HackerNews

HackerNews 编译，转载请注明出处： 美国区域航空公司 envoy 航空于周五证实，其甲骨文电子商务套件（Oracle E-Business Suite）应用程序遭黑客入侵，导致信息被窃取，成为第二家确认此类事件的企业。 该航空公司发言人表示，其 IT 系统受到近期一场黑客攻击的影响，据称这场攻击由俄罗斯网络犯罪组织 “克洛普”（Clop）发起。作为美国航空的全资子公司，envoy 航空称 “少量商业信息和商业联系方式可能已泄露”。 周四晚间，该网络犯罪组织声称从美国航空窃取了数量未公开的信息，并将美国航空列入其泄密网站。 美国航空发言人则表示，这一指控实际涉及 envoy 航空，美国航空本身并未使用甲骨文电子商务套件应用程序。该发言人透露，母公司在过去几周内开展了审查，确认此次事件仅与子公司相关。 envoy 航空发言人向 “Recorded Future News” 透露：“我们已知晓 envoy 航空甲骨文电子商务套件应用程序发生的这起事件。得知此事后，我们立即展开调查，并已联系执法部门。” 该发言人还表示：“我们已对涉及的数据进行了全面审查，确认未涉及敏感信息或客户数据。” 此外，发言人证实此次事件仅局限于 envoy 航空，未对航班运行或机场地勤操作造成影响。但对于入侵发生的时间、克洛普组织在其系统中潜伏多久等问题，该公司未予回应。 envoy 航空拥有超过 2 万名员工，以 “美国鹰航”（American Eagle）品牌运营，为 160 多个目的地提供区域航班服务，日均管理约 800 架次航班。 同时，该公司还在达拉斯、芝加哥和迈阿密为多家美国航空的航班提供地勤服务。这家总部位于得克萨斯州的公司，由多家小型区域航空公司整合组建而成。 本周一，哈佛大学成为首家确认受此次黑客攻击影响的机构。甲骨文公司未回应置评请求，但Mandiant的事件响应人员此前表示，他们已知晓数十起受害案例，且 “预计实际受害案例会更多”。 谷歌及其他安全公司的报告显示，黑客利用了甲骨文电子商务套件中的多个漏洞获取访问权限，其中至少包含一个上周才被新增至联邦监控清单的新发现漏洞。 网络犯罪组织 “克洛普” 最初试图通过威胁泄露从该应用程序中窃取的敏感信息，向企业高管勒索钱财。甲骨文公司已确认此次黑客攻击事件，但起初仅表示黑客利用的是 7 月更新中已修复的漏洞，未具体说明涉及哪些漏洞。 美国联邦调查局（FBI）助理局长布雷特・莱瑟曼（Brett Leatherman）上周表示，此次攻击中被利用的漏洞之一属于 “‘需立即停止手头工作并进行补丁修复’的高危漏洞”。   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与”传染性面试”攻击活动相关的朝鲜威胁行为体被观察到合并了其两个恶意软件程序的部分功能，这表明该黑客组织正在积极改进其工具集。 这一结论来自思科Talos的新发现，该机构表示，在黑客组织近期的攻击活动中，BeaverTail和OtterCookie的功能比以往任何时候都更加接近，同时后者还新增了一个用于键盘记录和屏幕截图的功能模块。 该活动被归因于一个被网络安全社区以多个代号追踪的威胁集群，这些代号包括：CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、PurpleBravo、Tenacious Pungsan、UNC5342、Void Dokkaebi和WaterPlum。 这一进展出现之际，谷歌威胁情报小组和Mandiant披露，该威胁行为体使用了一种名为“EtherHiding”的隐秘技术，从BNB智能链或以太坊区块链获取下一阶段的有效载荷，实质上将去中心化基础设施变成了一个弹性的命令与控制服务器。这是首个有记录的国家级行为体使用该方法的案例，而该方法此前一直被网络犯罪集团所采用。 “传染性面试”指的是一项始于2022年底左右的精心策划的招聘骗局，朝鲜威胁行为体冒充招聘组织，针对求职者，欺骗他们安装信息窃取型恶意软件，作为所谓的技术评估或编码任务的一部分，从而导致敏感数据和加密货币被盗。 近几个月来，该攻击活动发生了几次转变，包括利用ClickFix社会工程学技术来投递恶意软件家族，如GolangGhost、PylangGhost、TsunamiKit、Tropidoor和AkdoorTea。然而，这些攻击的核心是被称为BeaverTail、OtterCookie和InvisibleFerret的恶意软件家族。 BeaverTail和OtterCookie是独立但互补的恶意软件工具，后者于2024年9月首次在真实世界的攻击中被发现。与作为信息窃取器和下载器的BeaverTail不同，OtterCookie的初始交互旨在联系远程服务器并获取在受感染主机上执行的命令。 思科Talos检测到的活动涉及一家总部位于斯里兰卡的组织。据评估，该公司并非该威胁行为体的有意目标，而是他们的一台系统可能在一名用户成为虚假工作机会的受害者后被感染，该虚假工作指示他们安装一个名为Chessfi的被木马化的Node.js应用程序（托管在Bitbucket上），作为面试过程的一部分。 有趣的是，该恶意软件包含一个通过名为”node-nvm-ssh”的包引入的依赖项，该包由名为”trailer”的用户于2025年8月20日发布到官方npm仓库。该包总共获得了306次下载，随后于六天后被npm维护者下架。 同样值得注意的是，上述npm包是软件供应链安全公司Socket本周早些时候标记的与”传染性面试”活动相关的338个恶意Node.js库之一。 该包一旦安装，就会通过其package.json文件中的一个postinstall钩子触发恶意行为，该钩子被配置为运行一个名为”skip”的自定义脚本，以启动一个JavaScript有效载荷，该有效载荷进而加载另一个负责执行最终阶段恶意软件的JavaScript文件。 对该攻击中使用的工具的进一步分析发现，”它兼具BeaverTail和OtterCookie的特征，模糊了两者之间的区别，”安全研究人员Vanja Svajcer和Michael Kelley表示，并补充说它包含了一个新的键盘记录和屏幕截图模块，该模块使用合法的npm包来分别捕获击键和进行屏幕截图，并将信息渗出到C2服务器。 该新模块的至少一个版本配备了一个辅助剪贴板监控功能，以窃取剪贴板内容。新版本OtterCookie的出现描绘了一个工具从基本数据收集演变为用于数据窃取和远程命令执行的模块化程序的图景。 该恶意软件中同样存在的功能类似于BeaverTail，用于枚举浏览器配置文件和扩展、从Web浏览器和加密货币钱包窃取数据、安装AnyDesk以实现持久远程访问，以及下载一个被称为InvisibleFerret的Python后门。 OtterCookie中存在的其他一些模块列于下文： 远程Shell模块：向C2服务器发送系统信息和剪贴板内容，并安装”socket.io-client” npm包以连接到OtterCookie C2服务器的特定端口，并接收待执行的进一步命令。 文件上传模块：系统地枚举所有驱动器并遍历文件系统，以查找匹配特定扩展名和命名模式的文件，将其上传到C2服务器。 加密货币扩展窃取模块：从安装在Google Chrome和Brave浏览器上的加密货币钱包扩展中提取数据。 此外，Talos表示检测到一个基于Qt的BeaverTail构件和一个包含BeaverTail和OtterCookie代码的恶意Visual Studio Code扩展，这提高了该组织可能正在试验新的恶意软件投递方法的可能性。 研究人员指出：”该扩展也可能是与Famous Chollima无关的另一行为者（甚至可能是研究人员）进行实验的结果，因为这与他们通常的战术、技术和程序不同。” 此消息披露之际，NTT Security Holdings分享了自2025年7月起与”传染性面试”活动相关部署的新恶意软件OtterCandy的详细信息，该恶意软件针对Windows、macOS和Linux系统。OtterCandy的一个早期样本于2025年2月上传到VirusTotal平台。 根据这家日本网络安全公司的说法，OtterCandy结合了OtterCookie和RATatouille的特性，后者是一种远程访问木马，曾通过2025年5月npm包”rand-user-agent”的供应链漏洞进行分发。这是首次将该攻击归因于朝鲜威胁行为体。 根据Aikido的说法，嵌入在npm包中的混淆有效载荷旨在与远程服务器建立隐秘通信通道，并渗出特定目录内的文件以及执行shell命令，后者仅针对Windows系统。 支持的完整命令列表如下： env：在整个文件系统中搜索秘密文件名。 imp：在home目录内搜索秘密文件名。 pat：在当前目录内搜索与预设模式匹配的文件名。 upload：将系统信息、浏览器密码、钱包文件以及来自Google Chrome和Edge的扩展数据传输到C2服务器。 exec：取消正在进行的扫描或上传、上传单个文件、递归上传目录内容、更改当前目录或终止恶意软件进程。 据称，OtterCandy通过一个被追踪为”ClickFake Interview”的子集群活动分发，该活动涉及用ClickFix风格诱饵欺骗用户运行恶意命令，以修复所谓的摄像头或麦克风问题。 “NTT Security表示：”OtterCandy是一个通过Node.js实现的RAT和信息窃取器。它是结合了RATatouille和OtterCookie元素的恶意软件。OtterCandy在通过Socket.IO连接到C2服务器时接受命令。” 用于投递OtterCandy的第一阶段恶意软件名为DiggingBeaver，这是一个JavaScript有效载荷，在受害者通过Windows”运行”对话框复制并运行命令后执行。DiggingBeaver也被发现分发其他已知的ClickFake Interview恶意软件，如GolangGhost和FROSTYFERRET。 NTT Security表示，还在2025年8月观察到OtterCandy的一个新变种，该变种扩展了功能，可以从三个额外的加密货币钱包扩展中收集数据，并增强了”ss_del”命令以删除Windows注册表项以及擦除文件和目录。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场新型攻击活动，该活动疑似通过一款此前未被记录的.NET 恶意软件（代号 “CAPI 后门程序”），针对俄罗斯汽车行业与电子商务领域发起攻击。 根据 Seqrite 实验室的调查，此次攻击链的核心环节是发送钓鱼邮件，邮件中包含一个 ZIP 压缩包，攻击者通过该压缩包触发感染流程。该网络安全公司的分析基于 2025 年 10 月 3 日上传至 VirusTotal 平台的一个 ZIP 样本。 该 ZIP 压缩包内包含两个关键文件： 一份俄语诱饵文档，伪装成与所得税法规相关的通知； 一个 Windows 快捷方式（LNK 文件）。 这份 LNK 文件与 ZIP 压缩包同名（即 “Перерасчет заработной платы 01.10.2025”，俄语意为 “2025 年 10 月 1 日薪资重算”），其作用是借助微软合法二进制文件 “rundll32.exe” 执行.NET 植入程序（“adobe.dll”）。这种技术被称为 “living-off-the-land（LotL，就地取材）”，是网络攻击者常用的手段之一。 Seqrite 指出，该后门程序具备多项核心功能： 检查自身是否以管理员权限运行； 收集已安装的杀毒软件列表； 打开诱饵文档作为伪装，同时秘密连接远程服务器（地址：91.223.75 [.] 96）以接收后续执行指令。 通过这些指令，CAPI 后门程序可实现以下恶意操作： 从谷歌 Chrome、微软 Edge、火狐（Mozilla Firefox）等浏览器中窃取数据； 截取屏幕截图； 收集系统信息； 枚举文件夹内容； 将获取的结果回传至远程服务器。 此外，该后门程序还会执行一系列检测，判断当前运行环境是合法主机还是虚拟机。它通过两种方式实现持久化： 创建计划任务； 在 Windows “启动” 文件夹中生成 LNK 文件，确保复制到 Windows Roaming 文件夹的后门 DLL 文件能随系统自动启动。 Seqrite 判断攻击者瞄准俄罗斯汽车行业的依据是：与此次攻击活动相关的一个域名 “carprlce [.] ru”，疑似仿冒合法域名 “carprice [.] ru”（“carprice [.] ru” 通常与汽车价格查询、汽车行业服务相关）。 研究人员普里亚・帕特尔（Priya Patel）与苏巴吉特・辛格（Subhajeet Singha）表示：“该恶意载荷是一款.NET DLL 文件，既具备窃取功能，又能为后续恶意活动建立持久化机制。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织于周五宣布，已捣毁一个运作 SIM 卡农场的复杂 “网络犯罪即服务”（CaaS）平台。该平台为客户实施钓鱼攻击、投资诈骗等各类犯罪活动提供支持。 这场名为 “SIM 卡卡特尔行动”（Operation SIMCARTEL）的多国执法协作行动，共开展了 26 次搜查，逮捕 7 名嫌疑人，查获 1200 台 SIM 卡盒设备（内含 4 万张在用 SIM 卡）。其中 5 名被拘留者为拉脱维亚公民。 此外，行动还拆除了 5 台服务器，并于 2025 年 10 月 10 日接管了用于宣传该服务的两个网站 ——gogetsms [.] com 和 apisim [.] com，目前这两个网站已显示查封横幅。同时，执法人员查扣 4 辆豪华汽车，冻结嫌疑人银行账户资金 43.1 万欧元（约合 50.2 万美元）、加密货币账户资金 26.6 万欧元（约合 31 万美元）。 参与行动的国家与造成的损失 此次行动由奥地利、爱沙尼亚、芬兰、拉脱维亚四国执法部门牵头，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协同参与。 据欧洲刑警组织透露，该犯罪网络已被证实与奥地利 1700 多起独立网络诈骗案、拉脱维亚 1500 多起独立网络诈骗案相关。这两个国家因此遭受的损失分别约为 450 万欧元（约合 525 万美元）和 42 万欧元（约合 48.9 万美元）。 该机构表示：“这个犯罪网络及其基础设施具备高度技术复杂性，使得全球范围内的犯罪者能够利用这项 SIM 卡盒服务，实施各类与电信相关的网络犯罪及其他犯罪活动。” 犯罪网络的运作模式与危害 该犯罪基础设施提供注册于 80 多个国家 / 地区的电话号码，供犯罪活动使用，包括在社交媒体和通信平台上创建虚假账户。其主要目的是隐藏犯罪者的真实身份与所在位置。据悉，通过该服务创建的在线虚假账户累计已超过 4900 万个。 这些虚假账户随后被用于实施钓鱼攻击和短信钓鱼攻击（smishing），并通过诱骗受害者向虚假交易计划投入资金来进行金融诈骗。另一种诈骗手法是，犯罪者在 WhatsApp 上冒充受害者的子女，谎称更换了新号码，以 “紧急情况” 为由要求对方转账，金额通常在四位数（欧元）级别。 此外，借助该平台还可能实施敲诈勒索、移民走私、传播儿童性虐待材料（CSAM）等其他犯罪行为。 涉事网站的宣传与用户反馈 从互联网档案馆（Internet Archive）存档的页面可见，GoGetSMS 网站曾将自身宣传为 “快速、安全获取临时电话号码” 的渠道，声称提供超过 1000 万个电话号码，可接收来自 160 多个在线服务的验证码。 GoGetSMS 网站还在页面上推广 “将现有 SIM 卡变现” 的功能，声称通过其 “专用软件” 可将 SIM 卡转化为 “创造被动收入的有力资产”，SIM 卡持有者每接收一条短信就能获得收益。 在评论网站 Trustpilot 上，该平台的付费用户抱怨 “无法获取可用的临时电话号码”。一名用户称，自己在该平台上付费购买了美国号码，却未得到可用的号码，“尝试了多次，既浪费时间又浪费钱。客服完全无回应 —— 不给帮助、不退款，什么都没有。” 拉脱维亚国家警察局在联合声明中指出，该平台专为 “匿名通信与匿名支付” 设计，已对多个国家的 3200 人造成影响。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国际知名拍卖行Sotheby’s正通知相关人员，其系统发生数据泄露事件，威胁行为体窃取了包括财务细节在内的敏感信息。 此次黑客攻击于 7 月 24 日被发现，调查团队耗时两个月才确定被盗数据的类型及受影响人员范围。 Sotheby’s是全球领先的艺术品与高价值物品拍卖行，同时也提供资产抵押借贷服务。该公司每年处理价值数十亿美元的拍卖交易，去年总销售额达 60 亿美元。 根据Sotheby’s提交给缅因州总检察长办公室的文件，此次事件中泄露的数据包括人员全名、社会保障号码（SSN）以及财务账户信息。 Sotheby’s在发送给受影响人员的信函中写道：“2025 年 7 月 24 日，Sotheby’s发现部分公司数据疑似被未知行为体从我们的系统环境中窃取。” Sotheby’s在通知中表示：“我们立即启动调查，包括对数据进行全面审查，以确定并核实涉及的信息内容及相关人员身份。” 目前受影响人员的总数尚未披露，文件仅提及缅因州有 2 人、罗得岛州有 2 人受影响。 BleepingComputer 已联系苏富比，请求提供有关此次攻击、影响范围以及美国和全球受影响人数的信息，但截至发稿时未收到回复。 截至撰写本文时，尚无勒索软件团伙声称对Sotheby’s 此次攻击负责。 过去，勒索软件团伙曾将目标对准其他拍卖行，希望获取高额赎金。去年，RansomHub 黑客组织入侵了佳士得（Christie’s），据称窃取了 50 万名客户的详细信息。 Sotheby’s过去也发生过其他安全事件，尤其是其网站曾被植入恶意代码以窃取支付信息。2017 年 3 月至 2018 年 10 月期间，一款网页窃取器盗取了客户的银行卡数据和个人信息；2021 年，该公司还在一次供应链攻击中遭遇过类似事件。 此次收到数据泄露通知的Sotheby’s客户，可通过益博睿（TransUnion）获得为期 12 个月的免费身份保护与信用监控服务，需在 90 天内完成注册。 Sotheby’s通过发给 BleepingComputer 的声明证实，此次事件影响的是员工而非客户，因此文章内容与标题已相应更新。以下是声明全文： “Sotheby’s发现一起网络安全事件，可能涉及部分员工信息。事件发现后，我们立即联合顶尖数据保护与响应专家及执法部门启动调查。公司正依照相关要求，向所有受影响人员发出适当通知。我们高度重视公司及个人信息的安全性，并将继续全力以赴保护我们的系统与数据。”—— Sotheby’s发言人     消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为体利用思科老旧、未受保护网络设备中一个近期刚修复的远程代码执行漏洞（CVE-2025-20352），部署 Linux rootkit 并获取持久访问权限。 此次攻击所利用的安全问题，影响思科 IOS 和 IOS XE 系统中的简单网络管理协议（SNMP）。若攻击者拥有 root 权限，便可通过该漏洞实现远程代码执行（RCE）。 据网络安全公司趋势科技（Trend Micro）称，攻击目标主要是思科 9400、9300 系列交换机，以及老旧的 3750G 系列设备，这些设备均未部署端点检测与响应解决方案。 在 10 月 6 日更新的 CVE-2025-20352 原始公告中，思科将该漏洞标记为 “已被零日利用”。思科产品安全事件响应团队（PSIRT）表示，已知该漏洞 “已被成功利用”。 趋势科技研究人员将此次攻击行动命名为 “零日迪斯科行动”（Operation Zero Disco），原因是恶意软件会设置一个通用访问密码，其中包含 “disco” 一词。 趋势科技的报告指出，威胁行为体还曾尝试利用 CVE-2017-3881 漏洞。这是一个存在七年之久的漏洞，位于 IOS 和 IOS XE 系统的集群管理协议（Cluster Management Protocol）代码中。 在易受攻击的系统上植入的 rootkit，具备一个 UDP 控制器，该控制器可实现多种功能：监听任意端口、切换或删除日志、绕过 AAA 认证与 VTY 访问控制列表（ACLs）、启用 / 禁用通用密码、隐藏运行配置项，以及重置这些配置项的最后修改时间戳。 研究人员在模拟攻击中证实，攻击者可通过该 rootkit 实现多项操作：禁用日志记录、通过 ARP 欺骗伪装中转站 IP、绕过内部防火墙规则，以及在不同虚拟局域网（VLAN）间横向移动。 尽管新型交换机借助地址空间布局随机化（ASLR）保护，对这类攻击的抵抗力更强，但趋势科技表示，它们并非完全免疫 —— 持续的针对性攻击仍可能导致其被入侵。 研究人员称，rootkit 部署完成后，恶意软件会 “在 IOSd 进程上安装多个钩子（hooks），导致无文件组件在设备重启后消失”。 目前，研究人员已成功恢复该 SNMP 漏洞利用工具的 32 位和 64 位两种变体。 趋势科技指出，当前尚无可靠工具能检测思科交换机是否因这类攻击被入侵。若怀疑设备遭黑客攻击，建议对底层固件和只读存储器（ROM）区域进行深度排查。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 监控摄像头公司 Ring 于周四宣布，将开始与 Flock Safety 共享摄像头 footage。Flock Safety 是自动车牌识别摄像头及其他警方监控技术的制造商。 数百万美国人拥有 Ring 摄像头，这类设备通常拍摄住宅外部的画面。 根据 Ring 官网的一篇博客文章，在新的合作框架下，使用 Flock Safety 产品的执法机构可请求 Ring 用户提供摄像头画面，用于 “证据收集和调查工作”。 使用 Flock 平台的警务人员在请求 Ring 用户提供画面时，需说明所调查事件的具体时间范围、地点，以及调查原因。 此次 Ring 的合作仅适用于使用 Flock Nova 和 FlockOS 产品的执法机构。 Flock Nova 是一款新产品，它将车牌识别摄像头画面，与从数据经纪商处获取的信息及开源情报整合在一起。 使用 Flock 产品的执法部门可从一个共享的全国性数据库中调取车牌图像和位置信息，这一做法引发了隐私倡导者及其他批评人士的担忧。他们表示，该公司在为对数十亿未犯罪人员的无授权监控提供便利。目前，Flock 摄像头已在全美 6000 多个社区投入使用。 近几个月，Flock 因相关报道陷入争议：有报道称移民机构使用其技术寻找非法移民，还有警察利用该技术追踪一名因自行堕胎接受调查的女性。 2024 年 1 月，由于隐私倡导者和部分政客的不满，Ring 终止了一项类似计划 —— 该计划曾允许执法部门直接访问用户的家庭摄像头。同年 4 月，Ring 创始人杰米・西米诺夫（Jamie Siminoff）重返公司，并承诺将采取更多措施协助警方工作。 Ring 为亚马逊旗下公司。2023 年，有投诉称 Ring 允许员工和承包商访问消费者的私人视频，且未落实安全防护措施。此后，Ring 与美国联邦贸易委员会（FTC）达成了和解。   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经观察，代号为 UNC5142、以经济利益为动机的威胁行为体，正滥用区块链智能合约分发信息窃取器，涉及 Atomic（AMOS）、Lumma、Rhadamanthys（又称 RADTHIEF）及 Vidar 等类型，攻击目标涵盖 Windows 和苹果 macOS 系统。 谷歌威胁情报小组（GTIG）在提交给《黑客新闻》（The Hacker News）的报告中表示：“UNC5142 的显著特征是，利用受入侵的 WordPress 网站和‘EtherHiding’技术 —— 这种技术通过将恶意代码或数据存储在公共区块链（如币安智能链 BSC）上实现隐藏。” 谷歌指出，截至 2025 年 6 月，已标记约 1.4 万个包含注入式 JavaScript 的网页，这些脚本表现出与 UNC5142 相关的行为，表明该团伙在无差别攻击存在漏洞的 WordPress 网站。但这家科技巨头同时提到，自 2025 年 7 月 23 日起，未再发现任何 UNC5142 的活动痕迹，这一现象可能意味着其行动暂停，也可能是运营方向发生转变。 EtherHiding 技术最早由 Guardio Labs 于 2023 年 10 月记录在案。当时该实验室详细披露了一系列攻击事件：受感染网站会弹出虚假浏览器更新提示，攻击者通过这些网站利用币安智能链（BSC）合约分发恶意代码。 支撑整个攻击链的关键组件，是一款名为 CLEARSHORT 的多阶段 JavaScript 下载器，它能通过被入侵网站分发恶意软件。攻击流程分为两个主要阶段：第一阶段是将 JavaScript 恶意代码注入目标网站，该代码会与存储在币安智能链（BSC）上的恶意智能合约交互，获取第二阶段内容；第一阶段恶意代码通常被添加到网站的插件相关文件、主题文件中，部分情况下甚至直接注入 WordPress 数据库。 而智能合约的作用是，从外部服务器获取 CLEARSHORT 的钓鱼落地页。该落地页会采用 “ClickFix” 社会工程策略，诱骗受害者在 Windows 的 “运行” 对话框（或 macOS 的 “终端” 应用）中执行恶意命令，最终使系统感染窃取器恶意软件。自 2024 年 12 月起，这些落地页（通常托管在 Cloudflare 的.dev 域名下）开始以加密格式传输。 CLEARSHORT 感染链 在 Windows 系统中，恶意命令会触发执行一个从 MediaFire 链接下载的 HTML 应用程序（HTA 文件）。该文件随后释放 PowerShell 脚本以绕过防御机制，从 GitHub、MediaFire 或攻击者自身基础设施（部分情况下）获取加密的最终载荷，并直接在内存中运行窃取器，不在磁盘上留下文件痕迹。 在 2025 年 2 月至 4 月针对 macOS 系统的攻击中，攻击者利用 ClickFix 诱饵，诱导用户在终端中运行一条 bash 命令，该命令会获取一个 shell 脚本。脚本随后通过 curl 命令，从远程服务器下载 Atomic 窃取器载荷。 UNC5142 最终载荷的时间分布 经分析，CLEARSHORT 被认定为 ClearFake 的变体。2025 年 3 月，法国网络安全公司 Sekoia 曾对 ClearFake 进行深入分析。ClearFake 是一套部署在受入侵网站上的恶意 JavaScript 框架，通过 “无交互下载” 技术分发恶意软件，自 2023 年 7 月起开始活跃，2024 年 5 月前后其攻击活动中开始采用 ClickFix 策略。 滥用区块链技术为 UNC5142 带来多重便利：这种巧妙的技术不仅能混入正常的 Web3 活动，还能提升 UNC5142 运营的韧性，使其更难被检测和溯源打击。 谷歌表示，过去一年间，该威胁行为体的攻击活动不断演进：2024 年 11 月起，从 “单一合约系统” 升级为更复杂的 “三智能合约系统”，以提升运营灵活性；2025 年 1 月初，这套系统又经历了进一步优化。 谷歌解释道：“新架构借鉴了合法软件设计中的‘代理模式’—— 开发者通常用这种模式实现合约的可升级性。” “该架构本质上是一套高效的‘路由 – 逻辑 – 存储’体系，每个合约承担特定功能。这种设计能让攻击者快速更新攻击中的关键部分（如落地页 URL 或解密密钥），且无需修改受入侵网站上的 JavaScript 代码。最终使攻击活动更灵活，且更难被溯源打击。” UNC5142 实现这一点的关键，在于利用智能合约数据的可修改性（需注意，程序代码一旦部署便不可更改）来修改载荷 URL。执行这类更新所需的网络费用，通常在 0.25 美元至 1.50 美元之间。 进一步分析发现，该威胁行为体使用两套独立的智能合约基础设施，借助 CLEARSHORT 下载器分发窃取器恶意软件。其中，“主基础设施”（Main）创建于 2024 年 11 月 24 日；“次要基础设施”（Secondary）则是并行架构，于 2025 年 2 月 18 日完成资金注入。 GTIG 表示：“主基础设施是核心攻击基础设施，特点是创建时间早、更新频率稳定。次要基础设施则是并行的战术性部署，推测用途包括支持特定时期的攻击激增需求、测试新型诱饵，或单纯增强运营韧性。” “过去一年半里，该团伙的感染链频繁更新、运营节奏稳定、受入侵网站数量庞大、分发的恶意软件类型多样。种种迹象表明，UNC5142 的攻击活动很可能已取得一定程度的成功。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经观察，一个与朝鲜有关联的威胁行为体，正利用 EtherHiding 技术传播恶意软件并实施加密货币盗窃。这是国家支持的黑客组织首次采用该方法。 谷歌威胁情报小组（GTIG）将这一活动归因为其追踪的威胁集群 UNC5342。该集群还拥有多个其他代号，不同机构对其命名分别为：帕洛阿尔托网络公司 Unit 42 称其为 CL-STA-0240，ESET 称其为 DeceptiveDevelopment，Securonix 称其为 DEV#POPPER，CrowdStrike 称其为 Famous Chollima，DTEX 称其为 Gwisin Gang，Datadog 称其为 Tenacious Pungsan，趋势科技则称其为 Void Dokkaebi。 此次攻击浪潮属于一个代号为 “传染性访谈”（Contagious Interview）的长期攻击活动。在该活动中，攻击者会在领英（LinkedIn）上伪装成招聘人员或招聘经理接触潜在目标，随后将对话转移到 Telegram 或 Discord 平台，再以 “职位评估” 为借口，诱骗目标运行恶意代码。 这些攻击行动的最终目标是非法访问开发者的设备、窃取敏感数据并盗取加密货币资产 —— 这与朝鲜同时追求网络间谍活动和经济利益的双重目标一致。 谷歌表示，自 2025 年 2 月以来，已观察到 UNC5342 使用 EtherHiding 技术。这是一种隐蔽手段，通过将恶意代码嵌入公共区块链（如币安智能链 BSC 或以太坊）的智能合约中实现攻击。通过这种操作，区块链被转化为一个 “去中心化秘密传输解析器”，能有效抵抗溯源打击。 此外，EtherHiding 技术还存在两大风险点：一是滥用区块链交易的伪匿名特性，增加追踪智能合约部署者的难度；二是灵活性极强，控制智能合约的攻击者可随时更新恶意载荷（平均需支付 1.37 美元的 Gas 费），从而衍生出多种威胁形式。 谷歌云旗下 Mandiant 公司咨询主管罗伯特・华莱士（Robert Wallace）在接受《黑客新闻》（The Hacker News）采访时发表声明称：“这一动态标志着威胁格局的升级。如今，国家层面的威胁行为体正采用新技术传播恶意软件，这类软件既能抵抗执法部门的溯源打击，又能轻松调整以适配新的攻击活动。” 社交工程攻击触发的感染链是一个多阶段流程，可针对 Windows、macOS 和 Linux 三大系统发起攻击，涉及三类不同的恶意软件家族，具体如下： 初始下载器：以 npm 包（Node.js 包管理器）的形式存在； BeaverTail：一种 JavaScript 窃取器，负责窃取敏感信息，包括加密货币钱包、浏览器扩展数据及各类凭证； JADESNOW：一种 JavaScript 下载器，与以太坊交互以获取 “InvisibleFerret”； InvisibleFerret：Python 后门的 JavaScript 变体，针对高价值目标部署，可实现对受感染主机的远程控制，同时通过攻击 MetaMask、Phantom 钱包及 1Password 等密码管理器中的凭证，实现长期数据窃取。 简言之，攻击流程为：诱骗受害者运行代码，执行初始 JavaScript 下载器；该下载器与恶意 BSC 智能合约交互，下载 JADESNOW；JADESNOW 随后查询某以太坊地址关联的交易记录，获取第三阶段载荷 —— 即 JavaScript 版本的 InvisibleFerret。 此外，该恶意软件还会尝试安装便携式 Python 解释器，以执行存储在另一以太坊地址中的额外凭证窃取组件。这一发现意义重大，因为威胁行为体在 EtherHiding 活动中同时使用了多个区块链。 谷歌指出：“EtherHiding 标志着网络攻击向‘下一代防弹托管’转变 —— 区块链技术的固有特性被滥用于恶意目的。这一技术也凸显了网络威胁的持续演变：攻击者不断适应并利用新技术为己所用。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客声称已入侵得克萨斯州的电力合作社，泄露了敏感财务文件。 据称，发起此次勒索软件攻击的网络犯罪团伙 “麒麟”（Qilin）已在暗网的泄露网站上，将两家得克萨斯州电力分销合作社列为攻击受害者。 其中一家涉嫌受害的合作社是圣伯纳德电力合作社（San Bernard Electric Cooperative）。该合作社拥有约 3900 英里的配电线路，为得克萨斯州 8 个县（包括奥斯汀县、科罗拉多县、费耶特县、格莱姆斯县、哈里斯县、拉瓦卡县、蒙哥马利县和沃勒县）的约 2.8 万户家庭供电，年收入达 9250 万美元。 另一个攻击目标是卡恩斯电力合作社（Karnes Electric Cooperative）。该合作社运营着近 5000 英里的线路，为 12 个县的 2.3 万户家庭提供服务，年收入为 7580 万美元。 这些指控极具麻烦性，因为涉事企业属于美国关键基础设施范畴 —— 这意味着保护它们是国家安全的优先事项。 得克萨斯州电力供应商被盗取了哪些数据？ 该团伙在其泄露网站上，提供了据称属于受害者的被盗数据样本。在勒索软件攻击中，威胁者发布数据样本是一种常见手段，目的是警告企业支付赎金。 Cybernews 的研究人员对 “麒麟” 团伙声称属于圣伯纳德电力合作社的数据样本进行了调查，发现其中包含以下文件： 首次事件报告，包含人员全名、电话号码和事件详情 年度预算报告 保险文件 费率案费用报告 来自其他公司的发票 人工与设备费用报告 地役权合同 暗网上与卡恩斯电力合作社相关的帖子中，包含的数据样本泄露了以下信息： 董事会成员名单，包括成员姓名、地址和联系方式 财务文件，如收支余额报告和日常财务运营文件 组织成员数据，包括姓名、地址和邮政编码 目前这些数据的真实性尚未得到核实 —— 勒索软件团伙重新拿出以往数据泄露事件中的旧数据，谎称是新入侵获取的情况，并不罕见。 但如果数据被证实为真实，将对涉事企业产生安全影响。这不仅表明关键基础设施易受网络攻击，还可能使企业的声誉和业务流程面临风险。 Cybernews 研究人员表示：“泄露的财务数据可能会暴露定价策略、导致信任丧失或竞争劣势；被公开的事件则可能反映出服务质量问题。” “个人身份信息（PII）可能被用于身份盗窃、骚扰和针对性的社会工程攻击，对董事会成员而言尤其如此。” Cybernews 已联系涉事企业寻求证实，但尚未收到回复。 什么是 “麒麟” 勒索软件？ “麒麟”（Qilin）是勒索软件领域的知名势力。该团伙与俄罗斯有关联，已知会针对医院和制造业发起攻击。“麒麟” 于 2022 年首次出现在勒索软件领域，但它在暗网泄露网站上声称，其早在 2021 年就已开始运作。 根据 Cybernews 的 “勒索观察”（Ransomlooker）监控工具显示，仅从 9 月初至今，“麒麟” 就已列出超过 88 名受害者；截至目前，该团伙在过去 12 个月内已针对约 585 名受害者发起攻击，跃居最活跃勒索软件团伙榜首。 “麒麟” 的攻击活跃度远超其他勒索软件对手，如 Cl0p Play、INC Ransom 和 Akira。2025 年 1 月 1 日至今，“麒麟” 已声称发起了超过 500 次攻击。 今年 4 月，该团伙声称对韩国 SK 电信（SK Telecom）发起了勒索软件攻击，并宣称窃取了 1TB 数据。4 月底，SK 电信通知了用户，并为所有用户启动了免费的 SIM 卡更换服务。 “麒麟” 还声称对日本最大啤酒生产商朝日集团控股（Asahi Holdings）发起了网络攻击。此次攻击扰乱了朝日的运营，导致日本最受欢迎的啤酒、软饮料和冰茶出现供应短缺。 8 月，日产汽车（Nissan）位于东京的创意盒子设计工作室（Creative Box）遭到该团伙攻击，“麒麟” 声称窃取了 4TB 的敏感设计数据。这家日本汽车巨头目前已在公开声明中证实其网络遭遇入侵。 该团伙还声称入侵了旧金山加州高尔夫俱乐部（California Golf Club of San Francisco）—— 这是美国最顶级的会员制高尔夫俱乐部之一，也是硅谷高管们的热门去处。据称，团伙窃取了该俱乐部 10GB 的会员数据。 此外，“麒麟” 还制造了针对英国国民医疗服务体系（NHS）合作伙伴赛诺维斯实验室（Synnovis Laboratories）的臭名昭著的攻击。此次攻击造成了毁灭性后果：医院被迫立即将患者转移到其他机构，并取消了超过 1 万次预约、择期治疗和外科手术（包括所有移植手术），原因是血液输注供应中断。 最近，同样与俄罗斯有关联的知名团伙 “锁比特”（LockBit）与 “龙力”（DragonForce）、“麒麟” 勒索软件组成了联盟。专家认为，“锁比特”、“麒麟” 与 “龙力” 的联盟可能通过资源共享，推动攻击策略升级，并增加攻击数量。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet和Ivanti宣布了2025年10月的周二补丁更新，修复了其产品中的许多漏洞。 Fortinet发布了29个新的安全公告，涵盖30多个漏洞。其中几个漏洞被标记为“高危”，包括CVE-2025-54988，该漏洞影响FortiDLP，原因是其使用了Apache Tika。Tika存在一个严重漏洞，允许攻击者读取敏感数据，或向内部资源或第三方服务器发送恶意请求。 FortiDLP还受到CVE-2025-53951和CVE-2025-54658的影响，攻击者可以通过发送特殊构造的请求，将权限提升到LocalService或Root。 FortiOS修复了一个允许已认证攻击者执行系统命令的权限提升漏洞，该漏洞编号为CVE-2025-58325。 另一个高危问题是CVE-2024-33507，影响FortiIsolator，允许远程攻击者使用特殊构造的Cookie使已登录的管理员注销（未认证攻击者），或获得写入权限（已认证攻击者）。 FortiClientMac的LaunchDaemon组件中存在一个权限提升问题，被标记为CVE-2025-57741。 最后一个高危问题是CVE-2025-49201，影响FortiPAM和FortiSwitchManager，允许攻击者通过暴力攻击绕过认证。 FortiOS、FortiPAM、FortiProxy、FortiClientMac、FortiClientWindows、FortiADC、FortiDLP、FortiSwitchManager、FortiManager、FortiAnalyzer、FortiSRA、FortiRecorder、FortiTester、FortiVoice、FortiWeb、FortiSASE、FortiSOAR和FortiSIEM等产品还修复了中危和低危漏洞。 这些漏洞可能被利用来执行任意代码、DLL劫持、获取敏感数据、绕过安全功能、造成拒绝服务（DoS）条件、进行XSS攻击、重定向用户以及提升权限。 目前没有证据表明这些漏洞已在野外被利用。许多问题是由Fortinet内部发现的。 Ivanti宣布为Endpoint Manager Mobile（EPMM）和Neurons for MDM中的漏洞提供补丁。Ivanti还发布了Endpoint Manager的安全公告，为本月早些时候披露的漏洞提供缓解选项。 在EPMM中，Ivanti修复了三个高危漏洞，这些漏洞可被具有管理员权限的认证攻击者利用来执行任意代码。公司还修复了一个中危问题，允许认证攻击者在磁盘上写入数据。 在Neurons for MDM中，Ivanti修复了两个高危问题。其中一个漏洞允许具有管理员权限的认证攻击者“注销任意设备，使目标设备从统一端点管理器UI中消失”。第二个问题是多因素认证（MFA）绕过漏洞，可被远程认证攻击者利用。 Neurons for MDM还修复了一个中危漏洞，允许远程未认证攻击者通过API端点访问敏感用户信息。 Ivanti也表示，没有证据表明这些漏洞正在野外被利用。 然而，Ivanti和Fortinet的产品漏洞经常成为威胁行为者的攻击目标，因此他们的客户应尽快应用可用的补丁。         消息来源： securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司F5披露，2025年8月，一个高度复杂的国家级行为者入侵其系统，窃取了BIG-IP的源代码及与未公开漏洞相关的信息。 攻击者访问了该公司的BIG-IP开发和工程系统，但F5指出，遏制工作成功，未发现进一步的未授权活动。 该公司已向执法部门报告了这一事件，并在领先网络安全公司的帮助下调查安全漏洞。 “2025年8月，我们发现一个高度复杂的国家级威胁行为者长期、持续地访问某些F5系统并下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛措施遏制威胁行为者。自开始这些活动以来，我们未发现任何新的未授权活动，我们相信我们的遏制工作是成功的。”该公司发布的安全事件通知中写道。 “针对此次事件，我们正在采取主动措施保护客户，加强企业及产品环境的安全态势。我们已聘请CrowdStrike、Mandiant及其他领先网络安全专家支持这项工作，我们正积极与执法部门和政府合作伙伴合作。” F5在其客户关系管理、财务或云系统中未发现被入侵迹象，也未发现源代码或供应链被篡改。该公司表示，一些被盗文件包含有限的客户配置数据。网络安全公司正在通知受影响的客户。 “我们没有证据表明我们的软件供应链被修改，包括我们的源代码以及我们的构建和发布管道。这一评估已通过领先网络安全研究公司NCC集团和IOActive的独立审查得到验证。”通知中继续写道。“我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境，也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。” 该公司还向美国证券交易委员会（SEC）提交了8-K表格报告。 “2025年8月9日，F5公司（‘公司’、‘F5’、‘我们’或‘我们的’）发现一个高度复杂的国家级威胁行为者获得了对某些公司系统的未授权访问。公司迅速启动了事件响应流程，并已采取广泛措施遏制威胁行为者。为支持这些活动，公司聘请了领先的外部网络安全专家。”报告中写道。 F5通过广泛的遏制和加固措施应对漏洞，以保护其系统和客户。该公司轮换了凭据，收紧了访问控制，实现了补丁管理自动化，并加强了监控和网络安全。 网络安全公司还在其产品开发环境中增强了保护措施，并继续与NCC集团和IOActive进行深入代码审查和渗透测试。此外，F5与CrowdStrike合作，为BIG-IP部署Falcon EDR和威胁狩猎，并为客户提供免费的EDR订阅以增强防御。 用户应尽快为BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端安装最新更新，以确保全面保护。 英国国家网络安全中心（NCSC）和美国网络安全与基础设施安全局（CISA）建议F5客户定位所有F5产品，确保暴露的管理接口安全，并评估是否被入侵。F5应美国政府要求延迟披露，以保护关键系统。     消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国信息专员办公室（ICO）对Capita处以1400万英镑（约合1870万美元）的罚款，原因是2023年的一起数据泄露事件暴露了660万人的个人信息。 Capita是一家总部位于英国的大型外包和专业服务公司，拥有约3.4万名员工，年收入为30亿英镑，主要为英国和欧洲的客户提供咨询、数字和软件服务，客户包括地方政府、英国国家医疗服务体系（NHS）、国防部以及银行、公用事业和电信行业的组织。 数百家退休计划提供商受影响 ICO最初曾计划对Capita处以4500万英镑的罚款，但鉴于该公司承认责任、实施了重要的安全改进，并为受影响的个人提供数据保护服务，罚款金额被降低。其中，Capita plc被罚款800万英镑，Capita Pension Solutions Limited被罚款600万英镑。 ICO的调查现已确认，此次被盗数据影响了660万人，以及数百家Capita客户，包括英国的325家退休金计划提供商。 2023年4月，该公司宣布遭到黑客攻击，黑客试图入侵其内部的Microsoft 365环境，作为应对措施，部分系统被迫下线。三周后的更新确认，黑客访问了Capita内部IT基础设施的4%，并窃取了存储在被入侵系统上的私人文件。Black Basta勒索软件团伙声称对此次攻击负责，并威胁如果不支付赎金，将泄露所有被盗文件。 黑客入侵时长58小时 2023年3月22日，一名Capita员工下载了一个恶意文件，使黑客得以进入公司内部网络。尽管入侵行为在10分钟内被检测到，但Capita未能在接下来的58小时内隔离受感染的设备，这使得攻击者有足够的时间横向移动、在网络中传播并访问敏感数据库。 “该文件使得恶意软件得以部署到Capita网络中，使黑客能够留在系统中，获取管理员权限并访问网络的其他区域。”英国信息专员办公室表示。 “在2023年3月29日至30日期间，近一太字节的数据被窃取。2023年3月31日，勒索软件被部署到Capita系统中，黑客重置了所有用户密码，阻止Capita员工访问其系统和网络。”英国数据保护机构表示。 Capita因访问控制不力（缺乏分层管理员账户模型）、对安全警报的响应延迟、安全运营中心人员不足以及未能定期进行渗透测试和风险管理练习而被罚款。 Capita首席执行官阿道夫·埃尔南德斯宣布了与ICO达成的和解协议，强调自事件发生以来，公司为加强网络安全态势所做的努力和投资。他还指出，支付罚款预计不会对之前公布的投资者指导产生影响。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙时尚零售商MANGO正在向客户发送数据泄露通知，警告称其营销供应商遭到入侵，导致个人数据泄露。 MANGO于1984年在巴塞罗那成立，是一家服装和时尚配饰的设计商与制造商，在全球120个国家和地区拥有2800家实体店和电子商务店铺。 该公司拥有16300名员工，年收入为33亿欧元，其中约30%来自在线购买。 2025年10月14日，该公司向客户发送了数据泄露通知，告知他们用于营销活动的个人数据已被泄露。 通知中写道：“MANGO特此通知您，一家外部营销服务提供商遭受了未经授权的访问，部分客户的个人数据遭到泄露。” 此次事件中泄露的数据类型包括客户的名、国家、邮政编码、电子邮件地址和电话号码。 MANGO明确表示，此次事件中并未泄露姓氏、银行信息、信用卡数据、身份证、护照或账户凭据。 尽管泄露数据中缺少姓氏降低了风险，但攻击者仍可利用其他泄露的数据发动网络钓鱼攻击。 该公司还指出，其企业基础设施和IT系统未受影响，因此业务运营正常。 公司声明：“我们通知您，一切照常运行，MANGO的企业基础设施和系统未遭入侵。” 在得知营销服务提供商（尚未公开其名称）的数据泄露事件后，MANGO立即启动了所有安全协议。 公司还表示，已向西班牙数据保护局（AEPD）及相关部门通报了此次数据泄露事件。 MANGO设立了专门的电子邮箱（[email protected]）和电话热线（900 150 543），为可能因此次事件而受影响的客户提供支持。 BleepingComputer已联系MANGO，以了解更多关于此次网络攻击及其影响范围的信息，但在本文发布时尚未收到回复。 截至目前，尚未有勒索软件组织在其勒索网站上公布MANGO，因此攻击者的身份仍然不明。       消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新研究发现，超100款Visual Studio Code（VS Code）扩展的发布者泄露了访问令牌，这些令牌可能被恶意行为者利用来更新扩展，从而构成严重软件供应链风险。 “泄露的VS Code Marketplace或Open VSX个人访问令牌（PAT）允许攻击者直接向整个安装基础分发恶意扩展更新。”Wiz安全研究员拉米·麦卡锡在与《黑客新闻》分享的报告中说，“发现此问题的攻击者本可以直接向总计15万的安装基础分发恶意软件。” 这家云安全公司指出，在许多情况下，发布者未能考虑到VS Code扩展虽然作为.vsix文件分发，但可以解压并检查，从而暴露嵌入其中的硬编码机密。 Wiz表示，它总共发现了超550个经过验证的机密，分布在来自数百个不同发布者的超500款扩展中。这550个机密被发现属于67种不同类型的机密，包括： – 人工智能供应商机密，如与OpenAI、Gemini、Anthropic、XAI、DeepSeek、Hugging Face和Perplexity等相关的机密 – 云服务供应商机密，如与亚马逊网络服务（AWS）、谷歌云、GitHub、Stripe和Auth0等相关的机密 – 数据库机密，如与MongoDB、PostgreSQL和Supabase等相关的机密 Wiz还在其报告中指出，超100款扩展泄露了VS Code Marketplace PATs，涉及超8.5万次安装。另有30款扩展的累计安装量不少于10万，被发现泄露了Open VSX访问令牌。其中相当一部分被标记的扩展是主题。 随着Open VSX还被集成到像Cursor和Windsurf这样的人工智能（AI）驱动的VS Code分支中，泄露访问令牌的扩展可能会显著扩大攻击面。 在一次事件中，该公司表示，它发现了一个VS Code Marketplace PAT，本可以用来向一家市值300亿美元的中国大型企业的员工推送针对性恶意软件，表明这个问题还延伸到了组织内部或供应商特定的扩展。 在2025年3月和4月向微软负责任地披露后，这家Windows制造商已撤销了泄露的PATs，并宣布将增加机密扫描功能，以阻止带有经过验证的机密的扩展，并在检测到机密时通知开发者。 建议VS Code用户限制安装的扩展数量，在下载扩展前仔细审查，并权衡启用自动更新的利弊。建议组织制定扩展清单，以便更好地应对恶意扩展的报告，并考虑为扩展制定集中的允许列表。 “这个问题凸显了扩展和插件以及供应链安全的持续风险，”Wiz说，“它继续证实了任何软件包仓库都存在大量机密泄露的高风险。” TigerJack针对VS Code市场发布恶意扩展 与此同时，Koi安全公司披露了一名被命名为TigerJack的威胁行为者的细节，该行为者自2025年初以来被认定使用各种发布者账户发布了至少11款看似合法的恶意VS Code扩展，作为一场“协调的、系统的”活动的一部分。 “以ab-498、498和498-00的身份运营，TigerJack部署了一套复杂的武器库：能够窃取源代码、挖掘加密货币并建立远程后门以实现对系统完全控制的扩展。”安全研究员图瓦尔·阿德蒙尼说。 两款恶意扩展——C++游乐场和HTTP格式化——在被下架前吸引了超1.7万次下载。然而，它们仍在Open VSX上可用，威胁行为者还在2025年9月17日，即被移除后，以新名称在VS Code市场重新发布了相同的恶意代码。 值得注意的是，这些扩展提供了承诺的功能，这为它们的恶意活动提供了完美的掩护，使不知情的开发者在安装它们后无法察觉。 具体来说，C++游乐场扩展被发现可以通过一个在500毫秒延迟后触发的监听器几乎实时地捕获按键。最终目标是窃取C++源代码文件。另一方面，HTTP格式化扩展包含了运行CoinIMP矿工的恶意代码，并通过滥用系统资源秘密挖掘加密货币。 TigerJack以“498”为别名发布的另外三款扩展，即cppplayground、httpformat和pythonformat，通过每20分钟从外部服务器（“ab498.pythonanywhere[.]com”）下载并运行任意JavaScript的能力，进一步增加了风险，从而能够充当后门。 “通过每20分钟检查新指令一次，并对远程获取的代码使用eval()，TigerJack可以动态推送任何恶意载荷，而无需更新扩展——窃取凭证和API密钥、部署勒索软件、利用被入侵的开发人员机器作为进入企业网络的切入点、将后门注入你的项目，或者实时监控你的活动。”阿德蒙尼指出。 Koi安全公司还指出，这些扩展大多最初是完全无害的工具，直到引入恶意修改，这是典型的特洛伊木马手段。这有几个优势，因为它允许威胁行为者建立合法性并在用户中获得影响力。 更重要的是，它还可以欺骗一个在安装前审查过扩展的开发者，因为威胁行为者可以在稍后推送更新来入侵他们的环境。 2025年6月，微软表示，它有一个多步骤流程，以确保VS Code市场免受恶意软件的侵害。这包括对所有传入软件包进行初步扫描，以在沙箱环境中检测恶意运行时行为，以及重新扫描和定期进行市场范围的扫描，以“确保一切安全”。 尽管如此，这些安全保护措施仅适用于VS Code市场，而不适用于其他市场，如Open VSX注册表，这意味着即使恶意扩展从微软的平台被移除，威胁行为者也可以轻松迁移到安全性较低的替代平台。 “所有市场碎片化的安全格局造成了危险的盲点，复杂的威胁行为者已经在利用这些盲点，”该公司说，“当安全在孤岛中运行时，威胁就会在平台间迁移，而开发者仍然在不知情的情况下暴露。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Resecurity 的最新报告详细说明了麒麟勒索软件即服务（RaaS）团伙如何依赖全球防弹托管网络来支持其勒索行动。Resecurity 的这份报告将探讨麒麟 RaaS 运营对防弹托管（BPH）基础设施的依赖，重点关注分布在全球不同地区的流氓提供商网络。 麒麟是当今勒索组织中最为活跃且强大的威胁团伙之一。最引人注目的是，他们最近声称对日本啤酒巨头朝日集团控股公司 9 月的勒索软件攻击负责，该攻击使朝日集团的运营和生产功能瘫痪了近两周。Resecurity 的调查人员与麒麟操作员进行了私下交流，得知威胁行为者正试图以 1,000 万美元的价格出售被盗的朝日数据。这些要求是在 10 月 11 日收到的，当时朝日集团的运营刚刚中断，这可能是麒麟排除中间人、加快对受害者施压的一种策略。 10 月 15 日，麒麟宣布了新的目标和已确认的受害者，包括但不限于： 西班牙税务管理机构（Agencia Tributaria），西班牙王国的税收机构 美国的 Centurion Family Office Services LLC 美国的 Rasi Laboratories，一家生产开发营养保健品的制造商，专注于胶囊、片剂、益生菌和功能性食品等膳食补充剂 位于美国俄克拉荷马州塔尔萨的 Victory Christian Center，一个以社区为中心的教堂 美国里士满行为健康管理局（RBHA），一个致力于为里士满市居民提供全面心理健康、智力障碍、药物滥用及预防服务的州级组织 非洲的 Turnkey Africa，一家为非洲保险行业提供技术解决方案的领先提供商 美国的 Charles River Properties，一家总部位于马萨诸塞州沃尔瑟姆的房地产经纪公司 美国的新泽西财产责任保险担保协会 法国南部 Pyrénées-Orientales 部门的圣克劳德市（Commune De Saint Claude），一个市政服务机构 法国南部 Pyrénées-Orientales 部门的 Ville-Elne，一个市镇 此前，在 10 月 14 日，麒麟宣布大众汽车集团法国公司（大众汽车股份公司的子公司）、德克萨斯州的 San Bernard 电力合作社和 Karnes 电力合作社已被攻破。 针对汽车行业尤其值得关注，特别是考虑到此前捷豹路虎（JLR）事件以及勒索软件活动的破坏性后果。麒麟可能是受到数据泄露成功结果的启发，或者他们与提供此类组织访问权限的初始访问代理（IAB）合作，这些访问权限在暗网上出售。 鉴于公布的受害者数量和新被攻击的组织数量，10 月可以说是麒麟最“丰收”的一个月。很明显，该团伙正在增加对美国的攻击，此前曾攻击过佛罗里达州里维埃拉海滩市和科布县等地方市政机构。该团伙已公布了来自不同市场领域和地理区域的 50 多个新受害者，包括克罗地亚、格林纳达、法国、德国、匈牙利、意大利、韩国、巴基斯坦和卡塔尔。 麒麟勒索软件团伙的一个显著特点是其与地下防弹托管（BPH）运营商的密切联系，这些运营商使网络犯罪分子能够秘密托管非法内容和基础设施，使其超出执法部门的管辖范围。例如，自该团伙出现以来，它一直引用多个文件共享托管来检索存储在复杂法律管辖区的受害者数据。 BPH 服务的隐蔽性使得网络安全研究人员和执法机构难以识别其运营商并摧毁其基础设施。这使得打击网络犯罪和保护用户免受网络威胁的努力变得复杂。与麒麟相关的防弹托管已进入“私密模式”，并在流行的暗网社区中实施了退出骗局。然而，截至 2025 年 10 月 15 日，与本报告中描述的活动相关的所有法人实体（位于俄罗斯和香港）仍在继续运营。 与麒麟这样的勒索软件团伙的联系证实了这种活动的有组织性，这是现代跨国网络犯罪团伙的典型特征，它们以盈利为目的运营，并利用司法管辖区的挑战来掩盖其活动。     消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚航空公司澳航（Qantas）证实，黑客最近公布了他们在今年夏天的一次网络攻击中窃取的数据。 澳航告诉客户，它已获得澳大利亚法院的禁令，以阻止该国境内的人访问、查看或发布这些数据。目前该公司正在调查哪些数据被泄露了。 在Scattered LAPSUS$ Hunters网络犯罪组织周五公布了从澳航和其他五家大公司窃取的信息之后，澳航才承认了数据泄露一事。这六家公司是两周前最初在网络犯罪分子的泄露网站上列出的约 40 家 Salesforce 知名客户中的一部分。 该公司周一表示：“澳航是全球多家在 7 月初的网络事件后数据被网络犯罪分子发布的公司之一，在那次事件中，客户数据通过第三方平台被盗。” 澳航补充说，自 7 月以来，其对该事件的评估没有改变，7 月时他们告诉客户，约 570 万人的信息在网络攻击中被泄露。 约 280 万客户的姓名、电子邮件地址和澳航常旅客号码被泄露。至少还有 170 万客户的部分信息被泄露，包括家庭地址、出生日期、电话号码、餐饮偏好或性别等。 公告称，没有信用卡或护照细节被泄露，该公司表示，被盗信息不能用于入侵澳航常旅客账户。客户已被直接联系，并根据被盗信息的类型得到了建议。 澳航本周表示，它已经设立了一个电话支持热线，并将继续与澳大利亚政府机构以及新西兰隐私专员办公室合作，以协助受害者。 该航空公司敦促客户对任何声称来自澳航的信息保持警惕，并注意所有账户是否有可疑活动。 该公司表示：“我们注意到，冒充澳航的诈骗者的报告有所增加。这些诈骗者试图利用人们对我们情况的高度关注，诱使澳航客户点击链接或分享个人细节。” 上个月，澳航表示，在网络攻击发生后，该航空公司的高级领导的年度奖金减少了 15%，其中包括澳航集团首席执行官瓦妮莎・哈德森（Vanessa Hudson）的薪酬减少了 25 万澳元。 本周末被Scattered Spider泄露数据的其他公司均未回应置评请求。 越南网络安全机构 VNCERT 向当地一家新闻媒体证实，越南航空公司被列在Scattered LAPSUS$ Hunters的网站上，并表示正在调查此次数据泄露事件。 数据泄露网站 HaveIBeenPwned 查看了来自越南航空公司的一批数据，称出生日期、电子邮件地址、姓名、电话号码和忠诚度计划细节被泄露。数据范围从 2020 年 11 月到 2025 年 6 月。 Scattered LAPSUS$ Hunters最初向 Salesforce 索要赎金，承诺如果支付一笔未公开的款项，就会停止勒索该公司的客户。Salesforce 拒绝支付赎金，周五晚上晚些时候，一批批数据被发布。 周日，美国联邦调查局（FBI）证实，它关闭了黑客计划用来发布被盗数据的几个域名，但黑客几乎立即创建了一个新平台，可以在上面访问被盗信息。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Pixnapping漏洞 研究发现，谷歌和三星的安卓设备容易受到一种侧信道攻击，该攻击可被利用来在用户不知情的情况下，逐像素地秘密窃取双因素认证（2FA）码、谷歌地图时间线和其他敏感数据。 这项攻击被加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校和卡内基梅隆大学的一组学者命名为 “Pixnapping”。 从本质上讲，“像素窃取” 是一种针对安卓设备的像素窃取框架，它通过利用安卓应用程序接口（API）和硬件侧信道，绕过浏览器的缓解措施，甚至可以从谷歌身份验证器等非浏览器应用中抽取数据，使得恶意应用能够利用该技术在 30 秒内获取 2FA 码。 研究人员在一篇论文中表示：“我们的关键发现是，安卓 API 使攻击者能够在浏览器之外创建一种类似于（保罗）斯通式攻击的方式。具体来说，恶意应用可以通过安卓意图（intents）将受害者的像素强制送入渲染管道，并使用一堆半透明的安卓活动对这些受害者像素进行计算。” 这项研究特别针对运行安卓版本 13 到 16 的谷歌和三星的五款设备。虽然目前尚不清楚其他原始设备制造商（OEM）的安卓设备是否容易受到 “像素窃取” 攻击，但实施该攻击所需的基本方法在所有运行该移动操作系统的设备上都存在。 这种新型攻击的重要之处在于，任何安卓应用都可以用来执行它，即使该应用在其清单文件中没有附加任何特殊权限。然而，这种攻击的前提是受害者被其他方式说服安装并启动了该应用。 使 “像素窃取” 成为可能的侧信道是 GPU.zip，这是由一些相同的研究人员在 2023 年 9 月披露的。该攻击本质上是利用现代集成 GPU（iGPU）中的压缩功能，通过 SVG 滤镜在浏览器中执行跨源像素窃取攻击。 Pixnapping框架概述 最新的这类攻击将此与安卓的窗口模糊 API 相结合，以泄露渲染数据并实现从受害者应用中进行窃取。为了实现这一点，一个恶意安卓应用被用来将受害者应用的像素发送到渲染管道，并使用意图来覆盖半透明活动 —— 意图是一种安卓软件机制，允许在应用和活动之间进行导航。 换句话说，其原理是调用包含感兴趣信息（如 2FA 码）的目标应用，并使数据被提交进行渲染，然后安装在设备上的恶意应用隔离目标像素（即包含 2FA 码的像素）的坐标，并引发一堆半透明活动来掩盖、放大并使用侧信道传输该像素。然后，对于推送到渲染管道的每个像素都重复这个步骤。 研究人员表示，安卓容易受到 “像素窃取” 攻击是由于三个因素的结合，这些因素允许应用程序： 将另一个应用程序的活动发送到安卓渲染管道（例如，使用意图） 对另一个应用程序的活动所显示的像素进行图形操作（例如，模糊） 测量图形操作对像素颜色相关的副作用 谷歌正在以 CVE 标识符 CVE-2025-48561（CVSS 评分：5.5）跟踪这个问题。这家科技巨头在其 2025 年 9 月的安卓安全公告中发布了该漏洞的补丁，谷歌指出：“一个请求大量模糊处理的应用：（1）通过测量在窗口间执行模糊处理所需的时间来实现像素窃取，（2）可能无论如何都不太合法。” 然而，后来发现存在一种解决方法，可以重新启用 “像素窃取” 攻击。据说该公司正在研究修复方案。 此外，研究发现，由于这种行为，攻击者有可能确定设备上是否安装了任意应用程序，从而绕过自安卓 11 以来实施的防止查询用户设备上所有已安装应用程序列表的限制。应用程序列表绕过问题仍然未被修复，谷歌将其标记为 “不会修复”。 研究人员总结道：“就像最初的浏览器一样，移动应用分层的有意协作和多参与者设计使得明显的限制不受欢迎。应用分层不会消失，而且如果采用禁止第三方 Cookie 的限制方式，分层应用将变得毫无用处。一个现实的应对措施是使新攻击像旧攻击一样不受欢迎：允许敏感应用选择退出，并限制攻击者的测量能力，以便任何概念验证都只是理论上的。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国电脑制造商 Framework 生产的约 20 万台 Linux 电脑系统在出厂时附带了已签名的 UEFI 外壳组件，这些组件可能被利用来绕过安全启动保护。 攻击者可以利用这一漏洞加载引导工具包（如 BlackLotus、HybridPetya 和 Bootkitty），这些工具包可以规避操作系统级别的安全控制，并在操作系统重新安装后仍然存在。 强大的 mm 命令根据固件安全公司 Eclypsium 的说法，问题出在 Framework 随系统提供的合法签名的 UEFI 外壳中包含了一个 “内存修改”（mm）命令。 该命令提供对系统内存的直接读 / 写访问，旨在用于低级诊断和固件调试。然而，它也可以通过针对 gSecurity2 变量来破坏安全启动信任链，gSecurity2 变量是验证 UEFI 模块签名过程中的一个关键组件。 mm 命令可以被滥用，用 NULL 覆盖 gSecurity2，从而有效地禁用签名验证。 Eclypsium 表示：“一旦确定了地址，mm 命令就可以用 NULL 覆盖安全处理程序指针，或者将其重定向到一个总是返回‘成功’而不进行任何验证的函数。”“这个命令会将包含安全处理程序指针的内存位置写入零，从而有效地禁用所有后续模块加载的签名验证。” 研究人员还指出，这种攻击可以通过启动脚本自动化，以在重启后仍然存在。 约 20 万台受影响的系统Framework 是一家美国硬件公司，以设计模块化且易于维修的笔记本电脑和台式机而闻名。 危险的 mm 命令的存在并非是因为被攻击，而更像是一个疏忽。在得知这个问题后，Framework 开始着手修复这些漏洞。 Eclypsium 的研究人员估计，这个问题已经影响了大约 20 万台 Framework 电脑： Framework 13（第 11 代英特尔），计划在 3.24 版本中修复 Framework 13（第 12 代英特尔），已在 3.18 版本中修复，计划在 3.19 版本中进行 DBX 更新 Framework 13（第 13 代英特尔），已在 3.08 版本中修复，已在 3.09 版本中发布 DBX 更新 Framework 13（英特尔酷睿 Ultra），已在 3.06 版本中修复 Framework 13（AMD Ryzen 7040），已在 3.16 版本中修复 Framework 13（AMD Ryzen AI 300），已在 3.04 版本中修复，计划在 3.05 版本中进行 DBX 更新 Framework 16（AMD Ryzen 7040），已在 3.06（测试版）中修复，已在 3.07 版本中发布 DBX 更新 Framework 台式机（AMD Ryzen AI 300 MAX），已在 3.01 版本中修复，计划在 3.03 版本中进行 DBX 更新 建议受影响的用户应用可用的安全更新。在补丁尚未可用的情况下，防止物理访问等二级保护措施至关重要。另一个临时缓解措施是通过 BIOS 删除 Framework 的 DB 密钥。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 “TigerJack” 的威胁行为者持续针对开发者发起攻击，其手段是在微软 Visual Code（VSCode）应用商店和 OpenVSX 注册表上发布恶意扩展程序，以窃取加密货币并植入后门。 此前，有两款恶意扩展程序在 VSCode 平台被下载 1.7 万次后遭下架，但目前仍在 OpenVSX 平台上架。此外，TigerJack 还会通过新账号在 VSCode 应用商店以新名称重新发布相同的恶意代码。 OpenVSX 是一个由社区维护的开源扩展程序市场，是微软平台的替代选择，提供一个独立、不绑定供应商的注册表。同时，它也是多款热门 VSCode 兼容编辑器的默认扩展市场 —— 这些编辑器因技术或法律限制无法使用 VSCode 官方市场，包括 Cursor 和 Windsurf。 攻击活动与恶意扩展程序细节 该攻击活动由 Koi Security 的研究人员发现。自今年年初以来，攻击者已分发了至少 11 款恶意 VSCode 扩展程序。 研究人员表示，此前从 VSCode 应用商店下架的两款恶意扩展程序分别名为 “C++ Playground” 和 “HTTP Format”，如今已通过新账号重新上架该平台。 C++ Playground 的恶意行为这款扩展程序启动后，会为 C++ 文件注册一个监听器（“onDidChangeTextDocument”），将源代码泄露到多个外部端点。该监听器会在代码编辑后约 500 毫秒触发，以近实时的方式捕获键盘输入。 HTTP Format 的恶意行为据 Koi Security 介绍，这款扩展程序虽能实现宣传中的功能（格式化 HTTP 内容），但会在后台秘密运行 CoinIMP 加密货币挖矿程序。它通过硬编码的凭证和配置，利用主机的处理能力进行挖矿，且未对资源使用设置任何限制，会占用主机全部计算能力。 第三类高风险恶意扩展程序TigerJack 还推出了另一类恶意扩展程序（包括 cppplayground、httpformat、pythonformat），它们会从一个硬编码地址（ab498.pythonanywhere.com/static/in4.js）获取 JavaScript 代码，并在主机上执行。该远程地址每 20 分钟会被轮询一次，这使得攻击者无需更新扩展程序，就能实现任意代码执行。 研究人员指出，与源代码窃取工具和挖矿程序不同，这类扩展程序的威胁性更强，因为它们具备更广泛的功能。Koi Security 表示：“TigerJack 无需更新扩展程序，就能动态推送任意恶意载荷 —— 包括窃取凭证和 API 密钥、部署勒索软件、将被入侵的开发者设备用作进入企业网络的入口、在项目中植入后门，或实时监控用户活动。” 平台响应与安全建议 研究人员提到，TigerJack 是一个 “协调有序的多账号运营团伙”。该团伙会伪装成独立开发者，通过创建 GitHub 仓库、设计品牌标识、列出详细功能、使用与合法工具相似的扩展名称等方式，营造可信的假象。 Koi Security 已将相关发现报告给 OpenVSX，但截至本文发布时，该注册表的维护方尚未回应，两款恶意扩展程序仍可下载。 研究人员建议，使用该平台获取软件的开发者，应仅从信誉良好、值得信赖的发布者处下载扩展程序。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文