HackerNews

HackerNews 编译，转载请注明出处： 微软发现了一种新的远程访问特洛伊木马（RAT），该木马采用“复杂技术”来规避检测、维持持久性和窃取敏感数据。 尽管该恶意软件（被称为 StilachiRAT）尚未广泛传播，但微软决定公开分享妥协指标和缓解指导，以帮助网络防御者检测这一威胁并减少其影响。 由于 StilachiRAT 在野外部署的实例有限，微软尚未将此恶意软件归因于特定的威胁行为者或与特定地理位置关联。 “2024 年 11 月，微软事件响应研究人员发现了一种新型远程访问特洛伊木马（RAT），我们将其命名为 StilachiRAT，它展示了复杂的规避检测、在目标环境中持续存在和窃取敏感数据的技术，”微软表示。 对包含 StilachiRAT 功能的 WWStartupCtrl64.dll 模块的分析显示，该恶意软件使用了多种方法从目标系统中窃取信息，例如存储在浏览器中的凭证、数字钱包信息、剪贴板中的数据以及系统信息。 这种新 RAT 的功能中，微软特别指出了其侦察功能，例如收集系统数据，包括硬件标识符、摄像头是否存在、活跃的远程桌面协议（RDP）会话以及运行中的基于 GUI 的应用程序，以对目标系统进行画像。 在被部署到受损系统后，攻击者可以利用 StilachiRAT 通过扫描 20 种加密货币钱包扩展的配置信息来窃取数字钱包数据，包括 Coinbase 钱包、Phantom、Trust 钱包、MetaMask、OKX 钱包、Bitget 钱包等。 该恶意软件还利用 Windows API 窃取存储在 Google Chrome 本地状态文件中的凭证，并监控剪贴板活动以获取敏感信息，如密码和加密货币密钥，同时跟踪活跃窗口和应用程序。 一旦作为独立进程或 Windows 服务启动，RAT 通过 Windows 服务控制管理器（SCM）获得并保持持久性，并使用看门狗线程监控恶意软件的二进制文件，确保它们在不活跃时自动重新创建。 StilachiRAT 还能够通过捕获前台窗口信息和克隆安全令牌来模仿登录用户，从而在受害者网络中横向移动，尤其是在 RDP 服务器上部署 RAT 后，这些服务器通常托管管理会话。 “该恶意软件获取当前会话，积极启动前台窗口，并枚举所有其他 RDP 会话，”微软表示。“对于每个已识别的会话，它将访问 Windows 资源管理器外壳并复制其权限或安全令牌。然后，恶意软件可以使用这些新获得的权限启动应用程序。” RAT 的功能还包括广泛的检测规避和反取证功能，例如清除事件日志的能力和检查是否在沙箱环境中运行以阻止恶意软件分析尝试。即使被诱骗在沙箱中运行，StilachiRAT 的 Windows API 调用也被编码为“在运行时动态解析的校验和”，并进一步混淆以减慢分析速度。 最后，微软表示 StilachiRAT 允许通过命令和控制（C2）服务器的命令执行以及潜在的类似 SOCKS 的代理功能，这可以让威胁行为者重启受损系统、清除日志、窃取凭证、执行应用程序以及操作系统窗口。 其他命令旨在“暂停系统、修改 Windows 注册表值以及枚举打开的窗口。” 为了减少此恶意软件可以利用来攻击目标系统的攻击面，微软建议仅从官方网站下载软件，并使用能够阻止恶意域名和电子邮件附件的安全软件。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正密切关注一起安全事件，其中流行的 GitHub Action tj-actions/changed-files 被攻破，导致使用持续集成和持续交付（CI/CD）工作流的仓库机密信息泄露。 该事件涉及的 tj-actions/changed-files GitHub Action 在 23000 多个仓库中使用，用于跟踪和检索所有更改的文件和目录。这一供应链攻击被赋予了 CVE 标识符 CVE-2025-30066（CVSS 评分：8.6），据说发生在 2025 年 3 月 14 日之前。 “在这次攻击中，攻击者修改了操作代码，并回溯更新了多个版本标签以引用恶意提交，”StepSecurity 表示。“被攻破的操作会在 GitHub Actions 构建日志中打印 CI/CD 机密信息。” 这种行为的最终结果是，如果工作流日志可公开访问，那么当在仓库上运行该操作时，可能会导致敏感机密信息未经授权而被曝光。这包括 AWS 访问密钥、GitHub 个人访问令牌（PATs）、npm 令牌和私有 RSA 密钥等。尽管如此，但没有证据表明泄露的机密信息被传输到了任何攻击者控制的基础设施中。 具体来说，恶意插入的代码旨在运行一个托管在 GitHub gist 上的 Python 脚本，该脚本会转储来自 Runner Worker 进程的 CI/CD 机密信息。据说该脚本源自一个未经验证的源代码提交。该 GitHub gist 已被删除。 “tj-actions/change-files 在组织的软件开发流程中使用，”Endor Labs 的首席技术官兼联合创始人 Dimitri Stiliadis 在一份声明中表示。“在开发人员编写和审查代码后，他们通常会发布到仓库的主分支。从那里‘流程’会接管，构建用于生产的代码并部署它。” “tj-actions/change-files 帮助检测仓库中的文件更改。它允许你检查在提交、分支或拉取请求之间哪些文件被添加、修改或删除。” “攻击者修改了操作代码，并回溯更新了多个版本标签以引用恶意提交。被攻破的操作现在执行一个恶意 Python 脚本，该脚本转储 CI/CD 机密信息，影响了数千个 CI 流程。” 项目维护者表示，事件背后的未知威胁者攻破了 @tj-actions-bot 使用的 GitHub 个人访问令牌（PAT），该机器人对被攻破的仓库具有特权访问权限。 在发现该事件后，账户密码已更新，身份验证已升级为使用通过密钥，并且其权限级别已更新，遵循最小特权原则。GitHub 还撤销了被攻破的 PAT。 “受影响的个人访问令牌作为 GitHub action 机密存储，目前已撤销，”维护者补充道。“今后，tj-actions 组织的所有项目将不再使用 PAT，以防止任何复发风险。” 任何使用该 GitHub Action 的用户都应尽快更新到最新版本（46.0.1）。用户还应审查 3 月 14 日至 3 月 15 日期间执行的所有工作流，并检查“changed-files 部分下是否有意外输出”。 这并非 tj-actions/changed-files Action 首次出现安全问题。2024 年 1 月，安全研究员 Adnan Khan 揭露了影响 tj-actions/changed-files 和 tj-actions/branch-names 的一个关键漏洞（CVE-2023-49291，CVSS 评分：9.8），该漏洞可能导致任意代码执行。 这一事件再次凸显了开源软件特别容易受到供应链风险的影响，这可能会对下游客户产生严重后果。 “截至 2025 年 3 月 15 日，所有版本的 tj-actions/changed-files 均被发现受到影响，因为攻击者成功修改了现有版本标签，使其全部指向恶意代码，”云安全公司 Wiz 表示。 “使用了哈希固定版本的 tj-actions/changed-files 的客户不会受到影响，除非他们在利用时间窗口期间更新到了受影响的哈希。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据思科 Talos 最新发现，网络犯罪分子正在利用用于网页设计和布局的层叠样式表（CSS），以规避垃圾邮件过滤器并追踪用户行为。这一行为可能会危及受害者的安全和隐私。 “尽管在电子邮件客户端中，与动态内容（例如 JavaScript）相关的许多功能受到限制，但 CSS 提供的功能仍可让攻击者和垃圾邮件发送者追踪用户的操作和偏好，”Talos 研究员 Omid Mirzaei 在上周发布的一份报告中表示。 这一发现是对该公司之前研究的补充，之前的研究显示，2024 年下半年，利用隐藏文本盐值规避电子邮件垃圾邮件过滤器和安全网关的电子邮件威胁激增。 这种技术特别涉及利用超文本标记语言（HTML）和 CSS 的合法功能，包含在电子邮件客户端中渲染时不可见的注释和无关内容，但这些内容可能会使解析器和检测引擎出错。 Talos 的最新分析发现，威胁行为者正在使用诸如 text_indent 和 opacity 等 CSS 属性，将无关内容从电子邮件正文中隐藏起来。在某些情况下，这些活动的最终目标是将电子邮件接收者重定向到钓鱼页面。 此外，CSS 还为威胁行为者提供了通过垃圾邮件追踪用户行为的机会，方法是嵌入诸如@media CSS 规则这样的 CSS 属性，从而为潜在的指纹攻击打开大门。 “这种滥用行为的范围可以从识别收件人的字体和颜色方案偏好、客户端语言，甚至追踪他们的操作（例如查看或打印电子邮件），”Mirzaei 解释说。 “CSS 提供了广泛的规则和属性，可以帮助垃圾邮件发送者和威胁行为者对用户、他们的网络邮件或电子邮件客户端以及系统进行指纹识别。例如，媒体规则可以检测用户环境的某些属性，包括屏幕大小、分辨率和颜色深度。” 为了降低此类威胁带来的风险，建议实施高级筛选机制，以检测隐藏文本盐值和内容隐藏，并使用电子邮件隐私代理。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2024 年 5 月以来，攻击者一直在利用 Edimax IC-7100 网络摄像头的一个未修复安全漏洞来分发 Mirai 僵尸网络恶意软件变种。 该漏洞为 CVE-2025-1316（CVSS v4 评分：9.3），是一个关键的操作系统命令注入漏洞，攻击者可利用特制请求在易受攻击设备上实现远程代码执行。 网络安全公司 Akamai 表示，针对该漏洞的最早利用尝试可追溯到 2024 年 5 月，尽管自 2023 年 6 月以来一直有公开的概念验证（PoC）利用可用。 “该漏洞利用了 Edimax 设备中 /camera-cgi/admin/param.cgi 端点，并将命令注入 NTP_serverName 选项，作为 param.cgi 的 ipcamSource 选项的一部分，”Akamai 研究员 Kyle Lefton 和 Larry Cashdollar 表示。 虽然利用该端点需要身份验证，但发现攻击者利用了默认凭证（admin:1234）来获取未经授权的访问。 至少有两种不同的 Mirai 僵尸网络变种被发现利用该漏洞，其中一种在运行获取不同架构恶意软件的 shell 脚本之前还加入了反调试功能。 这些活动的最终目标是将受感染设备整合到一个能够针对感兴趣目标发动分布式拒绝服务（DDoS）攻击的网络中。 此外，僵尸网络还被观察到利用了影响 TOTOLINK 物联网设备的 CVE-2024-7214 和 CVE-2021-36220 以及 Hadoop YARN 漏洞。 在上周发布的一份独立咨询中，Edimax 表示 CVE-2025-1316 影响的是不再积极支持的旧设备，由于该型号已停产超过 10 年，因此没有计划提供安全补丁。 鉴于没有官方补丁，建议用户要么升级到较新的型号，要么避免将设备直接暴露在互联网上，更改默认管理员密码，并监控访问日志是否有异常活动的迹象。 “网络犯罪分子开始组装僵尸网络的最有效方式之一是针对旧设备上安全性差且过时的固件，”Akamai 表示。 “Mirai 的遗产继续困扰着全球各地的组织，因为基于 Mirai 恶意软件的僵尸网络传播没有停止的迹象。有了各种免费的教程和源代码（现在还有人工智能的帮助），启动僵尸网络变得更容易了。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Apache Tomcat 被披露存在一个安全漏洞，该漏洞在公开披露仅 30 小时后，随着公共概念验证（PoC）的发布，已在野外被积极利用。 该漏洞被追踪为 CVE-2025-24813，影响以下版本： – Apache Tomcat 11.0.0-M1 至 11.0.2 – Apache Tomcat 10.1.0-M1 至 10.1.34 – Apache Tomcat 9.0.0-M1 至 9.0.98 当满足特定条件时，该漏洞可能导致远程代码执行或信息泄露： – 默认 Servlet 的写入功能已启用（默认情况下禁用） – 支持部分 PUT（默认情况下启用） – 安全敏感上传的目标 URL 是公共上传目标 URL 的子目录 – 攻击者了解正在上传的安全敏感文件的名称 – 安全敏感文件也通过部分 PUT 上传 若成功利用该漏洞，恶意用户可查看安全敏感文件，或通过 PUT 请求将任意内容注入这些文件。 此外，若以下所有条件均满足，攻击者还可实现远程代码执行： – 默认 Servlet 的写入功能已启用（默认情况下禁用） – 支持部分 PUT（默认情况下启用） – 应用程序使用了 Tomcat 的基于文件的会话持久化功能，并使用了默认存储位置 – 应用程序包含可能被用于反序列化攻击的库 上周，项目维护者在一份咨询报告中表示，该漏洞已在 Tomcat 版本 9.0.99、10.1.35 和 11.0.3 中得到解决。 然而，Wallarm 公司指出，该漏洞已出现野外利用尝试。 “此次攻击利用了 Tomcat 的默认会话持久化机制及其对部分 PUT 请求的支持，”该公司表示。 “该漏洞的利用分为两个步骤：攻击者通过 PUT 请求上传一个序列化的 Java 会话文件。攻击者通过在 GET 请求中引用恶意会话 ID 来触发反序列化。” 换句话说，这些攻击涉及发送一个包含 Base64 编码序列化 Java 负载的 PUT 请求，该请求被写入 Tomcat 的会话存储目录，随后通过发送一个带有指向恶意会话的 JSESSIONID 的 GET 请求来执行反序列化。 Wallarm 还指出，该漏洞极易被利用，且无需身份验证。唯一的先决条件是 Tomcat 使用基于文件的会话存储。 “虽然此漏洞利用了会话存储，但更大的问题是 Tomcat 对部分 PUT 处理不当，这允许几乎在任何位置上传任何文件，”它补充道。“攻击者将很快开始改变策略，上传恶意 JSP 文件，修改配置，并在会话存储之外植入后门。” 建议运行受影响版本 Tomcat 的用户尽快更新其实例，以减轻潜在威胁。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场大规模的Coinbase网络钓鱼攻击伪装成强制性的钱包迁移，欺骗收件人使用攻击者控制的预生成恢复短语设置新钱包。 这些邮件的主题是“迁移至Coinbase钱包”，声称所有用户必须迁移到自我托管钱包，并提供了下载合法Coinbase钱包的说明。 “自3月14日起，Coinbase将过渡到自我托管钱包。在一场集体诉讼指控未注册证券和无证经营后，法院要求用户自行管理钱包，”钓鱼邮件中写道。 “Coinbase将作为注册经纪人，允许购买，但所有资产必须转移到Coinbase钱包。” “下面显示的唯一恢复短语是您的Coinbase身份。它授予对您资金的访问权—请将其记录下来并安全存储。通过依次输入每个单词后跟一个空格，将其导入Coinbase钱包。” 这些邮件声称来自Coinbase，但回信地址是noreply@akamai.com。它们还来自IP地址167.89.33.244，这是一个SendGrid IP地址，通过DNS解析到o1.soha.akamai.com。 由于这些邮件似乎是通过SendGrid直接发送的，并且似乎是通过Akamai的账户，因此它们通过了SPF、DMARC和DKIM电子邮件安全检查，从而绕过了许多账户的垃圾邮件过滤器。 BleepingComputer联系了Akamai，询问是否有一个SendGrid账户被攻破，并收到了以下声明。 “Akamai已注意到有关针对Coinbase用户的网络钓鱼骗局的报道，该骗局涉及使用Akamai电子邮件域名。我们非常重视信息安全，并正在积极调查此事，”Akamai告诉BleepingComputer。 “网络钓鱼骗局仍然是普遍的网络威胁，我们敦促所有用户在收到未请求的电子邮件时保持警惕，尤其是那些要求提供个人信息或账户信息的邮件。如果您怀疑一封邮件可能是网络钓鱼尝试，请将其视为网络钓鱼，并避免点击任何链接或提供任何敏感信息。” “我们正在努力解决这一情况，并将继续监控和减轻任何相关风险。在此期间，我们建议提高警惕，以帮助保护您的个人信息。” 这场网络钓鱼活动的特别之处在于，邮件内没有任何网络钓鱼链接，所有链接都指向Coinbase合法的钱包页面。 相反，网络钓鱼邮件包含一个恢复短语，声称应使用该短语设置新的Coinbase钱包。 恢复短语，也称为“种子”，是一系列单词，作为加密货币钱包私钥的人类可读版本。 任何知道此恢复短语的人都可以将其导入自己的设备，从而窃取其中存储的任何加密货币和NFT。 虽然大多数加密货币网络钓鱼骗局试图窃取用户的恢复短语，然后攻击者用其窃取资金，但此次网络钓鱼活动则相反。 这封网络钓鱼邮件非常巧妙，因为它不是窃取用户的短语，而是提供一个攻击者已经知道并控制的短语。 一旦用户使用该短语设置新钱包并转移资金，所有资产将可供威胁行为者使用，他们可以将其转移到自己控制的另一个钱包。 Coinbase已意识到这一骗局，并在X上发帖称他们永远不会向客户发送恢复短语。 “提醒：警惕恢复短语骗局，”Coinbase在X上发帖。 “我们已注意到新的网络钓鱼邮件，伪装成Coinbase和Coinbase钱包。我们永远不会向您发送恢复短语，您也不应输入任何其他人提供的恢复短语。” 对于那些上当受骗的人，如果新创建的钱包中仍有资金，应迅速将其转回自己的钱包，以免被威胁行为者窃取。 虽然规则一直是不要将恢复短语分享给其他人或网站，但现在应扩展为不要使用通过电子邮件和网站共享给您的恢复短语，因为它们很可能被用于窃取您的加密货币。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员约哈内斯·努格罗霍发布了一款针对Akira勒索软件Linux版本的解密器，该解密器利用GPU算力来恢复解密密钥并免费解锁文件。 努格罗霍在朋友的求助下开发了这款解密器，他判断基于Akira生成加密密钥的方式（使用时间戳），破解加密系统在一周内可行。尽管过程中遇到了一些意外的复杂情况，项目耗时三周，且研究员在破解加密密钥上花费了1200美元用于GPU资源，但他最终还是成功了。 这款解密器并不像传统的解密工具那样需要用户提供密钥来解锁文件。相反，它通过暴力破解加密密钥（每个文件唯一）来工作，这利用了Akira加密程序基于当前时间（纳秒）作为种子生成加密密钥的事实。 加密种子是与加密函数一起使用以生成强大且不可预测的加密密钥的数据。由于种子影响密钥生成，因此保持其秘密性至关重要，以防止攻击者通过暴力破解或其他加密攻击重新创建加密或解密密钥。 Akira勒索软件为每个文件动态生成唯一的加密密钥，使用四个不同时间戳种子（纳秒精度），并通过1500轮SHA-256哈希处理。 用于生成密钥的四个时间戳 来源：tinyhack.com 这些密钥使用RSA-4096加密，并附加在每个加密文件的末尾，因此在没有私钥的情况下很难解密。时间戳中纳秒级的精度使得每秒可能产生超过十亿个值，这使得暴力破解密钥变得困难。 此外，努格罗霍表示，Linux上的Akira勒索软件使用多线程同时加密多个文件，这使得确定所用时间戳变得更加困难，进一步增加了复杂性。 研究人员通过查看朋友分享的日志文件，缩小了暴力破解的时间戳范围。这使他能够看到勒索软件的执行时间，通过文件元数据估计加密完成时间，并在不同硬件上生成加密基准以创建可预测的配置文件。 最初使用RTX 3060的尝试速度太慢，每秒只能进行6000万次加密测试。升级到RTC 3090也没有太大帮助。 最终，研究人员转向使用RunPod & Vast.ai云GPU服务，这些服务提供了足够的算力，并且价格合理，足以确认其工具的有效性。 具体来说，他使用了16个RTX 4090 GPU，在大约10小时内暴力破解了解密密钥。然而，根据需要恢复的加密文件数量，这一过程可能需要几天时间。 研究人员在其书面报告中指出，GPU专家仍可优化他的代码，因此性能可能会进一步提升。 努格罗霍已在GitHub上提供了解密器，并附上了如何恢复Akira加密文件的说明。 与往常一样，在尝试解密文件时，请备份原始加密文件，因为使用错误的解密密钥可能会导致文件损坏。 BleepingComputer尚未测试该工具，无法保证其安全性和有效性，因此使用时需自行承担风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在推广恶意的Microsoft OAuth应用，这些应用伪装成Adobe和DocuSign应用，用于分发恶意软件和窃取Microsoft 365账户凭证。 Proofpoint的研究人员发现了这些活动，并在X上的一条推文中将其描述为“高度针对性”的攻击。 此次活动中，恶意OAuth应用伪装成Adobe Drive、Adobe Drive X、Adobe Acrobat和DocuSign等应用。 这些应用请求访问相对不敏感的权限，如“个人资料”、“电子邮件”和“开放ID”，以避免被检测和引起怀疑。 如果用户授予这些权限，攻击者将获得以下访问权限： – 个人资料：姓名、用户ID、个人资料图片、用户名 – 电子邮件：主要电子邮件地址（无收件箱访问权限） – 开放ID：允许确认用户身份并获取Microsoft账户详细信息 Proofpoint告诉BleepingComputer，这些钓鱼活动通过被攻陷的电子邮件账户（很可能是Office 365账户）从慈善机构或小公司发送。 这些电子邮件针对美国和欧洲的多个行业，包括政府、医疗保健、供应链和零售业。网络安全公司看到的一些电子邮件使用了请求建议书和合同诱饵，以诱使收件人点击链接。 虽然接受Microsoft OAuth应用所提供的权限仅向攻击者提供了有限的数据，但这些信息仍可能被用于更具针对性的攻击。 此外，一旦用户授予OAuth应用权限，它会将用户重定向到显示Microsoft 365凭证钓鱼表单或分发恶意软件的登录页面。 “受害者在授权O365 OAuth应用后，经历了多次重定向和阶段，最终被呈现恶意软件或钓鱼页面，”Proofpoint告诉BleepingComputer。 “在某些情况下，受害者被重定向到一个‘O365登录’页面（托管在恶意域名上）。在授权后不到一分钟，Proofpoint检测到账户上有可疑的登录活动。” Proofpoint表示，他们无法确定所分发的恶意软件，但攻击者利用了过去一年变得非常流行的ClickFix社会工程攻击。 用于恶意OAuth活动的ClickFix登录页面 来源：Proofpoint 这些攻击与多年前报道的攻击相似，表明OAuth应用仍然是劫持Microsoft 365账户的有效方式，而无需窃取凭证。 建议用户在批准OAuth应用权限请求时保持谨慎，并始终验证其来源和合法性。 要检查现有的批准权限，可以前往“我的应用”（myapplications.microsoft.com）→“管理你的应用”，并在该页面上撤销任何未识别的应用。 Microsoft 365管理员还可以通过“企业应用”→“同意和权限”→将“用户可以同意应用”设置为“否”，以完全限制用户对第三方OAuth应用请求的权限。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场大规模的网络钓鱼活动近日波及近12,000个GitHub仓库，攻击者通过伪造的“安全警报”问题诱骗开发者授权一款恶意的OAuth应用，从而获取对其账户及代码的完全控制权。 “安全警报：异常访问尝试 我们检测到您的GitHub账户存在来自新位置或设备的登录尝试。” 这是GitHub钓鱼问题中的典型表述。 所有GitHub钓鱼问题均含有相同文本，警告用户账户在冰岛雷克雅未克的某个IP地址（53.253.117.8）出现异常活动。 GitHub仓库中发布的虚假“安全警报”问题 来源：BleepingComputer 网络安全研究员Luc4m首先发现了这一虚假安全警报，它警告GitHub用户账户已被入侵，建议用户更新密码、查看并管理活跃会话以及启用双因素认证来保护账户安全。 然而，所有这些建议操作的链接都指向GitHub授权页面，用于一个名为“gitsecurityapp”的OAuth应用，该应用请求大量高风险权限（范围），若授权成功，攻击者将获得用户账户及仓库的完全访问权。 恶意OAuth应用请求的权限 来源：BleepingComputer 以下是该恶意OAuth应用请求的权限及其提供的访问权限列表： – repo：对公共和私有仓库的完全访问权 – user：对用户个人资料的读写权限 – read:org：读取组织成员、组织项目和团队成员信息 – read:discussion, write:discussion：对讨论的读写权限 – gist：访问GitHub代码片段 – delete_repo：删除仓库的权限 – workflows, workflow, write:workflow, read:workflow, update:workflow：对GitHub Actions工作流的控制权 如果GitHub用户登录并授权该恶意OAuth应用，将生成一个访问令牌并发送回应用的回调地址。在这次活动中，回调地址是托管在onrender.com（Render）上的不同网页。 带有回调到onrender.com页面的OAuth授权链接 来源：BleepingComputer 此次钓鱼活动始于今日上午6:52（美国东部时间），目前仍在进行中，已波及近12,000个仓库。不过，这一数字仍在波动，表明GitHub很可能正在对此次攻击做出响应。 GitHub仓库中创建的虚假安全警报问题 来源：BleepingComputer 如果您在这次钓鱼攻击中不幸中招，错误地授权了该恶意OAuth应用，应立即通过进入GitHub设置中的应用部分来撤销其访问权限。 在应用页面中，撤销任何不熟悉或可疑的GitHub应用或OAuth应用的访问权限。在这次活动中，应查找名称与“gitsecurityapp”相似的应用。 接下来，检查是否有新的或意外的GitHub Actions（工作流）以及是否有私人代码片段被创建。 最后，轮换您的凭证和授权令牌。 BleepingComputer已就此次钓鱼活动联系GitHub，并将在收到回复后更新报道。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据CyberArk的研究发现，一款名为MassJacker的新型剪贴板恶意软件正在威胁使用盗版软件的用户，该恶意软件通过替换用户复制的加密货币钱包地址，将资金引流向攻击者控制的钱包，进而窃取加密货币。 剪贴板恶意软件是一种专门设计用于拦截和操纵剪贴板数据的恶意软件，通常用于窃取加密货币。当受害者复制一个加密货币钱包地址时，该恶意软件会将其替换为攻击者控制的地址，从而将资金转至黑客而非预期接收者。 “感染链始于一个名为pesktop[.]com的网站，该网站以提供盗版软件为幌子，同时试图让人们下载各种恶意软件。”安全研究员阿里·诺维克在本周早些时候发布的一份分析报告中表示。 最初的可执行文件充当了一个通道，用于运行一个PowerShell脚本，该脚本会交付一个名为Amadey的僵尸网络恶意软件，以及两个分别针对32位和64位架构的.NET可执行文件。 名为PackerE的二进制文件负责下载一个加密的DLL，该文件随后加载第二个DLL文件，通过将其注入名为“InstalUtil.exe”的合法Windows进程中来启动MassJacker的有效载荷。 加密的DLL具备多种增强其规避和反分析能力的功能，包括即时（JIT）挂钩、元数据令牌映射以隐藏函数调用，以及一个自定义虚拟机来解释命令，而非运行常规的.NET代码。 MassJacker自身带有反调试检查和一个配置文件，用于检索所有用于标记剪贴板中加密货币钱包地址的正则表达式模式。它还会联系远程服务器以下载包含攻击者控制的钱包列表的文件。 “MassJacker创建了一个事件处理程序，每当受害者复制任何内容时都会运行。”诺维克表示。“该处理程序会检查正则表达式模式，如果找到匹配项，就会将复制的内容替换为从下载列表中获取的属于威胁行为者的钱包地址。” CyberArk表示，他们识别出超过778,531个属于攻击者的唯一地址，其中只有423个地址包含总计约95,300美元的资金。但在这些钱包的资金被转出之前，所有钱包中持有的数字资产总额约为336,700美元。 此外，价值约87,000美元（600 SOL）的加密货币被发现存放在一个单一钱包中，有超过350笔交易将资金从不同地址转入该钱包。 目前尚不清楚MassJacker背后的攻击者身份，尽管对源代码的深入检查发现其与另一种名为MassLogger的恶意软件存在重叠，后者也利用了JIT挂钩技术以抵抗分析。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据称，一名51岁的俄罗斯和以色列双重国籍男子，是LockBit勒索软件集团的开发者，已被引渡至美国，距离他因与该网络犯罪计划相关的指控被正式起诉还不到三个月。 罗斯蒂斯拉夫·帕涅夫于2024年8月在以色列被捕。据称，他从2019年至2024年2月一直在为该勒索软件团伙工作，当时该团伙的在线基础设施在一次执法行动中被查封。 “罗斯蒂斯拉夫·帕涅夫被引渡到新泽西区表明：如果你是LockBit勒索软件阴谋的成员，美国会找到你并将你绳之以法，”美国检察官约翰·乔达诺说。 LockBit逐渐成为最活跃的勒索软件集团之一，攻击了全球至少120个国家的2500多个实体，其中近1800个位于美国。 受害者包括个人、小型企业到跨国公司，还有医院、学校、非营利组织、关键基础设施以及政府和执法机构。 该犯罪集团的网络犯罪活动已获得至少5亿美元的非法利润，给受害者造成了数十亿美元的损失，包括收入损失以及事件响应和恢复的成本。 作为LockBit的开发者，帕涅夫负责设计和维护锁定器的代码库，从2022年6月至2024年2月期间赚取了大约23万美元。 “帕涅夫承认他为LockBit集团完成的工作包括开发用于禁用防病毒软件的代码；向连接到受害者网络的多台计算机部署恶意软件；以及在连接到受害者网络的所有打印机上打印LockBit勒索信，”司法部表示。 “帕涅夫还承认编写和维护LockBit恶意软件代码，并向LockBit集团提供技术指导。” 除了帕涅夫外，还有六名LockBit成员在美国受到指控，包括米哈伊尔·瓦西里耶夫、鲁斯兰·阿斯塔米罗夫、阿图尔·松加托夫、伊万·根纳季耶维奇·孔德拉季耶夫、米哈伊尔·帕夫洛维奇·马特维耶夫和德米特里·尤里耶维奇·霍罗舍夫，其中霍罗舍夫也被确认为LockBit的管理员，使用网名LockBitSupp。 此外，霍罗舍夫、马特维耶夫、松加托夫和孔德拉季耶夫因参与网络攻击被美国财政部外国资产管制办公室（OFAC）制裁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，Python软件包索引（PyPI）仓库正遭遇恶意攻击，不法分子利用伪装成“时间”相关工具的虚假库，暗藏窃取云访问令牌等敏感数据的功能。 软件供应链安全公司ReversingLabs发现，共有20个恶意软件包，分为两组。这些软件包累计下载量已超过14100次，具体如下： – snapshot-photo（2448次下载） – time-check-server（316次下载） – time-check-server-get（178次下载） – time-server-analysis（144次下载） – time-server-analyzer（74次下载） – time-server-test（155次下载） – time-service-checker（151次下载） – aclient-sdk（120次下载） – acloud-client（5496次下载） – acloud-clients（198次下载） – acloud-client-uses（294次下载） – alicloud-client（622次下载） – alicloud-client-sdk（206次下载） – amzclients-sdk（100次下载） – awsc1oud-clients-core（206次下载） – credential-python-sdk（1155次下载） – enumer-iam（1254次下载） – tclients-sdk（173次下载） – tcloud-python-sdks（98次下载） – tcloud-python-test（793次下载） 第一组软件包用于将数据上传至攻击者的基础设施，第二组则为多个云服务（如阿里云、亚马逊网络服务和腾讯云）实现客户端功能，但它们也被用于窃取云机密。 目前，所有已识别的软件包在撰写本文时已从PyPI中移除。 进一步分析发现，其中三个软件包（acloud-client、enumer-iam和tcloud-python-test）被列为一个相对受欢迎的GitHub项目“accesskey_tools”的依赖项，该项目已被 fork 42次，获得519颗星。 tcloud-python-test的源代码提交可追溯至2023年11月8日，表明该软件包自那时起便可在PyPI上下载，据pepy.tech统计，该软件包至今已被下载793次。 与此同时，Fortinet FortiGuard Labs披露，在PyPI和npm上发现了数千个软件包，其中一些被发现嵌入可疑的安装脚本，这些脚本旨在安装时部署恶意代码或与外部服务器通信。 “可疑的URL是识别潜在恶意软件包的关键指标，因为它们常被用于下载额外的有效载荷或与命令与控制（C&C）服务器建立通信，从而让攻击者控制受感染的系统。”Jenna Wang表示。 “在974个软件包中，这些URL与数据窃取、进一步恶意软件下载和其他恶意行为的风险相关。对软件包依赖项中的外部URL进行严格审查和监控至关重要，以防止被利用。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜存在关联的威胁组织ScarCruft被指开发了一款名为KoSpy的新型安卓监控工具，主要针对韩语和英语用户。网络安全公司Lookout披露了该恶意活动的细节，称其最早版本可追溯至2022年3月，最新样本于2024年3月被标记，具体攻击成功率尚不明确。 Lookout在分析报告中指出：”KoSpy可通过动态加载插件收集短信、通话记录、定位信息、本地文件、音频和屏幕截图等大量数据。” 恶意程序伪装成Google Play官方商店中的实用工具应用，使用”文件管理器”、”手机管家”、”智能管理器”、”软件更新工具”和”Kakao安全组件”等名称诱骗用户安装。 所有被识别的应用均提供宣称的功能以避免引起怀疑，同时在后台秘密部署间谍组件。目前这些应用已从应用市场下架。 ScarCruft又名APT27和Reaper，是自2012年开始活跃的朝鲜政府支持型网络间谍组织。该组织主要通过RokRAT木马从Windows系统窃取敏感数据，该木马后续已适配macOS和Android系统。 安装恶意安卓应用后，程序会连接Firebase Firestore云数据库获取包含实际命令与控制（C2）服务器地址的配置。这种利用Firestore等合法服务作为死投解析器的两阶段C2机制兼具灵活性与隐蔽性，允许攻击者随时更换C2地址并保持隐蔽运作。 Lookout表示：”在获取C2地址后，KoSpy会验证设备是否非模拟器，并确认当前日期是否超过硬编码的激活日期。这种激活日期检查机制确保间谍软件不会过早暴露恶意意图。” KoSpy能够下载额外插件和配置以实现监控目标。由于C2服务器已停止活动或未响应请求，插件的具体功能尚不明确。 该恶意软件设计用于从受感染设备收集短信、通话记录、设备定位、本地存储文件、屏幕截图、键盘记录、Wi-Fi网络信息和已安装应用列表等广泛数据，同时具备录音和拍照功能。Lookout指出KoSpy攻击活动的基础设施与先前归因于另一朝鲜黑客组织Kimsuky（又称APT43）的行动存在重叠。 Contagious Interview行动通过npm包传播 此次披露恰逢Socket安全团队发现六个植入已知信息窃取木马BeaverTail的npm软件包，该木马与朝鲜持续进行的”Contagious Interview”攻击行动相关。已移除的软件包列表如下： is-buffer-validator yoojae-validator event-handle-package array-empty-validator react-event-dependency auth-validator 这些软件包旨在收集系统环境详情及谷歌Chrome、Brave、Mozilla Firefox等浏览器存储的凭证，同时针对Solana的id.json和Exodus的exodus.wallet等加密货币钱包文件进行窃取。 Socket研究员Kirill Boychenko表示：”这六个累计下载量超330次的新软件包高度模仿主流可信库名称，采用了与Lazarus组织关联攻击者相同的拼写错误（typosquatting）策略。此外，该APT组织为其中五个恶意包创建并维护了GitHub仓库，通过伪装开源项目合法性提高有害代码渗入开发者工作流程的概率。” 朝鲜攻击行动使用RustDoor与Koi Stealer 该发现同时关联一项针对加密货币行业的新攻击活动，攻击者使用基于Rust开发的macOS恶意软件RustDoor（又名ThiefBucket）及此前未记录的Koi Stealer家族macOS变种。 帕洛阿尔托网络Unit 42团队表示，攻击者特征与Contagious Interview存在相似性，并以中等置信度评估该活动系为朝鲜政权服务。具体攻击链涉及伪造的”工作面试”项目，当通过微软Visual Studio执行时，会尝试下载并运行RustDoor。该恶意软件随后从LastPass Chrome扩展窃取密码，将数据外传至外部服务器，并下载两个用于开启反向Shell的bash脚本。 感染最终阶段会检索并执行另一有效载荷——伪装成Visual Studio的Koi Stealer macOS版本，诱骗受害者输入系统密码，从而收集并窃取设备数据。安全研究人员Adva Gabay和Daniel Frank指出：”该行动凸显全球机构面临精密社会工程攻击的风险，此类攻击旨在渗透网络并窃取敏感数据与加密货币。当攻击者系国家级威胁组织时，相关风险远高于纯经济动机的网络犯罪。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sonatype 研究人员发现了 Picklescan 中的多个严重漏洞。这些漏洞可能影响 AI 模型的安全性，并威胁 Hugging Face 等平台的安全防护机制。本文将探讨这些漏洞的影响以及开发者应采取的最佳实践。 Picklescan 漏洞详情 Sonatype 的网络安全研究团队在 Picklescan 中发现了 四个关键漏洞。Picklescan 是一个用于检查 Python Pickle 文件是否包含恶意代码的工具，而 Pickle 文件常用于存储和加载机器学习模型。然而，由于 Pickle 机制允许执行任意代码，恶意代码可在加载数据时运行，带来安全风险。 根据 Sonatype 分享给 Hackread.com 的分析，这四个漏洞包括： CVE-2025-1716 —— 允许攻击者绕过 Picklescan 的安全检查并执行恶意代码； CVE-2025-1889 —— 由于依赖文件扩展名进行检测，Picklescan 无法发现隐藏的恶意文件； CVE-2025-1944 —— 攻击者可通过操纵 ZIP 归档文件名，使 Picklescan 发生故障； CVE-2025-1945 —— 如果 ZIP 归档中的某些位被篡改，Picklescan 可能无法检测恶意文件。 值得注意的是，Hugging Face 等平台 依赖 Picklescan 作为安全机制之一，以检测恶意 AI 模型。研究人员警告，这些漏洞可能被黑客利用，以绕过安全检查，进而威胁依赖开源 AI 模型的开发者。这可能导致 任意代码执行，甚至让攻击者完全控制受影响的系统。 “考虑到 Picklescan 在 AI/ML 生态中的关键作用（例如在 PyTorch 生态中），Sonatype 发现的漏洞可能被威胁行为者利用，以绕过部分恶意软件扫描，从而攻击依赖开源 AI 的开发者。” —— Sonatype 研究团队 漏洞修复与安全建议 好消息是，Picklescan 维护团队对安全性表现出了高度负责的态度，迅速修复了这些漏洞，并在版本 0.0.23 中进行了补丁，大大减少了漏洞被恶意利用的可能性。 Sonatype 首席产品官 Mitchell Johnson 建议开发者： 避免使用来自不受信任来源的 Pickle 文件，尽可能采用 更安全的文件格式； 若必须使用 Pickle 文件，应在受控环境下加载，以减少攻击面； 使用加密签名与校验和 验证 AI 模型的完整性，防止篡改； 采用多层安全扫描机制，避免单一检测工具失效； 持续监控 Pickle 文件的加载行为，发现可疑活动时及时响应。 此次发现突显了 AI/ML 安全体系日益增长的重要性。为了降低风险，企业应尽快采纳 更安全的文件格式、多重安全扫描机制，并对 AI 模型进行完整性验证，以防止攻击者滥用 Pickle 机制进行恶意攻击。   消息来源：HackerRead； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为”Mora_001″的新勒索软件组织正利用两个Fortinet漏洞，通过未授权访问防火墙设备部署名为SuperBlack的自定义勒索病毒。 这两个漏洞均为身份验证绕过漏洞，编号为CVE-2024-55591和CVE-2025-24472。Fortinet分别于2024年1月和2月披露了相关漏洞信息。 Fortinet在2024年1月14日首次披露CVE-2024-55591时，确认该漏洞已被作为零日漏洞利用。北极狼公司指出，自2024年11月起，攻击者就利用该漏洞入侵FortiGate防火墙。 值得注意的是，Fortinet在2025年2月11日将其1月公告中补充了CVE-2025-24472漏洞信息，导致外界误认为这是新发现的被利用漏洞。但Fortinet向BleepingComputer澄清称，该漏洞实际已于2024年1月修复且未被利用。 “我们未发现CVE-2025-24472被利用的证据。”Fortinet当时表示。 然而，Forescout研究人员的报告显示，他们在2025年1月下旬发现SuperBlack攻击活动，攻击者最早在2025年2月2日就利用了CVE-2025-24472漏洞。 Forescout向BleepingComputer说明：”尽管我们未直接向Fortinet报告24472漏洞的利用情况，但一家受影响的合作机构将我们的调查结果同步给了Fortinet的PSIRT团队。” “随后，Fortinet在2月11日更新公告，承认CVE-2025-24472正被积极利用。”BleepingComputer已联系Fortinet核实该细节，目前尚未获得回复。 SuperBlack攻击流程分析 Forescout指出，Mora_001采用高度结构化的攻击链，不同受害者间的攻击模式高度一致： 首先，攻击者通过jsconsole接口发起基于WebSocket的攻击，或直接向暴露的防火墙接口发送HTTPS请求，利用两个Fortinet漏洞获取’super_admin’权限。 接着，创建新管理员账户（包括forticloud-tech、fortigate-firewall、adnimistrator），并修改自动化任务配置以确保账户被删除后能自动重建。 随后，攻击者通过窃取的VPN凭证、新建VPN账户、WMIC/SSH工具及TACACS+/RADIUS认证进行网络测绘和横向移动。 在实施双重勒索前，Mora_001使用定制工具窃取数据，优先针对文件服务器、数据库服务器和域控制器进行加密。完成加密后，系统会留下勒索信。最终部署名为’WipeBlack’的定制擦除工具，清除勒索软件执行痕迹以阻碍取证分析。 Forescout发现多项证据表明SuperBlack与LockBit勒索组织存在密切联系，尽管前者表现出独立运作特征： SuperBlack加密器（VirusTotal记录）基于LockBit 3.0泄露的构建器开发，具有相同的载荷结构和加密算法，但移除了原始品牌标识。 SuperBlack勒索信包含与LockBit运营相关的TOX聊天ID，暗示Mora_001可能是LockBit前附属机构或核心团队中负责赎金谈判的成员。 攻击使用的IP地址与历史LockBit行动存在大量重叠。此外，WipeBlack工具亦被BrainCipher、EstateRansomware、SenSayQ等与LockBit关联的勒索组织使用。 Forescout在报告末尾提供了完整的SuperBlack攻击活动入侵指标（IoC）列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软就删除VSCode扩展一事向开发者致歉   2025年3月13日，微软在Visual Studio Marketplace中重新上架了“Material Theme – Free”和“Material Theme Icons – Free”两款VSCode扩展。此前，这两款扩展因被怀疑包含恶意代码而被下架，其开发者Mattia Astorino（别名“equinusocio”）也被平台封禁。 这两款扩展的安装量超过900万次，于2月因安全风险被下架。当时，微软表示，社区成员对扩展进行了深度安全分析，发现多处可疑迹象并报告给微软。微软安全研究人员确认了这一说法，并发现了更多可疑代码。 研究人员Amit Assaraf和Itay Kruk在使用AI扫描工具检查VSCode提交内容时，首次将这两款扩展标记为潜在恶意软件。他们认为，Material Theme的“release-notes.js”文件中存在代码执行能力且代码经过高度混淆，这引发了安全担忧。 然而，开发者Astorino对此表示反对，称问题出自在扩展中使用的一个自2016年以来就未更新的sanity.io依赖项，该依赖项用于显示发布说明。他指出，如果微软在下架前与他沟通，他可以在几秒钟内解决这一问题，而不是直接封禁他的账号。 Astorino表示，Material Theme扩展的混淆过程中无意中包含了sanity.io SDK客户端，其中包含了一些引用用户名或密码的字符串，但这些并非恶意代码，只是多年前构建过程中的一个错误。 3月12日，微软的Scott Hanselman在GitHub上向Astorino道歉，并恢复了他的开发者账号。他承认，微软在处理此事时过于仓促，导致了错误的结论。Hanselman还表示，Visual Studio Code Marketplace将更新其对混淆代码的政策，并改进扫描工具，以避免未来再次匆忙处理类似项目。 尽管如此，Amit Assaraf在接受采访时仍坚持认为，该扩展确实包含恶意代码，但他也承认开发者并无恶意意图。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta警告称，FreeType开源字体渲染库存在安全漏洞（CVE-2025-27363），可能已被用于实际攻击。该漏洞被评定为高危，CVSS评分为8.1，属于越界写入漏洞，可能被利用来实现远程代码执行。 漏洞存在于FreeType 2.13.0及以下版本中。当解析与TrueType GX和可变字体文件相关的字体子字形结构时，漏洞代码会将一个有符号短整型值分配给无符号长整型，并添加一个静态值，导致缓冲区分配过小。随后，代码会在分配的缓冲区边界外写入多达6个有符号长整型值。 FreeType开发者Werner Lemberg表示，该漏洞已在两年前修复，2.13.0以上版本不再受影响。然而，许多Linux发行版仍在使用过时版本的FreeType库，存在被利用的风险。这些发行版包括： AlmaLinux Alpine Linux Amazon Linux 2 Debian稳定版 RHEL/CentOS Stream 8和9 GNU Guix Mageia OpenMandriva openSUSE Leap Slackware Ubuntu 22.04 鉴于该漏洞已被实际利用的风险，用户被建议尽快更新至FreeType的最新版本（2.13.3），以获得最佳保护。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub安全实验室发现并报告了开源ruby-saml库中的两个高危安全漏洞（CVE-2025-25291和CVE-2025-25292），攻击者可利用这些漏洞绕过基于安全断言标记语言（SAML）的身份验证保护。 SAML是一种基于XML的标记语言和开放标准，用于在各方之间交换身份验证和授权数据，支持单点登录（SSO）等功能，允许用户使用一组凭据访问多个站点、服务和应用程序。   这两个漏洞的CVSS评分为8.8，影响以下版本的ruby-saml库：   < 1.12.4   >= 1.13.0，< 1.18.0   漏洞成因在于REXML和Nokogiri解析XML的方式不同，导致两者从相同XML输入生成完全不同的文档结构。攻击者可利用此差异发起签名包裹攻击，绕过身份验证。   GitHub指出，攻击者若持有目标组织用于验证SAML响应或断言的密钥所创建的有效签名，即可构造SAML断言并登录为任意用户。   此外，ruby-saml 1.12.4和1.18.0版本还修复了一个远程拒绝服务（DoS）漏洞（CVE-2025-25293，CVSS评分7.7），该漏洞涉及处理压缩SAML响应时的问题。   GitHub建议用户尽快升级至最新版本，以防范潜在威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软揭露了一起针对酒店业的钓鱼活动，不法分子假扮在线旅游机构Booking.com，利用名为ClickFix的社会工程学手段传播窃取凭证的恶意软件。 微软称，该活动始于2024年12月，目的是进行金融诈骗和盗窃，被追踪为Storm-1865。攻击目标是北美、大洋洲、南亚和东南亚以及欧洲各地与Booking.com有业务往来的酒店业人士，通过发送假冒邮件，声称有客人在Booking.com上留下了负面评价，要求收件人给出“反馈”。 ClickFix手段近来愈发普遍，它诱骗用户在修复一个虚假错误的借口下，复制粘贴并执行恶意指令，从而启动感染过程，该手段最早于2023年10月被发现。 攻击流程是Storm-1865先向目标发送恶意邮件，内容涉及Booking.com上的虚假客人负面评价，要求收件人反馈，邮件中还嵌入了看似指向预订网站的链接或PDF附件。然而，点击链接会将受害者引至一个伪装在Booking.com页面背景上的虚假验证码页面，以增加安全性假象，提高攻击成功率。 在虚假验证码页面，网页运用ClickFix手段下载恶意载荷，指示用户使用快捷键打开Windows运行窗口，然后粘贴并执行网页添加到剪贴板的命令。该命令利用合法的mshta.exe程序投放下一阶段载荷，包括XWorm、Lumma窃密程序、VenomRAT等多种常见恶意软件家族。 微软之前观察到Storm-1865利用电商平台对买家实施钓鱼攻击，引导至诈骗付款网页。此次结合ClickFix手段，显示出攻击策略的演变，旨在绕过传统反钓鱼和反恶意软件安全措施。 Storm-1865是众多采用ClickFix作为恶意软件传播手段的活动之一。该手段效果显著，连俄罗斯和伊朗的国家级攻击组织如APT28和MuddyWater也采用它来诱骗受害者。 新加坡网络安全公司记录的一起活动显示，利用ClickFix投放名为SMOKESABER的下载器，进而成为Lumma窃密程序的传播渠道。其他活动则借助恶意广告、搜索引擎投毒、GitHub问题以及在论坛或社交媒体上发布ClickFix页面链接等方式。 ClickFix标志着对抗性社会工程策略的演变，利用用户信任和浏览器功能部署恶意软件。其被网络犯罪分子和APT组织快速采用，凸显了其有效性和低技术门槛。 其他已记录的ClickFix活动包括：利用虚假验证码启动多阶段PowerShell执行过程，最终投放Lumma和Vidar等信息窃取程序；名为Blind Eagle的攻击者利用虚假Google reCAPTCHA挑战部署恶意软件；利用虚假预订确认链接将用户重定向至验证码页面，进而引导至Lumma窃密程序；利用虚假Windows主题网站将用户重定向至验证码页面，进而引导至Lumma窃密程序。 Lumma窃密程序的多样化感染机制还体现在通过伪装成人工智能内容的虚假GitHub仓库，利用名为SmartLoader的加载器进行传播。这些恶意仓库伪装成无害工具，如游戏外挂、破解软件和加密货币工具，以免费或非法功能为诱饵，诱使受害者下载ZIP文件。 Trustwave还详细描述了一起利用发票相关诱饵分发更新版Strela窃密程序的电子邮件钓鱼活动，该程序被认为由名为Hive0145的单一攻击者操作。Strela窃密程序样本包含自定义多层混淆和代码流扁平化，以增加分析难度。据报道，攻击者可能开发了一种名为“Stellar加载器”的专用加密器，专门用于Strela窃密程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）表示，截至上月，Medusa 勒索软件已影响美国 300 多家关键基础设施行业的组织。 这一消息来自 CISA、联邦调查局（FBI）和多州信息共享与分析中心（MS-ISAC）今天联合发布的通告。 “CISA、FBI 和 MS-ISAC 警告称，截至 2025 年 2 月，Medusa 开发者及其合作伙伴已攻击 300 多个受害组织，受影响行业涵盖医疗、教育、法律、保险、科技及制造业等多个关键基础设施领域。” FBI、CISA 和 MS-ISAC 呼吁各组织采取通告中的缓解措施，以降低 Medusa 勒索软件攻击的风险和影响。 通告指出，为防范 Medusa 勒索软件攻击，建议采取以下安全措施： 修补已知安全漏洞，确保操作系统、软件和固件在合理时间内完成更新； 进行网络分段，限制受感染设备在组织内部的横向移动； 过滤网络流量，阻止未知或不受信任来源访问内部系统的远程服务。 Medusa 勒索软件最早于 2021 年 1 月出现，但该组织直到 2023 年才开始活跃，并推出“Medusa Blog”泄密网站，以被盗数据为筹码施压受害者支付赎金。 自其出现以来，Medusa 已在全球范围内造成超过 400 名受害者，并因 2023 年 3 月攻击明尼阿波利斯公立学校（MPS）并公布被盗数据的视频而引发媒体关注。 2023 年 11 月，该组织还在暗网勒索平台上泄露了据称从丰田金融服务公司（Toyota Financial Services）窃取的文件。此前，丰田拒绝支付 800 万美元的赎金，并通知客户数据遭泄露。 Medusa 最初是封闭式勒索软件，仅由一个黑客组织负责开发和运营。后来，该组织转型为“勒索软件即服务”（RaaS）模式，采用合作伙伴体系，但核心开发者仍负责关键运营，包括赎金谈判。 “Medusa 开发者通常在网络犯罪论坛和黑市上招募初始访问经纪人（IABs）获取受害目标的访问权限。” 通告补充道，”这些合作伙伴可能获得 100 美元至 100 万美元不等的报酬，并有机会专门为 Medusa 工作。” 需要注意的是，多个恶意软件组织都使用“Medusa”这一名称，包括一个基于 Mirai 的勒索软件机器人网络和 2020 年发现的 Android 恶意软件即服务（MaaS）组织（又称 TangleBot）。 由于这一名称的广泛使用，Medusa 勒索软件常被误认为是 MedusaLocker 勒索软件，尽管两者实际上是完全不同的黑客组织。 上个月，CISA 和 FBI 还联合发布警报，警告“Ghost”勒索软件已入侵全球 70 多个国家的多个行业，包括关键基础设施领域。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文