HackerNews

HackerNews 编译，转载请注明出处： 全球最大医疗合作社Unimed因暴露的Kafka实例导致数百万条医患对话泄露，内含患者上传的图片、文档等敏感信息。医疗数据作为个人最私密的资产之一，却始终难以幸免于数据泄露风险。 网络安全研究团队发现，巴西医疗巨头Unimed一处未受保护的Kafka实例暴露在公网。这家服务约1500万用户的行业领军企业，其聊天机器人“Sara”及真实医患间的对话通过该开源实时数据传输平台持续外泄。研究人员成功拦截逾14万条聊天记录，而实例日志显示至少1400万条信息曾以不安全方式传输。 “此次泄露的医疗机密信息极其敏感，”研究人员警告，“攻击者可能利用这些数据实施歧视及针对性仇恨犯罪，更常见的手段包括身份盗用、医保诈骗、金融欺诈和钓鱼攻击。”泄露详情涵盖： 患者上传的图片及文档 文字聊天内容 患者姓名、电话号码及邮箱 Unimed医疗卡号 医疗数据在黑市备受追捧，因其可被用于多重犯罪：除身份盗用和保险欺诈外，健康记录还能成为敲诈勒索或冒充患者的工具。更严峻的是，研究人员指出攻击者理论上可拦截、篡改甚至删除特定用户的通信内容，其潜在危害难以估量。 Unimed在接到通报后已关闭暴露实例。为防范类似事件，研究团队建议： 严格限制Kafka实例访问权限，仅允许授权消费者与生产者连接 启用IP白名单机制 激活平台内置的认证授权功能       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了TI WooCommerce Wishlist插件存在关键未修补漏洞，该WordPress插件允许未经验证的攻击者上传任意文件。 这款活跃安装量超10万的电商插件，主要功能是让用户收藏商品并分享心愿清单至社交媒体平台。“该插件存在任意文件上传漏洞，攻击者无需认证即可向服务器上传恶意文件。”Patchstack研究员约翰·卡斯特罗指出。该漏洞编号CVE-2025-47577，CVSS评分为10.0分，影响2024年11月29日发布的2.9.2及之前所有版本，目前尚无补丁可用。 漏洞源于“tinvwl_upload_file_wc_fields_factory”函数调用WordPress原生函数“wp_handle_upload”时，将覆盖参数“test_form”和“test_type”设置为false。其中“test_type”参数本应验证文件MIME类型，“test_form”用于检查$_POST[‘action’]参数。当“test_type”设为false时，文件类型验证机制被完全绕过。 需注意的是，该漏洞函数仅当WC Fields Factory插件启用时，通过tinvwl_meta_wc_fields_factory或tinvwl_cart_meta_wc_fields_factory接口暴露。这意味着成功利用漏洞需同时满足两个条件：WordPress站点安装并启用了WC Fields Factory插件，且TI WooCommerce Wishlist插件中开启了该集成功能。 在攻击场景中，攻击者可上传恶意PHP文件并通过直接访问实现远程代码执行。建议开发者在使用wp_handle_upload()时移除或避免设置‘test_type’ => false。在官方补丁发布前，用户应立即停用并删除该插件。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cisco Talos披露，黑客正利用OpenAI ChatGPT和InVideo AI等热门人工智能工具的虚假安装程序作为诱饵，传播CyberLock、Lucky_Gh0$t勒索软件及新型恶意软件Numero等威胁。 “基于PowerShell开发的CyberLock勒索软件主要针对受害者系统中的特定文件进行加密，”研究员切坦·拉古普拉萨德在报告中指出，“Lucky_Gh0$t则是Yashma勒索软件的变种，属于Chaos勒索软件家族的第六代迭代，仅对勒索程序二进制文件进行了微调。”而Numero属于破坏性恶意软件，通过篡改Windows操作系统图形界面组件使设备瘫痪。 这些正版AI工具在B2B销售和营销领域广受欢迎，表明相关行业的个人与机构成为攻击者的主要目标。虚假网站“novaleadsai[.]com”疑似冒充正规潜在客户开发平台NovaLeads，可能通过SEO投毒技术提升搜索引擎排名。该网站以“首年免费使用，后续月费95美元”为诱饵，诱使用户下载内含恶意.NET可执行文件(“NovaLeadsAI.exe”)的压缩包。该文件实为加载器，用于部署基于PowerShell的CyberLock勒索软件。 该勒索软件具备权限提升功能，若未获管理员权限将自我提权执行，随后加密“C:”、“D:”、“E:”分区中特定扩展名的文件，并投放勒索信索要5万美元门罗币赎金。值得注意的是，攻击者在勒索信中宣称赎金将用于援助巴勒斯坦、乌克兰、非洲、亚洲等“长期遭受不公”地区的妇女儿童。“与无辜生命尤其是儿童的牺牲相比，这笔金额微不足道。遗憾的是，我们认定多数人不会主动施以援手，迫使我们出此下策。”勒索信写道。最后阶段，攻击者利用系统原生二进制工具“cipher.exe”配合“/w”参数清除磁盘可用空间，阻碍取证恢复。 另一攻击者则通过伪造ChatGPT高级版安装程序传播Lucky_Gh0$t勒索软件。恶意自解压安装包内含仿冒微软程序“dwm.exe”的勒索程序“dwn.exe”，同时捆绑微软官方开源AI工具。一旦运行安装程序，脚本即触发勒索程序。这款Yashma变种在加密1.2GB以下文件前会删除卷影副本及备份。勒索信包含专属解密ID，要求受害者通过Session通讯软件联系支付赎金获取解密工具。 此外，黑客还利用AI视频创作平台InVideo AI的伪造安装程序传播破坏性恶意软件Numero。该安装程序作为投放器包含三个组件：Windows批处理文件、VB脚本及Numero可执行程序。启动后，批处理文件通过无限循环调用VB脚本，每60秒中断并重启Numero进程。这款C++编写的32位程序会检测分析工具和调试器进程，随后将桌面窗口标题、按钮及内容覆盖为数字串“1234567890”。 此次披露恰逢谷歌旗下Mandiant曝光利用Facebook和LinkedIn恶意广告的欺诈活动。该活动将用户诱导至冒充Luma AI、Canva Dream Lab、Kling AI等正规AI视频工具的虚假网站。据Morphisec和Check Point本月初揭露，该活动被归因于越南关联组织UNC6032，至少自2024年中持续活跃。 攻击流程中，用户访问虚假网站后被要求输入提示词生成视频。无论输入内容如何，网站都会触发下载基于Rust的投放器STARKVEIL。该程序投放三款信息窃取类模块化恶意软件：使用TOR隧道获取.NET有效载荷的下载器GRIMPULL；收集系统信息及密码管理器/加密货币钱包数据的.NET后门FROSTRIFT；具备键盘记录、远程命令执行等功能的.NET远控木马XWorm。STARKVEIL还通过Python投放器COILHATCH，借助DLL侧加载技术启动上述载荷。 “这些AI工具已不仅针对设计师，任何人都可能被看似无害的广告诱骗，”Mandiant警告道，“尝试最新AI工具的诱惑可能让任何人沦为受害者。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司GreyNoise披露，新型僵尸网络“AyySSHush”已入侵全球超9000台华硕路由器，并同步针对思科、D-Link等品牌的SOHO设备。该活动最早于2025年3月中旬被发现，攻击手法呈现国家级黑客组织特征。 攻击者采用三重渗透策略： 暴力破解：尝试常见弱口令组合 身份验证绕过：利用老旧漏洞突破防线 漏洞利用：重点针对华硕RT-AC3100、RT-AC3200及RT-AX55型号设备，通过命令注入漏洞CVE-2023-39780植入SSH公钥 值得注意的是，攻击者通过官方功能添加密钥，使得配置更改在固件升级后仍保留。后门程序将SSH守护进程绑定至非常规端口53282，同时关闭系统日志与趋势科技AiProtection防护功能，实现隐蔽驻留。 法国安全公司Sekoia追踪的“Vicious Trap”活动与该僵尸网络存在技术重叠。攻击者除路由器外，还针对SSL VPN、DVR设备及基板管理控制器实施入侵。观察到恶意脚本通过重定向受控设备流量至第三方节点，但尚未发现DDoS攻击或流量代理行为，推测其正构建基础设施为后续攻击铺路。 华硕已发布受影响型号固件更新（具体发布时间因型号而异），建议用户： 立即升级至最新固件版本 检查路由器“authorized_keys”文件是否包含攻击者SSH密钥（IoC列表参见原文） 将关联IP地址（101.99.91[.]151等四组）加入防火墙黑名单 如遇可疑活动，执行恢复出厂设置并采用高强度密码重新配置 GreyNoise监测数据显示，过去三个月仅捕获30次恶意请求，但成功入侵设备达九千余台，显示攻击具备高度精准性。研究人员提醒，传统固件升级无法清除已植入的后门，彻底排查需结合日志审计与密钥验证。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究团队Cybernews发现，两个未受保护的Azure Blob存储容器发生数据泄露，内含超160万份文件，主要涉及Etsy、Poshmark及TikTok店铺客户信息。泄露数据以美国用户为主，部分波及加拿大与澳大利亚客户。 尽管在线购物已具备较高安全性，数字阴影中仍潜藏风险。研究团队近期发现的两个暴露实例中，存储的HTML格式物流确认邮件包含以下敏感信息：用户全名、家庭住址、电子邮箱、物流订单详情。 研究人员强调：“考虑到Etsy作为全球数百万小微企业的交易平台地位，物流确认邮件数据泄露对其客户隐私与安全构成重大威胁。” 大部分泄露文件来自手工艺品电商平台Etsy，部分数据关联TikTok店铺、二手交易平台Poshmark及刺绣设计平台Embroly。 攻击者可利用泄露信息实施多重恶意活动： 精准钓鱼攻击：冒用Etsy或合作物流商身份，借助真实订单细节提升钓鱼邮件可信度，诱导用户点击恶意链接或泄露财务信息。 社交工程攻击：结合地址与订单信息实施深度伪装，骗取额外敏感数据。 恶意软件传播：制作包含具体商品描述的带毒邮件附件，利用用户信任实施感染。 虽然无法确认暴露实例的具体所有者，但处理记录分析显示：受影响订单主要涉及定制刺绣设计服务，设计师名称与订单明细指向越南地区刺绣服务提供商，证据表明可能为单一实体在多个电商平台开设店铺所致，但存储实例缺乏明确身份标识。 为防止类似事件，研究团队提出六项防护措施： 在云存储环境中实施更严格的安全控制，防止未授权访问 回溯审查访问日志，确认存储桶是否遭非法访问 启用服务器端加密确保静态数据保密性 使用Azure密钥保管库安全管理加密密钥 强制SSL/TLS协议保障数据传输安全 建立定期审计机制，开展员工数据安全培训 研究团队特别警示：“掌握用户全名与地址信息后，攻击者可伪装成可信物流服务商，通过伪造通知迫使受害者执行确认个人信息、支付款项或点击恶意链接等危险操作。此外，精确的订单信息可能被用于投放定制化恶意载荷，极大提升攻击成功率。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌云旗下Mandiant威胁情报团队发布报告称，越南黑客组织UNC6032自2024年中期起，通过社交媒体平台投放虚假AI工具广告实施大规模恶意软件攻击。该组织利用Luma AI、Canva Dream Lab等知名AI视频生成工具的名义创建仿冒网站，诱导用户下载包含多阶段恶意载荷的压缩包。 攻击者通过Facebook和LinkedIn平台创建或劫持账户，投放数千条虚假广告。当用户点击广告后，会被重定向至高度仿真的AI工具网站。无论用户输入何种内容，网站均会生成虚假视频并推送恶意ZIP压缩包，其中包含以下组件： STARKVEIL投放器：使用Rust语言编写，负责释放后续恶意模块 XWORM后门：具备键盘记录、屏幕截图及远程控制功能 FROSTRIFT后门：采集系统信息并窃取浏览器扩展数据 GRIMPULL下载器：用于从C2服务器获取额外插件扩展攻击能力 研究人员发现攻击者注册了30余个仿冒域名，通过120多个广告群组覆盖欧盟地区超230万用户。为逃避检测，该组织采取动态域名轮换策略——新注册域名通常在24小时内即被投入广告投放，单个广告存活周期不超过48小时。LinkedIn平台相关广告主要针对美国（占比65%）、欧洲（20%）及澳大利亚（15%）用户，单日展示量达5万至25万次。 技术分析显示，攻击链采用“故障保护”设计理念。即使部分恶意模块被安全软件拦截，其他载荷仍可维持攻击有效性。XWORM后门与Morphisec此前报告的Noodlophile窃密程序存在捆绑分发现象，两者均能通过内存注入实现隐蔽驻留。恶意软件通过DLL侧载、进程注入等技术突破防御，并利用注册表AutoRun键实现持久化。 Mandiant强调，攻击者利用AI技术热潮构建的钓鱼陷阱已突破传统行业界限，任何对新兴工具感兴趣的用户均可能成为目标。企业应加强员工安全意识培训，重点识别社交媒体广告中的异常跳转链接。个人用户需通过官方渠道验证AI工具真实性，避免下载来路不明的压缩文件。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究机构Oasis Security披露，微软OneDrive文件选择器存在严重权限设计漏洞，导致用户授权第三方应用时可能意外开放整个云盘访问权限。该漏洞影响数百万用户，涉及ChatGPT、Slack、Trello等数百款主流应用的集成功能。 技术分析显示，当用户通过文件选择器上传或下载特定文件时，关联的OAuth权限请求未采用细粒度控制机制，默认授予第三方应用对OneDrive全盘数据的读写权限。以7.0版本为例，即使执行上传操作仍需申请写入权限，且旧版选择器（6.0至7.2）存在OAuth令牌处理缺陷，包括使用URL片段和本地存储方式，容易导致敏感凭证泄露。尽管8.0版本将认证流程外部化，但权限范围仍未得到根本性约束。 Black Duck首席安全顾问Vijay Dilwale分析称，该问题本质是过度授权与误导性权限提示的结合产物。Sectigo资深研究员Jason Soroko指出，现有授权对话框未明确告知用户“允许访问所选文件”的实际含义是开放整个云盘访问入口。实际风险场景中，求职者通过招聘平台Phenome上传简历时，若文件存储在企业版OneDrive，可能连带暴露雇主机密文档。 Oasis Security列出四大核心风险点： 默认授权范围覆盖用户所有文件 访问令牌有效期长达1小时以上，若配合刷新令牌可实现持久控制 历史版本存在浏览器内存令牌存储安全隐患 权限提示界面未清晰传达风险等级 对比其他云存储方案，Google Drive采用drive.file等细粒度权限模型，仅允许访问应用创建或用户显式选择的文件；Dropbox自定义文件选择器则完全规避OAuth机制，仅传输用户指定文件。微软虽已确认报告内容，但尚未公布修复方案。 安全建议方面，企业应启用“管理员许可”策略，禁止应用申请超出files.read的基础权限；开发者需避免使用刷新令牌，严格限制权限范围；普通用户可通过微软隐私设置页面审查已授权应用清单，及时撤销可疑访问权限。Salt Security网络安全战略总监Eric Schwake强调，所有SaaS插件在获得授权前都应视为潜在数据泄露入口，必须实施最小权限原则。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，仿冒杀毒软件厂商Bitdefender的钓鱼网站正被用于分发VenomRAT远程控制木马及两款恶意工具，形成三重攻击链。该仿冒网站界面高度还原官方下载页面，但用户点击“DOWNLOAD FOR WINDOWS”按钮后，实际下载的是托管在Bitbucket与Amazon S3平台的恶意安装包。 安装包内含名为StoreInstaller.exe的可执行文件，经分析发现其捆绑了VenomRAT、StormKitty和SilentTrinity三个恶意家族的代码模块。DomainTools研究团队指出，攻击者通过模块化组合实现多重渗透： VenomRAT：基于开源项目Quasar RAT改造，具备键盘记录、凭证窃取与远程命令执行能力，建立持久控制通道 StormKitty：专门窃取加密货币钱包数据及系统登录凭证 SilentTrinity：采用隐蔽通信协议实施数据外泄，维持长期潜伏 技术溯源显示，相关恶意样本均配置相同C2服务器（67.217.228[.]160:4449与157.20.182[.]72:4449），且部分样本共享远程桌面协议（RDP）配置参数，证实攻击活动由同一组织操控。攻击者还注册多个仿冒银行与IT服务登录页的钓鱼域名，包括仿造亚美尼亚IDBank的idram-secure[.]live、伪装加拿大皇家银行的royalbanksecure[.]online，以及假冒微软门户的dataops-tracxn[.]com，域名注册时间与基础设施存在关联性。 此次攻击凸显开源恶意工具的低门槛化趋势，攻击者通过组合现有框架快速构建攻击套件。研究人员强调，虽然开源特征有助于防御方识别攻击模式，但也显著提升了攻击效率与规模。建议用户从官方渠道验证下载文件，避免在可疑页面提交敏感信息，并对邮件附件与链接保持警惕。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰网络安全公司EclecticIQ披露，针对移动设备管理软件Ivanti Endpoint Manager Mobile（EPMM）漏洞的大规模恶意攻击活动已波及英国两家医疗机构。 此次攻击利用编号为CVE-2025-4427和CVE-2025-4428的两个漏洞进行组合利用，攻击者首先通过身份验证绕过漏洞（CVSS评分5.3）突破防线，随后利用远程代码执行漏洞（CVSS评分7.2）接管系统。 全球范围内包括英国、美国、德国、韩国等国家的多个组织遭受冲击，英国国家医疗服务体系（NHS）下属的伦敦大学学院医院NHS信托基金会和南安普顿大学医院NHS信托基金会成为重点目标。 根据Sky News获取的证据，攻击者已成功侵入这两家医疗机构的IT系统。EclecticIQ首席执行官Cody Barrow指出，此类攻击可能导致患者敏感数据外泄，包括员工电话号码、设备IMEI码及身份认证令牌等技术信息。不过NHS England向Infosecurity杂志表示，当前尚未发现患者数据遭窃取的直接证据，医疗业务仍正常运转。NHS网络运营中心正与英国国家网络安全中心（NCSC）密切协作，通过24小时监控体系和高危预警机制优先处置关键漏洞。 此次被利用的漏洞最早于5月13日由欧盟计算机应急响应小组（CERT-EU）向Ivanti报告，厂商在当天发布安全公告并推出修复补丁。网络安全公司WatchTowr于5月15日公开技术分析报告及漏洞利用验证代码后，推测可能涉及国家级支持的黑客活动。 针对医疗行业频发的供应链安全风险，Bridewell公司网络安全副总监Emran Ali强调，医疗机构作为患者数据的核心保管者，必须构建覆盖供应商管理、技术控制、事件响应的立体防御体系。Netskope威胁实验室最新报告显示，81%的医疗数据违规事件涉及受GDPR等法规保护的敏感信息，突显第三方软件漏洞带来的连锁风险。近期NHS要求技术供应商签署公开安全承诺书的举措，标志着医疗行业正推动建立更严格的技术供应链问责机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，一个以牟利为目的的黑客组织正在利用Craft内容管理系统（CMS）新近披露的远程代码执行漏洞（CVE-2025-32432），部署包含加密货币矿工、Mimo加载器及住宅代理软件的多重恶意载荷。该高危漏洞已于今年4月由Orange Cyberdefense SensePost首次披露，官方在3.9.15、4.14.15和5.6.17版本中修复。 据Sekoia最新报告，攻击者通过该漏洞获取目标系统未授权访问权限后，部署WebShell实现持久远程控制。该WebShell会使用curl、wget或Python库urllib2从远程服务器下载并执行shell脚本。研究人员指出，攻击者在Python代码中将urllib2库别名为“fbi”，这种非常规命名可能暗指美国联邦调查局，或成为威胁溯源的重要线索。 该脚本首先检测系统感染痕迹，卸载已知加密货币矿工，终止所有活跃的XMRig进程及其他竞品挖矿工具，随后投放ELF可执行文件。该程序即Mimo加载器，通过修改动态链接器配置文件隐藏恶意进程，最终在受控主机部署IPRoyal代理软件和XMRig矿工。攻击者借此实现双重获利：劫持算力挖矿牟利，同时将受害者网络带宽转化为代理节点资源。 该攻击活动被归因于代号Mimo的黑客组织，其自2022年3月起活跃，曾利用Apache Log4j（CVE-2021-44228）、Atlassian Confluence（CVE-2022-26134）、PaperCut（CVE-2023–27350）及Apache ActiveMQ（CVE-2023-46604）等漏洞部署矿工。据安博士2024年1月报告，该组织2023年还使用基于Go语言的Mimus勒索软件实施攻击，该软件系开源项目MauriCrypt的分支版本。 Sekoia追踪发现攻击流量源自土耳其IP地址（85.106.113[.]168），开源情报显示Mimo组织成员可能物理位置位于该国。法国网络安全公司指出，Mimo组织以快速武器化新漏洞著称，此次从CVE-2025-32432漏洞披露到概念验证代码发布，再到实际攻击发生的时间间隔极短，充分展现其响应速度与技术敏捷性。目前确认该组织仍保持活跃，持续扫描利用新披露的漏洞实施攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周二披露，过去五年累计阻止了价值超过90亿美元的欺诈交易，仅2024年就拦截逾20亿美元。苹果表示，其应用商店正面临各类威胁，从窃取个人信息的欺诈性应用到试图利用用户的非法支付手段层出不穷。 为防止不良行为者提交恶意应用，苹果已因欺诈风险终止超过4.6万个开发者账户，并额外拒绝了13.9万次开发者注册申请。去年该公司还拦截了7.11亿次可疑账户创建，停用了近1.29亿个用户账户，以阻止这些账户从事垃圾信息传播、评分评论操控、排行榜及搜索排名干扰等危害应用商店生态的行为。 2024年其他值得关注的数据包括： 在盗版应用商店检测并拦截超过1万个非法应用，涵盖恶意软件、色情应用、赌博应用及正版应用盗版； 阻止近460万次非官方渠道安装或启动非法应用的尝试；因安全漏洞、隐私侵犯或欺诈风险驳回190万份应用上架申请； 下架3.7万余个涉及欺诈的应用，并拒绝4.3万份包含隐藏功能的提交申请； 以抄袭、垃圾信息或误导用户为由驳回32万份应用，另有40万份因隐私问题被拒； 从应用商店榜单移除7400多个潜在欺诈应用，并在搜索结果过滤近9500个欺骗性应用； 清除1.43亿条虚假评分评论； 识别470万张被盗信用卡，封禁160万个违规交易账户。 对比数据显示，苹果2023年拦截约18亿美元潜在欺诈交易，2022年拦截超20亿美元。去年该公司终止近11.8万个开发者账户。此次年度报告发布之际，谷歌今年早些时候披露2024年已阻止236万款违规安卓应用上架Google Play，并封禁15.8万个恶意开发者账户。 当前苹果正面临对其应用商店政策更严格的审查。美国近期一项裁决要求该公司允许iOS应用展示外部购买链接，打破原有的应用内支付垄断体系。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名伊朗籍公民在美国联邦法院承认参与运营Robbinhood勒索软件团伙，该组织通过一系列勒索攻击瘫痪了全美多个市政厅、医院及私营企业系统。司法部表示，Sina Gholinejad于本周二对计算机欺诈与电信欺诈共谋罪认罪，承认与同伙入侵数十个网络，使用Robbinhood恶意软件加密数据并勒索比特币赎金。Gholinejad将于8月宣判，最高面临30年监禁。 Robbinhood最臭名昭著的攻击是2019年5月针对巴尔的摩市的入侵事件，迫使市政部门切断数百台电脑网络连接，导致水费、房产税及停车费在线支付系统瘫痪。巴尔的摩市最终耗费超1900万美元用于系统恢复与弥补收入损失，北卡罗来纳州、俄勒冈州、纽约州及新泽西州也有其他受害者。 检方指出，Robbinhood团伙采用类似现代勒索软件即服务（RaaS）的运营模式，其犯罪活动可追溯至2019年初。攻击者在受害机构留下勒索信，引导受害者通过Tor暗网平台协商赎金，要求以比特币支付。司法部透露，赎金到账后，该团伙通过混币器与其他加密货币进行“链跳”操作隐匿资金流向，并利用多层VPN掩盖登录痕迹。 美国检察官丹尼尔·布巴尔表示：“网络犯罪并非无受害者的罪行，这是对我们社区的定向攻击。Gholinejad及其同伙策划的勒索计划扰乱民生、企业及地方政府运作，导致受害者和机构蒙受数千万美元损失。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国运动服饰巨头阿迪达斯披露，攻击者入侵某客户服务提供商后窃取部分客户数据。该公司于5月24日（周五）声明称：“阿迪达斯近期发现未经授权的外部方通过第三方客户服务提供商获取了部分消费者数据。我们立即采取措施控制事件影响，并联合顶尖信息安全专家启动全面调查。” 阿迪达斯补充称失窃信息不包含受影响客户的支付信息或密码，因攻击者仅获取联系方式。公司已就此事通报相关监管机构，并将按法律要求通知受影响的个人。 “阿迪达斯正依照适用法律向可能受影响的消费者、数据保护机构及执法部门发出通知，”声明强调，“我们始终致力于保护消费者隐私与安全，对此次事件造成的不便深表歉意。” 目前阿迪达斯尚未披露事件细节，包括受影响服务商名称、入侵发现时间、受影响人数以及公司自有网络是否遭渗透。当BleepingComputer联系阿迪达斯询问事件进展时，发言人表示“暂无最新消息，周五声明仍然有效”。 本月早些时候，阿迪达斯曾披露影响土耳其与韩国客户的数据泄露事件，涉及2024年及此前联系过客服中心的消费者。失窃信息包括姓名、电子邮箱、电话号码、出生日期与地址。2018年6月，阿迪达斯美国官网遭入侵，导致数百万购物者的联系信息、用户名及加密密码外泄。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 越南已命令当地电信服务提供商封禁广受欢迎的即时通讯平台Telegram，理由是国家安全担忧以及该公司涉嫌未能遵守当地法律。 科技部据称表示，Telegram未配合越南当局处理该应用程序上的犯罪活动，包括欺诈和毒品交易。电信公司已被指示实施封禁并于6月2日前报告执行情况。 近期政府报告指控，越南境内可访问的9,600个Telegram频道中有近70%涉及非法活动，包括反政府内容和所谓“颠覆性”文件的传播。当局还指责Telegram在刑事调查期间无视删除非法内容和分享用户数据的要求。 Telegram发言人告诉路透社，公司对封禁决定感到惊讶，并补充称其已及时响应越南的法律请求。该公司未立即回应Recorded Future News的提问。 作为一党制共产主义国家，越南对网络内容保持严格管控，并有施压全球科技公司遵守当地法规的记录。包括自由之家在内的人权监督机构警告称，针对记者、活动人士和用户的审查制度及惩罚措施正在增加。 这不是越南首次与主要科技平台发生冲突。2020年，据报越南曾威胁封禁Facebook，除非其限制更多内容；2023年又以类似指控考虑封禁TikTok。这两个平台目前仍可访问。 Telegram的俄罗斯籍创始人帕维尔·杜罗夫（Pavel Durov）今年早些时候在法国被捕，指控理由是该平台未能遏制网络犯罪和金融欺诈。 杜罗夫被捕后表示，他的目标是让应用程序“更安全、更强大”。 “Telegram用户数量激增至9.5亿导致发展阵痛，这使得犯罪分子更容易滥用我们的平台，”杜罗夫写道。“这就是为什么我把显著改善这方面作为个人目标。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州希博伊根市向约6.7万人发出警告，称2024年10月的勒索软件攻击导致黑客获取其个人信息。市政府于周五向监管机构提交数据泄露通知信，证实黑客在2024年10月31日入侵市政系统时窃取了社保号码、州身份证及车牌号信息。 希博伊根市政府委托网络安全公司展开调查，最终于5月14日确认数据确遭窃取。这座人口约5万的城市此前承认勒索软件团伙Chort宣称对此次攻击负责，但称无证据表明敏感数据遭窃。2024年11月，Chort团伙公开文件档案截图并索要赎金。 市政府已向执法部门报告事件，并在应对过程中“参考其指导意见”。官员表示应急服务仍正常运行，但自11月22日后未再发布进一步更新。市政府在通知信中承诺为受影响居民提供为期一年的身份保护服务。 希博伊根是威斯康星州近两年遭勒索攻击的多个政府实体之一。Chort勒索团伙于2024年11月崭露头角，宣称攻击科威特公共农业与渔业资源局、乔治亚州某公立学校等多家机构。纽约哈特威克学院也出现在该团伙的泄密网站上，校方上月向超4800名受害者发送通知信，证实去年10月遭袭。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   网络安全研究人员发现新型利用Python软件包索引（PyPI）传播机器学习模型恶意载荷的攻击活动。ReversingLabs披露，攻击者通过Pickle文件格式将恶意软件植入伪装成AI工具的开源组件，相关软件包声称提供阿里云AI服务的Python SDK，实际却部署窃密程序。 恶意软件包aliyun-ai-labs-snippets-sdk、ai-labs-snippets-sdk及aliyun-ai-labs-sdk表面为AI开发工具，实则不包含任何功能性代码。攻击者将信息窃取程序嵌入PyTorch模型文件（本质为压缩的Pickle文件），利用初始化脚本触发恶意载荷。该程序具备以下窃密能力： 窃取用户身份信息及网络配置数据 探测设备所属组织架构 提取.gitconfig版本控制配置文件 研究人员发现，恶意代码专门检测是否存在阿里会议（AliMeeting）开发者特征，显示攻击目标可能聚焦特定区域。 PyTorch模型加载机制与Pickle反序列化漏洞的结合形成攻击突破口。Pickle允许序列化对象执行任意代码的特性，使其成为绕过传统安全检测的理想载体。三个恶意软件包中有两个通过此方式投放全功能恶意程序。ReversingLabs逆向工程师Karlo Zanki指出：“当前安全工具对恶意机器学习模型的检测能力仍处于原始阶段，现有防护体系缺乏针对此类攻击的必要功能。” 尽管PyPI官方已下架相关软件包，但其在存活期间累计被下载约1600次。攻击者可能通过社会工程或钓鱼手段诱导开发者安装，具体诱导方式尚未明确。该事件凸显AI/ML工具成为软件开发核心组件后，亟需建立更严格的文件验证机制与零信任原则来应对ML制品的安全风险。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周二发布新发现的俄罗斯黑客组织“Void Blizzard”的技术文档，警告该组织过去一年持续窃取欧洲与北美政府机构及国防承包商的电子邮件、文件乃至Teams聊天记录。 在与荷兰情报机构联合发布的最新报告中，微软威胁追踪团队指出，该克里姆林宫黑客团队高度依赖网络犯罪经济的低成本资源：从信息窃取市场购买被盗账号密码，用于密码喷射攻击。 微软表示，近几周观察到该组织转向更精准的“中间人鱼叉式钓鱼”战术——通过仿冒域名伪造微软Entra登录页面，并以恶意二维码邀请函伪装成虚假的欧洲防务峰会。“我们评估Void Blizzard正在使用开源攻击框架Evilginx实施中间人钓鱼行动，窃取包括输入的用户名、密码及服务器生成的所有cookie在内的认证数据。”2017年公开的Evilginx是具备中间人攻击能力的广泛传播钓鱼工具包。 微软指出，尽管这些技术属于国家级网络间谍活动的常规手段，但受害者名单与俄罗斯其他网络间谍组织存在重叠。该俄罗斯黑客团队可能正在窃取可反馈至军事或外交决策的战略情报。北约国家与乌克兰仍是主要攻击目标，微软举例乌克兰某航空机构曾遭其他俄罗斯APT组织入侵，显示对空中交通与航天网络的重点关注。 根据微软描述，Void Blizzard的攻击流程简明直接： 窃取凭证 登录Exchange或SharePoint Online 自动化下载可见数据 微软威胁情报中心发现与Void Blizzard关联的“全球云服务滥用活动集群”，警告该组织对关键领域网络的高频攻击加剧北约成员国及乌克兰盟友的风险。在初始入侵后，微软捕获黑客滥用Exchange Online和Microsoft Graph等合法云API枚举邮箱（含共享邮箱）与云端文件的行为。 微软解释称：“账户失陷后，攻击者可能自动化批量收集云端数据（主要是邮件与文件），以及受害者有权访问的其他用户邮箱与文件共享。”在少量确认案例中，黑客通过Microsoft Teams网页客户端监视对话内容。攻击者有时使用公开工具AzureHound枚举受害组织的Microsoft Entra ID配置，获取租户内用户、角色、群组、应用程序及设备信息。 微软透露，自2024年年中以来，已追踪到针对电信、国防供应商、数字服务商、医疗及IT行业的成功入侵案例。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员披露一起新型恶意活动，攻击者利用仿冒Bitdefender的虚假杀毒软件下载网站，诱导用户下载名为VenomRAT的远程访问木马。此次攻击的仿冒网站“bitdefender-download[.]com”宣称提供Windows版杀毒软件下载，用户点击页面显眼的“Download for Windows”按钮后，会触发从Bitbucket仓库重定向至亚马逊S3存储桶的文件下载流程。目前该Bitbucket账户现已被封禁。 下载的ZIP压缩包（BitDefender.zip）包含名为StoreInstaller.exe的可执行文件，经分析发现其整合了VenomRAT木马配置、开源后期利用框架SilentTrinity以及StormKitty信息窃取器。VenomRAT作为Quasar RAT的变种，具备数据收集与持久化远程控制能力。DomainTools情报团队指出，该钓鱼网站基础设施与多个仿冒加拿大皇家银行、微软服务的恶意域名存在关联，这些域名此前已被用于窃取登录凭证的钓鱼活动。 攻击技术链显示，VenomRAT负责建立隐蔽通道，StormKitty窃取密码与数字钱包信息，SilentTrinity则确保攻击者维持控制权。研究人员强调：“该活动采用模块化开源组件构建的恶意软件体系，这种’自组装’策略显著提升了攻击效率与隐蔽性。” 同期曝光的另一起ClickFix式攻击活动中，攻击者伪造谷歌Meet页面，利用虚假的“麦克风权限被拒绝”错误提示诱导用户执行特定PowerShell命令，从而部署名为noanti-vm.bat的混淆批处理脚本实现远程控制。此外，针对Meta的大规模钓鱼活动借助谷歌AppSheet无代码开发平台绕过SPF、DKIM等邮件安全协议，通过动态生成唯一案例ID规避传统检测系统。钓鱼邮件伪装成Facebook支持团队，以24小时内提交申诉为由诱骗用户点击链接，跳转至中间人钓鱼页面窃取双因素认证代码。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近期发现GitLab的AI编程助手Duo存在间接提示注入漏洞，攻击者可借此窃取私有源代码并在AI响应中注入恶意HTML代码，进而诱导用户访问钓鱼网站。该漏洞由软件供应链安全公司Legit Security披露，主要影响基于Anthropic公司Claude模型构建的代码编写与审查工具GitLab Duo Chat。 技术细节显示，攻击者只需在合并请求描述、提交信息、问题讨论或源代码注释中植入隐藏指令，即可操控AI助手的行为。通过Base16编码、Unicode字符走私，以及利用KaTeX数学公式引擎将白色文字提示嵌入文档等技术，攻击者能绕过常规检测。漏洞根源在于GitLab未对这些输入内容实施有效清洗，导致AI系统在处理时会全盘解析页面上下文信息。 研究人员成功演示了多种攻击场景：在代码变更建议中注入恶意JavaScript包；伪造安全链接诱导用户提交凭证；利用Markdown流式渲染机制执行窃取私有代码的HTML标签。更严重的是，攻击者可通过特定提示使AI助手自动外泄包含零日漏洞细节的敏感源代码至远程服务器。Legit Security研究员Omer Mayraz指出：“当AI助手深度整合至开发流程时，它们不仅继承了上下文环境，更继承了潜在风险。” GitLab已于2025年2月12日修复了涉及HTML注入的关键问题，但其他不涉及代码执行的提示注入场景尚未修补。公司认为后者不会直接导致未授权访问，因此未被列为安全隐患。此次漏洞披露恰逢多项AI安全研究发布：微软SharePoint Copilot被曝可突破“限制视图”权限获取敏感文件；去中心化AI框架ElizaOS存在指令注入风险，可能引发连锁性资产转移事故。 研究还揭示了当前大语言模型的共性缺陷：除提示注入外，强制模型精简回答会加剧事实性错误。AI测试公司Giskard发现，当要求模型缩短响应时，其倾向于编造不准确信息而非承认知识盲区。趋势科技最新报告警示，提示泄露（PLeak）攻击可能暴露企业内部的过滤规则、权限配置等机密数据，为后续针对性攻击铺路。这些发现共同指向AI系统深度集成业务场景时面临的新型攻防挑战。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密通讯应用Signal于上周五推出全新“屏幕安全”功能，默认阻止Windows 11系统对聊天窗口进行任何形式的截图操作，此举被视为对微软Windows Recall屏幕记录技术的直接反击。该功能启用后，无论是用户手动截屏还是系统自动抓取，Signal聊天界面将仅显示空白画面，关闭此防护需深入设置界面并手动忽略醒目警告。 Signal首席开发工程师约书亚·伦德在声明中指出：“尽管微软迫于舆论压力对Recall进行安全强化，但该功能仍使Signal等隐私优先应用的屏幕内容暴露于风险中。我们别无选择，只能采取主动防御。”微软此前推迟Recall功能的发布，新增存在性证明加密、防篡改机制，并将截图数据存储于操作系统外的安全飞地，但Signal认为这些改进仍存重大设计缺陷。 争议核心在于Recall作为Windows AI核心功能，每五秒自动截取屏幕内容构建可搜索记忆库。伦德批评微软未向开发者提供应用级防护接口是“明显疏漏”，迫使Signal采取非常规手段：“隐私应用理应获得与浏览器无痕模式同等的系统级保护，但微软仅默认豁免了后者。”目前微软尚未对此置评。 此次对抗凸显AI时代操作系统与应用程序的权限博弈。Signal警告称，具备“广泛权限、脆弱安全机制与数据饥渴症”的AI代理正在打破应用与操作系统间的“血脑屏障”，威胁所有隐私保护类应用的生存基础。技术观察人士指出，这场攻防战或将重塑操作系统生态的权力边界，推动行业建立更精细的隐私权限管理体系。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文