Aggregator

В мировом автопроме началась большая охота на спрятанные строчки кода.

It’s time to file your tax return. And cybercriminals are lurking to make an already stressful period even more edgy.

HackerNews 编译，转载请注明出处： BeyondTrust 警告客户修复其 Remote Support（RS）和 Privileged Remote Access（PRA）软件中的一个严重安全漏洞，该漏洞可能允许未经身份验证的攻击者远程执行任意代码。 该漏洞编号为 CVE-2026-1731，是一个认证前远程代码执行漏洞，源于由 Harsh Jaiswal 和 Hacktron AI 团队发现的操作系统命令注入缺陷。它影响 BeyondTrust Remote Support 25.3.1 或更早版本以及 Privileged Remote Access 24.3.4 或更早版本。 无特权的威胁行为者可通过精心构造的恶意客户端请求来利用此漏洞，此类攻击复杂度低，且无需用户交互。 BeyondTrust 指出：“成功利用可能允许未经身份验证的远程攻击者以站点用户身份执行操作系统命令。”“成功利用无需身份验证或用户交互，并可能导致系统被攻陷，包括未经授权的访问、数据窃取和服务中断。” 截至 2026 年 2 月 2 日，BeyondTrust 已完成对所有 RS/PRA 云系统的安全加固，并已建议所有未启用自动更新的本地客户通过手动升级到 Remote Support 25.3.2 或更高版本以及 Privileged Remote Access 25.1.1 或更高版本来修补其系统。 Hacktron 团队在周五的一份报告中警告：“大约有 11,000 个实例暴露在互联网上，包括云部署和本地部署。”“其中约有 8,500 个是本地部署，如果未应用补丁，这些实例可能仍然存在漏洞。” 2025 年 6 月，BeyondTrust 修复了 RS/PRA 中一个高严重性的服务器端模板注入漏洞，该漏洞同样可能允许未经身份验证的攻击者实现远程代码执行。 在本文发布后，BeyondTrust 告诉 BleepingComputer，目前没有已知的针对 CVE-2026-1731 的在野利用。 曾被用作零日漏洞的 BeyondTrust 历史漏洞 尽管 BeyondTrust 表示 CVE-2026-1731 漏洞尚未在野被利用，但近年来威胁行为者已利用了其他 BeyondTrust RS/PRA 安全漏洞。 例如，两年前，攻击者利用两个 RS/PRA 零日漏洞（CVE-2024-12356 和 CVE-2024-12686）入侵 BeyondTrust 系统后，使用窃取的 API 密钥成功攻击了 17 个 Remote Support SaaS 实例。 CISA 于 12 月 19 日将 CVE-2024-12356 添加到其已知被利用漏洞目录中，并命令美国政府机构在一周内确保其网络安全。 BeyondTrust 为全球 100 多个国家的超过 20,000 家客户提供身份安全服务，其中包括全球 75% 的财富 100 强公司。Remote Support 是该公司的企业级远程支持解决方案，可帮助 IT 支持团队远程解决问题，而 Privileged Remote Access 则作为安全网关，对特定系统和资源强制执行授权规则。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

CVSS 7.5！Axios 漏洞让恶意请求一触即溃

看雪论坛作者ID：xiusi

HumanBug15 年实战经验，手把手教落地

HackerNews 编译，转载请注明出处： 被称为 Bloody Wolf 的威胁行为者被确认参与了一场针对乌兹别克斯坦和俄罗斯的攻击行动，旨在使用名为 NetSupport RAT 的远程访问木马感染系统。 网络安全供应商 Kaspersky 以 Stan Ghouls 为代号追踪此次活动。据知，该威胁行为者至少自 2023 年以来一直活跃，针对俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦的制造业、金融业和 IT 行业组织鱼叉式钓鱼攻击。 据估计，此次行动已导致乌兹别克斯坦约 50 名受害者受损，俄罗斯也有 10 台设备受到影响。在哈萨克斯坦、土耳其、塞尔维亚和白俄罗斯也发现了其他感染案例，但程度较轻。政府组织、物流公司、医疗机构和教育机构的设备上也记录到了感染企图。 Kaspersky 指出：“鉴于 Stan Ghouls 以金融机构为目标，我们认为其主要动机是经济利益。也就是说，他们大量使用远程访问木马也可能暗示其进行网络间谍活动。” 滥用 NetSupport（一款合法的远程管理工具）对该威胁行为者而言是一种转变，其先前在攻击中利用的是 STRRAT（又名 Strigoi Master）。2025年11月，Group-IB 记录了针对吉尔吉斯斯坦实体以分发该工具的钓鱼攻击。 攻击链相当直接，即使用携带恶意 PDF 附件的钓鱼邮件作为触发感染的跳板。PDF 文档中嵌有链接，点击后会下载一个执行多项任务的恶意加载器： ·     显示虚假错误信息，让受害者误以为应用程序无法在其计算机上运行。 ·     检查此前的远程访问木马安装尝试次数是否少于三次。 ·     若次数达到或超过限制，加载器会抛出错误信息：“尝试次数已达上限。请尝试另一台计算机。” ·     从多个外部域名之一下载 NetSupport 远程访问木马并启动它。 ·     通过以下方式确保 NetSupport 远程访问木马的持久性：在启动文件夹中配置自启动脚本，在注册表的自启动项中添加 NetSupport 启动脚本 (“run.bat”)，并创建一个计划任务来触发执行同一个批处理脚本。 Kaspersky 表示，还在与 Bloody Wolf 相关的基础设施上发现了暂存的 Mirai 僵尸网络载荷，这增加了该威胁行为者可能已扩展其恶意软件库以针对物联网设备的可能性。 该公司总结道：“此次行动已攻击超过 60 个目标，对于一个复杂的定向攻击活动而言，数量非常庞大。这表明这些行为者愿意为其行动投入大量资源。” 此次披露恰逢多起针对俄罗斯组织的网络攻击活动，其中包括 ExCobalt 发起的攻击。ExCobalt 利用已知的安全漏洞和从承包商处窃取的凭证来获取对目标网络的初始访问权限。Positive Technologies 将该对手描述为攻击俄罗斯实体的“最危险组织”之一。 这些攻击的特点是使用各种工具，并试图从受感染的主机窃取 Telegram 凭证和消息历史记录，以及通过向登录页面注入恶意代码来窃取 Outlook Web Access 凭证： ·     CobInt，该组织使用的已知后门。 ·     勒索软件，如 Babuk 和 LockBit。 ·     PUMAKIT，一个用于提升权限、隐藏文件和目录、以及隐藏自身不被系统工具发现的内核级 Rootkit，其早期版本包括 Facefish（2021年2月）、Kitsune（2022年2月）和 Megatsune（2023年11月）。BI.ZONE 将 Kitsune 的使用与一个被称为 Sneaky Wolf（又名 Sneaking Leprechaun）的威胁集群联系起来。 ·     Octopus，一个基于 Rust 的工具包，用于在受感染的 Linux 系统中提升权限。 Positive Technologies 表示：“该组织改变了初始访问的策略，将关注重点从利用互联网上可访问的企业服务（例如 Microsoft Exchange）中的 1-day 漏洞，转移到通过承包商渗透主要目标的基础设施。” 俄罗斯的国家机构、科学企业和 IT 组织也成为了一个此前未知的、被称为 Punishing Owl 的威胁行为者的目标，该组织采取窃取数据并在暗网上泄露的手段。该组织疑似具有政治动机的黑客行动主义实体，自 2025 年 12 月以来一直活跃，其一个社交媒体账户由来自哈萨克斯坦的管理员操作。 攻击使用带有密码保护 ZIP 压缩包的钓鱼邮件，打开后内含一个伪装成 PDF 文档的 Windows 快捷方式（LNK）文件。打开 LNK 文件会导致执行 PowerShell 命令，从远程服务器下载一个名为 ZipWhisper 的窃密程序，以收集敏感数据并将其上传到同一服务器。 另一个将目标对准俄罗斯和白俄罗斯的威胁集群是 Vortex Werewolf。攻击的最终目标是部署 Tor 和 OpenSSH，以便于实现持久的远程访问。该活动此前于 2025 年 11 月由 Cyble 和 Seqrite Labs 曝光，后者称此活动为 Operation SkyCloak。 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露一起“大规模的活动”，该活动系统地针对云原生环境，搭建恶意基础设施以实施后续攻击。 该活动于 2025 年 12 月 25 日左右被发现，属于 “蠕虫式传播” 攻击，利用暴露的 Docker API、Kubernetes 集群、Ray 面板、Redis 服务器，以及近期披露的 React2Shell（CVE-2025-55182，CVSS 评分 10.0）漏洞。该行动由威胁集群 TeamPCP（别名 DeadCatx3、PCPcat、PersyPCP、ShellForce）实施。 TeamPCP 至少自 2025 年 11 月起活跃，其首个 Telegram 活动记录可追溯至 2025 年 7 月 30 日。该组织的 Telegram 频道目前拥有超 700 名成员，用于发布从加拿大、塞尔维亚、韩国、阿联酋、美国等多国受害者处窃取的数据。安全研究机构 Beelzebub 于 2025 年 12 月首次以 Operation PCPcat 为代号记录了该威胁组织的详细信息。 Flare 安全研究员 Assaf Morag 在上周发布的报告中表示：“该行动的目标是大规模搭建分布式代理与扫描基础设施，进而攻陷服务器、窃取数据、部署勒索软件、实施敲诈并挖掘加密货币。” TeamPCP 以云原生网络犯罪平台为运作模式，利用配置错误的 Docker API、Kubernetes API、Ray 面板、Redis 服务器及存在漏洞的 React/Next.js 应用作为主要感染入口，攻破现代化云基础设施实施数据窃取与敲诈。 此外，遭攻陷的基础设施还被用于多种非法用途，包括加密货币挖矿、数据托管、代理转发与命令与控制（C2）中继。 TeamPCP 并未使用新型攻击手法，而是依托成熟的攻击技术 —— 包括现有工具、已知漏洞和常见配置错误 —— 搭建自动化、批量化的攻击平台。Flare 指出，这一模式将暴露的基础设施转化为 “自我传播的犯罪生态系统”。 漏洞成功利用后，攻击者会从外部服务器部署下一阶段恶意载荷，包括基于 Shell 和 Python 的脚本，用于搜寻新目标以扩大攻击范围。核心组件之一为 proxy.sh，该脚本用于安装代理、点对点（P2P）与隧道工具，并投放各类扫描器，持续在互联网中搜寻存在漏洞与配置错误的服务器。 Morag 表示：“值得注意的是，proxy.sh 在执行时进行环境指纹识别。在运行早期，它会检查自己是否在 Kubernetes 集群内运行。如果检测到 Kubernetes 环境，脚本会转入一个独立的执行路径，并投放一个针对集群的二级有效载荷，这表明 TeamPCP 为云原生目标维护着不同的工具和技术，而不是仅仅依赖通用的 Linux 恶意软件。” 其他有效载荷的简要说明如下： ·     scanner.py：旨在通过从一个名为“DeadCatx3”的 GitHub 账户下载无类别域间路由（CIDR）列表，来查找配置不当的 Docker API 和 Ray 仪表板，同时提供运行加密货币矿工（“mine.sh”）的选项。 ·    kube.py：包含针对 Kubernetes 的功能，以进行集群凭据窃取和基于 API 的资源（如 Pod 和命名空间）发现，然后向可访问的 Pod 中投放“proxy.sh”以进行更广泛的传播，并通过在每个挂载了主机目录的节点上部署特权 Pod 来建立持久后门。 ·    react.py：旨在利用 React 漏洞（CVE-2025-29927）实现大规模的远程命令执行。 ·    pcpcat.py：旨在发现大范围 IP 地址段内暴露的 Docker API 和 Ray 仪表板，并自动部署执行 Base64 编码有效载荷的恶意容器或作业。 ·    Flare 表示，位于 67.217.57[.]240 的 C2 服务器节点也与 Sliver 的运作相关联，Sliver 是一个已知被威胁行为者滥用于攻击后目的的开源 C2 框架。 该安全公司的数据显示，攻击者主要针对亚马逊云（AWS）和微软云（Azure）环境。此类攻击属于机会主义攻击，核心瞄准能支撑其犯罪目标的基础设施，而非特定行业。这导致运行此类云基础设施的机构成为攻击中的 “附带受害者”。 Morag 称：“PCPcat 行动展现了专为现代化云基础设施设计的完整攻击生命周期，涵盖扫描、漏洞利用、持久化、隧道搭建、数据窃取与非法牟利。TeamPCP 的威胁性并非源于技术创新，而是其攻击流程的整合度与攻击规模。” 深度分析显示，该组织的大部分漏洞利用程序与恶意软件均基于已知漏洞和轻度修改的开源工具开发。  “与此同时，TeamPCP 将基础设施攻击、数据窃取与敲诈勒索相结合。窃取的简历数据库、身份信息与企业数据通过 ShellForce 渠道泄露，用于支撑勒索软件、网络诈骗等犯罪活动，并树立其网络犯罪影响力。” 这种混合模式使该组织可同时通过算力与信息非法牟利，形成多元收入来源，提升对抗平台关停的能力。 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Ivanti Endpoint Manager Mobile（EPMM）设备植入“休眠”后门，这类后门可闲置数天甚至数周不被激活。 Ivanti 近期披露了 EPMM 的两处高危漏洞——CVE-2026-1281 和 CVE-2026-1340，分别涉及不同程序包（aftstore 和 appstore）中的身份验证绕过与远程代码执行问题。 尽管涉及的程序包不同，但防御方面临的实际影响一致：攻击者可未经认证访问应用层端点。Ivanti 已在安全公告中发布缓解措施与补丁部署指南，但漏洞披露后不久便出现了在野利用行为。 Defusedcyber 观测到的与本次攻击浪潮相关的入侵事件中，漏洞成功利用后，攻击者都会在 /mifs/403.jsp 路径下留下恶意文件。该文件名与路径在针对 Ivanti/MobileIron 的攻击中并非首次出现， 不同之处在于恶意载荷的用途：攻击者并未部署可执行命令的交互式 WebShell，而是通过 HTTP 参数传输经 Base64 编码的 Java 类文件。 每个解码后的载荷均包含有效的 Java 字节码（以 CAFEBABE 类头标识），其作用是休眠式内存类加载器，而非可立即使用的后门。这一区别具有重要的实战意义：传统的 WebShell 检测通常以后续命令执行和文件系统痕迹为核心线索，而本次攻击中，攻击者的流程核心是“植入并验证”，而非“植入并立即操作”。 观测到的植入类为 base.Info（由 Info.java 编译而来），该类不提供文件浏览、命令执行功能，也无常规的操作控制台，仅等待后续的“激活”请求——该请求会传输第二个 Java 类，随后加载器将其直接在内存中运行。 值得注意的是，该加载器以 equals(Object) 方法作为入口点，而非 doGet、doPost 等标准 Servlet 方法，这一设计可规避简易检测规则；同时它会从传入的对象中提取 HttpServletRequest 和 HttpServletResponse 对象（并兼容 PageContext 及 Servlet 包装/外观模式），提升了在不同 Java Web 容器中的适配性。 移交控制权前，加载器会采集主机指纹信息（如 user.dir 路径、文件系统根目录、操作系统名称、用户名等），并将这些数据传递给第二阶段类，便于攻击者后续快速掌握目标主机情况。 Defusedcyber 观测到的所有案例中，加载器均已完成植入与验证，但未发现传输第二阶段类的后续请求。 这种“先植入、后操作”的模式符合初始访问中介（Initial Access Broker）的行为特征：一方大规模建立可靠的访问权限，另一方后续从不同基础设施利用这些权限牟利或发起攻击。 Shadowserver 观测到攻击者在 Ivanti EPMM 设备上部署 WebShell，推测是利用了 CVE-2026-1281 漏洞，扫描数据显示截至 2026 年 2 月 6 日已有 56 个 IP 地址的设备被攻陷。 防御建议 ·     立即按照 Ivanti 指南为 EPMM 打补丁，随后重启受影响的应用服务器以清除内存中的植入程序（加载器全程无需写入磁盘，重启是关键清除手段） ·     检查日志中是否有针对 /mifs/403.jsp 的请求，尤其是包含 k0f53cf964d387 参数的请求 ·     检测包含分隔符对 3cd3d 和 e60537 的响应内容 ·     即便环境看似“稳定”，一旦检测到相关痕迹也需紧急处理——这些访问权限可能只是暂未激活。 消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究公司 LayerX 发现的一处新的严重漏洞，暴露了大语言模型（LLM）在处理信任边界方面的基础架构缺陷。 Claude 桌面扩展（DXT）中存在的零点击远程代码执行（RCE）漏洞，使得攻击者仅需构造一个恶意的 Google 日历事件即可攻陷系统。 该漏洞被 LayerX 评为 CVSS 10.0 分，影响了超过 10,000 名活跃用户和 50 多个 DXT 扩展。它突显了模型上下文协议（MCP）生态系统中一个危险的缺口：AI 代理能够在未经用户同意的情况下，自主地将低风险数据源与高权限执行工具链接起来。 问题的核心在于 Claude 桌面扩展的架构。与现代浏览器扩展（如 Chrome 的 .crx 文件）运行在严格的沙箱环境中不同，Claude 的 MCP 服务器在主机上以完整的系统权限运行。这些扩展并非被动插件，而是 AI 模型与本地操作系统之间的主动桥梁。 根据 LayerX 的说法，这种缺乏沙箱保护的设计意味着，如果一个扩展被诱骗执行命令，它将拥有与用户相同的权限，能够读取任意文件、访问存储的凭证以及修改操作系统设置。 Claude 桌面扩展的零点击 RCE 漏洞 该漏洞利用无需复杂的提示工程或受害者的直接交互来触发有效载荷。攻击载体简单得令人震惊：一个 Google 日历事件。 在被研究人员称为“Ace of Aces”的攻击场景中，攻击者邀请受害者参加一个名为“Task Management”的日历事件（或将其注入到共享日历中）。事件描述中包含克隆恶意 Git 仓库并执行 makefile 的指令。 当用户之后向 Claude 提出一个无害的请求，例如“请查看我 Google 日历中的最新事件并为我处理一下”时，模型会自主地将“处理一下”的指令解释为执行在日历事件中找到的任务的授权。 由于没有硬编码的防护措施来阻止数据从低信任度连接器（Google 日历）流向高信任度的本地执行器（Desktop Commander），Claude 会继续执行以下操作： ·     从日历中读取恶意指令。 ·     使用本地 MCP 扩展从攻击者的仓库执行 git pull。 ·     执行下载的 make.bat 文件。 这整个过程在没有针对代码执行的特定确认提示的情况下发生，从而导致系统被完全攻陷。用户以为自己只是在请求更新日程，而 AI 代理却在无声中将系统的控制权交给了恶意行为者。 该漏洞的独特之处在于，它并非传统的软件漏洞（如缓冲区溢出），而是一种“工作流故障”。缺陷在于 LLM 的自主决策逻辑。 Claude 的设计初衷是提供帮助并自主运行，通过链接工具来满足请求。然而，它缺乏理解以下情况所需的上下文：源自日历等公共来源的数据绝不应直接传输到特权执行工具中。 LayerX 的报告指出：“这在由 LLM 驱动的工作流程中造成了系统级的信任边界违规。将良性数据源自动桥接到特权执行上下文中从根本上是不安全的。” LayerX 将这些发现披露给了 Claude 的创造者 Anthropic。令人惊讶的是，据报道该公司决定目前不修复此问题，可能是因为该行为符合 MCP 自主性和互操作性的预期设计。修复它将需要对模型链接工具的能力施加严格限制，这可能会降低其实用性。 在实施补丁或架构更改之前，LayerX 建议，对于安全敏感的系统，应认为 MCP 连接器是不安全的。 研究团队建议用户，如果他们还使用摄入外部非受信数据（如电子邮件或日历）的连接器，则应断开高权限的本地扩展。 随着 AI 代理从聊天机器人转变为主动的操作系统助手，攻击面已经发生了变化。这个零点击远程代码执行（RCE）漏洞发出了一个警告：授予 AI 代理访问我们数字生活的权限，也使我们暴露在那些能够操纵其数据的人面前。让 AI 处理任务的便利性伴随着巨大的安全风险。   消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 “LTX Stealer” 的新型高复杂度恶意软件已出现在网络威胁领域，它采用独特的基于 Node.js 的架构攻陷 Windows 系统。 该恶意工具于 2026 年初首次出现，旨在窃取用户敏感信息，包括登录凭证、浏览器 Cookie 以及加密货币钱包数据。这款恶意软件的独特之处在于，其载荷中封装了完整的 Node.js 运行时环境，无需受害者预先安装该框架，即可在目标设备上原生执行复杂的 JavaScript 代码。 攻击通常以一个极具迷惑性的简单入口启动：一个名为 “Negro.exe” 的 Windows 安装程序文件。该文件基于合法的 Inno Setup 框架构建（这是一款常用于制作软件安装程序的工具），恶意软件藏身于受信任的安装程序外壳中，能有效规避常规安全扫描，隐藏其恶意目的。 安装程序执行后，会向受害者系统释放一个体积庞大的载荷（约 271MB）。Cyfirma 分析师指出，这种大文件体积是一种蓄意的规避手段 —— 杀毒引擎为保障系统性能，往往会跳过对大文件的扫描。 侵入系统后，LTX Stealer 会针对谷歌 Chrome、微软 Edge 等基于 Chromium 内核的浏览器发起攻击。 读取 “Local State” 文件提取加密密钥，再利用这些密钥解密保存的密码和会话 Cookie。 同时扫描加密货币钱包，并对用户操作行为进行截屏。 所有窃取到的数据会被压缩，准备回传至命令与控制（C2）服务器。 此外，攻击者利用 Supabase 等云服务进行身份验证，通过 Cloudflare 隐藏其服务器真实地址，使该恶意基础设施难以被关停。 通过字节码编译实现混淆 LTX Stealer 的核心技术特征是高度依赖高级混淆技术，阻碍安全人员进行逆向分析。 其核心载荷 updater.exe 并非标准可执行文件，而是通过 pkg 工具打包的 Node.js 应用程序 —— 该工具将恶意 JavaScript 逻辑、依赖项及运行时环境打包为单个二进制文件。 为进一步保护其代码，攻击者还通过 Bytenode 工具将 JavaScript 源代码编译为字节码（.jsc 格式）：该转换过程将可读的源代码转为二进制格式，安全研究人员极难对其进行反编译和分析。 攻击者彻底移除原始源代码，使得想要理解该恶意软件的内部逻辑，必须具备 Node.js 底层的专业知识，大幅提高了分析和检测的门槛。 防御建议 ·     拦截已知攻击指标：配置防火墙和终端检测系统，拦截指向 eqp.lol 等恶意域名及该恶意软件控制面板相关 IP 的流量。 ·     监控文件创建行为：对用户可访问路径下隐藏或系统属性目录的创建行为告警，重点关注仿冒 “Microsoft Updater” 的目录。 ·     标记大体积二进制文件：排查无签名、体积超 100MB 且运行行为符合 Node.js 特征的可执行文件。 ·     检测凭证访问行为：监控连续访问浏览器 “Local State” 文件和凭证存储的进程。 消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

自从接触到威胁检测方向以来，我就一直在思考如何设计出一款强大的检测系统，能否实现比较完美且有效的效果。

本文基于 pwn.college Kernel Security 模块的 12 个递进式挑战，系统讲解 Linux 内核漏洞利用技术。内容涵盖：通过 /proc 文件系统与内核驱动交互、commit_creds 提权原语、内核态 shellcode 编写、KASLR 地址泄露、SECCOMP 沙箱逃逸、跨进程内存读取以及 Egg Hunter 物理内存扫描。每个挑战均包含漏洞分析、利用思路和完整

DuckDuckGo has added voice chat to Duck.ai, allowing users to speak to an AI assistant while keeping audio private, unrecorded, and excluded from AI training. Voice chat is available in the DuckDuckGo browser and most third-party browsers, with support for Mozilla listed as coming soon. According to the company’s help page, “DuckDuckGo limits access to audio streams and voice data so they are available only to OpenAI, the model provider for voice chats, and only … More →

The post DuckDuckGo enables AI voice chat without saving voice data appeared first on Help Net Security.

A vulnerability was found in Teknolist Okulistik up to 21102025. It has been declared as critical. The impacted element is an unknown function. Such manipulation leads to server-side request forgery. This vulnerability is documented as CVE-2025-11242. The attack can be executed remotely. There is not any exploit available. This product is a managed service. This means that users are not able to maintain vulnerability countermeasures themselves.

Google 旗下的 YouTube Music 服务限制免费用户查看歌词。免费用户报告他们能查看的歌词次数有限制，他们收到了剩余多少次查看的警告。Google 尚未正式宣布 YouTube Music 歌词功能只提供给付费订阅用户。Google 发言人在回应中表示他们还在测试，尚未做出最终决定。YouTube Video 和 Music 的月费为 14 美元，YouTube Music 月费为 11 美元。音乐流媒体巨头 Spotify 也曾在 2024 年限制用户访问歌词，因用户反应强烈它取消了限制。

The European Commission and government agencies in Finland and the Netherlands have suffered potentially related breaches

Approximately five million web servers globally have been identified as misconfigured, exposing sensitive Git administrative metadata and precipitating

The post Open Source, Open Access: 5 Million Servers Expose Critical Git Metadata and Credentials appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 黑客正利用 SolarWinds 网络帮助台（WHD）漏洞，将合法工具用于恶意用途，其中包括 Zoho ManageEngine 远程监控与管理工具。 攻击者针对至少三家机构发起攻击，同时利用 Cloudflare 隧道实现持久化驻留，并使用 Velociraptor 网络应急响应工具作为命令与控制（C2）信道。 该恶意活动由 Huntress Security 研究人员于上周末发现，研究人员认为这是自 1 月 16 日起、利用近期公开的 SolarWinds WHD 漏洞发起的攻击行动的一部分。 Huntress Security 表示：“2026 年 2 月 7 日，公司安全运营中心分析师 Dipo Rodipe 调查了一起 SolarWinds 网络帮助台被利用的案件，威胁攻击者快速部署Zoho Meetings 与 Cloudflare tunnels 实现持久化驻留，并使用 Velociraptor 工具实施命令与控制。” 该网络安全公司称，攻击者利用了 CVE-2025-40551 与 CVE-2025-26399 两处漏洞，其中 CVE-2025-40551 已于上周被美国网络安全和基础设施安全局（CISA）标记为遭在野攻击利用。 这两处安全漏洞均被评定为高危等级，攻击者可利用其在目标主机上实现无需认证的远程代码执行。 值得注意的是，微软安全研究人员也 “观测到威胁攻击者利用暴露在公网的 SolarWinds Web Help Desk（WHD）实例实施多阶段入侵”，但未证实是否利用了上述两处漏洞。 攻击链与工具部署 攻击者获取初始访问权限后，通过从 Catbox 文件托管平台获取的 MSI 安装包，安装了 Zoho ManageEngine Assist 代理程序。 攻击者将该工具配置为无人值守访问模式，并将受攻陷主机注册至绑定匿名质子邮箱的Zoho Assist 账号。 该工具被用于直接操控主机键盘操作及活动目录（AD）侦察。 攻击者还通过该工具部署Velociraptor ，其 MSI 安装包从 Supabase 存储桶获取。 Velociraptor 是一款合法的数字取证与应急响应（DFIR）工具，Cisco Talos 团队近期曾发出警示，称该工具正被滥用于勒索软件攻击。 在 Cisco Talos 观测到的攻击中，该数字取证与应急响应平台被用作命令与控制（C2）框架，通过 Cloudflare 边缘计算节点与攻击者通信。 研究人员指出，攻击者使用了过时的 0.73.4 版 Velociraptor ，该版本存在权限提升漏洞，可被用于提升主机操作权限。 威胁攻击者还从 Cloudflare 官方 GitHub 仓库安装了 Cloudflared 客户端，将其作为备用隧道访问通道，实现命令与控制信道冗余。 在部分攻击场景中，攻击者还通过名为 TPMProfiler 的计划任务实现持久化驻留，该任务可借助 QEMU 虚拟机开启 SSH 后门。 攻击者还通过修改注册表禁用 Windows Defender 杀毒软件与防火墙，确保后续恶意载荷的下载不会被拦截。 研究人员称：“在禁用 Defender 约一秒后，威胁攻击者便下载了全新的 VS Code 可执行文件。” 来源：Huntress 安全更新与缓解措施 建议系统管理员将 SolarWinds 网络帮助台升级至 2026.1 及以上版本，关闭该产品管理界面的公网访问权限，并重置与该产品相关的所有凭证。 Huntress Security 还公布了 Sigma 规则与攻击指标，可用于 Zoho Assist、Velociraptor、Cloudflared、VS Code 隧道活动、静默 MSI 安装及编码 PowerShell 执行。 微软与 Huntress 均未将此次攻击归为特定威胁组织，除微软将受攻陷环境描述为 “高价值资产” 外，双方均未披露目标相关信息。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起影响塞内加尔政府的网络安全事件，已迫使该国一个负责管理国民身份证、护照及其他生物识别数据等敏感信息的办公室关停。 塞内加尔档案自动化管理局（DAF）上周发布通知，警告该国1950万居民，一起网络攻击已迫使政府暂时中止该办公室的业务。 一名高级警官表示，他们正试图恢复系统，并声称公民个人数据的“完整性”“保持完好”。DAF未回应置评请求。 该通知发布前，一个名为Green Blood Group的勒索软件团伙声称已入侵该组织，并窃取了139 GB数据，其中包括公民数据库记录、生物识别数据及移民文件。 黑客分享了被盗数据的样本，以及来自IRIS Corporation Berhad高级总经理Quik Saw Choo的一封电子邮件——这家马来西亚公司近期受委托为塞内加尔制作新的数字身份证。 在这封日期为1月20日的邮件中，Choo警告DAF及塞内加尔其他部委的官员，黑客于1月19日入侵了两台DAF服务器，并窃取了其中一台服务器上的卡片个性化数据。Choo的团队已在其端采取多项措施，包括切断通往一台服务器的网络连接，并更改了另一台服务器的密码。他们还切断了通往所有外国使领馆及其他办公室的网络连接。 Choo表示，IRIS正与马来西亚网络安全专家合作，并计划于 1 月 22 日前往塞内加尔首都达喀尔，开展进一步调查并落实整改措施。 文件自动化管理局与 IRIS 公司均未回应置评请求。 一家当地新闻媒体报告称，截至2月5日，DAF的业务已中断至少五天，且塞内加尔与 IRIS 公司正处于款项纠纷中。截至周一下午，DAF网站仍处于瘫痪状态。 Green Blood Group于今年1月出现，宣称除 DAF 外还攻陷了另外 4 家目标机构。 高级黑客长期将政府身份数据库作为攻击目标，阿根廷、爱沙尼亚等国均曾遭遇类似安全事件。   消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文