Aggregator

HackerNews 编译，转载请注明出处： 一款名为 DynoWiper 的高危新型数据擦除恶意软件已出现，正对波兰能源企业发起破坏性攻击，核心目的是永久清除关键数据。 该恶意软件于 2025 年 12 月首次被发现，当时安全研究人员监测到其在一家波兰能源企业内部部署。 与常见的以勒索钱财为目的、对文件进行加密的勒索软件不同，DynoWiper 的运作目标纯粹是破坏性的：它旨在覆盖并摧毁受感染网络中的所有数据，导致系统完全瘫痪无法启动。 此次攻击标志着针对关键基础设施的网络威胁正出现令人担忧的升级态势。 DynoWiper 存在多个变种部署形式，包括 schtask.exe、schtask2.exe 及一个更新程序文件，所有变种均于 2025 年 12 月 29 日被投放。 攻击者在首次执行失败后，多次尝试运行该恶意软件，且每次都会修改代码以绕过安全防护机制。 但企业部署的终端检测与响应工具成功拦截了恶意软件执行，大幅降低了攻击造成的损失。 Welivesecurity 的分析师指出，DynoWiper 与一款此前针对乌克兰目标的已知擦除恶意软件 ZOV 存在显著相似性。 研究团队将 DynoWiper 归咎于 Sandworm 组织。这是一个与俄罗斯关联、以针对能源企业发起破坏性网络攻击而臭名昭著的威胁团伙。 Sandworm 通常被认为隶属于俄罗斯联邦总参谋部情报总局（GRU）74455 部队，长期以来持续针对东欧地区关键基础设施发起攻击。 该恶意软件通过一套精心设计的三阶段摧毁流程开展破坏行动。第一阶段，DynoWiper 会递归搜索所有固定驱动器和可移动驱动器上的文件，同时避开某些关键系统目录，以暂时维持系统的基本运行。 该擦除恶意软件会通过一个 16 字节的随机数据缓冲区覆写文件内容。小于 16 字节的文件会被完全覆写，大于 16 字节的文件则仅破坏部分内容，以此提升摧毁效率。 基于活动目录漏洞利用的部署方式 DynoWiper 的感染机制显示出攻击者拥有高度的网络渗透能力。攻击者利用 Active Directory 组策略，将恶意软件分发到整个受控网络。 该部署方式需要域管理员权限，足见该威胁团伙具备获取目标企业高级别访问权限的能力。 恶意软件被存放至网络共享目录，可在多台设备上同时执行。 在部署擦除恶意软件前，攻击者使用Rubeus等凭证窃取工具，并尝试通过 Windows 任务管理器转储本地安全权威子系统服务（LSASS）进程内存。攻击者还部署了一款名为 rsocx 的 SOCKS5 代理工具，用于与外部服务器建立反向连接。 这种多阶段的攻击方式表明，攻击者在发动最终的破坏性攻击之前，进行了周密的规划和侦察。 能源行业相关企业应落实严格的访问控制、网络分段及持续监控机制，在擦除恶意软件被部署前，及时发现此类复杂入侵尝试。     消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Microsoft has resolved to finally relegate NTLM to the periphery of its ecosystem, decreeing that in forthcoming Windows

The post The Final Sunset: Microsoft Lays Out the 3-Phase Plan to Kill NTLM After 30 Years appeared first on Penetration Testing Tools.

嗯，用户发来了一个请求，让我帮他总结一篇文章的内容，控制在100字以内。他还特别指出不需要以“文章内容总结”或“这篇文章”这样的开头，直接写描述就行。看起来他可能是在寻找一个简洁明了的摘要，用于某种快速阅读或者信息整理的场景。 然后，用户又提到了错误代码521。这个代码通常和Cloudflare有关，可能是指他在访问某个网站时遇到了问题。这让我想到，用户可能是在尝试访问某个资源时遇到了错误，需要了解这个错误的原因和解决方法。 接下来，我需要分析用户的需求。他可能是一个普通用户，在使用互联网时遇到了问题，不太清楚如何解决。或者他可能是一个开发者或者网站管理员，遇到了服务器相关的问题。无论是哪种情况，他都需要一个简明扼要的解释，帮助他理解问题所在，并找到解决办法。 考虑到用户要求控制在100字以内，并且不需要特定的开头，我应该用简洁的语言描述错误代码521的情况、原因以及解决方法。这样用户能够快速获取所需信息，解决问题。 最后，在总结时要注意用词准确，避免专业术语过多，确保用户能够轻松理解。同时，保持内容的结构清晰，先说明问题情况，再解释原因，最后给出解决方法。 文章描述了错误代码521的情况及其原因，并提供了相应的解决方法。

HackerNews 编译，转载请注明出处： 据报道，与俄罗斯有关联的黑客组织 Fancy Bear（ APT28）利用微软 Office 近期披露的一项漏洞，对乌克兰及欧盟相关组织发起网络攻击。 该预警由乌克兰国家网络威胁情报机构 —— 乌克兰计算机应急响应小组（CERT-UA）于 2 月 2 日发布。 CVE-2026-21509 漏洞在披露前已遭利用 CERT-UA 具体报告称，其在 1 月 29 日发现了一个名为 “Consultation_Topics_Ukraine(Final).doc” 的 Word 文档。该文档包含 CVE-2026-21509 漏洞的利用程序，该漏洞为高危级别（CVSS 3.1 评分 7.8 分），影响微软 Office 2016、2019、长期服务频道 2021 版、长期服务频道 2024 版及微软 365 企业应用版等多个版本。 微软于 1 月 26 披露了该漏洞，其成因是微软 Office 在安全决策环节过度依赖不可信输入。 该漏洞被成功利用后，攻击者可绕过微软 365 及 Office 中的对象链接与嵌入（OLE）防护机制，而该机制原本用于保护用户免受存在漏洞的组件对象模型（COM）及 OLE 控件的威胁。 微软在其安全公告中确认，已检测到该漏洞存在在野利用的相关证据。该科技企业敦促微软 Office 2016 及 2019 版本用户务必安装更新以获得防护。 微软 Office 2021 及后续版本用户将通过服务端更新获得自动防护，但需重启 Office 应用程序方可生效。 CERT-UA 在报告中指出：“鉴于用户可能延迟（或无法）更新微软 Office 及落实推荐安全措施，利用该漏洞发起的网络攻击数量或将持续上升。” Fancy Bear 针对 CVE-2026-21509 漏洞的攻击链 乌克兰计算机应急响应小组发现的该 Word 文档，与欧盟常驻代表委员会针对乌克兰局势的磋商相关。 文档元数据显示，其创建时间为 1 月 27 日上午，即微软披露该漏洞的次日。 同日，乌克兰计算机应急响应小组表示，从合作方处收到报告称，出现疑似来自乌克兰水文气象中心的钓鱼邮件，附件为另一个名为 BULLETEN_H.doc 的文档。 这封邮件被发送给了超过 60 个邮箱地址，收件方主要是乌克兰的中央行政机关。 CERT-UA 的深入分析表明，使用微软 Office 打开该文档后，会通过 WebDAV 协议触发与外部资源的网络连接，随后下载一个伪装成快捷方式（LNK 文件）的恶意文件，该文件含有的恶意代码可实现载荷的下载与执行。 攻击成功执行后，会进行以下操作： 创建名为 “EhStoreShell.dll” 的 DLL 文件（伪装成系统“增强存储外壳扩展”库）。 创建包含 Shellcode 的图片文件 “SplashScreen.png”。 修改注册表中 CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} 的路径（以此实现 COM 劫持）。 创建名为 “OneDriveHealth” 的计划任务。 这些任务执行后，会终止并重启资源管理器进程（explorer.exe），该进程会通过组件对象模型劫持技术加载 EhStoreShell.dll 文件。 该动态链接库文件会执行图片文件中的壳代码，最终在受感染系统中加载 Covenant 攻击框架。 Covenant 是一款基于.NET 框架开发的命令与控制（C2）工具，最初设计用途为网络攻防演练及红队渗透测试。 乌克兰计算机应急响应小组还强调，由于 Covenant 框架将合法云存储服务 Filen 作为命令与控制基础设施，疑似被Fancy Bear组织列为攻击目标的机构，应封禁该云存储服务节点的网络访问，或至少对相关网络交互进行严密监控。 2026 年 1 月下旬，安全人员还发现了另外三份携带相同漏洞利用代码的文档，其攻击目标指向欧盟国家的组织机构。 乌克兰计算机应急响应小组敦促相关方落实微软安全公告中列明的漏洞缓解措施，尤其是针对 Windows 注册表配置的相关防护操作。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

好的，我现在需要帮助用户总结一篇文章的内容。用户的要求是用中文，控制在100字以内，并且不需要以“文章内容总结”或“这篇文章”这样的开头，直接写描述即可。同时，用户还提到错误代码521，这可能意味着之前有请求失败的情况。 首先，我需要理解用户的需求。他们可能希望快速获取文章的核心信息，而不需要冗长的前言。这可能适用于学术研究、工作汇报或其他需要简洁摘要的场合。 接下来，我要考虑如何高效地总结文章内容。由于字数限制，我必须抓住文章的主要观点和关键细节。这可能包括研究目的、方法、结果和结论等部分。 然后，我会检查是否有任何特定的术语或概念需要特别强调，以确保摘要准确传达文章的意图。同时，我要避免使用过于专业的术语，以免影响读者的理解。 最后，在完成摘要后，我会再次审阅以确保符合字数要求，并且语言流畅自然。这样可以确保用户得到一个既简洁又全面的内容总结。 这篇文章描述了一个关于错误代码521的情况，可能涉及网络连接问题或服务器配置错误，并提供了一些解决方法和建议来排查和修复该问题。

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起针对 Open VSX Registry 的供应链攻击详情。在此次攻击中，不明身份的黑客入侵了一位合法开发者的账户资源，借此向下游使用者传播恶意更新。 Socket 安全研究员 Kirill Boychenko 在周六发布的报告中表示：“2026 年 1 月 30 日，开发者 oorzc 发布的四款成熟 Open VSX 扩展被推送恶意版本至仓库，版本中嵌入了 GlassWorm 恶意软件加载器。” “这些扩展此前一直以合法开发者工具的面目出现（部分最早发布于两年多前），在恶意版本发布前，其累计下载量已超过 22,000 次。” 这家供应链安全公司表示，此次攻击涉及该开发者的发布凭证被盗用。Open VSX 安全团队评估认为，事件可能源于令牌泄漏或其他未授权访问方式。目前，恶意版本已从 Open VSX 平台移除。  已确认的受污染扩展列表如下： ·   FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — 版本 0.5.1) ·   I18n Tools (oorzc.i18n-tools-plus — 版本 1.6.8) ·   vscode mindmap (oorzc.mind-map — 版本 1.0.61) ·   scss to css (oorzc.scss-to-css-compile — 版本 1.3.4) Socket 指出，这些恶意版本的核心目的是投递 GlassWorm 已知攻击活动相关的加载器恶意软件。该加载器支持运行时解密并执行内嵌恶意代码，采用 EtherHiding 这一愈发被武器化的技术获取命令与控制（C2）端点，最终执行恶意代码窃取苹果 macOS 系统凭证及加密货币钱包数据。 同时，该恶意软件会先对受感染设备进行环境探测，确认设备非俄语区域设置后才会触发执行 —— 这是俄语区背景威胁行为者或其关联组织的常见手法，目的是规避本土法律追责。 该恶意软件窃取的信息类型包括： ·   来自 Mozilla Firefox 及基于 Chromium 内核浏览器（如 Chrome、Edge 等）的数据（登录凭证、Cookie、浏览历史以及 MetaMask 等钱包扩展插件） ·   加密货币钱包文件（涉及 Electrum、Exodus、Atomic、Ledger Live、Trezor Suite、Binance 及 TonKeeper） ·    iCloud 钥匙串数据库 ·    Safari 浏览器 Cookie ·    Apple 备忘录数据 ·    桌面、文稿及下载文件夹中的用户文档 ·     FortiClient VPN 配置文件 ·    开发者凭证（例如 ~/.aws 和 ~/.ssh 目录下的文件） 针对开发者信息的窃取行为带来了严重风险，这可能使企业环境面临云账户被接管及攻击者横向移动的潜在威胁。 Boychenko 表示：“该恶意载荷包含专门的功能模块，用于定位并窃取常见开发工作流中的认证材料，例如检查 npm 配置文件中的 _authToken，以及获取 GitHub 的认证凭证。攻击者借此可访问私有代码仓库、持续集成（CI）系统的密钥以及发布自动化流程。” 此次攻击的一个显著特点是，它与以往观察到的 GlassWorm 攻击模式不同，黑客首次利用了合法开发者的被盗账户来分发恶意软件。在此前的案例中，该攻击活动的幕后黑手主要依赖误植域名和仿冒知名品牌等手段，上传欺诈性扩展进行传播。 Socket 分析称：“攻击者巧妙地融入了正常的开发者工作流程，将恶意代码的执行隐藏在加密且仅运行时解密的加载器之后，并利用 Solana 区块链的备忘录功能作为动态的‘死信箱’，来轮换其攻击基础设施，而无需重新发布扩展。这些设计选择降低了基于静态特征检测的价值，将防御优势转向了行为分析和快速响应能力。” 更新说明 Secure Annex 研究员 John Tuckner 告诉 The Hacker News，截至 UTC 时间 2026 年 2 月 2 日早上 6:30，上述扩展中仍有三个可供下载。在本文发稿前，它们已被从 Open VSX 移除，具体是： [email protected] [email protected] [email protected] Tuckner 表示：“该问题的棘手之处在于，受害者需等待原开发者发布更高版本，才能触发自动更新，即便扩展从应用市场下架，也不会从编辑器中自动卸载。” 消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

A critical sandbox escape vulnerability has been unearthed within the vm2 library—a utility frequently employed as a JavaScript

The post The Async Escape: Critical 9.8 Flaw in vm2 Turns JavaScript Sandboxes Into Open Gateways appeared first on Penetration Testing Tools.

Ivanti has disseminated remedial updates addressing two critical zero-day vulnerabilities within its Endpoint Manager Mobile (EPMM) platform. At

The post Zero-Day Flaw: Why Ivanti’s 9.8-Rated “Bash” Flaws Are a Disaster for Mobile Security appeared first on Penetration Testing Tools.

The GnuPG Project has inaugurated a vital maintenance release, GnuPG 2.5.17, engineered to rectify a critical security deficit

The post S/MIME Stack Overflow: OpenAI Researchers Uncover “Highly Likely” RCE in GnuPG appeared first on Penetration Testing Tools.

A team of cybersecurity experts has unearthed two critically severe vulnerabilities within the n8n workflow automation platform. Both

The post Automation or Infiltration? The JFrog Discoveries Breaking n8n’s Security Sandboxes appeared first on Penetration Testing Tools.

好，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读用户提供的文章内容，抓住主要信息。 文章提到马斯克旗下的SpaceX收购了他的AI公司xAI，同时xAI旗下的社交网络X/Twitter也会成为SpaceX的一部分。SpaceX预计今年上市，估值超过1万亿美元。马斯克计划用SpaceX的火箭发射100万个轨道数据中心，但他的很多言论不靠谱。 接下来，我要把这些信息浓缩到100字以内。要注意关键点：收购公司、收购带来的变化、SpaceX的估值、马斯克的计划以及他的言论可信度。 可能的结构是：先说收购事件，然后提到Twitter加入SpaceX家族，接着说明SpaceX的估值和计划，最后指出马斯克的言论不一定可靠。 现在组合成一句话：马斯克宣布SpaceX收购xAI及其社交网络X/Twitter，并计划发射100万个轨道数据中心。尽管SpaceX估值高达1万亿美元，但马斯克的部分言论可信度存疑。 检查字数是否在100字以内，并确保信息准确无误。 马斯克宣布SpaceX收购xAI及其社交网络X/Twitter，并计划发射100万个轨道数据中心。尽管SpaceX估值高达1万亿美元，但马斯克的部分言论可信度存疑。

马斯克（Elon Musk）旗下的火箭公司正式宣布收购他旗下的 AI 公司 xAI，这也意味着作为 xAI 一部分的社交网络 X/Twitter 也将成为 SpaceX 家族的一员。SpaceX 是马斯克目前最成功的公司，预计今年 IPO，其估值超过 1 万亿美元。马斯克声称他计划使用 SpaceX 的火箭为 xAI 发射部署 100 万个轨道数据中心。他的很多言论不能当真。

Исследователи нашли критические уязвимости в платформе, где нейросети создали религию и обсуждают уничтожение людей.

A vulnerability, which was classified as problematic, was found in AKCE SKSPro up to 07012026. The affected element is an unknown function. Executing a manipulation can lead to cross site scripting. The identification of this vulnerability is CVE-2025-8589. The attack may be launched remotely. There is no exploit available.

A vulnerability, which was classified as problematic, has been found in AKCE SKSPro up to 07012026. Impacted is an unknown function. Performing a manipulation results in information disclosure. This vulnerability was named CVE-2025-8590. The attack may be initiated remotely. There is no available exploit.

好的，我现在需要帮助用户总结一篇文章，控制在100字以内，并且不需要特定的开头。首先，我得仔细阅读用户提供的文章内容。看起来这篇文章主要讨论了错误代码521，解释了它在不同情境下的含义，比如网络连接问题或服务器配置错误。同时，文章还提供了排除故障的步骤和预防措施。 接下来，我要确保总结准确涵盖所有关键点：错误代码521的原因、解决方法以及预防建议。同时，语言要简洁明了，不超过100字。可能需要合并一些信息，避免重复。 最后，检查总结是否符合用户的要求，没有使用“文章内容总结”之类的开头，并且直接描述文章内容。确保整体流畅自然。 本文介绍了错误代码521的含义及其常见原因，并提供了排查和解决该问题的方法。

作者：Haoyun Yang, Ronghong Huang, Yong Fang等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.22770v1 摘要 传输层安全（TLS）是保障在线通信安全的基础，但证书验证过程中的漏洞可能导致中间人（MitM）攻击，这类漏洞在Android应用中仍是普遍威胁。现有检测工具存在用户界面（UI）交互覆盖率...

A vulnerability classified as critical was found in Langroid 0.53.4/0.53.15. This issue affects some unknown processing of the component TableChatAgent. Such manipulation leads to code injection. This vulnerability is uniquely identified as CVE-2026-25481. The attack can be launched remotely. No exploit exists. Upgrading the affected component is advised.

A vulnerability classified as problematic has been found in Prague Plugin up to 2.2.8 on WordPress. This vulnerability affects unknown code. This manipulation causes cross site scripting. This vulnerability is handled as CVE-2025-67972. The attack can be initiated remotely. There is not any exploit available.

A vulnerability described as problematic has been identified in Enter Addons Plugin up to 2.3.2 on WordPress. This affects an unknown part. The manipulation results in cross-site request forgery. This vulnerability is known as CVE-2026-25014. It is possible to launch the attack remotely. No exploit is available.