Aggregator

攻击者目前正利用Windows服务器更新服务（WSUS）的一个高危漏洞发起攻击，该漏洞的概念验证（PoC）利用代码已公开。

该漏洞编号为CVE-2025-59287，属于远程代码执行漏洞，仅影响一类Windows服务器——需启用“WSUS服务器角色”，且作为组织内部其他WSUS服务器的更新源（此功能默认未开启）。

威胁者可通过低复杂度攻击远程利用该漏洞，无需权限验证或用户交互，即可获得SYSTEM权限（系统最高权限）并执行恶意代码。在此情况下，该安全漏洞还可能在WSUS服务器之间形成蠕虫式传播。

微软目前针对所有受影响的Windows Server版本发布了非常规安全更新（非“补丁星期二”常规更新），以“全面修复CVE-2025-59287漏洞”，并建议IT管理员尽快安装，具体补丁如下：

- Windows Server 2025（补丁编号KB5070881）

- Windows Server 23H2版本（补丁编号KB5070879）

- Windows Server 2022（补丁编号KB5070884）

- Windows Server 2019（补丁编号KB5070883）

- Windows Server 2016（补丁编号KB5070882）

- Windows Server 2012 R2（补丁编号KB5070886）

- Windows Server 2012（补丁编号KB5070887） 

对于无法立即部署紧急补丁的管理员，微软还提供了临时缓解方案，包括在受影响系统上禁用WSUS服务器角色，以消除攻击路径。

随后，网络安全公司HawkTrace Security发布了CVE-2025-59287的概念验证利用代码，但该代码暂不支持执行任意命令。

在野攻击已出现：多国监测到扫描与入侵行为

1. 荷兰Eye Security：全球超2500台设备暴露，部分系统遭入侵

荷兰网络安全公司Eye Security报告称，已监测到针对该漏洞的扫描与利用尝试，其至少一名客户的系统已被入侵——攻击者使用的利用工具与HawkTrace周末发布的版本不同。

该公司还指出，尽管WSUS服务器通常不会暴露在公网，但全球仍有约2500台此类设备可被公网访问，其中德国约250台、荷兰约100台。

2. 美国Huntress：10月23日起出现针对性攻击，聚焦暴露默认端口的设备

美国网络安全公司Huntress发现，自10月23日起，已有攻击者针对公网暴露默认端口（8530/TCP和8531/TCP）的WSUS设备发起CVE-2025-59287攻击。

该公司监测到的攻击中，威胁者执行了PowerShell侦察命令，收集内部Windows域信息并通过网络钩子发送，收集的数据包括以下命令输出：

- whoami：当前登录用户名

- net user /domain：列出Windows域内所有用户账户

- ipconfig /all：显示所有网络接口的配置信息

3. 荷兰国家网络安全中心（NCSC-NL）：证实攻击存在，风险持续升高

荷兰国家网络安全中心证实了上述两家公司的发现，并在预警中提醒管理员。该机构强调：“WSUS服务通常不会通过公网开放访问，但目前该漏洞的公开概念验证代码已出现，导致利用风险显著上升。”

目前，微软已将CVE-2025-59287的风险等级定为“极可能被利用”，表明该漏洞对攻击者具有较强吸引力；不过截至目前，微软尚未更新安全公告以确认该漏洞已遭在野利用。

近期，npm注册表中出现10款模仿合法软件项目的恶意包，它们会下载一款信息窃取组件，从Windows、Linux和macOS系统中收集敏感数据。

这些恶意包于7月4日被上传至npm平台，因采用多层混淆技术躲过标准静态分析机制，长期未被发现。据网络安全公司Socket的研究人员透露，这10款恶意包的下载量已接近1万次，能够窃取系统密钥环、浏览器及身份验证服务中的凭证信息。

截至本文撰写时，尽管Socket已向npm平台报告相关情况，但以下恶意包仍可获取：

1. typescriptjs

2. deezcord.js

3. dizcordjs

4. dezcord.js

5. etherdjs

6. ethesjs

7. ethetsjs

8. nodemonjs

9. react-router-dom.js

10. zustand.js

Socket研究人员表示，这些恶意包通过虚假验证码验证伪装成合法程序，进而下载一款以PyInstaller打包的24MB信息窃取器。

攻击者为诱骗用户下载，采用了“拼写劫持”（typosquatting）手段——利用多款知名软件的名称拼写错误或变体命名恶意包。涉及的合法软件包括TypeScript（JavaScript的类型化超集）、discord.js（Discord机器人开发库）、ethers.js（以太坊JavaScript开发库）、nodemon（Node应用自动重启工具）、react-router-dom（React浏览器路由工具）及zustand（轻量React状态管理工具）。

开发者在npm平台搜索这些合法包时，可能因拼写失误或直接选择搜索结果中的恶意包而中招。恶意包安装后，会自动触发“postinstall”脚本，生成一个与主机检测到的操作系统匹配的新终端。该脚本在可见的安装日志之外执行“app.js”文件，并立即清空窗口以规避检测。

“app.js”文件是恶意软件加载器，采用四层混淆技术：自解码eval包装器、动态生成密钥的XOR解密、URL编码载荷以及深度控制流混淆。

脚本会通过ASCII码在终端显示虚假验证码，为安装过程制造合法假象。

虚假的 ASCII 验证码步骤

随后，它会将受害者的地理位置和系统指纹信息发送至攻击者的命令与控制（C2）服务器。获取这些信息后，恶意软件会从外部来源下载并自动启动特定于平台的二进制文件，该文件是一款以PyInstaller打包的24MB可执行程序。

这款信息窃取器的攻击目标包括各类系统密钥环（如Windows凭据管理器、macOS钥匙串、Linux SecretService、libsecret及KWallet），以及基于Chromium内核的浏览器和Firefox浏览器中存储的数据（包括用户配置文件、保存的密码和会话Cookie）。

此外，它还会在常见目录中搜索SSH密钥，并尝试查找和窃取OAuth令牌、JWT令牌及其他API令牌。 

被盗取的信息会被打包成压缩文件，先临时存储在/var/tmp或/usr/tmp目录，随后被窃取至攻击者的服务器（IP地址：195[.]133[.]79[.]43）。 

建议曾下载过上述任何一款恶意包的开发者立即清理感染文件，并轮换所有访问令牌和密码，因为这些凭证极有可能已被泄露。 

从npm或其他开源索引获取包时，建议仔细核对名称是否存在拼写错误，并确保所有包均来自可靠的发布者和官方仓库。

Google has issued an urgent warning about a critical vulnerability in Android that allows attackers to execute arbitrary

The post Zero-Click Alert: Google Patches Critical Android Flaw Allowing Remote Code Execution appeared first on Penetration Testing Tools.

In recent weeks, some Windows 10 users have begun receiving alarming notifications about the end of support for

The post Microsoft Acknowledges Bug Warning Windows 10 LTSC/ESU Users That Support Ended appeared first on Penetration Testing Tools.

In mid-autumn 2025, researchers at Cyble and Seqrite Labs observed a new wave of targeted malicious activity dubbed

The post OpenSSH & Tor: ‘Operation SkyCloak’ Targets Defense Agencies with Stealthy Multi-Stage Backdoor appeared first on Penetration Testing Tools.

Google has developed an artificial intelligence system called Big Sleep, which is already proving valuable in the field

The post AI Cyber-Hound: Google’s Big Sleep AI Finds 5 Critical Flaws in Apple’s WebKit appeared first on Penetration Testing Tools.