HackerNews

HackerNews 编译，转载请注明出处： 经观察，一个与朝鲜有关联的威胁行为体，正利用 EtherHiding 技术传播恶意软件并实施加密货币盗窃。这是国家支持的黑客组织首次采用该方法。 谷歌威胁情报小组（GTIG）将这一活动归因为其追踪的威胁集群 UNC5342。该集群还拥有多个其他代号，不同机构对其命名分别为：帕洛阿尔托网络公司 Unit 42 称其为 CL-STA-0240，ESET 称其为 DeceptiveDevelopment，Securonix 称其为 DEV#POPPER，CrowdStrike 称其为 Famous Chollima，DTEX 称其为 Gwisin Gang，Datadog 称其为 Tenacious Pungsan，趋势科技则称其为 Void Dokkaebi。 此次攻击浪潮属于一个代号为 “传染性访谈”（Contagious Interview）的长期攻击活动。在该活动中，攻击者会在领英（LinkedIn）上伪装成招聘人员或招聘经理接触潜在目标，随后将对话转移到 Telegram 或 Discord 平台，再以 “职位评估” 为借口，诱骗目标运行恶意代码。 这些攻击行动的最终目标是非法访问开发者的设备、窃取敏感数据并盗取加密货币资产 —— 这与朝鲜同时追求网络间谍活动和经济利益的双重目标一致。 谷歌表示，自 2025 年 2 月以来，已观察到 UNC5342 使用 EtherHiding 技术。这是一种隐蔽手段，通过将恶意代码嵌入公共区块链（如币安智能链 BSC 或以太坊）的智能合约中实现攻击。通过这种操作，区块链被转化为一个 “去中心化秘密传输解析器”，能有效抵抗溯源打击。 此外，EtherHiding 技术还存在两大风险点：一是滥用区块链交易的伪匿名特性，增加追踪智能合约部署者的难度；二是灵活性极强，控制智能合约的攻击者可随时更新恶意载荷（平均需支付 1.37 美元的 Gas 费），从而衍生出多种威胁形式。 谷歌云旗下 Mandiant 公司咨询主管罗伯特・华莱士（Robert Wallace）在接受《黑客新闻》（The Hacker News）采访时发表声明称：“这一动态标志着威胁格局的升级。如今，国家层面的威胁行为体正采用新技术传播恶意软件，这类软件既能抵抗执法部门的溯源打击，又能轻松调整以适配新的攻击活动。” 社交工程攻击触发的感染链是一个多阶段流程，可针对 Windows、macOS 和 Linux 三大系统发起攻击，涉及三类不同的恶意软件家族，具体如下： 初始下载器：以 npm 包（Node.js 包管理器）的形式存在； BeaverTail：一种 JavaScript 窃取器，负责窃取敏感信息，包括加密货币钱包、浏览器扩展数据及各类凭证； JADESNOW：一种 JavaScript 下载器，与以太坊交互以获取 “InvisibleFerret”； InvisibleFerret：Python 后门的 JavaScript 变体，针对高价值目标部署，可实现对受感染主机的远程控制，同时通过攻击 MetaMask、Phantom 钱包及 1Password 等密码管理器中的凭证，实现长期数据窃取。 简言之，攻击流程为：诱骗受害者运行代码，执行初始 JavaScript 下载器；该下载器与恶意 BSC 智能合约交互，下载 JADESNOW；JADESNOW 随后查询某以太坊地址关联的交易记录，获取第三阶段载荷 —— 即 JavaScript 版本的 InvisibleFerret。 此外，该恶意软件还会尝试安装便携式 Python 解释器，以执行存储在另一以太坊地址中的额外凭证窃取组件。这一发现意义重大，因为威胁行为体在 EtherHiding 活动中同时使用了多个区块链。 谷歌指出：“EtherHiding 标志着网络攻击向‘下一代防弹托管’转变 —— 区块链技术的固有特性被滥用于恶意目的。这一技术也凸显了网络威胁的持续演变：攻击者不断适应并利用新技术为己所用。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客声称已入侵得克萨斯州的电力合作社，泄露了敏感财务文件。 据称，发起此次勒索软件攻击的网络犯罪团伙 “麒麟”（Qilin）已在暗网的泄露网站上，将两家得克萨斯州电力分销合作社列为攻击受害者。 其中一家涉嫌受害的合作社是圣伯纳德电力合作社（San Bernard Electric Cooperative）。该合作社拥有约 3900 英里的配电线路，为得克萨斯州 8 个县（包括奥斯汀县、科罗拉多县、费耶特县、格莱姆斯县、哈里斯县、拉瓦卡县、蒙哥马利县和沃勒县）的约 2.8 万户家庭供电，年收入达 9250 万美元。 另一个攻击目标是卡恩斯电力合作社（Karnes Electric Cooperative）。该合作社运营着近 5000 英里的线路，为 12 个县的 2.3 万户家庭提供服务，年收入为 7580 万美元。 这些指控极具麻烦性，因为涉事企业属于美国关键基础设施范畴 —— 这意味着保护它们是国家安全的优先事项。 得克萨斯州电力供应商被盗取了哪些数据？ 该团伙在其泄露网站上，提供了据称属于受害者的被盗数据样本。在勒索软件攻击中，威胁者发布数据样本是一种常见手段，目的是警告企业支付赎金。 Cybernews 的研究人员对 “麒麟” 团伙声称属于圣伯纳德电力合作社的数据样本进行了调查，发现其中包含以下文件： 首次事件报告，包含人员全名、电话号码和事件详情 年度预算报告 保险文件 费率案费用报告 来自其他公司的发票 人工与设备费用报告 地役权合同 暗网上与卡恩斯电力合作社相关的帖子中，包含的数据样本泄露了以下信息： 董事会成员名单，包括成员姓名、地址和联系方式 财务文件，如收支余额报告和日常财务运营文件 组织成员数据，包括姓名、地址和邮政编码 目前这些数据的真实性尚未得到核实 —— 勒索软件团伙重新拿出以往数据泄露事件中的旧数据，谎称是新入侵获取的情况，并不罕见。 但如果数据被证实为真实，将对涉事企业产生安全影响。这不仅表明关键基础设施易受网络攻击，还可能使企业的声誉和业务流程面临风险。 Cybernews 研究人员表示：“泄露的财务数据可能会暴露定价策略、导致信任丧失或竞争劣势；被公开的事件则可能反映出服务质量问题。” “个人身份信息（PII）可能被用于身份盗窃、骚扰和针对性的社会工程攻击，对董事会成员而言尤其如此。” Cybernews 已联系涉事企业寻求证实，但尚未收到回复。 什么是 “麒麟” 勒索软件？ “麒麟”（Qilin）是勒索软件领域的知名势力。该团伙与俄罗斯有关联，已知会针对医院和制造业发起攻击。“麒麟” 于 2022 年首次出现在勒索软件领域，但它在暗网泄露网站上声称，其早在 2021 年就已开始运作。 根据 Cybernews 的 “勒索观察”（Ransomlooker）监控工具显示，仅从 9 月初至今，“麒麟” 就已列出超过 88 名受害者；截至目前，该团伙在过去 12 个月内已针对约 585 名受害者发起攻击，跃居最活跃勒索软件团伙榜首。 “麒麟” 的攻击活跃度远超其他勒索软件对手，如 Cl0p Play、INC Ransom 和 Akira。2025 年 1 月 1 日至今，“麒麟” 已声称发起了超过 500 次攻击。 今年 4 月，该团伙声称对韩国 SK 电信（SK Telecom）发起了勒索软件攻击，并宣称窃取了 1TB 数据。4 月底，SK 电信通知了用户，并为所有用户启动了免费的 SIM 卡更换服务。 “麒麟” 还声称对日本最大啤酒生产商朝日集团控股（Asahi Holdings）发起了网络攻击。此次攻击扰乱了朝日的运营，导致日本最受欢迎的啤酒、软饮料和冰茶出现供应短缺。 8 月，日产汽车（Nissan）位于东京的创意盒子设计工作室（Creative Box）遭到该团伙攻击，“麒麟” 声称窃取了 4TB 的敏感设计数据。这家日本汽车巨头目前已在公开声明中证实其网络遭遇入侵。 该团伙还声称入侵了旧金山加州高尔夫俱乐部（California Golf Club of San Francisco）—— 这是美国最顶级的会员制高尔夫俱乐部之一，也是硅谷高管们的热门去处。据称，团伙窃取了该俱乐部 10GB 的会员数据。 此外，“麒麟” 还制造了针对英国国民医疗服务体系（NHS）合作伙伴赛诺维斯实验室（Synnovis Laboratories）的臭名昭著的攻击。此次攻击造成了毁灭性后果：医院被迫立即将患者转移到其他机构，并取消了超过 1 万次预约、择期治疗和外科手术（包括所有移植手术），原因是血液输注供应中断。 最近，同样与俄罗斯有关联的知名团伙 “锁比特”（LockBit）与 “龙力”（DragonForce）、“麒麟” 勒索软件组成了联盟。专家认为，“锁比特”、“麒麟” 与 “龙力” 的联盟可能通过资源共享，推动攻击策略升级，并增加攻击数量。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet和Ivanti宣布了2025年10月的周二补丁更新，修复了其产品中的许多漏洞。 Fortinet发布了29个新的安全公告，涵盖30多个漏洞。其中几个漏洞被标记为“高危”，包括CVE-2025-54988，该漏洞影响FortiDLP，原因是其使用了Apache Tika。Tika存在一个严重漏洞，允许攻击者读取敏感数据，或向内部资源或第三方服务器发送恶意请求。 FortiDLP还受到CVE-2025-53951和CVE-2025-54658的影响，攻击者可以通过发送特殊构造的请求，将权限提升到LocalService或Root。 FortiOS修复了一个允许已认证攻击者执行系统命令的权限提升漏洞，该漏洞编号为CVE-2025-58325。 另一个高危问题是CVE-2024-33507，影响FortiIsolator，允许远程攻击者使用特殊构造的Cookie使已登录的管理员注销（未认证攻击者），或获得写入权限（已认证攻击者）。 FortiClientMac的LaunchDaemon组件中存在一个权限提升问题，被标记为CVE-2025-57741。 最后一个高危问题是CVE-2025-49201，影响FortiPAM和FortiSwitchManager，允许攻击者通过暴力攻击绕过认证。 FortiOS、FortiPAM、FortiProxy、FortiClientMac、FortiClientWindows、FortiADC、FortiDLP、FortiSwitchManager、FortiManager、FortiAnalyzer、FortiSRA、FortiRecorder、FortiTester、FortiVoice、FortiWeb、FortiSASE、FortiSOAR和FortiSIEM等产品还修复了中危和低危漏洞。 这些漏洞可能被利用来执行任意代码、DLL劫持、获取敏感数据、绕过安全功能、造成拒绝服务（DoS）条件、进行XSS攻击、重定向用户以及提升权限。 目前没有证据表明这些漏洞已在野外被利用。许多问题是由Fortinet内部发现的。 Ivanti宣布为Endpoint Manager Mobile（EPMM）和Neurons for MDM中的漏洞提供补丁。Ivanti还发布了Endpoint Manager的安全公告，为本月早些时候披露的漏洞提供缓解选项。 在EPMM中，Ivanti修复了三个高危漏洞，这些漏洞可被具有管理员权限的认证攻击者利用来执行任意代码。公司还修复了一个中危问题，允许认证攻击者在磁盘上写入数据。 在Neurons for MDM中，Ivanti修复了两个高危问题。其中一个漏洞允许具有管理员权限的认证攻击者“注销任意设备，使目标设备从统一端点管理器UI中消失”。第二个问题是多因素认证（MFA）绕过漏洞，可被远程认证攻击者利用。 Neurons for MDM还修复了一个中危漏洞，允许远程未认证攻击者通过API端点访问敏感用户信息。 Ivanti也表示，没有证据表明这些漏洞正在野外被利用。 然而，Ivanti和Fortinet的产品漏洞经常成为威胁行为者的攻击目标，因此他们的客户应尽快应用可用的补丁。         消息来源： securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司F5披露，2025年8月，一个高度复杂的国家级行为者入侵其系统，窃取了BIG-IP的源代码及与未公开漏洞相关的信息。 攻击者访问了该公司的BIG-IP开发和工程系统，但F5指出，遏制工作成功，未发现进一步的未授权活动。 该公司已向执法部门报告了这一事件，并在领先网络安全公司的帮助下调查安全漏洞。 “2025年8月，我们发现一个高度复杂的国家级威胁行为者长期、持续地访问某些F5系统并下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛措施遏制威胁行为者。自开始这些活动以来，我们未发现任何新的未授权活动，我们相信我们的遏制工作是成功的。”该公司发布的安全事件通知中写道。 “针对此次事件，我们正在采取主动措施保护客户，加强企业及产品环境的安全态势。我们已聘请CrowdStrike、Mandiant及其他领先网络安全专家支持这项工作，我们正积极与执法部门和政府合作伙伴合作。” F5在其客户关系管理、财务或云系统中未发现被入侵迹象，也未发现源代码或供应链被篡改。该公司表示，一些被盗文件包含有限的客户配置数据。网络安全公司正在通知受影响的客户。 “我们没有证据表明我们的软件供应链被修改，包括我们的源代码以及我们的构建和发布管道。这一评估已通过领先网络安全研究公司NCC集团和IOActive的独立审查得到验证。”通知中继续写道。“我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境，也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。” 该公司还向美国证券交易委员会（SEC）提交了8-K表格报告。 “2025年8月9日，F5公司（‘公司’、‘F5’、‘我们’或‘我们的’）发现一个高度复杂的国家级威胁行为者获得了对某些公司系统的未授权访问。公司迅速启动了事件响应流程，并已采取广泛措施遏制威胁行为者。为支持这些活动，公司聘请了领先的外部网络安全专家。”报告中写道。 F5通过广泛的遏制和加固措施应对漏洞，以保护其系统和客户。该公司轮换了凭据，收紧了访问控制，实现了补丁管理自动化，并加强了监控和网络安全。 网络安全公司还在其产品开发环境中增强了保护措施，并继续与NCC集团和IOActive进行深入代码审查和渗透测试。此外，F5与CrowdStrike合作，为BIG-IP部署Falcon EDR和威胁狩猎，并为客户提供免费的EDR订阅以增强防御。 用户应尽快为BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端安装最新更新，以确保全面保护。 英国国家网络安全中心（NCSC）和美国网络安全与基础设施安全局（CISA）建议F5客户定位所有F5产品，确保暴露的管理接口安全，并评估是否被入侵。F5应美国政府要求延迟披露，以保护关键系统。     消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国信息专员办公室（ICO）对Capita处以1400万英镑（约合1870万美元）的罚款，原因是2023年的一起数据泄露事件暴露了660万人的个人信息。 Capita是一家总部位于英国的大型外包和专业服务公司，拥有约3.4万名员工，年收入为30亿英镑，主要为英国和欧洲的客户提供咨询、数字和软件服务，客户包括地方政府、英国国家医疗服务体系（NHS）、国防部以及银行、公用事业和电信行业的组织。 数百家退休计划提供商受影响 ICO最初曾计划对Capita处以4500万英镑的罚款，但鉴于该公司承认责任、实施了重要的安全改进，并为受影响的个人提供数据保护服务，罚款金额被降低。其中，Capita plc被罚款800万英镑，Capita Pension Solutions Limited被罚款600万英镑。 ICO的调查现已确认，此次被盗数据影响了660万人，以及数百家Capita客户，包括英国的325家退休金计划提供商。 2023年4月，该公司宣布遭到黑客攻击，黑客试图入侵其内部的Microsoft 365环境，作为应对措施，部分系统被迫下线。三周后的更新确认，黑客访问了Capita内部IT基础设施的4%，并窃取了存储在被入侵系统上的私人文件。Black Basta勒索软件团伙声称对此次攻击负责，并威胁如果不支付赎金，将泄露所有被盗文件。 黑客入侵时长58小时 2023年3月22日，一名Capita员工下载了一个恶意文件，使黑客得以进入公司内部网络。尽管入侵行为在10分钟内被检测到，但Capita未能在接下来的58小时内隔离受感染的设备，这使得攻击者有足够的时间横向移动、在网络中传播并访问敏感数据库。 “该文件使得恶意软件得以部署到Capita网络中，使黑客能够留在系统中，获取管理员权限并访问网络的其他区域。”英国信息专员办公室表示。 “在2023年3月29日至30日期间，近一太字节的数据被窃取。2023年3月31日，勒索软件被部署到Capita系统中，黑客重置了所有用户密码，阻止Capita员工访问其系统和网络。”英国数据保护机构表示。 Capita因访问控制不力（缺乏分层管理员账户模型）、对安全警报的响应延迟、安全运营中心人员不足以及未能定期进行渗透测试和风险管理练习而被罚款。 Capita首席执行官阿道夫·埃尔南德斯宣布了与ICO达成的和解协议，强调自事件发生以来，公司为加强网络安全态势所做的努力和投资。他还指出，支付罚款预计不会对之前公布的投资者指导产生影响。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙时尚零售商MANGO正在向客户发送数据泄露通知，警告称其营销供应商遭到入侵，导致个人数据泄露。 MANGO于1984年在巴塞罗那成立，是一家服装和时尚配饰的设计商与制造商，在全球120个国家和地区拥有2800家实体店和电子商务店铺。 该公司拥有16300名员工，年收入为33亿欧元，其中约30%来自在线购买。 2025年10月14日，该公司向客户发送了数据泄露通知，告知他们用于营销活动的个人数据已被泄露。 通知中写道：“MANGO特此通知您，一家外部营销服务提供商遭受了未经授权的访问，部分客户的个人数据遭到泄露。” 此次事件中泄露的数据类型包括客户的名、国家、邮政编码、电子邮件地址和电话号码。 MANGO明确表示，此次事件中并未泄露姓氏、银行信息、信用卡数据、身份证、护照或账户凭据。 尽管泄露数据中缺少姓氏降低了风险，但攻击者仍可利用其他泄露的数据发动网络钓鱼攻击。 该公司还指出，其企业基础设施和IT系统未受影响，因此业务运营正常。 公司声明：“我们通知您，一切照常运行，MANGO的企业基础设施和系统未遭入侵。” 在得知营销服务提供商（尚未公开其名称）的数据泄露事件后，MANGO立即启动了所有安全协议。 公司还表示，已向西班牙数据保护局（AEPD）及相关部门通报了此次数据泄露事件。 MANGO设立了专门的电子邮箱（[email protected]）和电话热线（900 150 543），为可能因此次事件而受影响的客户提供支持。 BleepingComputer已联系MANGO，以了解更多关于此次网络攻击及其影响范围的信息，但在本文发布时尚未收到回复。 截至目前，尚未有勒索软件组织在其勒索网站上公布MANGO，因此攻击者的身份仍然不明。       消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新研究发现，超100款Visual Studio Code（VS Code）扩展的发布者泄露了访问令牌，这些令牌可能被恶意行为者利用来更新扩展，从而构成严重软件供应链风险。 “泄露的VS Code Marketplace或Open VSX个人访问令牌（PAT）允许攻击者直接向整个安装基础分发恶意扩展更新。”Wiz安全研究员拉米·麦卡锡在与《黑客新闻》分享的报告中说，“发现此问题的攻击者本可以直接向总计15万的安装基础分发恶意软件。” 这家云安全公司指出，在许多情况下，发布者未能考虑到VS Code扩展虽然作为.vsix文件分发，但可以解压并检查，从而暴露嵌入其中的硬编码机密。 Wiz表示，它总共发现了超550个经过验证的机密，分布在来自数百个不同发布者的超500款扩展中。这550个机密被发现属于67种不同类型的机密，包括： – 人工智能供应商机密，如与OpenAI、Gemini、Anthropic、XAI、DeepSeek、Hugging Face和Perplexity等相关的机密 – 云服务供应商机密，如与亚马逊网络服务（AWS）、谷歌云、GitHub、Stripe和Auth0等相关的机密 – 数据库机密，如与MongoDB、PostgreSQL和Supabase等相关的机密 Wiz还在其报告中指出，超100款扩展泄露了VS Code Marketplace PATs，涉及超8.5万次安装。另有30款扩展的累计安装量不少于10万，被发现泄露了Open VSX访问令牌。其中相当一部分被标记的扩展是主题。 随着Open VSX还被集成到像Cursor和Windsurf这样的人工智能（AI）驱动的VS Code分支中，泄露访问令牌的扩展可能会显著扩大攻击面。 在一次事件中，该公司表示，它发现了一个VS Code Marketplace PAT，本可以用来向一家市值300亿美元的中国大型企业的员工推送针对性恶意软件，表明这个问题还延伸到了组织内部或供应商特定的扩展。 在2025年3月和4月向微软负责任地披露后，这家Windows制造商已撤销了泄露的PATs，并宣布将增加机密扫描功能，以阻止带有经过验证的机密的扩展，并在检测到机密时通知开发者。 建议VS Code用户限制安装的扩展数量，在下载扩展前仔细审查，并权衡启用自动更新的利弊。建议组织制定扩展清单，以便更好地应对恶意扩展的报告，并考虑为扩展制定集中的允许列表。 “这个问题凸显了扩展和插件以及供应链安全的持续风险，”Wiz说，“它继续证实了任何软件包仓库都存在大量机密泄露的高风险。” TigerJack针对VS Code市场发布恶意扩展 与此同时，Koi安全公司披露了一名被命名为TigerJack的威胁行为者的细节，该行为者自2025年初以来被认定使用各种发布者账户发布了至少11款看似合法的恶意VS Code扩展，作为一场“协调的、系统的”活动的一部分。 “以ab-498、498和498-00的身份运营，TigerJack部署了一套复杂的武器库：能够窃取源代码、挖掘加密货币并建立远程后门以实现对系统完全控制的扩展。”安全研究员图瓦尔·阿德蒙尼说。 两款恶意扩展——C++游乐场和HTTP格式化——在被下架前吸引了超1.7万次下载。然而，它们仍在Open VSX上可用，威胁行为者还在2025年9月17日，即被移除后，以新名称在VS Code市场重新发布了相同的恶意代码。 值得注意的是，这些扩展提供了承诺的功能，这为它们的恶意活动提供了完美的掩护，使不知情的开发者在安装它们后无法察觉。 具体来说，C++游乐场扩展被发现可以通过一个在500毫秒延迟后触发的监听器几乎实时地捕获按键。最终目标是窃取C++源代码文件。另一方面，HTTP格式化扩展包含了运行CoinIMP矿工的恶意代码，并通过滥用系统资源秘密挖掘加密货币。 TigerJack以“498”为别名发布的另外三款扩展，即cppplayground、httpformat和pythonformat，通过每20分钟从外部服务器（“ab498.pythonanywhere[.]com”）下载并运行任意JavaScript的能力，进一步增加了风险，从而能够充当后门。 “通过每20分钟检查新指令一次，并对远程获取的代码使用eval()，TigerJack可以动态推送任何恶意载荷，而无需更新扩展——窃取凭证和API密钥、部署勒索软件、利用被入侵的开发人员机器作为进入企业网络的切入点、将后门注入你的项目，或者实时监控你的活动。”阿德蒙尼指出。 Koi安全公司还指出，这些扩展大多最初是完全无害的工具，直到引入恶意修改，这是典型的特洛伊木马手段。这有几个优势，因为它允许威胁行为者建立合法性并在用户中获得影响力。 更重要的是，它还可以欺骗一个在安装前审查过扩展的开发者，因为威胁行为者可以在稍后推送更新来入侵他们的环境。 2025年6月，微软表示，它有一个多步骤流程，以确保VS Code市场免受恶意软件的侵害。这包括对所有传入软件包进行初步扫描，以在沙箱环境中检测恶意运行时行为，以及重新扫描和定期进行市场范围的扫描，以“确保一切安全”。 尽管如此，这些安全保护措施仅适用于VS Code市场，而不适用于其他市场，如Open VSX注册表，这意味着即使恶意扩展从微软的平台被移除，威胁行为者也可以轻松迁移到安全性较低的替代平台。 “所有市场碎片化的安全格局造成了危险的盲点，复杂的威胁行为者已经在利用这些盲点，”该公司说，“当安全在孤岛中运行时，威胁就会在平台间迁移，而开发者仍然在不知情的情况下暴露。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Resecurity 的最新报告详细说明了麒麟勒索软件即服务（RaaS）团伙如何依赖全球防弹托管网络来支持其勒索行动。Resecurity 的这份报告将探讨麒麟 RaaS 运营对防弹托管（BPH）基础设施的依赖，重点关注分布在全球不同地区的流氓提供商网络。 麒麟是当今勒索组织中最为活跃且强大的威胁团伙之一。最引人注目的是，他们最近声称对日本啤酒巨头朝日集团控股公司 9 月的勒索软件攻击负责，该攻击使朝日集团的运营和生产功能瘫痪了近两周。Resecurity 的调查人员与麒麟操作员进行了私下交流，得知威胁行为者正试图以 1,000 万美元的价格出售被盗的朝日数据。这些要求是在 10 月 11 日收到的，当时朝日集团的运营刚刚中断，这可能是麒麟排除中间人、加快对受害者施压的一种策略。 10 月 15 日，麒麟宣布了新的目标和已确认的受害者，包括但不限于： 西班牙税务管理机构（Agencia Tributaria），西班牙王国的税收机构 美国的 Centurion Family Office Services LLC 美国的 Rasi Laboratories，一家生产开发营养保健品的制造商，专注于胶囊、片剂、益生菌和功能性食品等膳食补充剂 位于美国俄克拉荷马州塔尔萨的 Victory Christian Center，一个以社区为中心的教堂 美国里士满行为健康管理局（RBHA），一个致力于为里士满市居民提供全面心理健康、智力障碍、药物滥用及预防服务的州级组织 非洲的 Turnkey Africa，一家为非洲保险行业提供技术解决方案的领先提供商 美国的 Charles River Properties，一家总部位于马萨诸塞州沃尔瑟姆的房地产经纪公司 美国的新泽西财产责任保险担保协会 法国南部 Pyrénées-Orientales 部门的圣克劳德市（Commune De Saint Claude），一个市政服务机构 法国南部 Pyrénées-Orientales 部门的 Ville-Elne，一个市镇 此前，在 10 月 14 日，麒麟宣布大众汽车集团法国公司（大众汽车股份公司的子公司）、德克萨斯州的 San Bernard 电力合作社和 Karnes 电力合作社已被攻破。 针对汽车行业尤其值得关注，特别是考虑到此前捷豹路虎（JLR）事件以及勒索软件活动的破坏性后果。麒麟可能是受到数据泄露成功结果的启发，或者他们与提供此类组织访问权限的初始访问代理（IAB）合作，这些访问权限在暗网上出售。 鉴于公布的受害者数量和新被攻击的组织数量，10 月可以说是麒麟最“丰收”的一个月。很明显，该团伙正在增加对美国的攻击，此前曾攻击过佛罗里达州里维埃拉海滩市和科布县等地方市政机构。该团伙已公布了来自不同市场领域和地理区域的 50 多个新受害者，包括克罗地亚、格林纳达、法国、德国、匈牙利、意大利、韩国、巴基斯坦和卡塔尔。 麒麟勒索软件团伙的一个显著特点是其与地下防弹托管（BPH）运营商的密切联系，这些运营商使网络犯罪分子能够秘密托管非法内容和基础设施，使其超出执法部门的管辖范围。例如，自该团伙出现以来，它一直引用多个文件共享托管来检索存储在复杂法律管辖区的受害者数据。 BPH 服务的隐蔽性使得网络安全研究人员和执法机构难以识别其运营商并摧毁其基础设施。这使得打击网络犯罪和保护用户免受网络威胁的努力变得复杂。与麒麟相关的防弹托管已进入“私密模式”，并在流行的暗网社区中实施了退出骗局。然而，截至 2025 年 10 月 15 日，与本报告中描述的活动相关的所有法人实体（位于俄罗斯和香港）仍在继续运营。 与麒麟这样的勒索软件团伙的联系证实了这种活动的有组织性，这是现代跨国网络犯罪团伙的典型特征，它们以盈利为目的运营，并利用司法管辖区的挑战来掩盖其活动。     消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚航空公司澳航（Qantas）证实，黑客最近公布了他们在今年夏天的一次网络攻击中窃取的数据。 澳航告诉客户，它已获得澳大利亚法院的禁令，以阻止该国境内的人访问、查看或发布这些数据。目前该公司正在调查哪些数据被泄露了。 在Scattered LAPSUS$ Hunters网络犯罪组织周五公布了从澳航和其他五家大公司窃取的信息之后，澳航才承认了数据泄露一事。这六家公司是两周前最初在网络犯罪分子的泄露网站上列出的约 40 家 Salesforce 知名客户中的一部分。 该公司周一表示：“澳航是全球多家在 7 月初的网络事件后数据被网络犯罪分子发布的公司之一，在那次事件中，客户数据通过第三方平台被盗。” 澳航补充说，自 7 月以来，其对该事件的评估没有改变，7 月时他们告诉客户，约 570 万人的信息在网络攻击中被泄露。 约 280 万客户的姓名、电子邮件地址和澳航常旅客号码被泄露。至少还有 170 万客户的部分信息被泄露，包括家庭地址、出生日期、电话号码、餐饮偏好或性别等。 公告称，没有信用卡或护照细节被泄露，该公司表示，被盗信息不能用于入侵澳航常旅客账户。客户已被直接联系，并根据被盗信息的类型得到了建议。 澳航本周表示，它已经设立了一个电话支持热线，并将继续与澳大利亚政府机构以及新西兰隐私专员办公室合作，以协助受害者。 该航空公司敦促客户对任何声称来自澳航的信息保持警惕，并注意所有账户是否有可疑活动。 该公司表示：“我们注意到，冒充澳航的诈骗者的报告有所增加。这些诈骗者试图利用人们对我们情况的高度关注，诱使澳航客户点击链接或分享个人细节。” 上个月，澳航表示，在网络攻击发生后，该航空公司的高级领导的年度奖金减少了 15%，其中包括澳航集团首席执行官瓦妮莎・哈德森（Vanessa Hudson）的薪酬减少了 25 万澳元。 本周末被Scattered Spider泄露数据的其他公司均未回应置评请求。 越南网络安全机构 VNCERT 向当地一家新闻媒体证实，越南航空公司被列在Scattered LAPSUS$ Hunters的网站上，并表示正在调查此次数据泄露事件。 数据泄露网站 HaveIBeenPwned 查看了来自越南航空公司的一批数据，称出生日期、电子邮件地址、姓名、电话号码和忠诚度计划细节被泄露。数据范围从 2020 年 11 月到 2025 年 6 月。 Scattered LAPSUS$ Hunters最初向 Salesforce 索要赎金，承诺如果支付一笔未公开的款项，就会停止勒索该公司的客户。Salesforce 拒绝支付赎金，周五晚上晚些时候，一批批数据被发布。 周日，美国联邦调查局（FBI）证实，它关闭了黑客计划用来发布被盗数据的几个域名，但黑客几乎立即创建了一个新平台，可以在上面访问被盗信息。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Pixnapping漏洞 研究发现，谷歌和三星的安卓设备容易受到一种侧信道攻击，该攻击可被利用来在用户不知情的情况下，逐像素地秘密窃取双因素认证（2FA）码、谷歌地图时间线和其他敏感数据。 这项攻击被加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校和卡内基梅隆大学的一组学者命名为 “Pixnapping”。 从本质上讲，“像素窃取” 是一种针对安卓设备的像素窃取框架，它通过利用安卓应用程序接口（API）和硬件侧信道，绕过浏览器的缓解措施，甚至可以从谷歌身份验证器等非浏览器应用中抽取数据，使得恶意应用能够利用该技术在 30 秒内获取 2FA 码。 研究人员在一篇论文中表示：“我们的关键发现是，安卓 API 使攻击者能够在浏览器之外创建一种类似于（保罗）斯通式攻击的方式。具体来说，恶意应用可以通过安卓意图（intents）将受害者的像素强制送入渲染管道，并使用一堆半透明的安卓活动对这些受害者像素进行计算。” 这项研究特别针对运行安卓版本 13 到 16 的谷歌和三星的五款设备。虽然目前尚不清楚其他原始设备制造商（OEM）的安卓设备是否容易受到 “像素窃取” 攻击，但实施该攻击所需的基本方法在所有运行该移动操作系统的设备上都存在。 这种新型攻击的重要之处在于，任何安卓应用都可以用来执行它，即使该应用在其清单文件中没有附加任何特殊权限。然而，这种攻击的前提是受害者被其他方式说服安装并启动了该应用。 使 “像素窃取” 成为可能的侧信道是 GPU.zip，这是由一些相同的研究人员在 2023 年 9 月披露的。该攻击本质上是利用现代集成 GPU（iGPU）中的压缩功能，通过 SVG 滤镜在浏览器中执行跨源像素窃取攻击。 Pixnapping框架概述 最新的这类攻击将此与安卓的窗口模糊 API 相结合，以泄露渲染数据并实现从受害者应用中进行窃取。为了实现这一点，一个恶意安卓应用被用来将受害者应用的像素发送到渲染管道，并使用意图来覆盖半透明活动 —— 意图是一种安卓软件机制，允许在应用和活动之间进行导航。 换句话说，其原理是调用包含感兴趣信息（如 2FA 码）的目标应用，并使数据被提交进行渲染，然后安装在设备上的恶意应用隔离目标像素（即包含 2FA 码的像素）的坐标，并引发一堆半透明活动来掩盖、放大并使用侧信道传输该像素。然后，对于推送到渲染管道的每个像素都重复这个步骤。 研究人员表示，安卓容易受到 “像素窃取” 攻击是由于三个因素的结合，这些因素允许应用程序： 将另一个应用程序的活动发送到安卓渲染管道（例如，使用意图） 对另一个应用程序的活动所显示的像素进行图形操作（例如，模糊） 测量图形操作对像素颜色相关的副作用 谷歌正在以 CVE 标识符 CVE-2025-48561（CVSS 评分：5.5）跟踪这个问题。这家科技巨头在其 2025 年 9 月的安卓安全公告中发布了该漏洞的补丁，谷歌指出：“一个请求大量模糊处理的应用：（1）通过测量在窗口间执行模糊处理所需的时间来实现像素窃取，（2）可能无论如何都不太合法。” 然而，后来发现存在一种解决方法，可以重新启用 “像素窃取” 攻击。据说该公司正在研究修复方案。 此外，研究发现，由于这种行为，攻击者有可能确定设备上是否安装了任意应用程序，从而绕过自安卓 11 以来实施的防止查询用户设备上所有已安装应用程序列表的限制。应用程序列表绕过问题仍然未被修复，谷歌将其标记为 “不会修复”。 研究人员总结道：“就像最初的浏览器一样，移动应用分层的有意协作和多参与者设计使得明显的限制不受欢迎。应用分层不会消失，而且如果采用禁止第三方 Cookie 的限制方式，分层应用将变得毫无用处。一个现实的应对措施是使新攻击像旧攻击一样不受欢迎：允许敏感应用选择退出，并限制攻击者的测量能力，以便任何概念验证都只是理论上的。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国电脑制造商 Framework 生产的约 20 万台 Linux 电脑系统在出厂时附带了已签名的 UEFI 外壳组件，这些组件可能被利用来绕过安全启动保护。 攻击者可以利用这一漏洞加载引导工具包（如 BlackLotus、HybridPetya 和 Bootkitty），这些工具包可以规避操作系统级别的安全控制，并在操作系统重新安装后仍然存在。 强大的 mm 命令根据固件安全公司 Eclypsium 的说法，问题出在 Framework 随系统提供的合法签名的 UEFI 外壳中包含了一个 “内存修改”（mm）命令。 该命令提供对系统内存的直接读 / 写访问，旨在用于低级诊断和固件调试。然而，它也可以通过针对 gSecurity2 变量来破坏安全启动信任链，gSecurity2 变量是验证 UEFI 模块签名过程中的一个关键组件。 mm 命令可以被滥用，用 NULL 覆盖 gSecurity2，从而有效地禁用签名验证。 Eclypsium 表示：“一旦确定了地址，mm 命令就可以用 NULL 覆盖安全处理程序指针，或者将其重定向到一个总是返回‘成功’而不进行任何验证的函数。”“这个命令会将包含安全处理程序指针的内存位置写入零，从而有效地禁用所有后续模块加载的签名验证。” 研究人员还指出，这种攻击可以通过启动脚本自动化，以在重启后仍然存在。 约 20 万台受影响的系统Framework 是一家美国硬件公司，以设计模块化且易于维修的笔记本电脑和台式机而闻名。 危险的 mm 命令的存在并非是因为被攻击，而更像是一个疏忽。在得知这个问题后，Framework 开始着手修复这些漏洞。 Eclypsium 的研究人员估计，这个问题已经影响了大约 20 万台 Framework 电脑： Framework 13（第 11 代英特尔），计划在 3.24 版本中修复 Framework 13（第 12 代英特尔），已在 3.18 版本中修复，计划在 3.19 版本中进行 DBX 更新 Framework 13（第 13 代英特尔），已在 3.08 版本中修复，已在 3.09 版本中发布 DBX 更新 Framework 13（英特尔酷睿 Ultra），已在 3.06 版本中修复 Framework 13（AMD Ryzen 7040），已在 3.16 版本中修复 Framework 13（AMD Ryzen AI 300），已在 3.04 版本中修复，计划在 3.05 版本中进行 DBX 更新 Framework 16（AMD Ryzen 7040），已在 3.06（测试版）中修复，已在 3.07 版本中发布 DBX 更新 Framework 台式机（AMD Ryzen AI 300 MAX），已在 3.01 版本中修复，计划在 3.03 版本中进行 DBX 更新 建议受影响的用户应用可用的安全更新。在补丁尚未可用的情况下，防止物理访问等二级保护措施至关重要。另一个临时缓解措施是通过 BIOS 删除 Framework 的 DB 密钥。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 “TigerJack” 的威胁行为者持续针对开发者发起攻击，其手段是在微软 Visual Code（VSCode）应用商店和 OpenVSX 注册表上发布恶意扩展程序，以窃取加密货币并植入后门。 此前，有两款恶意扩展程序在 VSCode 平台被下载 1.7 万次后遭下架，但目前仍在 OpenVSX 平台上架。此外，TigerJack 还会通过新账号在 VSCode 应用商店以新名称重新发布相同的恶意代码。 OpenVSX 是一个由社区维护的开源扩展程序市场，是微软平台的替代选择，提供一个独立、不绑定供应商的注册表。同时，它也是多款热门 VSCode 兼容编辑器的默认扩展市场 —— 这些编辑器因技术或法律限制无法使用 VSCode 官方市场，包括 Cursor 和 Windsurf。 攻击活动与恶意扩展程序细节 该攻击活动由 Koi Security 的研究人员发现。自今年年初以来，攻击者已分发了至少 11 款恶意 VSCode 扩展程序。 研究人员表示，此前从 VSCode 应用商店下架的两款恶意扩展程序分别名为 “C++ Playground” 和 “HTTP Format”，如今已通过新账号重新上架该平台。 C++ Playground 的恶意行为这款扩展程序启动后，会为 C++ 文件注册一个监听器（“onDidChangeTextDocument”），将源代码泄露到多个外部端点。该监听器会在代码编辑后约 500 毫秒触发，以近实时的方式捕获键盘输入。 HTTP Format 的恶意行为据 Koi Security 介绍，这款扩展程序虽能实现宣传中的功能（格式化 HTTP 内容），但会在后台秘密运行 CoinIMP 加密货币挖矿程序。它通过硬编码的凭证和配置，利用主机的处理能力进行挖矿，且未对资源使用设置任何限制，会占用主机全部计算能力。 第三类高风险恶意扩展程序TigerJack 还推出了另一类恶意扩展程序（包括 cppplayground、httpformat、pythonformat），它们会从一个硬编码地址（ab498.pythonanywhere.com/static/in4.js）获取 JavaScript 代码，并在主机上执行。该远程地址每 20 分钟会被轮询一次，这使得攻击者无需更新扩展程序，就能实现任意代码执行。 研究人员指出，与源代码窃取工具和挖矿程序不同，这类扩展程序的威胁性更强，因为它们具备更广泛的功能。Koi Security 表示：“TigerJack 无需更新扩展程序，就能动态推送任意恶意载荷 —— 包括窃取凭证和 API 密钥、部署勒索软件、将被入侵的开发者设备用作进入企业网络的入口、在项目中植入后门，或实时监控用户活动。” 平台响应与安全建议 研究人员提到，TigerJack 是一个 “协调有序的多账号运营团伙”。该团伙会伪装成独立开发者，通过创建 GitHub 仓库、设计品牌标识、列出详细功能、使用与合法工具相似的扩展名称等方式，营造可信的假象。 Koi Security 已将相关发现报告给 OpenVSX，但截至本文发布时，该注册表的维护方尚未回应，两款恶意扩展程序仍可下载。 研究人员建议，使用该平台获取软件的开发者，应仅从信誉良好、值得信赖的发布者处下载扩展程序。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究显示，仅需价值 800 美元的现成设备，就能拦截卫星传输的军事通信内容。 加州大学圣地亚哥分校（UCSD）与马里兰大学（UMD）的研究人员联合开展的一项新研究，揭示了一个令人震惊的全球性安全漏洞。 研究人员指出，全球约半数卫星通信均以完全未加密的形式传输，这使得从航班 WiFi 数据到军事对话等各类信息都暴露在外。更令人担忧的是，研究团队仅用价值不到 800 美元、可轻松购得的设备，就完成了全部拦截实验。 研究人员在加州大学圣地亚哥分校一栋建筑的屋顶上，用任何人都能网购到的设备组装了一套卫星接收系统。这套设备包括一个 185 美元的天线碟、140 美元的屋顶支架、195 美元的马达和 230 美元的调谐卡。 他们将天线碟对准在地球上方数万公里轨道运行的地球同步卫星，几乎立刻就开始拦截在太空中自由传输的私人数据。 “我们深感震惊，” 该研究的联合首席作者、加州大学圣地亚哥分校计算机科学教授亚伦・舒尔曼（Aaron Schulman）表示，“我们的一些关键基础设施依赖于这个卫星生态系统，我们原本以为所有数据传输都会经过加密。但一次又一次，每次发现新的传输内容，我们都发现它没有加密。” 安全漏洞的关键环节 安全漏洞的核心在于电信运营商连接偏远基站与核心网络的方式。位于沙漠、山区或近海区域的基站，会通过卫星而非光纤传输数据；而任何处于卫星覆盖范围内的人，都可能拦截这些数据。卫星的覆盖范围可达到地球表面积的 40%。 在三年的研究期间，研究人员收集了大量未受保护的通信数据，包括： T-Mobile 网络、AT&T 墨西哥公司及墨西哥电信公司（Telmex）用户的通话与短信 航班乘客的 WiFi 浏览数据 电力公司与石油平台的内部信息 美国和墨西哥军方系统的传输内容 暴露的信号中，包含美国海军舰船标识与网络数据、墨西哥军方情报报告、飞机维护日志，以及实时部队位置信息。 研究人员还检测到墨西哥国家电力公司（CFE，为约 5000 万用户提供服务）的未加密通信。这些传输内容包含用户信息、工作订单和安全报告。此外，部分美国工业控制系统也被发现通过卫星传输未加密的运行数据。 约翰斯・霍普金斯大学计算机科学教授马特・格林（Matt Green）参与了该研究的评审工作，他向《连线》杂志表示：“这太离谱了。这么多数据通过卫星传输，而任何人用一个天线就能接收，这简直不可思议”，“这篇论文或许能解决一小部分问题，但我认为整体情况不会有太大改变”。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部从柬埔寨某知名企业集团董事长名下账户中，查获了价值约 150 亿美元的比特币。该董事长已被起诉，指控称其公司是一个庞大诈骗帝国的幕后操纵者。 美国财政部于周二同步宣布制裁措施，目标直指该企业 —— Prince Group，以及与其相关的 146 名个人和实体。其中包括 117 家空壳公司，这些公司被指用于洗钱活动。 英国外交、联邦与发展事务部也对该公司实施了制裁，并宣布查获了伦敦境内多处据称与该集团有关的房产，包括一栋价值 1 亿英镑的写字楼、一座 1200 万英镑的豪宅，以及 17 套公寓。 Prince Group是柬埔寨最知名的企业之一，业务涵盖房地产、金融服务和娱乐等多个领域。此前有媒体报道称，该公司还涉足柬埔寨利润丰厚的诈骗行业。在这一行业中，人们会被诱骗至规模化运营的园区，被迫对全球各地的民众实施诈骗。美国政府估计，去年美国人被东南亚诈骗分子骗取的资金至少达 100 亿美元。 根据 10 月 8 日在纽约东区联邦地区法院提交的起诉书，该公司董事长陈志（Chen Zhi）直接参与了诈骗园区的运营。这些园区依靠被贩卖的强迫劳动力，实施 “杀猪盘” 及其他类型的投资诈骗。美国司法部表示，陈志拥五国国籍，他被指在柬埔寨全国范围内主导建造并运营了至少 10 个诈骗园区，其中包括沿海城市西哈努克市臭名昭著的 “金贝园区”（Jinbei Compound），以及磅士卑省的 “芒果公园”（Mango Park）。 调查人员获取的公司文件，似乎揭示了这些诈骗运营的内部运作机制。文件中包含诈骗利润追踪记录，以及园区内各楼层、各楼栋具体负责何种类型诈骗的详细分工。 起诉书指出，文件显示有两处场所存放了 1250 部手机，这些手机控制着某未具名社交媒体平台上的 7.6 万个账户。 起诉书称：“Prince Group的其他内部文件还包含与受害者建立信任的操作指南，以及批量注册社交媒体账户的方法指导。其中明确要求，使用的女性头像不应‘过于漂亮’，以确保账户看起来更真实。” 据称，该集团的一名同谋曾吹嘘，公司通过诈骗每天能获利超过 3000 万美元。 另有文件显示，部分官员与王子集团存在串通行为。这些官员 “利用自身政治影响力，在多个国家为诈骗园区的运营提供保护，使其免受执法部门查处”。被指涉及此事的机构包括中国公安部和国家安全部。 检察官指控，该公司高管通过向官员行贿，获取有关执法部门突袭检查园区的预警信息。 Prince Group被指将非法所得用于为合法加密货币挖矿业务提供资金，以此洗钱。 截至 2020 年左右，陈志已通过 25 个非托管加密货币钱包，囤积了 127271 枚比特币（价值约 150 亿美元）。此次资产没收行动，是美国司法部历史上规模最大的一次。 纽约东区联邦检察官约瑟夫・诺塞拉（Joseph Nocella）表示：“正如起诉书所指控的，被告操纵了史上规模最大的投资诈骗活动之一，助长了一个正呈蔓延态势的非法行业。王子集团的投资诈骗给全球受害者 —— 包括纽约本地受害者 —— 造成了数十亿美元的损失和难以估量的痛苦，而这一切的代价，是由那些被贩卖、被迫违心工作的人承担的。” 庞大的关联网络 对Prince Group及相关实体的制裁，凸显了诈骗行业的规模及其向东南亚以外地区扩散的态势。制裁目标包括在全球范围内注册的 100 家空壳公司，同时也针对王子集团向太平洋岛国帕劳的扩张行动。该公司在帕劳与一名被指为当地 “有组织犯罪协助者” 的人士合作，在一座岛屿上开发豪华度假村，并获得了该岛屿 99 年的租赁权。 美国财政部表示，此次行动 “旨在支持帕劳为防范源自中华人民共和国的跨国有组织犯罪集团进行掠夺性投资所做的持续努力”。 美国金融犯罪执法网络（FinCEN）也于周二针对诈骗行业采取行动，切断了总部位于柬埔寨的汇旺集团（Huione Group）与美国金融体系的联系。该机构此前已将这家金融机构列为洗钱关注对象。 汇旺集团被指是 “关键节点”，为朝鲜网络犯罪活动以及东南亚跨国有组织犯罪集团的非法所得提供洗钱服务。该机构称，2021 年 8 月至 2025 年 1 月期间，汇旺集团洗钱的非法所得至少达 40 亿美元。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  周二，英国国家网络安全中心（NCSC）发布2024年度安全报告，宣布英国去年遭遇的国家级重大网络攻击数量创下历史纪录。 NCSC披露，在2024年9月初至今年8月末期间，工作人员紧急协助应对了429起攻击事件。其中204起被认定为“国家级重大”事件，同比增加一倍多。 在204起“国家级重大”事件中，18起被归类为“高度重大”事件，这是该机构分类体系中第二严重的级别，仅次于国家网络紧急状态。这18起攻击“对英国中央政府、基本公共服务、大部分民众或英国经济造成了严重影响”。 为应对攻击事件的激增，英国政府宣布，将致函本国主要企业的首席执行官和董事长，要求他们“采取切实行动”，保护企业免受攻击。 此前，捷豹路虎遭遇网络攻击，经历了持续一个多月的运营中断。这封信提醒企业界，针对英国企业的恶意网络活动已变得“更为密集、频繁且复杂”。 牛津大学网络安全研究卓越学术中心主任卢卡斯・凯洛将针对捷豹路虎的攻击评未：“不仅是企业运营中断事件”，更是“经济安全事件”。他表示：“如果中断持续数周或数月，将危及政府的核心增长使命。倘若英国的顶级出口行业陷入停滞，又如何能实现‘在七国集团中保持最高持续增长率’的目标？” 英国国家网络安全中心的年度报告特别提及这一威胁，并设有副标题呼吁全国“正视经济安全面临的紧迫风险”。 安全部长丹・贾维斯在报告序言中警告称，“网络安全对我们的国家安全和经济健康而言，从未像现在这样至关重要”。 在英国国家网络安全中心年度报告发布活动上发表演讲后，贾维斯将与富时350指数成分股公司的代表举行会议，强调企业需将网络韧性提升至董事会层面的职责范畴。他表示：“尽管我们夜以继日地应对威胁，并为各类规模的企业提供支持，但仅凭我们自身的力量远远不够。我们正与企业领导者合作，确保他们认识到威胁的严重性，并将网络安全列为首要任务。” 英国国家网络安全中心首席执行官理查德・霍恩警告称：“网络安全如今关乎企业生存与国家韧性。在该中心处理的事件中，超半数被认定为国家级重大事件，高度重大攻击事件较去年增加了50%，我们面临严重影响的集体风险正以惊人速度上升。” “抵御这些攻击的最佳方式是让各机构尽可能降低自身被攻击的可能性。这要求每位企业领导者立即行动：犹豫不决本身就是一种弱点，企业的未来取决于当下采取的行动。行动刻不容缓。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国医疗影像服务提供商西蒙医疗影像公司（SimonMed Imaging）正向超过 120 万人发出通知，告知其敏感信息在一场数据泄露事件中遭到泄露。 西蒙医疗影像公司是一家门诊医疗影像及放射科服务提供商，提供的服务包括磁共振成像（MRI）、计算机断层扫描（CT）、X 光、超声波、乳房 X 光检查、正电子发射断层扫描（PET）、核医学、骨密度检测以及介入放射学检查等项目。这家放射科公司在美国 11 个州运营着约 170 家医疗中心，年收入超过 5 亿美元。 三周的未授权访问 根据提交给有关部门的通知显示，黑客在今年年初的 1 月 21 日至 2 月 5 日期间入侵了西蒙医疗的系统，并非法访问了该公司的网络。1 月 27 日，西蒙医疗从其一家供应商处得知了此次数据泄露事件，该供应商当时发出警报称 “自身正遭遇安全事件”。在启动调查后，这家医疗公司于次日确认其网络存在可疑活动。 该公司表示：“在发现我们成为恶意攻击的受害者后，我们立即展开调查，并采取措施控制事态发展。” 所采取的措施包括重置密码、启用多因素身份认证、增加终端检测与响应（EDR）监控、取消第三方供应商对西蒙医疗内部系统及其相关工具的直接访问权限，以及将进出流量限制在可信连接范围内。 该公司还已通知执法部门，并寻求数据安全与隐私专业人士的服务支持。 除全名外，西蒙医疗尚未公开黑客窃取的具体信息内容，但考虑到医疗影像公司系统中存储的数据类型，被盗信息可能包含高度敏感内容。 不过，该公司强调，截至 10 月 10 日（即通知发布当日），尚无证据表明被访问的信息已被用于欺诈或身份盗窃等非法活动。收到通知函的人员可通过益博睿（Experian）免费订阅身份盗窃防护服务。 美杜莎勒索软件团伙声称实施了此次攻击 2 月 7 日，美杜莎（Medusa）勒索软件团伙在其勒索门户网站上公开了西蒙医疗影像公司的相关信息，声称窃取了 212GB 的数据。 为证明攻击属实，黑客还泄露了部分数据，其中包括身份证扫描件、包含患者详细信息的电子表格、支付详情、账户余额、医疗报告以及原始影像扫描件等内容。 当时，黑客要求支付 100 万美元赎金，若需延期一天公布所有被盗文件，则需额外支付 1 万美元。 目前，西蒙医疗影像公司已不再出现在美杜莎勒索软件的数据泄露网站名单中。这一情况通常表明该公司已与黑客就赎金问题进行谈判并完成了支付。 美杜莎勒索软件即服务（RaaS）运营模式于 2023 年推出，该团伙因袭击明尼阿波利斯公立学校（MPS）等事件而声名狼藉，还曾将丰田金融服务公司列为攻击目标。 美国联邦调查局（FBI）、网络安全与基础设施安全局（CISA）以及多州信息共享与分析中心（MS-ISAC）在 2025 年 3 月联合发布的一份预警报告中，对美杜莎勒索软件的活动发出警告，指出该威胁团伙已影响到美国超过 300 家关键基础设施机构。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发现黑客利用 Chakra JavaScript 引擎中的零日漏洞获取目标设备访问权限后，决定限制 Edge 浏览器中 “Internet Explorer（IE）模式” 的访问权限。 这家科技巨头未披露过多技术细节，但表示攻击者将 “社会工程学手段” 与 “Chakra 引擎漏洞利用” 相结合，实现了远程代码执行（Remote Code Execution，RCE）。 微软 Edge 安全团队负责人加雷斯・埃文斯表示：“Edge 安全团队近期收到情报显示，威胁攻击者正滥用 Edge 浏览器中的 IE 模式，非法访问毫无防备的用户设备。” 尽管 Internet Explorer 已于 2022 年 6 月 15 日终止支持，但微软 Edge 浏览器仍保留了 “IE 模式”—— 这一模式用于兼容部分仍在使用的老旧技术（如 ActiveX 控件、Flash 插件），此类技术常见于少量企业应用程序及政府门户网站。 今年 8 月，Edge 安全团队发现，攻击者会引导目标用户访问 “伪装成官方网站的虚假站点”，并通过页面中的交互元素，诱骗用户以 IE 模式加载该页面。 在利用 Chakra 引擎的零日漏洞后，攻击者会进一步利用第二个漏洞提升权限、突破浏览器沙箱限制，最终完全控制受害者设备。 埃文斯未提供被利用漏洞的标识信息，并明确表示 Chakra 引擎中的该零日漏洞尚未修复。 为降低风险，微软移除了 Edge 浏览器中 “便捷激活 IE 模式” 的方式，包括：专用工具栏按钮、右键上下文菜单选项、顶部 三点菜单中的入口。 现在，用户若需启用 IE 模式，必须手动导航至 “设置（Settings）> 默认浏览器（Default Browser）> 允许（Allow）”，并手动指定需要以 IE 模式加载的网页地址。 此次权限限制的核心目标，是让 “激活 IE 模式” 成为用户的主动、有意识操作；此外，通过 “仅允许列表内网站使用 IE 模式” 的机制，大幅增加攻击者通过该途径成功入侵的难度。 需要注意的是，这些限制不适用于商业用户—— 企业用户仍可通过 “企业策略配置” 正常使用 IE 模式。 不过微软仍提醒所有用户：应尽快从 Internet Explorer 的老旧网页技术迁移至现代产品。现代产品不仅安全性更高、稳定性更强，还具备更优的性能表现。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在一场打破传统供应链攻击模式的新型钓鱼活动中，威胁攻击者正滥用合法的 NPM（Node.js 包管理平台）基础设施。 近年来针对 NPM 生态系统的攻击，多依赖于在包中注入恶意代码，以此感染开发者及其用户，并添加类似蠕虫的传播行为。 而在此次新发现的、被命名为 “Beamglea” 的攻击活动中，恶意包并不执行代码，而是滥用合法的 CDN（内容分发网络）服务 unpkg [.] com，向毫无防备的用户推送钓鱼页面。 9 月末，Safety 公司安全研究员保罗・麦卡蒂（Paul McCarty）首次发现了 120 个用于该攻击的恶意包。如今，网络安全公司 Socket 表示，这类恶意包的数量已突破 175 个。 这些恶意包的攻击目标覆盖能源、工业设备及科技领域的 135 余家企业，累计下载量超 2.6 万次 —— 不过其中多数下载来自安全研究员、自动化扫描工具及分析软件，非真实受害者操作。 Socket 解释称，恶意包的命名均包含随机 6 位字符串，且遵循 “redirect-[a-z0-9]{6}” 的格式（例如 “redirect-3f7a9d”）。这些包一旦发布至 NPM 平台，unpkg [.] com 便会通过 HTTPS 协议的 CDN 链接将其开放访问。 Socket 指出：“攻击者可能会向目标受害者分发伪装成‘采购订单’和‘项目文档’的 HTML 文件。尽管具体传播方式尚不明确，但从‘商务文档主题’及‘针对受害者的定制化内容’可推测，传播途径应为‘电子邮件附件’或‘钓鱼链接’。” 当受害者打开该 HTML 文件时，文件中关联的恶意 JavaScript 代码会从 unpkg [.] com 的 CDN 加载到浏览器中，随后将受害者重定向至钓鱼页面，诱导其输入账号密码等凭据。 Socket 还发现，攻击者使用 Python 工具实现了攻击活动的自动化：该工具流程可完成以下操作 —— 检查受害者是否已登录、诱导其输入凭据、将受害者邮箱及钓鱼链接注入 JavaScript 模板文件（beamglea_template.js）、生成 package.json 配置文件、将恶意包发布为 NPM 公共包，最后生成包含 “指向该恶意包的unpkg.com CDN 链接” 的 HTML 文件。 Socket 表示：“借助这种自动化手段，攻击者无需为每个受害者手动操作，即可创建 175 个针对不同企业的独特恶意包。” 攻击者已生成超 630 个指向这些恶意包的 HTML 文件，所有文件的元标签中均包含攻击活动标识 “nb830r6x”。这些文件分别伪装成 “采购订单”“技术规格文档” 和 “项目文件”，极具迷惑性。 Socket 进一步说明：“当受害者在浏览器中打开这些 HTML 文件时，JavaScript 代码会立即将其重定向至钓鱼域名，同时通过 URL 片段（URL fragment）传递受害者的邮箱地址。随后，钓鱼页面会自动预填充邮箱字段，营造出‘这是已识别用户身份的合法登录门户’的假象，极具欺骗性。” 此次攻击的目标企业包括：阿尔戈杜埃（Algodue，意大利工业设备商）、安赛乐米塔尔（ArcelorMittal，跨国钢铁集团）、德玛格起重机（Demag Cranes，德国起重设备商）、友讯科技（D-Link，网络设备商）、H2 系统公司（H2 Systems，能源设备商）、摩莎科技（Moxa，工业物联网解决方案商）、皮乌西（Piusi，流体传输设备商）、雷尼绍（Renishaw，英国工程技术公司）、萨索尔（Sasol，南非能源化工企业）、斯特塔西（Stratasys，3D 打印技术公司）及蒂森克虏伯努克萨（ThyssenKrupp Nucera，氢能设备商）等。攻击主要集中在西欧国家，同时在北欧及亚太地区也发现了部分目标企业。 网络安全公司 Snyk 指出，另有一批采用 “mad-*” 命名格式（例如 “mad-utils”）的 NPM 包也表现出类似恶意行为，尽管目前尚未证实其与 Beamglea 攻击活动相关。 Snyk 表示：“这类包包含一个伪装的‘Cloudflare 安全检查’页面，会秘密将用户重定向至‘从远程 GitHub 托管文件中获取的攻击者控制域名’。包中还包含常见的反分析逻辑：一方面阻止调试快捷键（如 F12）的使用，另一方面会在用户点击‘虚假验证勾选框’后，强制跳转顶层窗口（即‘框架破坏’技术，frame-busting），防止钓鱼页面被嵌入合法网站框架中暴露。” 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 “ChaosBot” 的新型 Rust 语言后门恶意软件细节。该软件可让攻击者对受感染主机执行侦察操作，并运行任意命令。 “威胁行为体利用了已泄露的凭据，这些凭据既关联思科虚拟专用网络，也关联一个权限过高的活动目录账户，该账户名为‘serviceaccount’。”网络安全公司eSentire在上周发布的技术报告中表示，“攻击者通过这个泄露的账户，利用 WMI在网络中的多台设备上远程执行命令，为 ChaosBot 的部署与运行创造了条件。” 这家加拿大网络安全公司称，其首次发现该恶意软件是在 2025 年 9 月末，当时它存在于某金融服务客户的网络环境中。 ChaosBot 的显著特点是滥用 Discord作为命令与控制（C2）通道。它的命名源于背后攻击者所维护的 Discord 账号 —— 该攻击者的网络昵称是 “chaos_00019”，负责向受感染设备下发远程命令。此外，还有一个关联 C2 操作的 Discord 用户账号为 “lovebb0024”。 除此之外，研究人员还观察到，该恶意软件会通过 “含恶意 Windows 快捷方式（.lnk 文件）的钓鱼邮件” 进行传播。若收件人打开该.lnk 文件，系统会执行一条 PowerShell 命令，下载并运行 ChaosBot；同时会显示一个伪装成 “越南国家银行合法函件” 的诱饵 PDF 文件，以此转移用户注意力。 ChaosBot 的有效载荷是一个恶意动态链接库（DLL 文件，名为 “msedge_elf.dll”），它通过 “Microsoft Edge的‘identity_helper.exe’程序” 实现侧载， 即借助合法程序加载恶意 DLL。加载完成后，该恶意软件会执行系统侦察，并下载 “快速反向代理”，在目标网络中建立反向代理通道，从而持续保持对受感染网络的访问权限。 研究人员还发现，攻击者曾试图通过该恶意软件配置 “Visual Studio Code Tunnel”，将其作为额外后门以实现命令执行功能，但最终未成功。不过，ChaosBot 的核心功能仍是与 “攻击者创建的 Discord 频道” 交互，以接收进一步指令。 以下是 ChaosBot 支持的部分命令： shell：通过 PowerShell 执行 shell 命令 scr：捕获受害者设备的屏幕截图 download：向受害者设备下载文件 upload：将文件上传至 Discord 频道 eSentire 指出：“ChaosBot 的新变种采用了规避技术，可绕过 ETW（Windows 事件跟踪）和虚拟机检测。”“第一种技术是修补‘ntdll!EtwEventWrite’函数的前几条指令；第二种技术是检查系统的 MAC 地址，将其与 VMware、VirtualBox 等虚拟机已知的 MAC 地址前缀进行比对，若匹配则立即退出运行。” 在 ChaosBot 被披露的同时，Fortinet FortiGuard Labs也详细介绍了一款基于 C++ 语言编写的 Chaos 勒索软件新变种。该变种新增了两项关键功能：一是 “破坏性删除”—— 对大型文件进行不可恢复的删除；二是 “剪贴板劫持”—— 将受害者剪贴板中的比特币地址替换为攻击者控制的钱包地址，从而拦截加密货币转账。 该公司表示：“这种‘破坏性删除 + 隐蔽财务盗窃’的双重策略，标志着 Chaos 勒索软件已演变为更具攻击性的多面威胁，其设计目的就是最大化获取经济利益。” 通过整合 “破坏性勒索手段” 与 “针对加密货币盗窃的剪贴板劫持”，攻击者试图将这款 Chaos-C++ 勒索软件打造成一款强力工具：它不仅能加密文件，还能删除所有大小超过 1.3GB 的文件，并为财务欺诈提供便利。 Chaos-C++ 勒索软件的下载器会伪装成 “System Optimizer v2.1” 等虚假实用工具，诱骗用户安装。值得注意的是，Chaos 勒索软件的早期版本曾伪装成OpenAI ChatGPT 和 InVideo AI进行传播。 该勒索软件启动后，会首先检查系统中是否存在名为 “% APPDATA%\READ_IT.txt” 的文件 —— 该文件是勒索软件 “已在当前设备执行过” 的标识。若文件存在，勒索软件会进入监控模式，持续监视系统剪贴板内容；若文件不存在，则会先检查自身是否以 管理员权限”运行： 若获得管理员权限，会先执行一系列命令禁用系统恢复功能（防止用户通过系统还原恢复文件）； 随后启动加密流程：对大小低于 50MB 的文件进行完整加密，对大小在 50MB 至 1.3GB 之间的文件则跳过（推测是为提升攻击效率）。 Fortinet 指出：“Chaos-C++ 并非单纯依赖完整文件加密，而是采用了‘对称加密 / 非对称加密 + 备用 XOR 加密算法’的组合方式；其多功能下载器也确保了恶意程序能成功执行。这些设计共同提升了该勒索软件的攻击稳定性，使其更难被阻断。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正提请关注一场新型攻击活动：该活动传播的 Astaroth银行木马，将 GitHub 用作其运营的核心基础设施，即便自身基础设施遭下架，仍能保持 “抗打击能力”。 “攻击者不再单纯依赖易被下架的传统命令与控制（C2）服务器，而是利用 GitHub 仓库托管恶意软件配置文件，” 迈克菲实验室（McAfee Labs）研究人员哈希尔・帕特尔与普拉布德・查克拉沃蒂在一份报告中表示，“当执法部门或安全研究人员关停其 C2 基础设施时，Astaroth只需从 GitHub 获取新的配置文件，就能继续运行。” 据这家网络安全公司透露，当前攻击活动主要集中在巴西；不过已知该银行木马还会针对拉丁美洲多个国家，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。 Astaroth针对巴西发起攻击并非首次。2024 年 7 月和 10 月，谷歌与趋势科技曾先后发出警告，提及两个名为 “PINEAPPLE”（菠萝）和 “Water Makara”（水摩伽罗）的威胁团伙，它们通过钓鱼邮件传播该恶意软件。 最新的攻击链流程与此类似：同样以 “DocuSign（电子签名平台）” 为主题的钓鱼邮件为起点，邮件中包含一个链接，点击后会下载一个压缩的 Windows 快捷方式（.lnk 文件）；打开该文件后，阿斯塔罗斯木马便会安装到受感染的主机中。 该.lnk 文件内嵌经过混淆处理的 JavaScript 代码，其作用是从外部服务器获取额外的 JavaScript 脚本。而新获取的 JavaScript 代码则会从多个预先硬编码的服务器中随机选择一个，下载多个文件。 这其中包括一个 AutoIt 脚本，该脚本由 JavaScript 有效载荷执行；随后脚本会加载并运行一段外壳代码，这段外壳代码再加载一个基于 Delphi 语言编写的动态链接库，最终解密 Astaroth恶意软件，并将其注入到新创建的 “RegSvc.exe” 进程中。 Astaroth是一款基于 Delphi 语言开发的恶意软件，其设计目的是监控受害者访问的银行或加密货币网站，并通过键盘记录窃取用户凭据。捕获到的信息会通过 Ngrok 反向代理传输给攻击者。 该木马的具体运作方式为：每秒检查一次当前活跃的浏览器程序窗口，判断是否打开了与银行相关的网站。若满足上述条件，恶意软件便会 “挂钩”（hook）键盘事件，记录用户的按键操作。以下是部分被针对的网站： caixa.gov [.] br（巴西联邦储蓄银行官网） safra.com[.] br（巴西萨夫拉银行官网） itau.com[.] br（巴西伊塔乌联合银行官网） bancooriginal.com[.] br（巴西奥里金纳银行官网） santandernet.com[.] br（巴西桑坦德银行官网） btgpactual [.] com（巴西 BTG 百利宫投资银行官网） etherscan [.] io（以太坊区块链浏览器） binance [.] com（币安加密货币交易所） bitcointrade.com[.] br（巴西比特币交易平台） metamask [.] io（MetaMask 加密货币钱包） foxbit.com[.] br（巴西 Foxbit 加密货币交易所） localbitcoins [.] com（本地比特币交易平台） Astaroth还具备反分析能力：若检测到模拟器、调试器及各类分析工具（如 QEMU 客户机代理、HookExplorer 调试工具、IDA Pro 反编译工具、ImmunityDebugger 调试器、PE Tools 可执行文件分析工具、WinDbg 调试器、Wireshark 抓包工具等），便会自动停止运行。 该恶意软件通过在 Windows “启动” 文件夹中放置一个.lnk 文件来实现主机持久化 —— 系统重启时，该.lnk 文件会运行 AutoIt 脚本，自动启动恶意软件。此外，不仅.lnk 文件中 JavaScript 访问的初始 URL 设有地理围栏（仅特定地区可访问），恶意软件还会检查目标设备的系统区域设置，确保其不为英语或美国区域。 迈克菲指出：“当 C2 服务器无法访问时，Astaroth会利用 GitHub 更新配置 —— 它将配置信息隐藏在 GitHub 上托管的图片中，通过隐写术实现‘明处藏秘’。” 通过这种方式，恶意软件借助合法平台（GitHub）托管配置文件，并在主 C2 服务器失效时，将其转化为具备抗打击能力的备用基础设施。迈克菲表示，已与微软旗下的 GitHub 合作移除了相关仓库，暂时遏制了该恶意软件的运营活动。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文