Aggregator

自2025年8月起，“新生儿数据”在非法交易市场中急速升温。 背后是一条由“育儿补贴”诈骗需求驱动、涵盖窃取—贩卖—诈骗的完整黑色产业链；新生儿家庭正在成为精准诈骗的主要受害群体，亟需引起相关监管部门和行业的高度警惕。

环境异常导致访问受限，需完成验证后继续。

HackerNews 编译，转载请注明出处： 安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）中的提权漏洞已在针对性攻击中被利用。 谷歌本周发布了2025年9月的安卓补丁集，共修复了111个独特的CVE漏洞，其中包括被利用的零日漏洞。 这两个被利用的漏洞都是提权问题，分别影响安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）。 “有迹象表明以下漏洞可能正在受到有限的针对性利用：CVE-2025-38352、CVE-2025-48543，”谷歌的公告中写道。 Linux内核漏洞的修复已于7月宣布，该漏洞与POSIX CPU计时器的处理有关，存在竞争条件。所有主要发行版似乎都已修复了该漏洞。 尽管在谷歌发出最新警告之前没有关于该漏洞被利用的报告，但该漏洞是由谷歌威胁分析小组（TAG）的Benoît Sevens报告的，这表明它可能在间谍软件攻击中被利用。 谷歌的公告没有提供关于安卓运行时安全缺陷的详细信息，除了它影响安卓开源项目（AOSP）13、14、15和16版本。 安卓Runtime零日漏洞已在2025-09-01安全补丁级别中得到解决，该补丁级别还解决了框架、系统和Widevine DRM中的其他58个漏洞。 谷歌警告说，其中最严重的是系统组件中的一个高危远程代码执行缺陷（CVE-2025-48539），该缺陷可以在不需要额外权限的情况下被利用。 更新到2025-09-05安全补丁级别的设备还将获得Linux内核漏洞的修复，以及影响Linux内核和Arm、Imagination Technologies、联发科、高通组件的其他51个问题的修复。 本月，谷歌为Pixel设备发布了一轮新的安全更新，解决了这些设备特有的23个漏洞，以及安卓2025年9月安全公告中识别的所有漏洞。 安卓公告中描述的所有漏洞也已通过Wear OS、Pixel Watch和汽车操作系统更新得到解决。Wear OS和Pixel Watch更新分别包含针对另外两个和一个安全缺陷的修复。 建议用户在其设备可用2025-09-05安全补丁级别时尽快进行更新。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章解释了错误代码521的原因及其解决方法，并提供了预防措施。

火狐浏览器将对 Windows 7/8/8.1 的支持延长至 2026 年 3 月，因仍有较多用户使用这些旧系统。

HackerNews 编译，转载请注明出处： 网络安全公司Proofpoint、SpyCloud、Tanium和Tenable已确认其Salesforce实例中的信息在最近的Salesforce–Salesloft Drift攻击中遭到泄露。 此次攻击活动于8月26日公开披露，当时谷歌威胁情报团队报告称，被追踪为UNC6395的威胁行为者利用被泄露的OAuth令牌，从第三方人工智能聊天机器人Salesloft Drift中导出了大量数据。 谷歌表示，攻击者利用Salesforce-Salesloft Drift集成来窃取数百个组织的相关数据，目标是敏感信息，如AWS访问密钥、密码和与Snowflake相关的访问令牌。 最初认为只会影响使用Drift集成的组织，但后来发现其他Salesforce客户也受到了影响。 8月28日，谷歌透露Workspace客户受到影响，网络安全公司Cloudflare、Palo Alto Networks和Zscaler也很快披露了受影响情况。 总体而言，此次攻击估计影响了超过700个组织，Proofpoint、SpyCloud、Tanium和Tenable已确认受到影响。 Proofpoint透露，攻击者通过被泄露的Drift集成访问了其Salesforce租户，并查看了其中存储的某些信息。 “目前没有证据表明此次供应链事件影响了Proofpoint的软件、服务、安全产品、客户受保护的数据或内部企业网络，”该公司表示。 SpyCloud此前是Salesloft Drift的客户，该公司宣布在此次攻击中标准客户关系管理字段遭到泄露。 “据信消费者数据未被访问。我们上周通知了客户，与他们与SpyCloud的关系相关的数据通过此次Salesloft Drift事件被泄露，”SpyCloud表示。 Tanium确认攻击者利用Salesloft Drift集成访问了其Salesforce实例中的数据，姓名、电子邮件地址、电话号码以及地区/位置引用等信息遭到泄露。 “我们可以明确确认未经授权的访问仅限于我们的Salesforce数据，没有对Tanium平台或任何其他内部系统或资源进行访问，”Tanium指出。 Tenable透露，在此次攻击中，支持案例信息遭到泄露，包括主题行、初始描述以及业务联系人详细信息，如姓名、电话号码、业务电子邮件地址以及地区/位置引用。 该公司还指出，没有证据表明被盗信息被滥用，并补充说，它采取了所有必要的措施来解决这一问题，包括轮换凭据、移除应用程序、保护其系统以及监控Salesforce实例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了HTTP错误代码521的含义及其常见原因。该错误通常与CDN服务（如Cloudflare）相关，表示CDN无法连接到网站服务器。常见原因包括服务器配置错误、DNS设置问题或服务器过载。解决方法包括检查服务器状态、优化配置或联系CDN提供商寻求帮助。

全国人大常委会将审议网络安全法修正草案，旨在适应网络空间新风险挑战，完善与数据安全法、个人信息保护法等法律衔接，并强化法律责任制度。

HackerNews 编译，转载请注明出处： 在发现一个正在被野外积极利用的安全漏洞后，联邦文职行政分支（FCEB）机构被建议在2025年9月25日之前更新其Sitecore实例。 该漏洞被追踪为CVE-2025-53690，其CVSS评分为9.0（满分10.0），表明其严重性为关键级别。 “Sitecore体验管理器（XM）、体验平台（XP）、体验商务（XC）和托管云包含一个涉及使用默认机器密钥的不可信数据反序列化漏洞，”美国网络安全与基础设施安全局（CISA）表示。 “该漏洞允许攻击者利用暴露的ASP.NET机器密钥来实现远程代码执行。” 谷歌旗下的Mandiant发现了这一正在被积极利用的ViewState反序列化攻击，该活动利用了2017年及更早版本的Sitecore部署指南中暴露的一个示例机器密钥。威胁情报团队并未将该活动与任何已知的威胁行为者或组织联系起来。 “攻击者对被入侵产品和被利用漏洞的深入了解体现在他们从最初的服务器入侵到权限提升的过程中，”研究人员Rommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok和Choon Kiat Ng表示。 微软在2025年2月首次记录了公开披露的ASP.NET机器密钥的滥用情况，该科技巨头观察到有限的利用活动可以追溯到2024年12月，当时未知的威胁行为者利用这些密钥来传递Godzilla后利用框架。 两个月后，Gladinet的CentreStack中一个类似的零日漏洞（被追踪为CVE-2025-30406，CVSS评分：9.0）开始被利用。该漏洞源于一个保护不当的machineKey，可能会使可访问互联网的服务器暴露于远程代码执行攻击。 2025年5月，ConnectWise披露了一个影响ScreenConnect的不当身份验证漏洞（CVE-2025-3935，CVSS评分：8.1），并称该漏洞已被一个国家级威胁行为者在野外利用，以针对一小部分客户进行ViewState代码注入攻击。 就在7月，名为Gold Melody的初始访问代理（IAB）被归因于一个利用泄露的ASP.NET机器密钥以获取组织的未经授权访问并将其出售给其他威胁行为者的活动。 在Mandiant记录的攻击链中，CVE-2025-53690被武器化以实现面向互联网的Sitecore实例的初始入侵，随后部署了一系列开源和定制工具，以协助侦察、远程访问和活动目录侦察。 使用公开可用部署指南中指定的示例机器密钥传递的ViewState有效载荷是一个名为WEEPSTEEL的.NET程序集，它能够收集系统、网络和用户信息，并将详细信息泄露回攻击者。该恶意软件借鉴了一些来自名为ExchangeCmdPy.py的开源Python工具的功能。 利用获得的访问权限，攻击者被发现会建立立足点、提升权限、保持持久性、进行内部网络侦察，并在网络中横向移动，最终导致数据被盗。在这些阶段使用的一些工具如下： – EarthWorm：用于通过SOCKS进行网络隧道 – DWAgent：用于持久远程访问和活动目录侦察，以识别目标网络中的域控制器 – SharpHound：用于活动目录侦察 – GoTokenTheft：用于列出系统上活跃的唯一用户令牌、使用用户令牌执行命令以及列出所有正在运行的进程及其关联的用户令牌 – 远程桌面协议（RDP）：用于横向移动 攻击者还被观察到创建本地管理员账户（asp$和sawadmin），以转储SAM/SYSTEM蜂巢，试图获取管理员凭证访问权限并通过RDP促进横向移动。 “随着管理员账户被入侵，之前创建的asp$和sawadmin账户被删除，这表明攻击者转向了更稳定和隐蔽的访问方法，”Mandiant补充道。 为了应对这一威胁，建议组织轮换ASP.NET机器密钥、锁定配置，并扫描其环境以寻找入侵迹象。 “CVE-2025-53690的后果是，某个地方的一个积极的威胁行为者显然使用了在产品文档中公开披露的静态ASP.NET机器密钥来获取暴露的Sitecore实例的访问权限，”VulnCheck安全研究副总裁Caitlin Condon告诉《黑客新闻》。 “该零日漏洞既源于不安全的配置本身（即使用静态机器密钥），也源于公开曝光——正如我们以前多次看到的那样，威胁行为者肯定会阅读文档。即使是稍微怀疑自己可能受到影响的防御者也应该立即轮换他们的机器密钥，并确保尽可能地，他们的Sitecore安装不会暴露在公共互联网上。” watchTowr的主动威胁情报负责人Ryan Dewhurst表示，该问题源于Sitecore客户从官方文档中复制和粘贴示例密钥，而不是生成独特、随机的密钥。 “任何使用这些已知密钥的部署都容易受到ViewState反序列化攻击，这是一条直接通往远程代码执行（RCE）的捷径，”Dewhurst补充道。 “Sitecore已确认新部署现在会自动生成密钥，并且所有受影响的客户都已收到通知。影响范围尚不清楚，但这个漏洞具有通常定义严重漏洞的所有特征。更广泛的影响尚未显现，但终将会。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了error code 521的原因和解决方法，指出该错误通常由服务器配置问题或网络连接异常引起，并提供了检查服务器状态、验证配置设置和联系主机提供商等解决建议。

文章介绍了 Nano Banana 这一强大的 AI 文字转图片工具及其在国内的免费应用平台椒图 AI。该平台支持多种功能如图片转手办、背景更换等，并提供详细教程和玩法攻略。

微软官方账号发布 Surface 平板电脑宣传图，显示运行 iPadOS 系统。照片系拼凑而成，套用 Surface 外壳与 iPadOS 截图。该素材发布超 24 小时仍未删除。

HackerNews 编译，转载请注明出处： 在npm包注册表中发现了四个新的恶意包，这些包能够从以太坊开发者那里窃取加密货币钱包的凭证。 “这些包伪装成合法的加密工具和Flashbots MEV基础设施，同时秘密地将私钥和助记词种子发送到威胁行为者控制的Telegram机器人，”Socket研究员Kush Pandya在分析中表示。 这些包是由一个名为“flashbotts”的用户上传到npm的，最早的库可以追溯到2023年9月。最近一次上传发生在2025年8月19日。截至本文撰写时，所有这些包仍然可以下载，它们的列表如下： – @flashbotts/ethers-provider-bundle（52次下载） – flashbot-sdk-eth（467次下载） – sdk-ethers（90次下载） – gram-utilz（83次下载） 鉴于Flashbots在对抗以太坊网络上最大可提取价值（MEV）的不利影响（如夹击攻击、清算、后跑、前跑和时间窃贼攻击）中的作用，对Flashbots的伪装并非巧合。 在被识别的库中，最危险的是“@flashbotts/ethers-provider-bundle”，它利用其功能性的伪装来隐藏恶意操作。在声称提供完整的Flashbots API兼容性的幌子下，该包包含了通过Mailtrap使用SMTP发送环境变量的隐蔽功能。 此外，npm包实现了一个交易操纵函数，将所有未签名的交易重定向到攻击者控制的钱包地址，并记录预签名交易的元数据。 根据Socket的说法，sdk-ethers大多是无害的，但它包含了两个函数，这些函数只有在不知情的开发者在自己的项目中调用它们时，才会将助记词短语发送到Telegram机器人。 第二个伪装成Flashbots的包flashbot-sdk-eth，也被设计成触发私钥的窃取，而gram-utilz为将任意数据泄露给威胁行为者的Telegram聊天提供了模块化机制。 由于助记词短语是恢复加密货币钱包访问权限的“主钥匙”，这些单词序列的被盗可能会让威胁行为者进入受害者的钱包并完全控制他们的钱包。 源代码中存在越南语注释，这表明出于经济动机的威胁行为者可能是讲越南语的。 这些发现表明，攻击者有意识地利用与该平台相关的信任来实施软件供应链攻击，更不用说在大多是无害的代码中隐藏恶意功能以避开审查了。 “由于Flashbots被验证者、搜索者和DeFi开发者广泛信任，任何看似官方SDK的包都有很高的机会被运行交易机器人或管理热钱包的运营商采用，”Pandya指出。“在这种环境下，被入侵的私钥可能导致资金的即时、不可逆的被盗。” “通过利用开发者对熟悉包名的信任，并在合法工具中填充恶意代码，这些包将常规的Web3开发变成了通往威胁行为者控制的Telegram机器人的直接管道。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的情况，指出该错误通常由Cloudflare引起，可能是因为服务器返回了无效响应或未正确配置SSL/TLS协议。此问题会导致用户无法正常访问网站，并提示需要联系网站管理员进行修复。

文章讲述了作者与朋友前往马来西亚吉隆坡和亚庇的旅行经历，分享了两地的美食、咖啡店、自然景观（如大王花基地、红树林）以及海岛探险体验，并提供了机票、酒店和行程规划等实用建议。

株式会社リコーが提供するRICOH Streamline NXには、操作履歴の改ざんにつながる脆弱性が存在します。

r/netsec社区聚合技术信息安全内容。安全研究员介绍利用Hound AI工具进行代码审计的方法，涵盖从准备代码到生成报告的全过程，并展示实际案例。

HackerNews 编译，转载请注明出处： 一个可能来自俄罗斯的威胁行为者被归因于针对哈萨克斯坦能源部门的新一轮攻击活动。 这一活动代号为“BarrelFire行动”，与Seqrite实验室追踪的新威胁组织Noisy Bear有关。该威胁行为者自2025年4月以来一直处于活跃状态。 “该活动针对的是KazMunaiGas（简称KMG）的员工，威胁实体发送了一份与KMG信息技术部门相关的虚假文件，模仿官方内部沟通，并利用政策更新、内部认证程序和薪资调整等主题，”安全研究员Subhajeet Singha表示。 感染链始于一封带有ZIP附件的网络钓鱼电子邮件，其中包含一个Windows快捷方式（LNK）下载器、一份与KazMunaiGas相关的诱饵文件，以及一个包含用俄语和哈萨克语书写的运行名为“KazMunayGaz_Viewer”程序的说明的README.txt文件。 据这家网络安全公司称，该电子邮件是通过一名在KazMunaiGas财务部门工作的个人的被入侵电子邮件地址发送的，并在2025年5月针对该公司其他员工。 LNK文件的有效载荷旨在投放额外的有效载荷，包括一个为名为DOWNSHELL的PowerShell加载器铺平道路的恶意批处理脚本。这些攻击最终部署了一个基于DLL的植入程序，这是一个64位二进制文件，可以运行shellcode以启动反向shell。 对Noisy Bear基础设施的进一步分析显示，其托管在俄罗斯的防弹托管（BPH）服务提供商Aeza Group上，该提供商因支持恶意活动而在2025年7月被美国制裁。 这一消息是在HarfangLab将一个与白俄罗斯有关联的威胁行为者（被称为Ghostwriter，也叫FrostyNeighbor或UNC1151）与自2025年4月以来针对乌克兰和波兰的活动联系起来之后发布的，这些活动使用恶意的ZIP和RAR档案，旨在收集有关被入侵系统的信息并部署用于进一步利用的植入程序。 “这些档案包含带有VBA宏的XLS电子表格，该宏会投放并加载一个DLL，”这家法国网络安全公司表示。“后者负责收集有关被入侵系统的信息，并从命令与控制（C2）服务器检索下一阶段恶意软件。” 该活动的后续迭代被发现会写入一个Microsoft Cabinet（CAB）文件以及LNK快捷方式，以从档案中提取并运行DLL。然后DLL会进行初步侦察，然后从外部服务器投放下一阶段恶意软件。 另一方面，针对波兰的攻击调整了攻击链，使用Slack作为信标机制和数据泄露渠道，反过来下载一个与域名pesthacks[.]icu建立联系的第二阶段有效载荷。 至少在一个案例中，通过带有宏的Excel电子表格投放的DLL被用来加载一个Cobalt Strike Beacon，以促进进一步的后期利用活动。 “这些小的变化表明UAC-0057可能正在探索替代方案，很可能是为了绕过检测，但优先考虑其行动的连续性或发展，而不是隐蔽性和复杂性，”HarfangLab表示。 这些发现正值OldGremlin在2025年上半年重新对俄罗斯公司发起勒索攻击，利用网络钓鱼电子邮件活动针对多达八家大型国内工业企业。 据卡巴斯基称，这些入侵涉及使用“自带易受攻击驱动程序”（BYOVD）技术来禁用受害者计算机上的安全解决方案，以及使用合法的Node.js解释器来执行恶意脚本。 针对俄罗斯的网络钓鱼攻击还投放了一种名为Phantom Stealer的新信息窃取器，它基于一个名为Stealerium的开源窃取器，利用与成人内容和支付相关的电子邮件诱饵收集各种敏感信息。它还与另一个名为Warp Stealer的Stealerium分支有重叠。 据F6称，Phantom Stealer还继承了Stealerium的“色情检测器”模块，当用户访问色情网站时，该模块会通过监控活动浏览器窗口以及标题是否包含色情、性等可配置术语来捕获网络摄像头截图。 “这很可能被用于‘色情勒索’，”Proofpoint在其对恶意软件的分析中表示。“虽然这一功能在网络犯罪恶意软件中并不新颖，但并不常见。” 在最近几个月，俄罗斯组织还遭受了被追踪为Cloud Atlas、PhantomCore和Scaly Wolf的黑客组织的攻击，这些组织利用VBShower、PhantomRAT和PhantomRShell等恶意软件家族来收集敏感信息并投放额外的有效载荷。 另一组活动涉及一种新的安卓恶意软件，它伪装成俄罗斯联邦安全局（FSB）创建的杀毒工具，以针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ（俄语中的FSB）和GuardCB，后者试图冒充俄罗斯联邦中央银行。 这种恶意软件最初于2025年1月被发现，它从即时通讯和浏览器应用程序中窃取数据，从手机摄像头中获取视频流，并通过获取访问短信、位置、音频、摄像头的广泛权限来记录按键。它还要求在后台运行、设备管理员权限和无障碍服务。 “该应用程序的界面只提供一种语言——俄语，”Doctor Web表示。“因此，该恶意软件完全针对俄罗斯用户。后门还使用无障碍服务来防止自己被删除，如果它从威胁行为者那里收到相应的命令。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的情况，该错误通常由Cloudflare引起，表示原服务器未响应或超时。

一个Reddit社区供网络安全学生交流资源和解答问题。发帖者24岁，有3年全栈开发经验并完成Google证书，询问是否应考CompTIA Security+及适合的职位。