研发人员请注意:你克隆的代码,可能“带毒”
近期,奇安信网络安全部和威胁情报中心观察到有多个政企客户研发人员从 Github 上下载不可信的工具或安装包,从而导致开发终端被植入窃密或挖矿软件,可能会对公司核心数据造成潜在的影响。
奇安信威胁情报中心
一次针对 iOS 间谍武器开发人员的 0day 攻击到美国十大政府承包商 L3Harris 的陷落
L3Harris子公司Trenchant网络业务总经理Peter Williams被控将同一批0day秘密出售,原iOS研究员Jay Gibson被误判为内鬼遭开除,事件暴露美国十大政府承包商双重失守:既被外部0day攻破,又出现内鬼外泄
每周高级威胁情报解读(2025.10.17~10.23)
COLDRIVER启用新的恶意软件;BeaverTail和OtterCookie推出新的Javascript模块;UNC5342使用“EtherHiding”传播恶意软件;疑似 APT36 组织的双平台后门StealthServer分析
TA585 组织利用 ClickFix 钓鱼技术部署 MonsterV2 RAT 的深度技术分析
2025年4月,TA585演变为完全自主的运营商,注册并维护自己的恶意基础设施,被研究人员标识为CoreSecThree。其主要使用恶意软件的MonsterV2 RAT具有信息窃取、隐藏虚拟网络计算(HVNC)和剪贴板劫持等多种高级功能。
蔓灵花(APT-Q-37)以多样化手段投递新型后门组件
奇安信威胁情报中心近期发现一些与蔓灵花组织相关的攻击样本,这些样本使用不同方式,最终植入一种可以从远程服务器下发任意 EXE 文件的 C#后门。
每周高级威胁情报解读(2025.10.10~10.16)
海莲花组织Havoc远控木马分析;TwoNet 黑客组织瞄准 OT/ICS;APT35组织泄露的内部文件分析;Mysterious Elephant利用 WhatsApp 通信窃取敏感数据;追踪 TA585 及其武器库
软硬件产品供应链攻击分析报告
8月,攻击者入侵Drift获取令牌,进而访问到与之关联的Salesforce,导致多家企业数据被泄露。2月的Bybit大劫案与其使用的签名服务代码被植入恶意功能有关。奇安信威胁情报中心通过分析历年经典供应链攻击案例得到一些结论并提供对策建议
另一个 SolarWinds 事件?F5 被攻击渗透事件简要信息整理及影响分析
F5于2025年8月9日首次发现入侵,并立即启动了事件响应流程。F5强调,其软件供应链未被修改,且没有证据表明攻击者访问或窃取了客户关系管理系统、财务系统、支持案例管理系统、iHealth 系统、NGINX源代码或F5分布式云服务等关键系统
利用 Oracle EBS 漏洞(CVE-2025-61882)的勒索活动综合技术分析报告
本报告深入分析针对 Oracle E-Business Suite(EBS)的关键漏洞CVE-2025-61882,以及其在大规模勒索活动中的实际利用情况。该漏洞CVSS评分9.8,影响Oracle EBS 12.2.3至12.2.14版本
每周高级威胁情报解读(2025.09.26~10.09)
Cavalry Werewolf利用信任关系攻击袭击俄罗斯公共部门;Confucius攻击工具从窃取器向模块化后门演进;分析DPRK IT Workers加密洗钱网络内部;SideWinder扩大网络钓鱼行动;揭秘魔罗桫组织武器库源代码
揭秘魔罗桫(confucius)组织武器库源代码
通过多源情报分析研判,我们认为“魔罗桫”属于具有外包性质的 APT 组织,其攻击行动多由本土承包商或个人发起。此类外包型网络攻击具备几个显著特征:攻击成本较低、技术手法相对简单,但攻击目标往往体现国家意志。
每周高级威胁情报解读(2025.09.19~09.25)
COLDRIVER使用BAITSWITCH和SIMPLEFIX更新武器库;Nimbus Manticore针对欧洲目标部署新恶意软件;Kimsuky通过隐藏在压缩文件中的快捷方式进行攻击;Turla 与 Gamaredon 合作针对乌克兰
奇安信威胁情报MCP V2.0全新升级:洞察“幕后黑手”,威胁行为体画像功能全面上线!
奇安信威胁情报MCP V2.0“威胁行为体画像”功能可助力小伙伴们快速了解攻击组织的背景与动机,结合ATT&CK框架,让威胁分析变得更轻松、更深入~欢迎大家体验!
每周高级威胁情报解读(2025.09.12~09.18)
绘制 MuddyWater 基础设施和恶意软件生态系统图;APT28 组织 Phantom Net Voxel 行动揭秘;深入分析“伪猎者”组织Github仓库加密载荷;Kimsuky组织利用生成式AI“ChatGPT”发起APT攻击
Shai-Hulud 蠕虫蔓延NPM生态攻击与近期系列事件关联分析
9月15日,一场针对npm生态系统的大规模供应链攻击开始爆发,这种被命名为"Shai-Hulud"的蠕虫以其自我复制能力迅速引起安全研究人员的关注。截至目前,已有约150个npm包被感染,包括CrowdStrike公司的多个软件包。
又又一起NPM供应链投毒:valorkin 和 scttcper 账户被入侵事件,影响广泛
9月15日,一起严重的NPM组件投毒事件,影响了两位知名开发者维护的近40个开源组件。这次攻击针对开发者valorkin和scttcper的账户进行了凭证窃取,并在他们维护的热门组件中植入了恶意代码。
每周高级威胁情报解读(2025.09.05~09.11)
APT37利用Rust后门和Python加载器攻击Windows;APT28使用GONEPOSTAL进行攻击;Contagious Interview滥用网络情报平台掩盖行动;NoisyBear 针对与哈萨克斯坦石油和天然气行业相关实体
Plague 后门深度分析:Linux 系统中的隐形杀手
Nextron Research发现了一种此前似乎未被公开记录的、极其隐蔽的Linux后门。该后门被研究人员命名为Plague。它被设计成一个恶意的 PAM(可插拔认证模块),使攻击者能够绕过系统认证机制,从而获取持久的 SSH 访问权限。
泛滥的供应链攻击又一例 - GhostAction行动窃取凭证信息事件解析
9月5日,GitGuardian安全研究团队发现了一起代号为“GhostAction”的大规模供应链攻击事件,攻击者通过操纵GitHub Actions工作流程,成功窃取了数千个敏感凭证,涉及327名GitHub用户的817个代码仓库。
JavaScript 生态供应链又一暴击 - 最新 npm 精准投毒搞钱活动详析
近期,JavaScript生态系统遭遇重大供应链攻击。攻击者通过社会工程学手段获取了Josh Junon的npm账户权,在至chalk、debug等核心基础库中植入恶意代码,下载量总计超过20亿次。这次攻击不仅规模庞大,其技术实现也极为精巧
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)