Aggregator

CVE-2025-32444是存在于vLLM框架（版本≤0.8.4）Mooncake KV传输模块中的高危无授权远程代码执行（RCE）漏洞，CVSS v3.1评分为9.8分，漏洞编号对应MITRE官方收录条目。

HackerNews 编译，转载请注明出处： StealC信息窃取恶意软件操作者使用的基于网络的控制面板中存在一个跨站脚本（XSS）漏洞，该漏洞使得研究人员能够观察活跃会话并收集有关攻击者硬件的相关信息。 StealC于2023年初出现，并在暗网网络犯罪渠道上进行了大力推广。由于其规避检测和广泛的数据窃取能力，它逐渐流行起来。 在随后的几年里，StealC的开发者进行了多次功能增强。去年4月发布2.0版本时，恶意软件作者引入了用于实时警报的Telegram机器人支持，以及一个新的生成器，该生成器可以基于模板和自定义的数据窃取规则来生成StealC版本。 在那段时间，该恶意软件管理面板的源代码遭到泄露，给研究人员提供了分析它的机会。 CyberArk的研究人员还发现了一个XSS漏洞，使他们能够收集StealC操作者的浏览器和硬件指纹、观察活跃会话、从面板窃取会话cookie，并远程劫持面板会话。 研究人员表示：”通过利用该漏洞，我们能够识别威胁行为者计算机的特征，包括大致位置指标和计算机硬件详细信息。此外，我们还能够获取活跃的会话cookie，这使我们能够从自己的机器上控制这些会话。” CyberArk没有透露关于该XSS漏洞的具体细节，以防止StealC操作者迅速定位并修复它。 报告重点介绍了一个被称为’YouTubeTA’的StealC客户案例。该攻击者可能使用被盗凭证劫持了旧的、合法的YouTube频道，并植入了感染链接。这名网络犯罪分子在2025年全年运行恶意软件活动，收集了超过5000份受害者日志，窃取了大约39万个密码和3000万个cookie（其中大部分不敏感）。 从威胁行为者面板的截图来看，大多数感染发生在受害者搜索Adobe Photoshop和Adobe After Effects的破解版本时。 通过利用XSS漏洞，研究人员能够确定攻击者使用的是一台基于Apple M3芯片的系统，系统语言设置为英语和俄语，使用东欧时区，并且通过乌克兰访问互联网。当威胁行为者忘记通过VPN连接StealC面板时，他们的位置暴露了。这揭示了他们的真实IP地址，该地址与乌克兰ISP TRK Cable TV有关联。 CyberArk指出，恶意软件即服务平台虽然能实现快速扩张，但也给威胁行为者带来了重大的暴露风险。 BleepingComputer已联系CyberArk，询问他们为何选择现在公开StealC的XSS漏洞。研究员Ari Novick表示，他们希望扰乱该恶意软件的运营，因为”近几个月来StealC操作者的数量激增，可能是对几个月前围绕Lumma恶意软件的风波作出的反应。通过公布XSS漏洞的存在，我们希望在恶意软件操作者重新评估是否使用它时，至少能对StealC恶意软件的使用造成一些干扰。由于现在操作者相对较多，这似乎是一个可能对MaaS市场造成相当大扰动的绝佳机会。” 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GootLoader恶意软件使用由数百个串联归档文件组成的畸形ZIP文件来逃避检测。 GootLoader被勒索软件攻击者用于初始访问，然后移交给其他攻击者。该软件专为规避检测而设计，在过去几年中占所有绕过安全防护的恶意软件的11%。 GootLoader采用“访问即服务”模式运行，被不同团伙用来在受感染系统上投放额外的恶意负载。已知GootLoader曾使用无文件技术来传递诸如SunCrypt、REvil（Sodinokibi）勒索软件、Kronos木马以及Cobalt Strike等威胁。过去，GootLoader曾分发伪装成免费软件安装程序的恶意软件，并使用法律文件诱骗用户下载这些文件。 GootLoader是GootKit恶意软件家族的一部分，该家族自2014年以来一直活跃。Mandiant将GootKit背后的威胁行为者追踪为UNC2565。 在2025年11月重新出现后，它现在与Vanilla Tempest和Rhysida勒索软件有关联，在其第一阶段的加载器中使用畸形ZIP文件以规避分析。 GootLoader以包含恶意JScript文件的ZIP文件形式传播。在Windows系统上打开时，脚本运行并开始感染过程。该ZIP文件被故意制作成损坏的，以至于许多安全分析工具无法打开它，但Windows可以。这有助于恶意软件在受害者系统上正常工作同时避免被检测。 “攻击者创建畸形归档文件作为一种反分析技术。也就是说，许多解压缩工具无法稳定地提取它，但有一个关键的解压缩工具似乎能稳定可靠地工作：Windows系统内置的默认工具。” Expel发布的报告中写道，”通过使许多专业工具（如7zip和WinRAR）无法访问，它阻止了许多自动化工作流分析文件内容，但通过使默认的Windows解压缩器能够访问，它确保了攻击者的目标受众（潜在受害者）可以打开并运行JScript。” 该ZIP文件实际上包含了数百个粘合在一起的ZIP文件，但由于ZIP文件是从末尾开始读取的，所以仍然有效。每次下载的文件都是唯一的，因此安全工具无法依赖文件指纹。 该ZIP文件还具有损坏和随机的元数据，这会让许多分析工具感到困惑，而Windows仍然可以打开它。这使得恶意软件可以绕过防御，迫使安全团队依赖基于行为的检测，而不是文件签名。 GootLoader使用一个由500-1000个ZIP归档文件粘合而成的畸形ZIP文件，由于ZIP文件从末尾读取，它仍然有效。该文件在受害者系统上由编码数据构建而成，以规避网络检测。其目录结构部分损坏，关键字段被随机化，这让许多归档工具感到困惑，但在Windows上仍可使用。 “该文件由500-1000个串联在一起的ZIP归档文件组成。因为ZIP归档文件是从文件末尾读取的，所以ZIP归档文件仍然可以正常运行。”报告继续写道，”串联在一起的ZIP归档文件数量是随机的，并且ZIP归档文件本身在下载时生成。” 攻击首先向受害者发送一个编码文件，该文件在下载时看起来无害。在用户的浏览器中，此数据被解码并反复复制，直到形成一个ZIP文件，从而绕过安全检查。当受害者打开它时，Windows会自动显示一个JavaScript文件。运行它会启动恶意软件，创建用于持久化的启动快捷方式，并使用PowerShell继续攻击。 为了降低风险，组织应在不需要时阻止wscript和cscript，并防止JavaScript文件自动运行。 为了防御GootLoader，组织应默认阻止JavaScript文件运行，在不需要时限制或阻止wscript和cscript，并使用组策略对象（GPO）在记事本中打开.js文件。检测应侧重于异常的ZIP行为、从临时文件夹执行脚本、创建启动快捷方式以及可疑的进程链（例如cscript启动PowerShell）。 “检测应侧重于ZIP归档文件的异常行为和后续的进程执行链。”报告总结道。 “监控wscript.exe执行位于AppData\Local\Temp目录中的.js文件。 监控在用户的启动文件夹中创建指向非标准目录中脚本的.LNK文件。 标记cscript.exe使用传统NTFS短名称（例如FILENA~1.js）执行.js文件的情况。 对特定的进程树发出警报：cscript.exe → powershell.exe”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

本文从代码层面分析了CVE-2026-21858漏洞的成因

HackerNews 编译，转载请注明出处： 反政府活动分子短暂控制了伊朗的”巴德尔”卫星，劫持国家电视台播放了流亡的伊朗王储礼萨·巴列维呼吁民众抗议伊朗伊斯兰共和国的信息。巴列维的媒体团队也分享了此次黑客攻击的录像片段。 据伊朗国际电视台英语频道在X上发布的消息：”周日，通过巴德尔卫星播送的数个伊朗国家电视频道遭黑客攻击，播放了抗议画面以及流亡的伊朗王储礼萨·巴列维呼吁民众加入示威、并要求军事力量站在抗议者一边的讲话。” 根据以色列公共广播公司KAN新闻的报道，被劫持的广播于晚上9点30分左右播出，持续了大约10分钟。被劫持的广播敦促抗议者继续行动，展示了世界各地的声援抗议活动，并包含了国际领导人的支持信息。 #突发新闻 周日，通过巴德尔卫星播送的多个伊朗国家电视频道遭黑客攻击，播放了抗议画面以及流亡的伊朗王储礼萨·巴列维呼吁民众加入示威、并要求军事力量站在抗议者一边的讲话。 伊朗的… pic.twitter.com/zpQLC6krd2 — 伊朗国际英语频道 (@IranIntl_En) 2026年1月18日 广播中还出现了巴列维呼吁进行更多抗议，并要求伊朗军队和安全部队支持示威者的画面。 伊朗伊斯兰共和国电视台网络被黑客攻击的另一个视频，画面显示了伊朗国家革命以及礼萨·巴列维王子的信息。pic.twitter.com/wHvvrynalp — 礼萨·巴列维通讯 (@PahlaviComms) 2026年1月18日 “视频中，广播似乎包含波斯语信息，鼓励抗议者继续他们的活动，全球声援抗议活动的媒体画面，以及国际领导人的支持信息。”《耶路撒冷邮报》报道称。 梅纳托电视台记者发送此视频，称伊朗伊斯兰共和国广播电视台频道被黑客攻击。pic.twitter.com/ZkeHBmtaI4 — 梅纳托新闻编辑室 (@ManotoNews) 2026年1月18日 2026年1月18日，独立且无党派的全球互联网监测机构NetBlocks报告称，在谷歌部分服务和通讯服务经过短暂且严格限制的恢复后，伊朗的互联网流量再次下降。在此期间，少数用户分享了当地危机的更新情况。更新：截至互联网中断第240小时，在#伊朗 经过短暂、严格过滤地恢复了部分谷歌和通讯服务后，流量水平已下降。在此期间，一些伊朗人得以更新并详述了当地危机的严重程度。pic.twitter.com/ihbjWOUrzD — NetBlocks (@netblocks) 2026年1月18日     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名约旦国民于上周四认罪，承认通过在网络犯罪论坛上出售对至少50家公司网络的访问权限进行犯罪。 40岁的费拉斯·阿尔巴希蒂被指控犯有与访问设备相关的欺诈和关联活动罪，面临最高10年监禁。他的量刑定于今年5月进行。 法庭文件显示，联邦调查局一名卧底特工于2023年5月在对一个未具名的网络犯罪论坛进行无关调查时，首次与阿尔巴希蒂取得了联系。 阿尔巴希蒂以用户名“r1z”活动，最初向卧底特工出售了一款渗透测试工具的破解版，随后又以5000美元的价格，通过两种不同的防火墙漏洞利用方式，出售了对50家公司的网络访问权限。 到2023年9月，卧底特工再次联系阿尔巴希蒂，询问一种可以关闭终端检测与响应工具的恶意软件（即EDR杀手）。阿尔巴希蒂提供了能够禁用三个不同品牌EDR的强大恶意软件，FBI以1.5万美元的价格购买了一个版本。 在起诉书中，FBI指出该恶意软件”具有新颖性，并且在破坏受害者计算机网络方面似乎非常有效”。 在替卧底特工测试该恶意软件时，FBI得以追踪到阿尔巴希蒂的IP地址。起诉书补充说，同一IP地址还参与了2023年6月对美国一家制造公司的勒索软件攻击，造成了约5000万美元的损失。检察官未具体说明是哪家公司。 FBI最终能够将”r1z”这个网络犯罪论坛账户与阿尔巴希蒂联系起来，是因为该账户注册时使用的电子邮箱与他2016年申请美国签证时使用的是同一个。这个Gmail地址还与以阿尔巴希蒂名义注册的其他几个账户和支付卡有关联。 阿尔巴希蒂在被起诉时居住在格鲁吉亚第比利斯，并于2024年7月被引渡至美国。 经过数月的律师更换后，阿尔巴希蒂最终同意达成认罪协议，承认自己出售了对这50家公司的访问权限。 已知威胁 初始访问经纪人是网络犯罪生态系统的关键一环，他们负责入侵受害者网络这一困难工作，然后将其出售或自行利用。 多年来，”r1z”账户受到多家网络安全公司和政府机构的关注，许多人认为它是一个提供有效安全产品漏洞利用程序的合法威胁行为者。 网络安全公司兼大型防火墙制造商Fortinet在2022年发布了一份关于”r1z”的报告，警告称该威胁行为者”通过利用关键的Confluence未授权RCE漏洞（跟踪为CVE-2022-26134）获取了对50个易受攻击的Confluence服务器的访问权限并进行了广告宣传，并声称拥有超过10000个易受攻击的Confluence服务器列表”。 Fortinet将”r1z”账户列为2022年24个可信威胁行为者之一。美国卫生与公众服务部下属的网络安全机构在其2022年的报告中也引用”r1z”为可信威胁来源。 卫生信息共享与分析中心（Health-ISAC）网络信息共享组织于2023年1月警告医疗保健组织，”r1z”是一个”知名且可信的”Cobalt Strike（一款流行的渗透测试工具）非法版本销售商。该组织称，该账户”自2022年6月左右开始活跃，此前曾通过被入侵的Confluence、Microsoft Exchange、SonicVPN和VMware账户提供未授权访问”。 “r1z”这个代号似乎还在俄罗斯网络犯罪论坛XSS上拥有账户。网络安全公司ZeroFox分享的截图显示，有一篇帖子提供了网络犯罪分子可用于绕过EDR和防病毒解决方案的工具。 网络安全公司Kela的专家补充说，”r1z”在XSS论坛上声誉良好，并提供过多个安全产品的有效漏洞利用程序。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in Linux Kernel up to 6.11.1. It has been rated as critical. Affected is the function nilfs_btree_insert of the component nilfs2. This manipulation causes null pointer dereference. This vulnerability is handled as CVE-2024-47699. The attack can only be done within the local network. There is not any exploit available. Upgrading the affected component is advised.

A vulnerability, which was classified as critical, has been found in Linux Kernel up to 6.11.1. Affected is the function rtl2830_pid_filter. The manipulation leads to out-of-bounds write. This vulnerability is listed as CVE-2024-47697. The attack must be carried out from within the local network. There is no available exploit. It is advisable to upgrade the affected component.

A vulnerability, which was classified as critical, was found in Linux Kernel up to 6.11.1. Affected by this vulnerability is the function rtl2832_pid_filter. The manipulation results in out-of-bounds write. This vulnerability is cataloged as CVE-2024-47698. The attack must originate from the local network. There is no exploit available. You should upgrade the affected component.

A vulnerability labeled as critical has been found in Linux Kernel up to 6.11.1. This affects the function mlx5r_umr_resource_cleanup. Executing a manipulation can lead to null pointer dereference. The identification of this vulnerability is CVE-2024-47694. The attack needs to be done within the local network. There is no exploit available. The affected component should be upgraded.

A vulnerability classified as problematic was found in Linux Kernel up to 5.15.167/6.1.112/6.6.53/6.10.12/6.11.1. This impacts the function init_conns of the component RDMA. Executing a manipulation can lead to out-of-bounds read. This vulnerability is tracked as CVE-2024-47695. The attack is only possible within the local network. No exploit exists. Upgrading the affected component is advised.

A vulnerability marked as critical has been reported in Linux Kernel up to 6.11.1. This vulnerability affects the function flush_workqueue of the component RDMA. The manipulation leads to use after free. This vulnerability is referenced as CVE-2024-47696. The attack needs to be initiated within the local network. No exploit is available. It is suggested to upgrade the affected component.

A vulnerability identified as critical has been detected in Linux Kernel up to 6.6.53/6.10.12/6.11.1. The affected element is the function f2fs_stop_gc_thread in the library lib/dump_stack.c. The manipulation leads to use after free. This vulnerability is referenced as CVE-2024-47691. The attack needs to be initiated within the local network. No exploit is available. You should upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Linux Kernel up to 5.15.167/6.1.112/6.6.53/6.10.12/6.11.1. This affects the function ib_cache_setup_one. The manipulation results in incomplete cleanup. This vulnerability is reported as CVE-2024-47693. The attacker must have access to the local network to execute the attack. No exploit exists. You should upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Linux Kernel up to 6.11.1. Affected by this issue is the function memdup_user in the library /var/lib/nfs/nfsdcld/. The manipulation leads to null pointer dereference. This vulnerability is documented as CVE-2024-47692. The attack requires being on the local network. There is not any exploit available. It is advisable to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.6.53/6.10.12/6.11.1. It has been classified as problematic. This affects the function f2fs_handle_critical_error of the file kernel/rcu/sync.c. This manipulation causes race condition. This vulnerability is handled as CVE-2024-47689. The attack can only be done within the local network. There is not any exploit available. Upgrading the affected component is recommended.

A vulnerability classified as problematic was found in Linux Kernel up to 5.15.167/6.1.112/6.6.53/6.10.12/6.11.1. Affected by this vulnerability is the function f2fs_lookup of the file fs/f2fs/inode.c. Executing a manipulation can lead to state issue. This vulnerability is registered as CVE-2024-47690. The attack requires access to the local network. No exploit is available. Upgrading the affected component is advised.

Самый дешевый тариф больше не защищён от назойливого маркетинга.

本文分析ComfyUI-Manager在3.38以下版本中存在的安全缺陷，通过userdata接口修改配置实现远程代码执行。

OpenAI is reportedly testing a new feature or product codenamed "Sonata," and it could be related to music or audio-related experiences on ChatGPT. [...]