嘶吼

黑客正滥用iCloud日历邀请功能，以苹果邮件服务器名义发送伪装成购买通知的回电钓鱼邮件。由于这类邮件直接发自苹果官方服务器，因此更有可能绕过垃圾邮件过滤器，直接进入目标用户的收件箱。

钓鱼邮件伪装成PayPal支付通知

本月初，一苹果用户在社交媒体上分享了一封可疑邮件：该邮件声称收件人的PayPal账户被扣除599美元，并提供了一个电话号码，称若需讨论付款事宜或进行修改可拨打联系。

邮件内容写道：“您好，客户。您的PayPal账户已被扣费599.00美元。我们特此确认已收到您最近的付款。” 后续补充道：“如您希望讨论或修改此笔付款，请拨打+1 (786) 902-8579联系我们的支持团队。如需取消，请拨打+1 (786) 902-8579。” 

iCloud日历邀请用于网络钓鱼邮件

这类邮件的目的是欺骗收件人，使其误以为自己的PayPal账户遭盗用并被恶意扣费，进而恐吓收件人拨打骗子的“支持”电话。一旦拨通，骗子会进一步谎称收件人账户已被盗，或声称需要远程连接电脑协助办理退款，诱骗用户下载并运行恶意软件。 

而在以往的类似骗局中，这种远程访问权限常被用于窃取银行账户资金、植入恶意软件或盗取电脑中的数据。

滥用iCloud日历邀请的技术细节

该邮件的诱饵内容虽属典型的回电钓鱼骗局，但异常之处在于其发件地址为“[email protected]”，且通过了SPF、DMARC和DKIM三项邮件安全验证——这意味着邮件确实发自苹果的官方服务器。

邮件验证结果显示：  

Authentication-Results: spf=pass (sender IP is 17.23.6.69)  

smtp.mailfrom=email.apple.com; dkim=pass (signature was verified)  

header.d=email.apple.com;dmarc=pass action=none header.from=email.apple.com;  

从这封钓鱼邮件来看，它本质上是一封iCloud日历邀请：攻击者将钓鱼文本写入“备注”字段，然后向自己控制的一个Microsoft 365邮箱地址发送邀请。

当用户创建iCloud日历活动并邀请外部人员时，苹果服务器会以“[email protected]”为发件地址，以iCloud日历所有者的名义从email.apple.com发送邮件邀请。 

文章举例获取的这封邮件中，邀请对象是一个Microsoft 365账户“[email protected]”。与此前利用PayPal“新地址”功能的钓鱼活动类似，这个被邀请的Microsoft 365邮箱实际是一个邮件列表——它会自动将收到的所有邮件转发给列表中的所有成员，而这些成员正是钓鱼骗局的目标。 

通常情况下，若邮件最初发自苹果服务器，经Microsoft 365转发后会无法通过SPF验证。为避免这一问题，Microsoft 365会使用“发件人重写方案（SRS）”将“回复路径”重写为微软关联地址，从而使其通过SPF验证。例如：  

原始回复路径：[email protected]  

重写后回复路径：[email protected]  

风险提示与平台回应

尽管这封钓鱼邮件的诱饵内容并无特别之处，但攻击者通过滥用iCloud日历邀请这一合法功能，并借助苹果邮件服务器及官方邮箱地址，为邮件增添了可信度，且因其发自可信来源，有可能绕过垃圾邮件过滤器。

若用户收到意外的日历邀请，且其中包含可疑信息，请务必保持警惕。截至目前苹果公司尚未就此事进行回复。

Salesloft近日表示，攻击者最早于3月入侵了其GitHub账户，进而窃取了Drift平台的OAuth令牌——这些令牌随后在8月被用于大规模Salesforce数据窃取攻击。

Salesloft是一款广泛使用的销售互动平台，帮助企业管理客户拓展与沟通事务。其旗下Drift平台则是一款对话式营销工具，可将聊天机器人与自动化功能集成至销售流程中，其中包括与Salesforce等平台的对接。 

二者已成为8月末首次披露的重大供应链式攻击的核心。谷歌威胁情报团队将这些攻击归因于威胁组织UNC6395，但除了此前的Salesforce数据窃取攻击外，勒索团伙ShinyHunters以及声称是Scattered Spider的威胁者也参与了针对Salesloft Drift的攻击。

攻击源头：GitHub账户入侵

Salesloft于8月21日首次披露Drift应用存在安全问题，并在5天后公布了OAuth令牌被恶意利用的更多细节。这一事件已导致Salesloft客户遭遇大范围Salesforce数据窃取，受影响企业包括谷歌、Zscaler、Cloudflare、Workiva、Tenable、JFrog、Bugcrowd、Proofpoint、Palo Alto Networks等，且名单仍在持续增加。 

在针对Salesloft的 data theft 攻击中，威胁者的主要目标是窃取Salesforce实例中的支持工单，进而从工单中收集凭据、身份验证令牌及其他敏感信息。 

Salesloft在8月26日的更新中写道：“初步调查显示，攻击者的主要目的是窃取凭据，尤其聚焦于AWS访问密钥、密码、Snowflake相关访问令牌等敏感信息。” 

协助Salesloft应对此次漏洞的Mandiant公司经调查发现，威胁者最早在2025年3月至6月期间入侵了其GitHub环境。黑客从多个GitHub仓库下载代码，添加访客用户账户，并创建恶意工作流，为后续攻击埋下伏笔。 

Mandiant证实，同期攻击者还在Salesloft与Drift环境中开展了侦察活动。在入侵Drift的AWS环境后，攻击行为进一步升级——攻击者借此窃取了用于访问跨技术集成（包括Salesforce和Google Workspace）中客户数据的OAuth令牌。

后续处置与服务恢复

Salesloft表示，已采取轮换凭据、加强防御、验证与Drift的环境隔离等措施，Drift的基础设施也已完成隔离及凭据轮换。 

在Mandiant的协助下，该公司开展了威胁溯源工作，未发现其他入侵痕迹，这意味着威胁者已不再在其环境中留存据点。

目前，Mandiant已验证此次威胁得到遏制且环境隔离到位，工作重心已转向取证质量保证审查。

Salesloft发布的最新更新宣布，在因Drift安全事件采取预防性暂停措施后，已恢复与Salesforce的集成服务。Salesforce用户现在可重新使用Salesloft的全部集成功能，该公司还为需要执行数据同步的用户提供了分步指导。

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，69款移动应用存在违法违规收集使用个人信息情况，现通报如下。

1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及24款移动应用如下：

《95128打车》（微信小程序）、《iBangKF》（版本0.0.0.25，官网）、《i人事》（版本5.38.6，360手机助手）、《八佰伴智慧购》（微信小程序）、《大方租车》（百度小程序）、《短线王》（版本6.2.0，vivo应用商店）、《哈啰租车》（微信小程序）、《海草集IM》（版本1.5.5，搜狗下载）、《绘影字幕》（版本4.8.2，搜狗下载）、《明薪看星座》（百度小程序）、《木丁出行》（微信小程序）、《泡泡钢琴》（版本8.0.0，小米应用商店）、《齐家》（百度小程序）、《神州租车》（微信小程序）、《速回收》（百度小程序）、《速译扫描通》（版本V5.0.2，抖音应用中心）、《天下行租车》（微信小程序）、《为你诵读》（版本6.1.42，小米应用商店）、《西影视频》（版本3.3.1，百度手机助手）、《下厨房》（百度小程序）、《小熊录屏》（版本2.4.8.3，百度手机助手）、《星座屋》（百度小程序）、《阳光出行丨快车出行专车打车软件》（微信小程序）、《云滴出行》（微信小程序）。

2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及31款移动应用如下：

《233乐园内购SDK》（版本V3.2.13，官网）、《233网校》（版本v4.8.2，应用汇）、《iBangKF》（版本0.0.0.25，官网）、《MERIT超燃脂》（版本V5.5.1.0，应用宝）、《大商天狗》（版本3.0.8，豌豆荚）、《大同证券》（版本V9.00.46，小米应用商店）、《袋鼠点点短视频》（版本1.3.8，小米应用商店）、《海草集IM》（版本1.5.5，搜狗下载）、《海文考研》（版本5.2.6.0，豌豆荚）、《好好记账》（版本1.17.4，小米应用商店）、《华数TV》（版本7.2.3.1，应用宝）、《涟漪饮用水》（版本2.0.46，历趣市场）、《南城香+》（微信小程序）、《汽场》（版本3.9.9，应用汇）、《青书学堂》（版本25.8.0，PP助手）、《全知识》（版本4.30.2，PP助手）、《舒华运动》（版本5.6.4，vivo应用商店）、《钛马星》（版本5.4.240904.1_v（69），vivo应用商店）、《天下行租车》（微信小程序）、《图纸通》（版本V8.17.0，360手机助手）、《为你诵读》（版本6.1.42，小米应用商店）、《窝友自驾》（版本9.8.24，vivo应用商店）、《戏鲸》（版本3.35.1，快手下载中心）、《小步在家早教》（版本6.9.55，PP助手）、《信达期货》（版本V3.0.3(30003)，应用宝）、《一瓜兼职》（版本V2.8.3，360手机助手）、《弈战平台》（版本3.0.14，当快软件园）、《源动健康》（版本2.74.97，应用宝）、《掌心宝贝》（版本6.23.0，应用宝）、《真香兼职》（版本1.6.8.0，应用宝）、《竹马》（版本7.7.2，OPPO软件商店）。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；App客户端向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息，未经过用户同意，未做匿名化处理。涉及17款移动应用如下：

《大同证券》（版本V9.00.46，小米应用商店）、《枫叶租车》（微信小程序）、《海草集IM》（版本1.5.5，搜狗下载）、《海文考研》（版本5.2.6.0，豌豆荚）、《绘影字幕》（版本4.8.2，搜狗下载）、《就是你》（版本1.1.95，快手下载中心）、《泡泡钢琴》（版本8.0.0，小米应用商店）、《汽场》（版本3.9.9，应用汇）、《神州租车》（微信小程序）、《舒华运动》（版本5.6.4，vivo应用商店）、《速译扫描通》（版本V5.0.2，抖音应用中心）、《天下行租车》（微信小程序）、《为你诵读》（版本6.1.42，小米应用商店）、《西影视频》（版本3.3.1，百度手机助手）、《戏鲸》（版本3.35.1，快手下载中心）、《一瓜兼职》（版本V2.8.3，360手机助手）、《弈战平台》（版本3.0.14，当快软件园）。

4、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及3款移动应用如下：

《233乐园内购SDK》（版本V3.2.13，官网）、《大方租车》（百度小程序）、《齐家》（百度小程序）。

5、未提供有效的更正、删除个人信息及注销用户账号功能。涉及2款移动应用如下：

《绘影字幕》（版本4.8.2，搜狗下载）、《钛马星》（版本5.4.240904.1_v（69），vivo应用商店）。

6、投诉、举报未在承诺时限内受理并处理。涉及1款移动应用如下：

《i人事》（版本5.38.6，360手机助手）

7、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及34款移动应用如下：

《i人事》（版本5.38.6，360手机助手）、《大方租车》（百度小程序）、《大商天狗》（版本3.0.8，豌豆荚）、《短线王》（版本6.2.0，vivo应用商店）、《哈啰租车》（微信小程序）、《海文考研》（版本5.2.6.0，豌豆荚）、《好好记账》（版本1.17.4，小米应用商店）、《剪辑猫》（版本1.4.7，百度手机助手）、《就是你》（版本1.1.95，快手下载中心）、《涟漪饮用水》（版本2.0.46，历趣市场）、《马记永》（微信小程序）、《泡泡钢琴》（版本8.0.0，小米应用商店）、《青书学堂》（版本25.8.0，PP助手）、《全知识》（版本4.30.2，PP助手）、《闪送》（版本6.7.42，OPPO软件商店）、《神州租车》（微信小程序）、《升学指导网》（版本4.7.9，历趣市场）、《速译扫描通》（版本V5.0.2，抖音应用中心）、《钛马星》（版本5.4.240904.1_v（69），vivo应用商店）、《图纸通》（版本V8.17.0，360手机助手）、《为你诵读》（版本6.1.42，小米应用商店）、《窝友自驾》（版本9.8.24，vivo应用商店）、《西影视频》（版本3.3.1，百度手机助手）、《小步在家早教》（版本6.9.55，PP助手）、《小拉出行》（微信小程序）、《小熊录屏》（版本2.4.8.3，百度手机助手）、《阳光出行丨快车出行专车打车软件》（微信小程序）、《一瓜兼职》（版本V2.8.3，360手机助手）、《弈战平台》（版本3.0.14，当快软件园）、《愉客行》（版本5.0.4，vivo应用商店）、《源动健康》（版本2.74.97，应用宝）、《云滴出行》（微信小程序）、《真香兼职》（版本1.6.8.0，应用宝）、《竹马》（版本7.7.2，OPPO软件商店）。

8、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及4款移动应用如下：

《233网校》（版本v4.8.2，应用汇）、《哈啰租车》（微信小程序）、《马记永》（微信小程序）、《掌心宝贝》（版本6.23.0，应用宝）。

9、个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。涉及1款移动应用如下：

《95128打车》（微信小程序）。

10、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及9款移动应用如下：

《MERIT超燃脂》（版本V5.5.1.0，应用宝）、《季季红点餐》（微信小程序）、《明薪看星座》（百度小程序）、《南城香+》（微信小程序）、《齐家》（百度小程序）、《舒华运动》（版本5.6.4，vivo应用商店）、《速回收》（百度小程序）、《下厨房》（百度小程序）、《星座屋》（百度小程序）。

11、未采取相应的加密、去标识化等安全技术措施。涉及41款移动应用如下：

《233乐园内购SDK》（版本V3.2.13，官网）、《95128打车》（微信小程序）、《iBangKF》（版本0.0.0.25，官网）、《八佰伴智慧购》（微信小程序）、《曹操出行|打车快车专车》（微信小程序）、《大方租车》（百度小程序）、《大商天狗》（版本3.0.8，豌豆荚）、《东兴198》（版本6.1.6，OPPO软件商店）、《短线王》（版本6.2.0，vivo应用商店）、《枫叶租车》（微信小程序）、《哈啰租车》（微信小程序）、《海草集IM》（版本1.5.5，搜狗下载）、《海文考研》（版本5.2.6.0，豌豆荚）、《华数TV》（版本7.2.3.1，应用宝）、《绘影字幕》（版本4.8.2，搜狗下载）、《季季红点餐》（微信小程序）、《剪辑猫》（版本1.4.7，百度手机助手）、《就是你》（版本1.1.95，快手下载中心）、《涟漪饮用水》（版本2.0.46，历趣市场）、《马记永》（微信小程序）、《木丁出行》（微信小程序）、《奶油桌面》（版本3.6.6，搜狗下载）、《南城香+》（微信小程序）、《齐家》（百度小程序）、《闪送》（版本6.7.42，OPPO软件商店）、《神州租车》（微信小程序）、《升学指导网》（版本4.7.9，历趣市场）、《速回收》（百度小程序）、《钛马星》（版本5.4.240904.1_v（69），vivo应用商店）、《天下行租车》（微信小程序）、《铁行租车》（微信小程序）、《图纸通》（版本V8.17.0，360手机助手）、《窝友自驾》（版本9.8.24，vivo应用商店）、《悟空租车丨经济商务豪跑车新能源》（微信小程序）、《戏鲸》（版本3.35.1，快手下载中心）、《下厨房》（百度小程序）、《小拉出行》（微信小程序）、《印象笔记》（版本10.8.68，360手机助手）、《愉客行》（版本5.0.4，vivo应用商店）、《云滴出行》（微信小程序）、《竹马》（版本7.7.2，OPPO软件商店）。

12、无隐私政策。涉及3款移动应用如下：

《当当》（百度小程序）、《电视猫》（百度小程序）、《漫客栈》（百度小程序）。

上期通报的国家计算机病毒应急处理中心检测发现的70款违法违规移动应用，经复测仍有33款存在问题，相关移动应用分发平台已予以下架。

（注：文中所列移动应用检测时间为2025年7月30日至2025年8月31日）

文章开源自：国家网络安全通报中心

GitHub近期遭遇一场名为“GhostAction”的供应链攻击，攻击者窃取了3325个敏感密钥，包括PyPI、npm、DockerHub、GitHub的令牌，以及Cloudflare和AWS的访问密钥等。

该攻击由GitGuardian的研究人员发现。据报告，受影响项目之一FastUUID最早出现入侵迹象的时间可追溯至2025年9月2日。

此次攻击的手法是：攻击者利用被攻陷的维护者账户提交代码，植入恶意的GitHub Actions工作流文件。该文件会在“推送（push）”操作或手动触发时自动运行，一旦触发，便会从项目的GitHub Actions环境中读取密钥，并通过curl POST请求将其窃取至攻击者控制的外部域名。

针对FastUUID的恶意工作流

GitGuardian指出，在FastUUID项目中，攻击者窃取了该项目的PyPI令牌，但好在攻击被发现并修复前，软件包索引（package index）上未出现恶意包发布的情况。

然而，深入调查后发现，此次攻击范围远不止FastUUID。研究人员表示，“GhostAction”攻击行动已在至少817个代码仓库中注入了类似的恶意提交，所有被盗密钥均被发送至同一个窃取端点：“bold-dhawan[.]45-139-104-115[.]plesk[.]page”。 

攻击者先从合法工作流中枚举密钥名称，再将这些名称硬编码到自己的恶意工作流中，从而窃取多种类型的密钥。

9月5日，GitGuardian摸清攻击的完整范围后，立即在573个受影响的代码仓库中提交了GitHub Issue，并直接通知了GitHub、npm和PyPI的安全团队。目前，已有100个GitHub代码仓库检测到入侵并回滚了恶意修改。 

攻击被发现后不久，该密钥窃取端点便已无法解析。 研究人员估计，“GhostAction”攻击中共窃取了约3325个密钥，涵盖PyPI令牌、npm令牌、DockerHub令牌、GitHub令牌、Cloudflare API令牌、AWS访问密钥及数据库凭据等。

泄露密钥的类型和数量

至少有9个npm包和15个PyPI包直接受此影响——在维护者撤销泄露的密钥前，这些包随时可能被发布恶意版本或植入木马的版本。 

分析显示，多个软件包生态系统的令牌均遭泄露，包括Rust crate和npm包。有几家公司的整个SDK产品组合都已沦陷，其Python、Rust、JavaScript和Go代码仓库同时受到恶意工作流的影响。 

尽管此次攻击与8月末发生的“s1ngularity”攻击在实际操作和技术层面存在一些相似之处，但GitGuardian表示，目前认为这两起攻击并无关联。

近期出现大规模针对思科ASA设备的网络扫描活动，网络安全研究人员就此发出警示，称此类活动可能预示这些产品即将曝出新漏洞。

网络安全公司GreyNoise记录显示，8月末出现两次显著的扫描高峰，多达2.5万个独立IP地址对ASA登录入口及思科IOS的Telnet/SSH服务进行探测。

2025年8月26日的第二波扫描中，80%的流量来自一个巴西僵尸网络，涉及约1.7万个IP地址。两次扫描活动中，威胁者使用的用户代理均与Chrome浏览器相似且存在重叠，表明其可能源自同一源头。

扫描活动主要针对美国，英国和德国也未能幸免。 

GreyNoise此前曾指出，在80%的案例中，此类侦察活动都发生在被扫描产品的新漏洞披露之前。从数据上看，思科产品的这种相关性较其他厂商更弱，但扫描高峰的相关信息仍能帮助防御者加强监控并采取主动防御措施。 

这些扫描活动通常是对已修复漏洞的失败利用尝试，但也可能是攻击者为利用新漏洞而进行的资产枚举与网络测绘。

报告证实扫描活动升级

系统管理员“NadSec – Rat5ak”此前发布的另一份报告显示，类似扫描活动始于7月31日，初期为低强度的 opportunistic 扫描，8月中旬逐渐升级，并于8月28日达到顶峰。

Rat5ak观察到，20小时内思科ASA端点遭遇了20万次访问，且每个IP的流量均稳定在1万次左右，呈现出高度自动化的特征。

该管理员称，这些活动来自三个自治系统编号（ASN），分别是Nybula、Cheapy-Host和Global Connectivity Solutions LLP。

安全建议

研究人员建议系统管理员采取以下措施：

1.  为思科ASA设备安装最新安全更新，修复已知漏洞；

2.  对所有ASA远程登录强制启用多因素认证（MFA）；

3.  避免将/+CSCOE+/logon.html页面、WebVPN、Telnet或SSH服务直接暴露在公网；

4.  若确需外部访问，应使用VPN集中器、反向代理或访问网关加强访问控制；

5.  利用GreyNoise和Rat5ak报告中共享的扫描活动指标，主动拦截此类尝试，或对远离本组织业务区域的IP实施地理封锁与速率限制。

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，69款移动应用存在违法违规收集使用个人信息情况，具体通报如下：

1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及24款移动应用如下：

《95128打车》（微信小程序）、《iBangKF》（版本0.0.0.25，官网）、《i人事》（版本5.38.6，360手机助手）、《八佰伴智慧购》（微信小程序）、《大方租车》（百度小程序）、《短线王》（版本6.2.0，vivo应用商店）、《哈啰租车》（微信小程序）、《海草集IM》（版本1.5.5，搜狗下载）、《绘影字幕》（版本4.8.2，搜狗下载）、《明薪看星座》（百度小程序）、《木丁出行》（微信小程序）、《泡泡钢琴》（版本8.0.0，小米应用商店）、《齐家》（百度小程序）、《神州租车》（微信小程序）、《速回收》（百度小程序）、《速译扫描通》（版本V5.0.2，抖音应用中心）、《天下行租车》（微信小程序）、《为你诵读》（版本6.1.42，小米应用商店）、《西影视频》（版本3.3.1，百度手机助手）、《下厨房》（百度小程序）、《小熊录屏》（版本2.4.8.3，百度手机助手）、《星座屋》（百度小程序）、《阳光出行丨快车出行专车打车软件》（微信小程序）、《云滴出行》（微信小程序）。

2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及31款移动应用如下：

《233乐园内购SDK》（版本V3.2.13，官网）、《233网校》（版本v4.8.2，应用汇）、《iBangKF》（版本0.0.0.25，官网）、《MERIT超燃脂》（版本V5.5.1.0，应用宝）、《大商天狗》（版本3.0.8，豌豆荚）、《大同证券》（版本V9.00.46，小米应用商店）、《袋鼠点点短视频》（版本1.3.8，小米应用商店）、《海草集IM》（版本1.5.5，搜狗下载）、《海文考研》（版本5.2.6.0，豌豆荚）、《好好记账》（版本1.17.4，小米应用商店）、《华数TV》（版本7.2.3.1，应用宝）、《涟漪饮用水》（版本2.0.46，历趣市场）、《南城香+》（微信小程序）、《汽场》（版本3.9.9，应用汇）、《青书学堂》（版本25.8.0，PP助手）、《全知识》（版本4.30.2，PP助手）、《舒华运动》（版本5.6.4，vivo应用商店）、《钛马星》（版本5.4.240904.1_v（69），vivo应用商店）、《天下行租车》（微信小程序）、《图纸通》（版本V8.17.0，360手机助手）、《为你诵读》（版本6.1.42，小米应用商店）、《窝友自驾》（版本9.8.24，vivo应用商店）、《戏鲸》（版本3.35.1，快手下载中心）、《小步在家早教》（版本6.9.55，PP助手）、《信达期货》（版本V3.0.3(30003)，应用宝）、《一瓜兼职》（版本V2.8.3，360手机助手）、《弈战平台》（版本3.0.14，当快软件园）、《源动健康》（版本2.74.97，应用宝）、《掌心宝贝》（版本6.23.0，应用宝）、《真香兼职》（版本1.6.8.0，应用宝）、《竹马》（版本7.7.2，OPPO软件商店）。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；App客户端向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息，未经过用户同意，未做匿名化处理。涉及17款移动应用如下：

《大同证券》（版本V9.00.46，小米应用商店）、《枫叶租车》（微信小程序）、《海草集IM》（版本1.5.5，搜狗下载）、《海文考研》（版本5.2.6.0，豌豆荚）、《绘影字幕》（版本4.8.2，搜狗下载）、《就是你》（版本1.1.95，快手下载中心）、《泡泡钢琴》（版本8.0.0，小米应用商店）、《汽场》（版本3.9.9，应用汇）、《神州租车》（微信小程序）、《舒华运动》（版本5.6.4，vivo应用商店）、《速译扫描通》（版本V5.0.2，抖音应用中心）、《天下行租车》（微信小程序）、《为你诵读》（版本6.1.42，小米应用商店）、《西影视频》（版本3.3.1，百度手机助手）、《戏鲸》（版本3.35.1，快手下载中心）、《一瓜兼职》（版本V2.8.3，360手机助手）、《弈战平台》（版本3.0.14，当快软件园）。

4、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及3款移动应用如下：

《233乐园内购SDK》（版本V3.2.13，官网）、《大方租车》（百度小程序）、《齐家》（百度小程序）。

5、未提供有效的更正、删除个人信息及注销用户账号功能。涉及2款移动应用如下：

《绘影字幕》（版本4.8.2，搜狗下载）、《钛马星》（版本5.4.240904.1_v（69），vivo应用商店）。

6、投诉、举报未在承诺时限内受理并处理。涉及1款移动应用如下：

《i人事》（版本5.38.6，360手机助手）

7、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及34款移动应用如下：

《i人事》（版本5.38.6，360手机助手）、《大方租车》（百度小程序）、《大商天狗》（版本3.0.8，豌豆荚）、《短线王》（版本6.2.0，vivo应用商店）、《哈啰租车》（微信小程序）、《海文考研》（版本5.2.6.0，豌豆荚）、《好好记账》（版本1.17.4，小米应用商店）、《剪辑猫》（版本1.4.7，百度手机助手）、《就是你》（版本1.1.95，快手下载中心）、《涟漪饮用水》（版本2.0.46，历趣市场）、《马记永》（微信小程序）、《泡泡钢琴》（版本8.0.0，小米应用商店）、《青书学堂》（版本25.8.0，PP助手）、《全知识》（版本4.30.2，PP助手）、《闪送》（版本6.7.42，OPPO软件商店）、《神州租车》（微信小程序）、《升学指导网》（版本4.7.9，历趣市场）、《速译扫描通》（版本V5.0.2，抖音应用中心）、《钛马星》（版本5.4.240904.1_v（69），vivo应用商店）、《图纸通》（版本V8.17.0，360手机助手）、《为你诵读》（版本6.1.42，小米应用商店）、《窝友自驾》（版本9.8.24，vivo应用商店）、《西影视频》（版本3.3.1，百度手机助手）、《小步在家早教》（版本6.9.55，PP助手）、《小拉出行》（微信小程序）、《小熊录屏》（版本2.4.8.3，百度手机助手）、《阳光出行丨快车出行专车打车软件》（微信小程序）、《一瓜兼职》（版本V2.8.3，360手机助手）、《弈战平台》（版本3.0.14，当快软件园）、《愉客行》（版本5.0.4，vivo应用商店）、《源动健康》（版本2.74.97，应用宝）、《云滴出行》（微信小程序）、《真香兼职》（版本1.6.8.0，应用宝）、《竹马》（版本7.7.2，OPPO软件商店）。

8、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及4款移动应用如下：

《233网校》（版本v4.8.2，应用汇）、《哈啰租车》（微信小程序）、《马记永》（微信小程序）、《掌心宝贝》（版本6.23.0，应用宝）。

9、个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。涉及1款移动应用如下：

《95128打车》（微信小程序）。

10、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及9款移动应用如下：

《MERIT超燃脂》（版本V5.5.1.0，应用宝）、《季季红点餐》（微信小程序）、《明薪看星座》（百度小程序）、《南城香+》（微信小程序）、《齐家》（百度小程序）、《舒华运动》（版本5.6.4，vivo应用商店）、《速回收》（百度小程序）、《下厨房》（百度小程序）、《星座屋》（百度小程序）。

11、未采取相应的加密、去标识化等安全技术措施。涉及41款移动应用如下：

《233乐园内购SDK》（版本V3.2.13，官网）、《95128打车》（微信小程序）、《iBangKF》（版本0.0.0.25，官网）、《八佰伴智慧购》（微信小程序）、《曹操出行|打车快车专车》（微信小程序）、《大方租车》（百度小程序）、《大商天狗》（版本3.0.8，豌豆荚）、《东兴198》（版本6.1.6，OPPO软件商店）、《短线王》（版本6.2.0，vivo应用商店）、《枫叶租车》（微信小程序）、《哈啰租车》（微信小程序）、《海草集IM》（版本1.5.5，搜狗下载）、《海文考研》（版本5.2.6.0，豌豆荚）、《华数TV》（版本7.2.3.1，应用宝）、《绘影字幕》（版本4.8.2，搜狗下载）、《季季红点餐》（微信小程序）、《剪辑猫》（版本1.4.7，百度手机助手）、《就是你》（版本1.1.95，快手下载中心）、《涟漪饮用水》（版本2.0.46，历趣市场）、《马记永》（微信小程序）、《木丁出行》（微信小程序）、《奶油桌面》（版本3.6.6，搜狗下载）、《南城香+》（微信小程序）、《齐家》（百度小程序）、《闪送》（版本6.7.42，OPPO软件商店）、《神州租车》（微信小程序）、《升学指导网》（版本4.7.9，历趣市场）、《速回收》（百度小程序）、《钛马星》（版本5.4.240904.1_v（69），vivo应用商店）、《天下行租车》（微信小程序）、《铁行租车》（微信小程序）、《图纸通》（版本V8.17.0，360手机助手）、《窝友自驾》（版本9.8.24，vivo应用商店）、《悟空租车丨经济商务豪跑车新能源》（微信小程序）、《戏鲸》（版本3.35.1，快手下载中心）、《下厨房》（百度小程序）、《小拉出行》（微信小程序）、《印象笔记》（版本10.8.68，360手机助手）、《愉客行》（版本5.0.4，vivo应用商店）、《云滴出行》（微信小程序）、《竹马》（版本7.7.2，OPPO软件商店）。

12、无隐私政策。涉及3款移动应用如下：

《当当》（百度小程序）、《电视猫》（百度小程序）、《漫客栈》（百度小程序）。

上期通报的国家计算机病毒应急处理中心检测发现的70款违法违规移动应用，经复测仍有33款存在问题，相关移动应用分发平台已予以下架。

（注：文中所列移动应用检测时间为2025年7月30日至2025年8月31日）

来源：国家网络安全通报中心

本次通报反映出监管部门正在持续加强对移动应用隐私合规的监管力度，并进一步突出对小程序类应用的审查。此次涉及违规的应用广泛覆盖打车、租车、购物、点餐等多个日常生活高频服务领域。随着小程序生态的迅速扩张，其个人信息保护合规问题已引起高度重视。相关运营者应尽快完善隐私政策及用户同意机制，并落实数据加密、去标识化等必要的安全技术措施。

梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验，系统性搭建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

梆梆安全移动应用合规检测框架

在APP敏捷开发环境下，仅依赖自动化工具或纯人工检测均难以有效应对合规风险。梆梆安全提供采用“工具检测+人工验证”相结合的方式，在保障检测准确性的同时提升效率，切实满足快速迭代中的合规要求。

某企业重保期间遭遇连续 3 天高强度邮件攻击，核心业务邮件一度中断；另有企业日常运营中，黑客借 SMTP 协议漏洞窃取核心数据.....关键是，这些两家企业都部署了+邮件网关，却还是照样中招。

这并非个例，数据显示：2023 年已有 60% 中国企业遭遇邮件漏洞攻击，2024 年上半年这一比例进一步升至 68%，企业邮件安全压力持续攀升。更扎心的是，这些遇袭的企业里，80%都装了传统WAF+邮件网关，却依然没挡住黑客的攻击。

传统WAF+网关防护，真的够用吗？

答案显然是否定的——这套很多企业依赖的”防护组合“，早已跟不上黑客攻击节奏：既没有针对邮件SMTP/HTTP 协议、客户端的专项防护逻辑，也缺乏对未知威胁的前瞻响应能力，直接暴露三大短板：

1. 漏洞补丁慢，空窗期长达数周，核心数据随时面临被窃取、服务器被操控的风险；

2. SMTP 协议层攻击难防，WAF 和普通网关查不出隐蔽入侵，黑客能轻松通过邮件突破内网；

3. 遇未知漏洞只能被动挨打，重保期怕高强度攻击搞垮系统、日常用怕隐蔽渗透偷数据，企业安全成本和经营风险双重增加。

企业急需一款能同时应对重保攻击与日常威胁的防护产品——Coremail CACTER邮件入侵防护系统（CACTER MAF）应运而生。

重保实战说话：CACTER MAF高效拦截75 万次攻击，解防护难题

就在今年重保期间，CACTER MAF 交出了一份硬核成绩单：累计拦截751,566 次攻击，涵盖高危漏洞利用、SMTP、Coremail 客户端及 Web 攻击，护航CACTER用户重保全周期”0失陷“；在不少厂商遭遇攻击失陷的背景下，其防护硬实力尤为突出。

CACTER MAF核心作用在于，可实时拦截通过SMTP/HTTP协议发起的N-Day漏洞攻击（含变种），阻断黑客入侵邮件服务器和客户端，防护传统方案无法覆盖的灰色地带。

四大核心优势：填补传统防护”漏洞防不住，补救响应慢“短板

针对传统防护在协议层防护、漏洞响应、态势管控等方面的不足，CACTER MAF通过四大关键能力，攻克传统防护难以解决的痛点：

1、协议层+ 客户端双防护，全场景拦截攻击：针对 SMTP/HTTP协议层攻击，可精准阻断漏洞入侵，同时识别并拦截客户端异常邮件，从源头防止服务器瘫痪、被控并保障用户数据。

2、专家团队 + 小时级响应，提前防未知漏洞：国家级重保攻防团队实时监控漏洞动态，防护引擎小时级更新（比传统方案快 50%），可快速阻断未知漏洞攻击。

3、原厂适配+可视化管控，清晰掌安全态势：精准防御针对 Coremail 的攻击，也能覆盖 XSS、漏扫、Java 代码等常规攻击防护，百万流量测试误判率为0；支持可视化安全管控，全量记录攻击详情，提供溯源分析。

4、本地化串联部署，1 小时快速上线：采用本地串联部署模式，1 小时可完成上线，适配现有架构且满足企业数据合规要求。

从重保到日常：CACTER MAF全时段防护

企业邮件系统面临的攻击风险从未停止攀升。尤其在日常运营中，SMTP/HTTP 协议层漏洞若不及时防护，黑客可通过隐蔽入侵窃取客户信息、篡改业务邮件，甚至渗透内网瘫痪系统 —— 这些隐患往往因传统防护 “重重保、轻日常” 被忽视，最终酿成数据泄露或运营中断的后果。

CACTER MAF在重保期间75万次拦截的实战成绩证明了抗高强度的防护能力，更能将这份防护力延伸到日常运营中：其协议层+客户端双防护、小时级漏洞响应等优势，恰好补上传统防护在日常场景的缺口，让 “重保不慌、日常无忧” 成为企业常态。

9月11日（周四）15：00：反钓鱼防盗号防护干货

立即预约：领取千元好礼

直播亮点

效果有数据：解读反钓鱼防盗号成效数据，安全效果一目了然

配置有策略：专家现场教学，快速配置邮件&账号防护策略

扫码预约直播间，更多干货内容待解锁！

在一场供应链攻击中，攻击者通过钓鱼攻击攻陷一名维护者的账户后，向周下载量合计超26亿次的多个NPM包植入了恶意软件。

此次供应链攻击中账户遭劫持的软件包维护者Josh Junon已于今日早些时候确认了该事件。他表示钓鱼邮件来自“support [at] npmjs [dot] help”邮箱——该邮箱对应的域名搭建了仿冒正规npmjs.com的网站。 

钓鱼邮件中，攻击者以“2025年9月10日锁定账户”相威胁，通过恐吓手段诱使目标点击链接进入钓鱼网站。邮件内容称：“为维护您账户的安全与完整，请您尽快完成更新。请注意，自2025年9月10日起，使用过期2FA凭证的账户将被临时锁定，以防止未授权访问。” 

网络钓鱼电子邮件

据收到钓鱼邮件的人士透露，攻击者使用相同邮件针对其他包维护者及开发者发起了攻击。安全研究人员发现，npmjs[.]help网站上包含一个登录表单，用户输入的凭据会被窃取并发送至以下URL：  

https://websocket-api2[.]publicvm.com/images/jpg-to-png.php?name=[name]&pass=[password]

事件发现后，NPM团队已移除攻击者发布的部分恶意版本包，其中包括周下载量达3.576亿次的“debug”包。

供应链攻击细节

安全公司Aikido Security对此次攻击进行分析后指出，攻击者接管账户后对相关包进行了更新，在index.js文件中植入了基于浏览器的拦截型恶意代码。该代码可劫持网络流量与应用程序接口（API）。 

恶意代码仅影响通过网页访问受感染应用的用户：它会监控加密货币地址及交易，将其重定向至攻击者控制的钱包地址，导致交易被攻击者劫持，而非发送至预期地址。

这款恶意软件的工作原理是：注入用户的网页浏览器后，监控以太坊、比特币、索拉纳、波场、莱特币及比特币现金的钱包地址与转账行为；一旦检测到包含加密货币交易的网络响应，便将收款地址替换为攻击者控制的地址，在交易签名前完成劫持。 

Aikido表示，恶意代码通过挂钩（hooking）JavaScript函数实现上述操作，涉及fetch、XMLHttpRequest以及钱包API（如window.ethereum、Solana相关API等）。

截至目前，遭劫持的包及其周下载量如下：

·backslash：26万次  

·chalk-template：390万次  

·supports-hyperlinks：1920万次  

·has-ansi：1210万次  

·simple-swizzle：2626万次  

·color-string：2748万次  

·error-ex：4717万次  

·color-name：1.9171亿次  

·is-arrayish：7380万次  

·slice-ansi：5980万次  

·color-convert：1.935亿次  

·wrap-ansi：1.9799亿次  

·ansi-regex：2.4364亿次  

·supports-color：2.871亿次  

·strip-ansi：2.6117亿次  

·chalk：2.9999亿次  

·debug：3.576亿次  

·ansi-styles：3.7141亿次  

Aikido Security研究员表示：“这些软件包被更新后植入了一段代码，该代码会在网站客户端执行，暗中拦截浏览器中的加密货币及Web3活动，操纵钱包交互，并篡改支付目的地——使得资金与授权被重定向至攻击者控制的账户，而用户毫无察觉。”其危险性在于多层面运作：既修改网站显示内容，又篡改API调用，还操纵用户应用程序对签名内容的认知。

攻击影响范围与背景

尽管这是一场供应链攻击，但应用程序受影响需满足特定条件，大幅降低了攻击的实际影响。具体条件包括：

1. 在软件包遭篡改时段进行了全新安装；

2. 在此期间生成了package-lock.json文件；

3. 直接或间接依赖了受漏洞影响的包。

近几个月来，已有多起类似攻击针对知名JavaScript库的开发者。例如，7月时，周下载量超3000万次的“eslint-config-prettier”包遭攻陷；3月时，另有10个广泛使用的NPM库被劫持并改造成信息窃取工具。

此次钓鱼攻击与植入的恶意软件均表明，网页浏览器已成为窃取凭据、篡改流量及入侵网络的巨大攻击面。

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（0803-0816）

●最新监管动态

监管通报动态

●监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP类型分析 

01 最新监管动态

1. 监管通报动态

8月3日，北京通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前，尚有20款移动互联网应用程序未整改或整改不到位，现予以公开通报。7月3日，北京通管局通报存在侵害用户权益行为的移动互联网应用程序（2025年第六期）。截至目前，仍有12款移动互联网应用程序未整改或整改不到位，现予以全网下架处置。

8月4日，工信部依据相关法律法规的要求，对APP、SDK进行检查，共发现23款APP及SDK存在侵害用户权益行为。上述APP应限期落实整改要求。逾期不整改的，工信部将依法依规组织开展相关处置工作。

8月4日，青海通管局依据相关法律法规的要求，持续开展APP侵害用户权益专项整治行动。截至目前，仍有9款APP未完成整改工作，上述APP开发运营者应限期落实整改，逾期未完成整改的，青海通管局将依法依规进行处置。

8月5日，安徽通管局依据相关法律法规的要求，持续开展APP侵害用户权益专项整治行动。截至目前，尚有5款APP（2025年第五批次）逾期未完成整改，安徽通管局对上述APP进行下架。

8月5日，上海通管局依据相关法律法规的要求，持续整治APP（SDK）侵害用户权益的违规行为。截至目前，共发现145款APP（SDK）存在侵害用户权益行为。上述APP应限期落实整改要求。逾期不整改的，上海管局将依法依规给予处理。

8月13日，国家计算机病毒应急处理中心依据相关法律法规，检测发现70款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的68款违法违规移动应用，经复测仍有25款存在问题，相关移动应用分发平台已予以下架。

8月15日，青海通管局依据相关法律法规的要求，持续开展APP（含小程序）侵害用户权益专项整治行动。经核查复检，仍有8款APP未完成整改工作，青海通管局予以下架处置。

02 监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP3问题数据两方面来说明。

1)问题行业TOP1：

学习教育类

2)隐私合规问题TOP3：

TOP1：164号文5 APP强制、频繁、过度索取权限；

TOP2：164号文1 违规收集个人信息；

TOP3：164号文6 APP频繁自启动和关联启动。

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

03 漏洞风险分析

从全国的Android APP中随机抽取了3,535款进行漏洞检测发现，存在中高危漏洞威胁的APP为2,752个，即77.85%以上的App存在中高危漏洞风险。而这2,752款漏洞应用中，有高危漏洞的应用共2,067款，占比75.11%，有中危漏洞的应用共2,678款，占比97.31%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的App占比如下：

各漏洞类型占比分析

对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP类型分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的19.38%，其次为教育学习类APP，占比13.49%，生活服务类APP位居第三，占比10.69%，漏洞数量排名前十的类型如下图所示：

篇首语：关于OSINT开源情报的概念，早已在信息安全圈里展开多年，很多安全技术部门、深挖黑灰产的企业威胁情报部门，安全研究员及技术爱好者们，都在通过各种方式检索、学习国内外的最新信息、技术和工具，及跨平台交流。

而随着近些年市场需求的快速增长，加上国内专业情报与咨询公司的陆续出现，OSINT开源情报技术也开始进入一个飞速发展的阶段。

经过多年的筹备，为了应对不断变化的商业安全态势，今天，RC²正式推出全新课程：

「OSINT商战情报官认证课程」~~

1、什么是OSINT？

相信很多朋友在一些会议现场，都听到过关于OSINT开源情报的介绍，但大部分演讲者分享的都是关于某些企业内部平台、商业平台或自动化工具的介绍，对于具体的技术都是一带而过。

那么，到底什么是OSINT呢？

OSINT，全称：Open-Source Intelligence，即开源情报搜集。以下引用百度百科内容：

开源情报搜集，是一种通过公开渠道获取并分析信息的情报收集手段，其定义为“面向特定需求，从公开信息中及时收集、开发和传播的情报”。

公开信息源包括新闻报道、学术论文、社交媒体平台资讯、采购招标文件及卫星图像等，经整理分析可提取关键领域情报。

去年，美国国家情报总监办公室（ODNI）和中央情报局（CIA）发布了《2024-2026 年情报部门OSINT战略》。

如上图，在该报告扉页，中央情报局局长William J. Burns 写道：

“作为情报部门 OSINT 职能负责人，我深知开源情报在捍卫我们的国家和价值观方面发挥着至关重要的作用。从运营分析到政策会议，开源情报几乎为美国面临的所有重大问题上的高层决策者提供决策依据。

在这个关键时刻，开源情报的重要性与需求也日益增长，制定一个覆盖整个情报部门的开源情报战略，对于帮助情报部门以协调一致、坚定不移的方式向前发展至关重要。

这一战略将帮助我们履行职责，并进一步增强OSINT对国家安全的巨大影响。”

嗯，再结合下RC²自身的例子：

回想2016年，RC²反窃密实验室成立之初，面对的情况就是国内互联网上如同白纸般无任何现成反窃密技术资料可学习的处境。

即使开展了为期三个月的全国性市场调研，也不过发现99%的行业公司都是以销售设备为主，几乎无人在技术上有专门的研究投入，而且全国能够持有全套专业检测装备的商业团队数量更是少得不到一只手......太难了

无奈之下，杨叔只能延续在十多年信息安全从业养成的习惯，先建立威胁情报小组，同步分析TSCM技术路线图，将里面大部分的技术难点标识出来，再开始大批量的数据检索翻译分析，然后逐步开展研究和实验......经过近一年的准备，才推出了前两门基础课程：

Level-1与Level-2 商业秘密&隐私保护课程

2、OSINT对RC²的意义

RC²成立至今已有九年，有个非常重要的核心技术储备，就是这些年来的行业开源情报储备。大量半公开信息和资料的检索、翻译和归类，比如合计近万页的涉及五种以上语言的技术资料、书籍、内部标准与体系资料等，协助RC²积累了非常全面的TSCM行业数据，也是RC²开启内部研究计划的主要依据。

为了让学员开始逐步理解TSCM体系，RC²将其中很多成果，分享在不同级别的TSCM专业课程中，比如：

LEVEL-2 商业秘密&隐私保护课程

作为RC²课程体系的基础课程，会通过威胁情报资料来讲述“TSCM”这个词的来源、背后故事及当前发展态势，并结合不断更新的真实商业窃密案例分析，来培养学员的商业反窃密检测基础。

杨叔TIPS：说到这里，杨叔一直觉得好笑的是：

Level-2课程只是揭开了TSCM技术体系的冰山一角，只有开始学习PPES系列课程才算进入真正的技术专家之路。而有那么几位仅仅参加过Level-2课程的学员，现已堂而皇之一边抄袭一边四处标榜自己是“TSCM专家”，真是让人哭笑不得~

......要知道，这样具备初级L2水平的学员，RC²已培养了四位数之多，而且课程内容一直在升级迭代中......更不用提，有的同学甚至已拿到好几个中高级PPES专家证书~

咳咳，欢迎新同学报名最新一期课程：

深圳，2025.09.13--09.14，Level-2课程

那些希望成为TSCM专家的中高级学员，会在进阶的PPES系列专家课程中，专注于某个具体技术领域的深入学习，比如：

PPES-101 固定电话反窃听检测专项课

课程会带领中高级学员从最早期的电话窃听案例里了解话机窃听原理，再逐步到现代IP电话窃听案件中的技术变化、威胁态势，加强对于酒店电话及企业IP电话的安全防护意识，并学习多种专业设备开展电话线路检测。

再比如2025新推出的专业课程（预计10月份正式发布）：

PPES-109 强弱电线路安全检测专项课

课程里，高级学员们会从上百页的PPT里，先了解前东德SATSI等情报机构部署的线路监视器材及原理，再学习如何检测现代线路监视器材，通过RC²积累的大量技术威胁情报和亲自上手的模拟检测实验，可以清晰地感受到真正TSCM检测专家面临的挑战。

而在同样新推出的：

PPES-201 智能手机隐私保护实践课

课程会向高级学员展示作为高净值个体，到底会面对哪些手机监听技术风险？通过威胁情报不断更新的真实案例中，及对攻击细节的描述，来协助学员理解风险并学习应对防御。

至于仅面向大型企业，培养专业TSCM检测团队的：

PPES-X 物理安全检测专家

专家团队课程中，更设置了全面深入的TSCM行业威胁情报课程，来协助学员们快速了解全球TSCM行业体系、国际标准、检测设备厂商资料、专业服务公司背景、行业协会、TS器材威胁等等，内容复杂，就不一一举例了。

最后，在「RC²内部威胁情报研究项目」中，每年都聚焦在更加深入的实战检测技术细节上，并在不断探索中，以及与不同行业不同国家的各类专家交流，来寻求更多技术盲区的答案。感兴趣可以私聊：）

PS：在杨叔看来，越研究越发现技术的颗粒度越多，也越觉得自身能力的不足，与其自己随意加个头衔YY，杨叔更相信唯有通过庞大的资料储备、实验研究与项目积累，才能慢慢成为业内认可的TSCM Specialist。

至少，杨叔在去年收到意大利TSCM协会会长主动颁发的“TSCM MASTER大师级证书”时，收到这位近70岁在冷战时期就从事TSCM的老专家认同，以及专门发的祝贺邮件来表示对RC²这些年来技术储备的鼓励，还是感动+惭愧不如的。

RC²反窃密实验室推出的这一套OSINT实用课程体系，完全基于标准化OSINT知识体系，通过RC²多年来自身需求驱动与在商业反窃密领域的积累和钻研，结合商业秘密保护行业真实案例，不断学习与总结而成的，独有的OSINT商战情报官课程~

感谢一直以来支持RC²的各大企业团队学员和数千位老学员们，老规矩，老学员上新课依旧福利满满哦~

也欢迎更多新同学们~

第一期小班课，仅限4~8人，限时优惠中~

抓紧时间占座哟，手快有手慢无，立刻扫码联系客服吧~

研究发现，黑客正越来越多地在实际攻击中使用一款名为HexStrike-AI的新型AI驱动攻击性安全框架，利用新披露的n-day漏洞实施攻击。

这一活动由CheckPoint Research报告。该机构观察到，暗网上围绕HexStrike-AI的讨论十分活跃，且这些讨论与新披露的Citrix漏洞（包括CVE-2025-7775、CVE-2025-7776和CVE-2025-8424）的快速武器化密切相关。

根据ShadowServer基金会的数据，截至2025年9月2日，仍有近8000个端点易受CVE-2025-7775漏洞影响，较前一周的28000个有所下降。

落入不法分子手中的工具

HexStrike-AI本是网络安全研究员Muhammad Osama开发的合法红队工具，可集成AI代理，自主运行150多种网络安全工具，实现自动化渗透测试与漏洞发现。

其开发者描述道：“HexStrike AI通过MCP（管理控制协议）与外部大语言模型（LLM）进行‘人在环’交互，形成提示、分析、执行、反馈的持续循环。”该工具的客户端具备重试逻辑与恢复处理功能，可减轻复杂操作中单个步骤失败的影响——它会自动重试或调整配置，直至操作成功完成。

这款工具已于一个月前开源并上架GitHub平台，目前已获得1800个星标和400余次分支（fork）。遗憾的是，它也引起了黑客的注意，后者已开始将其用于攻击活动。 

CheckPoint指出，在Citrix NetScaler ADC和Gateway 0-day漏洞披露后的数小时内，黑客便开始在黑客论坛上讨论如何部署HexStrike-AI来利用这些漏洞。

关于使用HexStrike-AI对抗Citrix端点的讨论

据悉，攻击者利用该工具通过CVE-2025-7775漏洞实现未授权远程代码执行，随后在被攻陷的设备上植入webshell，部分攻击者还将被入侵的NetScaler实例挂牌出售。 

CheckPoint认为，攻击者很可能借助这款新型渗透测试框架实现攻击链自动化，涵盖扫描易受攻击的实例、构造漏洞利用程序、交付有效载荷（payload）以及维持持久控制等环节。

易受攻击的NetScaler实例列表

尽管目前尚未证实HexStrike-AI确实参与了这些攻击，但这种自动化程度或将使n-day漏洞的利用时间从数天缩短至几分钟。这种变化将使系统管理员本就紧张的补丁部署窗口期进一步压缩，留给他们应对攻击的时间愈发有限。 

漏洞披露与大规模利用之间的窗口期正急剧缩短。目前CVE-2025-7775已被用于野外攻击，而借助HexStrike-AI，未来几天的攻击量只会有增无减。”

应对建议

尽管快速部署补丁仍是关键，但AI驱动攻击框架带来的这种范式转变，使得构建强大、全面的安全防御体系变得更为重要。 

CheckPoint建议防御者重点关注以下方面：通过威胁情报实现早期预警、部署AI驱动的防御机制，以及建立自适应检测系统。

目前，TP-Link已确认多款路由器型号存在未修复的零日漏洞，该公司路由器的其他漏洞已被用于实际攻击。

零日漏洞详情与厂商响应

该零日漏洞由独立威胁研究员Mehrun发现。他表示，已于2024年5月11日首次向TP-Link报告此问题。

TP-Link证实，目前正在调查该漏洞的可利用性及影响范围。据悉，针对欧洲地区型号的补丁已开发完成，但针对美国及全球其他地区固件版本的修复程序仍在开发中，尚未给出具体发布时间。TP-Link强烈建议所有用户通过官方支持渠道及时为设备安装最新固件更新。

该漏洞目前尚未分配CVE编号，其本质是TP-Link多款路由器（具体数量未知）的CWMP（客户终端设备广域网管理协议）实现中存在的栈溢出漏洞。

研究员Mehrun通过对路由器二进制文件进行自动化污点分析发现了该漏洞，他解释称，漏洞存在于处理SOAP协议SetParameterValues消息的函数中。问题根源在于“strncpy”调用时缺乏边界检查，当栈缓冲区大小超过3072字节时，攻击者可通过缓冲区溢出实现远程代码执行（RCE）。

Mehrun表示，实际攻击场景可能是：将易受攻击的设备重定向至恶意CWMP服务器，然后发送超大SOAP有效载荷以触发缓冲区溢出。要实现这一点，攻击者可利用过时固件中的漏洞，或使用用户未更改的默认凭据访问设备。

一旦通过远程代码执行攻陷路由器，攻击者可指令其将DNS查询重定向至恶意服务器、暗中拦截或篡改未加密流量，以及在网页会话中注入恶意有效载荷。

研究员通过测试确认，TP-Link Archer AX10和Archer AX1500两款路由器使用了存在漏洞的CWMP二进制文件。这两款均为热门型号。 

Mehrun还指出，EX141、Archer VR400、TD-W9970以及其他多款TP-Link路由器型号也可能受到影响。 

在TP-Link明确受影响设备清单并发布修复程序前，用户应采取以下措施：更改默认管理员密码；如无需使用CWMP，应将其禁用；为设备安装最新固件；如有可能，将路由器与核心网络进行隔离。

TP-Link已被利用漏洞

上周，CISA将TP-Link的另外两个漏洞（编号CVE-2023-50224和CVE-2025-9377）添加至“已知被利用漏洞目录”。这两个漏洞已被Quad7僵尸网络利用以攻陷路由器。

其中，CVE-2023-50224为身份验证绕过漏洞，CVE-2025-9377为命令注入漏洞。攻击者将两个漏洞结合利用，可在易受攻击的TP-Link设备上实现远程代码执行。

威胁者一直在利用多个通过谷歌广告推广的网站，分发一款看似可信的PDF编辑应用，而该应用实则会植入名为TamperedChef的信息窃取恶意软件。 

此次活动是一项大规模网络行动的一部分，该行动涉及多款可相互下载的应用程序，其中部分应用会诱骗用户将其系统注册为住宅代理。

研究人员表示，目前已识别出50多个域名用于托管这些欺诈性应用，这些应用由至少四家不同公司签发的虚假证书进行签名。该活动范围广泛且组织严密——操作人员会先让广告正常投放，待时机成熟后再激活应用中的恶意组件。

全面更新触发信息窃取功能

网络安全服务公司Truesec的技术分析详细阐述了TamperedChef信息窃取恶意软件植入用户系统的过程。研究人员发现，该恶意软件通过多个推广“AppSuite PDF Editor”免费工具的网站进行分发。

根据网络记录，调查人员确定该活动始于6月26日，当时相关的多个网站要么刚完成注册，要么已开始为AppSuite PDF Editor投放广告。但研究人员同时发现，这款恶意应用早在5月15日就已通过VirusTotal恶意软件扫描服务的检测。

该程序在8月21日前一直表现正常，直到当天接收了一次更新后，其内置的恶意功能才被激活——这些功能专门用于收集凭证、网络Cookie等敏感数据。

Truesec指出，TamperedChef信息窃取恶意软件是通过向PDF编辑器的可执行文件传递“-fullupdate”参数来实现植入的。

该恶意软件会检查主机上的各类安全代理，还会利用DPAPI（数据保护应用程序接口，Windows系统中用于加密敏感数据的组件）查询已安装网页浏览器的数据库。

tamperedChef 信息窃取器检查已安装的安全代理

深入调查分发方式后，Truesec的研究人员发现证据表明，在AppSuites PDF Editor中传播TamperedChef的网络犯罪分子，主要依靠谷歌广告推广这款恶意程序。

威胁者可能有一个策略，在激活AppSuites PDF Editor中的恶意组件之前，最大限度地提高下载量，因为他们比典型的60天Google广告活动到期时间提前四天交付了信息窃取器。

深入研究AppSuites PDF Editor，研究人员发现该程序的不同版本是由至少四家公司颁发的证书签名的，其中包括ECHO Infini SDN BHD、GLINT By J SDN. BHD和SUMMIT NEXUS Holdings LLC、BHD。

诱导用户加入住宅代理网络

Truesec发现，该活动的操作人员至少从2024年8月起就开始活跃，并推广了其他工具，包括OneStart和Epibrowser浏览器。值得注意的是，OneStart通常被标记为潜在有害程序（PUP，此类程序通常指广告软件）。

但托管检测与响应公司Expel的研究人员在调查涉及AppSuites PDF Editor、ManualFinder和OneStart的事件时发现，这些程序均会“植入高度可疑的文件、执行未预期的命令，并将主机转变为住宅代理”，其行为已更接近恶意软件。 

研究人员发现，OneStart可下载由ECHO INFINI SDN. BHD公司签发证书的AppSuite-PDF，而AppSuite-PDF又能进一步获取PDF Editor。

Expel指出：“OneStart、AppSuite-PDF和PDF Editor的初始下载渠道，是一系列推广PDF及PDF编辑器的大型广告活动。这些广告会将用户引导至众多提供上述三款程序下载的网站之一。”

尽管该活动中使用的代码签名证书已被吊销，但当前已安装这些程序的设备仍面临风险。在部分PDF Editor的使用场景中，应用会向用户弹出提示，以“免费使用工具”为交换，请求获得将其设备用作住宅代理的权限。 

研究人员指出，提供代理网络服务的供应商可能是合法实体，并未参与此次恶意活动，而PDF Editor的操作人员实则是作为附属机构从中牟利。显然，PDF Editor的幕后操纵者正以全球用户的利益为代价，试图实现利润最大化。

即便该活动中的这些程序被归为潜在有害程序（PUP），但其具备的功能与恶意软件并无差别，应同等视作恶意软件处理。

研究人员警告称，他们发现的这一网络行动还涉及更多应用程序，其中部分尚未被武器化，但这些应用均具备分发恶意软件或可疑文件、秘密在系统上执行命令的能力。

当企业还在为 AI 生成的钓鱼邮件头疼，为域内垃圾邮件泛滥焦虑时，一份来自行业权威咨询机构的 “成绩单” 给出了答案。

近日，数世咨询正式发布2025年度《中国数字安全价值图谱》。CACTER邮件安全凭借领先的反邮件垃圾技术与26 年行业沉淀的深厚实力，成功入选“邮件安全网关”领域代表企业，稳居邮件安全行业前列，成为众多企业选择邮件安全方案的 “放心之选”。

 为什么是 CACTER？这份 “硬核实力清单” 说明一切

《中国数字安全价值图谱》被业内称为 “数字安全领域的风向标”，评选标准聚焦 “技术硬实力、市场认可度、场景适配性” 三大核心。CACTER 能从众多厂商中脱颖而出，关键在于其邮件安全网关的 “全场景防护能力”：

1、自研技术，反垃圾率领先：以自主研发的神经网络平台 Nerve2.0 为技术基础，搭配 “自动过滤 + 人工控制” 双层管理机制，反垃圾准确率达 99.8%、处于市场领先水平；

2、独家域内管控，全类型拦截：可针对性高效拦截域内异常发信行为、钓鱼/垃圾/病毒邮件；

3、全能力覆盖，匹配权威标准：全面覆盖图谱中6大核心能力-“邮件攻击防护、垃圾邮件防护、高级威胁检测、恶链检测、邮件信誉服务、邮件内容安全防护”。

这种 “自研技术 + 全能力覆盖 + 高防护精度” 的组合，正是 CACTER 稳居行业前列的关键底气。

不止于当下：AI 时代，它早已备好 “新防线”

随着 AI 技术快速发展，AI 生成式钓鱼邮件凭借伪装性强、识别难度高的特点，成为企业新的安全威胁。对此，CACTER 早已提前布局，近期推出的 CACTER 大模型邮件安全网关，在传统机器学习基础上引入 LLM 与多模态技术，大幅提升对新型恶意钓鱼邮件企图及其他恶意活动的识别能力，可精准阻断 AI 生成式钓鱼邮件，为企业应对前沿安全风险提供了有力支撑。 

从传统邮件网关的基础防护，到能精准狙击 AI 生成式钓鱼的大模型网关，CACTER 此次入选 2025年度《中国数字安全价值图谱》，既是行业对CACTER现有实力的认可，更印证了其对邮件安全趋势的前瞻布局。。未来，CACTER 将继续以企业需求为导向，持续迭代技术与产品，为中国数字安全产业筑牢 “邮件安全护城河”

关于《中国数字安全价值图谱》

《中国数字安全价值图谱》是数世咨询基于“价值导向”理念，聚焦企业核心能力、市场占有率及技术创新性等维度，旨在为企业筛选细分领域头部供应商，降低选型试错成本，是数字安全领域极具参考价值的权威名录。

2025年8月，一场针对伊朗航运系统的网络攻击再次震惊世界。黑客组织Lab-Dookhtegan通过入侵卫星通信服务商Fanava集团的安全防护，导致伊朗国家油轮公司（NITC）与伊斯兰共和国航运公司（IRISL）运营的39艘油轮与25艘货船彻底失联（见图1）。船载导航系统数据被清空，部分船舶甚至面临数月无法恢复运营的困境。这场数字化“海难”暴露了现代交通命脉的致命软肋——卫星通信的脆弱性已成全球安全黑洞。 

图1 伊朗油轮卫星通信系统第二次被攻击

船舶的“数字生命线”被切断

现代船舶依赖卫星通信实现航行监控、气象预警、远程调度与应急联络。本次攻击中，黑客通过美国ST Engineering iDirect公司的卫星调制解调器，利用默认口令和未更新的2020年旧版系统，直接擦除设备存储器，瞬间中断所有岸船通信。这导致船员陷入“信息孤岛”，无法获取航道数据或求救信号。 

连锁反应危及全球航运安全

失联仅是灾难的开始。同期在波斯湾海域，GPS电子战干扰导致船舶定位严重异常：一艘330米超级油轮竟被显示“出现在伊朗山顶”，另一艘29万吨油轮的轨迹则“驶入阿联酋赛马场”。船员被迫回归原始航海手段——手动绘图、肉眼瞭望，以规避暗礁与碰撞风险。 

技术依赖

伊朗油轮全面采用美国iDirect设备，国际博弈中丧失技术自主权 。

防护缺失

默认口令十年未改，系统零更新，黑客5分钟掌控整船通信。

战场化威胁

冲突地区GPS干扰日均超千次，船舶导航集体“失明”。

更深层危机在于：全球90%的远洋船舶使用欧美卫星服务商设备。一旦地缘冲突升级，关键技术断供或定向攻击将直接瘫痪物流命脉。 

• 战略层面：构建主权卫星通信体系  

国产化替代迫在眉睫 

伊朗事件证明，将交通核心设施寄托于他国技术等于“裸奔”。需加速发展自主卫星网络，从芯片级硬件到操作系统实现全栈可控，避免受制于单极技术霸权。 

建立海事通信冗余链路

融合低轨卫星、手机直连卫星、岸基微波通信、短波超短波通信等，使用多种通信手段，打造“空天地海”一体化通信网。当卫星信号中断时，自动切换至备用信道保障最低限度通联。 

• 战术层面：部署“堡垒级”安全防护  

动态防御升级

强制废除默认凭证，实施双因素认证+生物识别

建立卫星设备漏洞扫描响应平台，24小时监控威胁

数据装甲计划

航行数据端到端加密，即使被截获也无法破译

关键导航系统物理隔离，阻断外部渗透路径

实战化攻防演练

定期开展“红蓝对抗”，模拟国家级黑客组织攻击场景

为船员配备抗干扰应急通信包，包含短波电台与惯性导航设备 

此次64艘油轮的“集体沉默”是一记震耳欲聋的警钟。当一艘价值数亿的巨轮因一行默认密码而沦为海上铁棺材，当价值千亿的国际贸易因一段恶意代码陷入停摆，我们不得不承认：卫星通信自主权=国家安全新边疆，深度防护能力=航运生存底线。在数字海啸席卷全球的今天，唯有将卫星通信安全提升至“国土防御”层级，才能守护连接人类文明的蓝色动脉。

盛邦安全致力卫星互联网安全研究，已发布包含卫星互联网测绘、脆弱性分析检测、网络接入认证、卫星通信加密、跨域安全组网、入侵检测、网络流量管控等方面的整体解决方案，我们将继续深耕，持续为行业赋能！

原文链接

安全研究人员发现，攻击者近期正利用Sitecore遗留中的一个零日漏洞，部署名为WeepSteel的侦察恶意软件。 

该漏洞编号为CVE-2025-53690，是一种ViewState反序列化漏洞，其成因是2017年前的Sitecore官方指南中包含了一个ASP.NET机器密钥示例。部分客户在生产环境中复用了该密钥，这使得掌握该密钥的攻击者能够构造有效的恶意“_VIEWSTATE”有效载荷，对这些载荷进行反序列化并执行，最终导致远程代码执行（RCE）。

需要明确的是，该漏洞并非ASP.NET本身的问题，而是因复用公开文档中，本不应用于生产环境的密钥所导致的配置错误漏洞。

漏洞利用活动详情

Mandiant研究人员在野外发现了相关恶意活动，他们报告称，攻击者正利用该漏洞实施多阶段攻击。具体流程如下：

1.  初始入侵：攻击者瞄准“/sitecore/blocked.aspx”端点（该端点包含无需身份验证的ViewState字段），借助CVE-2025-53690漏洞，以IIS网络服务（NETWORK SERVICE）账户权限实现远程代码执行。

2.  植入侦察工具：攻击者投放的恶意有效载荷为WeepSteel——这是一款侦察型后门程序，可收集系统、进程、磁盘及网络信息，并将数据窃取行为伪装成标准的ViewState响应。

WeepSteel的信息收集

Mandiant观察到，攻击者在被攻陷环境中执行了多项侦察命令，包括whoami（查看当前用户）、hostname（查看主机名）、tasklist（查看进程列表）、ipconfig /all（查看网络配置）以及netstat -ano（查看网络连接）。

3.  部署后续工具：在攻击的下一阶段，黑客部署了Earthworm（网络隧道与反向SOCKS代理工具）、Dwagent（远程访问工具）以及7-Zip（用于将窃取的数据压缩归档）。

4.  权限提升与持久化：随后，攻击者通过创建本地管理员账户（如“asp$”“sawadmin”）、转储缓存凭证（SAM与SYSTEM注册表 hive）、借助GoTokenTheft工具尝试令牌伪造等方式提升权限；并通过禁用这些账户的密码过期功能、授予远程桌面（RDP）访问权限、将Dwagent注册为系统（SYSTEM）服务等手段，实现持久化控制。

攻击生命周期

针对CVE-2025-53690漏洞建议

CVE-2025-53690漏洞影响Sitecore Experience Manager（XM）、Experience Platform（XP）、Experience Commerce（XC）及Managed Cloud产品，且仅当这些产品（最高版本9.0）使用2017年前文档中包含的ASP.NET机器密钥示例进行部署时才会受影响。

XM Cloud、Content Hub、CDP、Personalize、OrderCloud、Storefront、Send、Discover、Search及Commerce Server等产品不受此漏洞影响。

Sitecore已协同Mandiant的报告发布安全公告，警示使用静态机器密钥的多实例部署同样面临风险。针对可能受影响的管理员，建议采取以下措施：

1.  立即将web.config中所有静态值替换为新的唯一密钥；

2.  确保web.config中的元素已加密；

3.  作为常规安全措施，建议定期轮换静态机器密钥。

2025年8月28日，由国家数据局主办、贵州省人民政府承办的“2025中国国际大数据产业博览会”在贵州省贵阳市隆重召开。会上，深圳市政务服务和数据管理局隆重发布“数字深圳联合创新中心”。梆梆安全凭借主动防御能力、深度适配新型数字基建的安全产品与创新服务，成功通过严格审核，成为首批入驻“数字深圳联合创新中心”的安全企业。

数字深圳联合创新中心是以政府开放场景与数据为基础，构建“政府引导、市场主导”的协同创新生态。意在引导和赋能各类主体参与联合创新，秉持“先实验、再实战”的科学路径，推动创新成果兼具高质量与可复制推广性，实现“一地创新、多地复用”的成果转化模式，探索智慧城市和信息化的新发展。

此次合作充分体现对梆梆安全在数字安全领域综合能力的高度认可。作为首批入驻“数字深圳联合创新中心”的安全企业，梆梆安全将深度融入深圳政务信息化创新生态，以专业可靠的安全能力为支撑，赋能政务数字化进程，助力构建更加稳健、高效的城市数字安全体系。

北京梆梆安全科技有限公司（简称“梆梆安全”）成立于2010年，开创、繁荣了移动应用安全蓝海市场，建立了全面的“移动应用安全防护”生态体系，业务上形成“以移动安全为主体，联动安全服务和物联网安全”的“一体两翼”业务体系，通过专业的安全服务为政府、企业、开发者和消费者等客户打造安全稳固可信的网络空间生态环境；技术、产品、解决方案和咨询服务共同搭建构成“四位一体”的产研体系，软件、硬件与控制的多管齐下，逐步实现由软及硬、由内而外的联防联控。

截至目前，梆梆安全已拥有10万家以上企业及开发者用户，安全技术覆盖的移动应用软件超过100万，这些应用已经累计安装在10亿个移动终端上，用户遍及金融、互联网、物联网、政府、运营商、企业、医疗、能源、教育等各大行业；并为十九大、两会、G20峰会、金砖国家领导人厦门会晤、上合峰会、中国国际进口博览会等国际国内重大会议活动提供网络安全保障支撑服务。

行而不辍，未来可期。梆梆安全始终致力于支撑网络与信息化事业高质量发展，凭借持续创新的安全能力，为数字城市筑牢安全屏障，全力守护每一道安全运行关口。

2025年9月3日上午9时，中国人民抗日战争暨世界反法西斯战争胜利80周年纪念大会在北京天安门广场隆重举行。为铭记历史、缅怀先烈、弘扬伟大抗战精神，梆梆安全党支部发出倡议，号召全员收看阅兵盛典直播。公司通过大厅显示屏同步播放直播内容，以方便员工观看。同时，党支部还组织党员集中收看，并同步开展主题党日活动，以庄严仪式凝聚奋进力量，激发爱国热情与使命担当。

上午9时，随着礼炮轰鸣，阅兵式正式拉开帷幕。中共中央总书记、国家主席、中央军委主席习近平发表重要讲话，强调“中国将始终做世界和平的建设者、全球发展的贡献者、国际秩序的维护者”。随后，分列式中，45个方（梯）队以雷霆之势接受检阅，所有受阅装备均为国产现役主战装备，涵盖陆上、海上、空中、信息作战、无人作战等多个领域，展现了我军现代化建设成果。此次阅兵中，多个“首次”引发关注：首次进入全面推进中国式现代化新征程后的阅兵，首次集中展示我军力量结构新布局，首次对外展示部分海陆空基战略重器等……这些突破标志着人民军队正加速向现代化迈进。此外，由解放军仪仗司礼大队军乐团和其他部队抽组成立联合军乐团，在演奏队形编排上，整体设置14个排面，寓意14年抗战；前排设置80名礼号手，寓意抗战胜利80周年，为纪念活动营造了隆重庄严的氛围。

在信息化时代，网络安全已成为国家安全的重要组成部分，直接关系到国家主权、安全和发展利益。正如阅兵仪式上展示的先进装备一样，网络安全技术也是国家防御体系中的重要一环。没有网络安全，就没有国家安全；没有信息化，就没有现代化。梆梆安全作为移动安全解决方案专家，深知自身肩负的责任与使命。我们不仅要为客户提供优质的网络安全产品和服务，更要积极履行社会责任，为构建安全、和谐、清朗的网络空间贡献力量。同时，在阅兵仪式上，我们看到了中国军队在科技强军道路上的取得的辉煌成就。这启示我们，在网络安全领域也要坚持创新驱动发展战略，不断提升自身的核心竞争力。只有这样，我们才能在激烈的市场竞争中立于不败之地，为国家网络安全事业做出更大的贡献。在阅兵仪式的震撼与感动中，我们更加坚定了守护网络安全的决心和信心。

80年前，中国人民以血肉之躯赢得胜利；80年后，新时代的中国人正以昂扬姿态迈向复兴。此次党日活动通过“沉浸式”观礼，让全体党员在历史与现实的交汇中坚定理想信念，在使命与担当的召唤中凝聚奋进力量。

支部书记田晓宁总结道：“这场阅兵既是对历史的致敬，更是对未来的宣示。我们要以抗战精神为指引，立足岗位建功立业，在推进中国式现代化的新征程上书写无愧于时代的答卷！”随着《歌唱祖国》的旋律响彻天安门广场，梆梆安全全体职工，尤其是党员同志，将以更加昂扬的姿态，投身于民族复兴的伟大实践，让抗战精神在新时代绽放新的光芒！

知名云基SaaS（软件即服务）提供商Workiva已通知其客户，攻击者通过入侵第三方客户关系管理（CRM）系统，窃取了部分用户数据。

Workiva的云软件主要用于为财务报告、合规审查和审计工作收集、关联及共享数据。截至去年年底，该公司拥有6305家客户，2024年营收达7.39亿美元。

其客户名单涵盖85%的《财富》500强企业，以及谷歌、T-Mobile、达美航空、Wayfair、好时、Slack、高知特、桑坦德银行、诺基亚、卡夫亨氏、温迪快餐、派拉蒙、梅赛德斯-奔驰等知名企业。

数据泄露细节与平台安全性说明

据Workiva上周发送给受影响客户的私人邮件通知显示，攻击者窃取了少量商业联系信息，包括姓名、电子邮箱地址、电话号码以及支持工单内容。

该公司解释称：“此类事件与近期多起针对大型机构的攻击类似。重要的是，Workiva平台本身及其中的所有数据均未被访问或破坏。CRM供应商已通知我们，攻击者是通过一个关联的第三方应用程序非法入侵的。”

Workiva还提醒受影响客户保持警惕，因为被盗信息可能被用于鱼叉式钓鱼攻击。

关联Salesforce数据泄露事件

尽管Workiva未披露此次攻击的更多细节，但据了解，该事件是近期Salesforce数据泄露潮的一部分——这一系列攻击与勒索团伙ShinyHunters有关，已影响多家知名企业。

就在不久前，Cloudflare披露称，其被迫轮换了104个由Cloudflare平台签发的令牌，这些令牌被ShinyHunters团伙窃取。该团伙于8月中旬入侵了Cloudflare用于客户支持和内部客户案例管理的Salesforce实例。 

自今年年初以来，ShinyHunters就通过语音钓鱼（vishing）针对Salesforce客户实施数据盗窃攻击，受影响企业包括谷歌、Cisco、Allianz Life、、Workday、Qantas、Adidas以及LVMH旗下子公司（包括迪奥、路易威登和蒂芙尼等）。 

近期，该勒索团伙的攻击手段有所转变：他们开始利用窃取的OAuth令牌（用于Salesloft的Drift AI聊天工具与Salesforce的集成功能）入侵客户的Salesforce实例，并从客户消息和支持工单中提取敏感信息，如密码、AWS访问密钥和Snowflake令牌。 

通过这种方式，ShinyHunters除了窃取Salesforce CRM数据外，还入侵了少量谷歌Workspace账户，并攻陷了网络安全公司Zscaler和Palo Alto Networks的Salesforce。