未被记录的威胁活动集群，被关联到一场至少从 2025 年 12 月开始、针对美国教育和医疗行业的持续恶意攻击活动。 Cisco Talos 正在以代号 UAT-10027 追踪该攻击活动。攻击的最终目的是投放一款此前从未出现过、代号为 Dohdoor 的后门。 “Dohdoor 利用基于 HTTPS 的 DNS（DoH）技术进行命令与控制（C2）通信，并能够以反射式方式下载并执行其他二进制载荷，” 安全研究人员 Alex Karkins 和 Chetan Raghuprasad 在一份分享给《The Hacker News》的技术报告中表示。 尽管目前尚不清楚该攻击活动使用的初始入口向量，但据推测涉及社会工程钓鱼手段，最终会执行一段 PowerShell 脚本。 该脚本随后会从远程中转服务器下载并运行一个 Windows 批处理脚本，而该脚本会进一步协助下载一个名为 propsys.dll 或 batmeter.dll 的恶意 Windows 动态链接库（DLL）。 该 DLL 载荷，即 Dohdoor，通过合法 Windows 可执行文件（如 Fondue.exe、mblctr.exe 和 ScreenClippingHost.exe），使用一种被称为 DLL 侧加载的技术启动。该植入程序创建的后门访问权限被用于将下一阶段载荷直接加载到受害者内存并执行。该载荷被判定为 Cobalt Strike Beacon。 “威胁行为者将 C2 服务器隐藏在 Cloudflare 基础设施之后，确保从受害者机器发出的所有出站通信，在外观上都与发往可信全球 IP 地址的合法 HTTPS 流量一致，”Talos 表示。 “该技术绕过了基于 DNS 的检测系统、DNS 黑洞以及监控可疑域名查询的网络流量分析工具，确保恶意软件的 C2 通信能够躲避传统网络安全基础设施的检测。” 研究人员还发现，Dohdoor 会对系统调用进行脱钩，以绕过那些通过 NTDLL.dll 中的用户态钩子监控 Windows API 调用的终端检测与响应（EDR）方案。 Raghuprasad 向 The Hacker News 表示：“攻击者已入侵多家教育机构，其中包括一所与其他多家机构相连的大学，这表明其潜在攻击面可能更广。此外，受影响实体中还有一家医疗设施，专门提供老年护理服务。” 对该攻击活动的分析显示，截至目前尚未发现数据窃取的证据。研究人员补充称，除了看似用于在受害者环境中植入后门的 Cobalt Strike Beacon 之外，尚未观察到其他最终载荷，但根据受害者类型模式判断，UAT-10027 的行动很可能受金融利益驱动。 目前尚不清楚 UAT-10027 背后的组织身份，但 Cisco Talos 表示，其发现 Dohdoor 与 LazarLoader 在战术上存在一些相似之处。LazarLoader 是一款此前被发现由朝鲜黑客组织 Lazarus 在针对韩国的攻击中使用的下载器。 “尽管 UAT-10027 的恶意软件与 Lazarus 组织存在技术重合，但该攻击活动对教育和医疗行业的聚焦，与 Lazarus 通常针对加密货币和国防领域的特征并不一致，”Talos 总结道。 “不过…… 朝鲜 APT 行为者曾使用 Maui 勒索软件攻击医疗行业，而另一个朝鲜 APT 组织 Kimsuky 也曾针对教育行业，这表明 UAT-10027 的受害者特征与其他朝鲜 APT 存在重合之处。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文