Aggregator

Ransomware, third-party disruptions, and the rise of AI-powered attacks are reshaping the cyber risk landscape in 2025. A new midyear analysis from Resilience shows how these forces are playing out in real-world incidents and how they are changing the financial impact of attacks on organizations across sectors. The report, based on cyber insurance claims, offers a view into which attacks are hitting hardest and where vulnerabilities are emerging. For CISOs, the findings highlight where defenses … More →

The post Ransomware, vendor outages, and AI attacks are hitting harder in 2025 appeared first on Help Net Security.

Here’s a look at the most interesting products from the past week, featuring releases from Cynomi, DataLocker, Gigamon, Lookout, and Relyance AI. Cynomi simplifies vendor risk management Cynomi’s TPRM provides MSPs and MSSPs with a scalable way to deliver these critical services. By cutting vendor assessment times from 7 – 16 hours down to just 1.5 – 4.5 hours, Cynomi TPRM users can work up to 79% faster. This efficiency directly translates into higher profitability, … More →

The post New infosec products of the week: September 12, 2025 appeared first on Help Net Security.

GitHub近期遭遇一场名为“GhostAction”的供应链攻击，攻击者窃取了3325个敏感密钥，包括PyPI、npm、DockerHub、GitHub的令牌，以及Cloudflare和AWS的访问密钥等。

该攻击由GitGuardian的研究人员发现。据报告，受影响项目之一FastUUID最早出现入侵迹象的时间可追溯至2025年9月2日。

此次攻击的手法是：攻击者利用被攻陷的维护者账户提交代码，植入恶意的GitHub Actions工作流文件。该文件会在“推送（push）”操作或手动触发时自动运行，一旦触发，便会从项目的GitHub Actions环境中读取密钥，并通过curl POST请求将其窃取至攻击者控制的外部域名。

针对FastUUID的恶意工作流

GitGuardian指出，在FastUUID项目中，攻击者窃取了该项目的PyPI令牌，但好在攻击被发现并修复前，软件包索引（package index）上未出现恶意包发布的情况。

然而，深入调查后发现，此次攻击范围远不止FastUUID。研究人员表示，“GhostAction”攻击行动已在至少817个代码仓库中注入了类似的恶意提交，所有被盗密钥均被发送至同一个窃取端点：“bold-dhawan[.]45-139-104-115[.]plesk[.]page”。 

攻击者先从合法工作流中枚举密钥名称，再将这些名称硬编码到自己的恶意工作流中，从而窃取多种类型的密钥。

9月5日，GitGuardian摸清攻击的完整范围后，立即在573个受影响的代码仓库中提交了GitHub Issue，并直接通知了GitHub、npm和PyPI的安全团队。目前，已有100个GitHub代码仓库检测到入侵并回滚了恶意修改。 

攻击被发现后不久，该密钥窃取端点便已无法解析。 研究人员估计，“GhostAction”攻击中共窃取了约3325个密钥，涵盖PyPI令牌、npm令牌、DockerHub令牌、GitHub令牌、Cloudflare API令牌、AWS访问密钥及数据库凭据等。

泄露密钥的类型和数量

至少有9个npm包和15个PyPI包直接受此影响——在维护者撤销泄露的密钥前，这些包随时可能被发布恶意版本或植入木马的版本。 

分析显示，多个软件包生态系统的令牌均遭泄露，包括Rust crate和npm包。有几家公司的整个SDK产品组合都已沦陷，其Python、Rust、JavaScript和Go代码仓库同时受到恶意工作流的影响。 

尽管此次攻击与8月末发生的“s1ngularity”攻击在实际操作和技术层面存在一些相似之处，但GitGuardian表示，目前认为这两起攻击并无关联。

近期出现大规模针对思科ASA设备的网络扫描活动，网络安全研究人员就此发出警示，称此类活动可能预示这些产品即将曝出新漏洞。

网络安全公司GreyNoise记录显示，8月末出现两次显著的扫描高峰，多达2.5万个独立IP地址对ASA登录入口及思科IOS的Telnet/SSH服务进行探测。

2025年8月26日的第二波扫描中，80%的流量来自一个巴西僵尸网络，涉及约1.7万个IP地址。两次扫描活动中，威胁者使用的用户代理均与Chrome浏览器相似且存在重叠，表明其可能源自同一源头。

扫描活动主要针对美国，英国和德国也未能幸免。 

GreyNoise此前曾指出，在80%的案例中，此类侦察活动都发生在被扫描产品的新漏洞披露之前。从数据上看，思科产品的这种相关性较其他厂商更弱，但扫描高峰的相关信息仍能帮助防御者加强监控并采取主动防御措施。 

这些扫描活动通常是对已修复漏洞的失败利用尝试，但也可能是攻击者为利用新漏洞而进行的资产枚举与网络测绘。

报告证实扫描活动升级

系统管理员“NadSec – Rat5ak”此前发布的另一份报告显示，类似扫描活动始于7月31日，初期为低强度的 opportunistic 扫描，8月中旬逐渐升级，并于8月28日达到顶峰。

Rat5ak观察到，20小时内思科ASA端点遭遇了20万次访问，且每个IP的流量均稳定在1万次左右，呈现出高度自动化的特征。

该管理员称，这些活动来自三个自治系统编号（ASN），分别是Nybula、Cheapy-Host和Global Connectivity Solutions LLP。

安全建议

研究人员建议系统管理员采取以下措施：

1.  为思科ASA设备安装最新安全更新，修复已知漏洞；

2.  对所有ASA远程登录强制启用多因素认证（MFA）；

3.  避免将/+CSCOE+/logon.html页面、WebVPN、Telnet或SSH服务直接暴露在公网；

4.  若确需外部访问，应使用VPN集中器、反向代理或访问网关加强访问控制；

5.  利用GreyNoise和Rat5ak报告中共享的扫描活动指标，主动拦截此类尝试，或对远离本组织业务区域的IP实施地理封锁与速率限制。