HackerNews

HackerNews 编译，转载请注明出处： Discord（知名社交平台）表示，不会向声称窃取了该公司 Zendesk 客服系统数据的威胁行为者支付赎金。黑客称此次泄露涉及 550 万独立用户的信息，其中包括部分用户的政府身份证件（如身份证、护照等）及不全的支付信息。 对于黑客 “泄露 210 万张政府身份证件照片” 的说法，Discord 同样予以驳斥，称实际仅有约 7 万名用户的政府身份证件照片可能被曝光。 尽管黑客声称泄露是通过 Discord 的 Zendesk 客服系统发生的，但 Discord 并未证实这一说法，仅表示事件与一款用于客户支持的第三方服务有关。 Discord 官方回应：未自身遭入侵，数据量说法不实 Discord 在给 BleepingComputer（科技媒体）的声明中表示：“首先，正如我们在博客文章中所提及的，此次事件并非 Discord 自身系统遭入侵，而是我们用于辅助客户服务的第三方服务出现问题。 其次，目前流传的数据规模说法均不准确，这些说法是黑客试图向 Discord 勒索赎金的手段之一。在全球范围内受影响的账户中，我们已确认约 7 万名用户的政府身份证件照片可能被曝光 —— 这些照片是我们的服务商此前用于审核年龄相关申诉时留存的。 第三，我们不会为这些人的非法行为提供任何‘奖励’（即支付赎金）。” 黑客自述：通过外包客服账户入侵，窃取 1.6TB 数据 BleepingComputer 与黑客沟通后了解到，对方认为 Discord 未如实披露此次泄露的严重性，并声称从 Discord 的 Zendesk 系统中窃取了 1.6 太字节（TB）的数据。 据威胁行为者称，他们自 2025 年 9 月 20 日起，持续访问 Discord 的 Zendesk 系统长达 58 小时。但黑客表示，此次入侵并非源于 Zendesk 自身的漏洞或安全 breach，而是通过一个 “外包客服账户” 实现的 —— 该账户归属 Discord 合作的业务流程外包（BPO）服务商旗下的一名客服人员，且该账户已被黑客控制。 如今，许多企业会将客服及 IT 帮助台业务外包给 BPO 服务商，这类外包账户已成为黑客的热门攻击目标，攻击者可通过其获取下游客户环境的访问权限。 黑客还声称，通过 Discord 内部的 Zendesk 系统，他们得以访问一款名为 “Zenbar” 的客服应用。借助该应用，黑客可执行多种客服相关操作，例如关闭用户的双重认证（MFA）、查询用户的手机号及邮箱地址等。 攻击者表示，通过入侵 Discord 的客服平台，他们窃取了 1.6TB 的数据，其中包括约 1.5TB 的工单附件（如用户提交的申诉材料）和超过 100GB 的工单对话记录（客服与用户的沟通内容）。 黑客称，这些数据涉及约 840 万条客服工单，覆盖 550 万独立用户，其中约 58 万名用户的信息中包含某种形式的支付数据。 不过，威胁行为者也向 BleepingComputer 承认，他们无法确定政府身份证件的具体泄露数量，但认为远不止 Discord 所说的 7 万份 —— 因为仅涉及 “年龄验证” 的工单就有约 52.1 万条（这类工单通常需用户提交身份证件）。 泄露数据样本含多类敏感信息，支付数据或通过系统集成获取 黑客还分享了部分窃取的用户数据样本，内容涵盖多种敏感信息，包括：用户邮箱地址、Discord 用户名及 ID、手机号、不全的支付信息（如部分银行卡号）、出生日期、双重认证相关配置信息、账户可疑活动等级，以及其他 Discord 内部标注的用户信息。 黑客称，部分用户的支付信息可通过 Zendesk 与 Discord 内部系统的集成功能获取。据其描述，这些集成功能使得攻击者能通过 Zendesk 平台，向 Discord 内部数据库发起数百万次 API 查询，进而获取更多用户数据。 目前，BleepingComputer 尚未能独立核实黑客的说法，也无法确认所提供数据样本的真实性。 勒索谈判破裂，黑客威胁公开泄露数据 黑客透露，该团伙最初向 Discord 索要 500 万美元赎金，后降至 350 万美元，并在 9 月 25 日至 10 月 2 日期间与 Discord 进行了私下谈判。 在 Discord 终止沟通并就此事发布公开声明后，黑客表示 “极度愤怒”，并威胁称若赎金要求得不到满足，将公开泄露所有窃取的数据。 BleepingComputer 就黑客的说法向 Discord 提出了进一步疑问（例如 “为何在完成年龄验证后仍留存用户的政府身份证件”），但除上述声明外，未获得更多回应。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将 Synacor Zimbra 协作套件（ZCS）的一个漏洞（漏洞编号：CVE-2025-27915）添加至其已知被利用漏洞（KEV）目录中。 CVE-2025-27915 是 Zimbra 协作套件（9.0-10.1 版本）中存在的一种存储型跨站脚本（XSS）漏洞，由 ICS 文件中 HTML 过滤不充分所致。当受害者打开包含恶意 ICS 条目（日历数据交换格式）的电子邮件时，JavaScript 代码会通过<ontoggle>事件执行，攻击者借此可劫持会话、设置邮件重定向并窃取数据。 StrikeReady 公司的研究人员发现，威胁行为者利用恶意 iCalendar（.ICS）文件，通过零日攻击（指漏洞未被公开且无补丁修复时发起的攻击） exploiting 了 Zimbra 协作套件中的 CVE-2025-27915 漏洞。ICS 文件原本用于共享日历数据，而在今年早些时候，该文件被恶意利用以向目标系统植入 JavaScript 有效负载。 StrikeReady 发布的报告指出：“2025 年初，一个显示来自 193.29.58.37 的发送方伪造利比亚海军礼宾办公室的身份，向巴西军方发起攻击，利用的正是 Zimbra 协作套件中的零日漏洞 CVE-2025-27915。此次攻击借助了恶意 ICS 文件，这是一种常用的日历格式文件。” 美国网络安全与基础设施安全局：Zimbra 零日攻击事件详情 研究人员在分析大小超过 10KB 且嵌入了混淆 JavaScript 代码的 ICS 文件时，发现了这些攻击行为。 该恶意脚本以 Zimbra 网页邮件系统为攻击目标，窃取用户凭证、电子邮件、联系人及共享文件夹等信息，并将数据泄露至ffrk.net网站。此脚本采用多种规避检测技术：恶意代码延迟 60 秒执行、活动时间限制为 3 天、隐藏用户界面痕迹，且会强制闲置用户登出以窃取数据。研究人员还发现，该脚本通过多个立即调用函数表达式（IIFEs）实现异步运行。 以下是该恶意软件具备的功能： 注入隐藏表单字段，在无可见界面提示的情况下捕获用户名和密码； 窃取在认证表单中输入的凭证信息； 跟踪输入操作（鼠标 / 键盘），若用户处于闲置状态，则终止会话以实施数据窃取； 调用 Zimbra SOAP 接口枚举文件夹并提取电子邮件； 定期（约每 4 小时）将捕获的邮件内容上传至攻击者服务器； 创建名为 “Correo” 的邮件转发规则，将邮件重定向至某个质子邮箱（ProtonMail）地址； 收集认证相关数据及备份令牌并发送给攻击者； 提取通讯录、通讯组列表及共享文件夹中的内容； 注入后延迟 60 秒释放有效负载，以规避快速检测； 限制全功能活动时长为 3 天，之后需进入冷却期； 隐藏或移除界面元素，最大限度减少入侵痕迹； 以多个独立代码块异步运行，拆分执行流程以增加分析难度。 StrikeReady 尚未确定此次攻击的具体实施组织，但指出仅有少数资源充足的行为体具备发起零日攻击的能力。研究人员发现，此次攻击所采用的战术、技术与程序（TTPs，网络攻击领域常用术语，指攻击方的行动模式）与白俄罗斯 APT 组织 UNC1151 的攻击手法存在相似之处。 根据《第 22-01 号具有约束力的行动指令：降低已知被利用漏洞的重大风险》（BOD 22-01）的要求，美国联邦民事执行部门（FCEB）所属机构必须在截止日期前修复已发现的漏洞，以防范利用目录中所列漏洞发起的攻击。专家还建议私营机构核查该漏洞目录，并及时修复自身基础设施中存在的相关漏洞。 美国网络安全与基础设施安全局要求联邦机构于 2025 年 10 月 28 日前完成该漏洞的修复工作。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大的两大游戏平台 ——Steam 与Riot Games出现大范围故障，相关报告已在故障监测平台 Downdetector 上大量涌现。玩家反映，无法正常运行《反恐精英》（Counter-Strike）、《DOTA2》、《无畏契约》（Valorant）、《英雄联盟》（League of Legends）等热门游戏。 故障报告于美国东部时间 10 月 6 日晚 8 点左右开始激增，数千名用户反馈出现服务器断连问题。此后，这类短暂的服务中断已反复发生多次。 Riot Games的官方状态页面已确认，当前存在严重的游戏断连问题，影响覆盖 Windows、macOS、iOS、Android 等所有主流平台的玩家。该页面发布的预警信息显示：“我们已注意到导致玩家从游戏中断连的问题，目前已关闭排位赛队列，正在全力调查原因。” 故障范围扩散，非游戏平台亦受波及 此次故障似乎还影响了其他主流平台，其中不乏非游戏类服务。平台收到的故障报告数量远超往常，涉及 PlayStation 网络（PlayStation Network）、Epic Games（ Epic 游戏平台）、Hulu（视频流媒体平台）、亚马逊云服务（AWS）、Xfinity（康卡斯特通信公司）、Cox（考克斯通信公司）等多家服务商。 有用户在社交平台发文称：“网络彻底乱了：Steam 崩了、Epic Games 崩了、AWS 崩了、Cloudflare（云 flare 网络服务公司）也不稳定了。如果你在不停刷新页面，别担心，不止你一个人这样。” 疑似大规模 DDoS 攻击，流量创历史纪录 尽管官方尚未正式确认，但多位网络安全专家认为，此次服务中断是由大规模 DDoS 攻击导致，而发起者疑似当前规模最大的僵尸网络 “Aisuru”。 Reddit 平台上援引了某网络安全防御人员的预警内容：“攻击者发起了一系列复杂的 TCP‘地毯式轰炸’攻击，这类攻击会尽可能模仿合法流量特征。这是我们见过的技术最先进的攻击向量之一，我们已迅速研发补丁并在全球范围推送。” 网络犯罪新闻记者 vxdb 在 X 平台（原 Twitter）报道称，此次 DDoS 攻击疑似源自 “Aisuru” 僵尸网络，其产生的流量已打破所有此前纪录 —— 带宽峰值达到 29.69 太比特 / 秒（Tbps）。 此前的 DDoS 攻击流量纪录为 22.2 太比特 / 秒，该纪录由 2025 年 9 月 23 日 Cloudflare 公司拦截的一次攻击创下，当时其流量规模已是此前全球已知攻击的两倍。 “Aisuru” 僵尸网络背景：规模持续扩张，攻击范围覆盖全球 “Aisuru” 僵尸网络由 XLab 研究人员于 2024 年 8 月首次发现，此后规模不断扩大，并多次打破攻击流量纪录。2025 年 5 月，该僵尸网络曾以 6.3 太比特 / 秒的速率攻击网络安全博客 “KrebsOnSecurity”；同年 9 月，其攻击流量峰值进一步攀升至 11.5 太比特 / 秒。 据 XLab 介绍，这个超大型僵尸网络通过入侵存在漏洞的联网设备进行扩散，受影响设备包括 A-MTK 摄像头、D-Link 路由器、Linksys 路由器、网关设备、数字录像机（DVR）等。最新估算数据显示，该僵尸网络已控制约 30 万个节点（即被入侵的设备）。 研究人员还指出，“Aisuru” 的操控者组织性极强，会采用先进技术规避检测、维持对受感染设备的控制，同时还试图传播特定意识形态内容。 XLab 警告称：“‘Aisuru’僵尸网络已在全球范围内发起攻击，覆盖多个行业。其主要攻击目标集中在中国、美国、德国、英国、中国香港等国家和地区。这些攻击没有明显的选择性，每天都会波及数百个目标。” 此外，这一大型网络犯罪基础设施目前似乎还被用于提供代理服务。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯正采取措施，暂时限制外国 SIM 卡接入移动网络。这是俄罗斯在国家安全和反无人机措施的名义下，加强通信管控的最新举措。 新规要求，持外国 SIM 卡入境俄罗斯的人员，其移动网络将被强制中断 24 小时。邻国白俄罗斯和哈萨克斯坦的移动运营商已向旅客发出提醒：接入俄罗斯通信网络后的首 24 小时内，包括移动互联网和短信在内的漫游服务将无法使用。 据俄罗斯本土网络监测机构 “Na Svyazi”表示，每当用户跨越俄国内区域边境或切换至不同通信网络时，上述限制就会重新生效。这意味着在俄罗斯境内旅行期间，用户的通信连接可能持续处于不稳定状态。 俄罗斯政府尚未就该措施公开置评。不过在今年 8 月，俄官员曾提议对外国 SIM 卡设置所谓的 “冷却期”，即用户入境后移动数据服务将暂时停用。他们称，这项规定对于防止无人机通过外国移动网络被操控至关重要，并表示断网时长的设定依据是 “跨境无人机的平均飞行时间”。 如今，获取俄罗斯本地 SIM 卡也变得愈发困难。外国游客需前往银行提交生物特征数据，通过俄罗斯政府 “国家政务服务”（Gosuslugi）平台完成注册，并申请个人税号 —— 整个流程可能需要数天时间。据悉，移动运营商已请求政府简化这一手续。 此次新限制出台之际，俄罗斯正经历一波范围更广的网络中断。自今年 5 月以来，俄地方当局多次切断移动网络，理由是需要 “对抗乌克兰无人机”。官员们还封锁了通过 Telegram、WhatsApp 等热门即时通讯应用发起的通话，并将此举定性为 “反欺诈行动” 的一部分。 数字权益组织及监督机构指出，许多网络中断措施看似具有随意性，与实际安全威胁并无关联。分析人士认为，部分地方当局关闭移动网络，仅仅是为了向克里姆林宫表明 “正在采取反无人机行动”—— 尽管无人机的操控通常并不依赖移动数据。 “Na Svyazi” 的数据显示，仅今年 8 月，俄罗斯就记录了 2129 次网络中断事件，这是自对乌克兰发起全面军事行动以来的最高纪录，造成的经济损失估计达 3.23 亿美元。多数中断为局部性，仅影响部分城市区域，但也有部分中断导致整座城镇的移动网络陷入瘫痪。 官员们以 “安全关切”“无人机威胁” 和 “高度戒备状态” 为由，为这些限制措施辩护。但 “Na Svyazi” 指出，法律专家认为此类措施并未获得联邦法律的明确授权：俄联邦法律仅允许在战时状态、紧急状态或根据俄联邦安全局（FSB）直接指令的情况下限制通信 —— 而目前这三种情况均未正式宣布。 当地专家表示，针对外国 SIM 卡的最新限制措施，预计将给旅客、外籍居民及跨境企业带来极大不便，因为用户可能无法使用依赖短信验证的移动银行服务及身份认证服务。 电信行业分析师埃尔达尔・穆尔塔津（Eldar Murtazin）撰文称：“现在，外国 SIM 卡在俄罗斯的漫游服务基本可以指望不上了，至少要等到无人机局势稳定 —— 而这一切何时能结束，根本无法预测。” 他还补充道，如此大规模的通信服务限制，在全球其他地区尚无先例。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家黑客组织声称入侵了以色列航天通信公司Spacecom，该公司运营着AMOS卫星（以色列军民两用静止轨道通信卫星）。攻击者称，已获取了该公司地面控制站的访问权限。 亲巴勒斯坦黑客组织Handala在其暗网博客上将Spacecom列为攻击目标，该组织常通过此博客展示其最新攻击对象。 攻击者声称，他们从Spacecom系统中获取了几百个GB 的数据，其中包括地面控制站的相关数据（地面控制站是卫星控制基础设施的核心组成部分）。 Spacecom运营着多颗AMOS卫星，通过这些卫星在中东、欧盟及其他地区提供民用和军用通信服务，该公司年收入约为 1 亿美元。 Handala组织称，此次获取的数据约379GB 数据，其中包含多个国家地面站的信息。该组织还额外发布了一篇帖子，据称曝光了太空通信公司员工的个人详细信息。 根据Cybernews研究团队消息，暗网上的截图包含Spacecom与客户签订的保密协议照片。这些协议主要涉及使用AMOS—17卫星进行通信服务的客户。研究人员表示，协议中包含服务套餐规格等内容，并非高度敏感信息。 研究人员解释道：“Handala组织附带了一个约 960MB 的压缩文件夹，其中包含 RINEX 观测与导航文件，这些文件看似仅是卫星运行日志，可用于实时监控卫星运行状态，但要发挥实际作用，还需配合其他敏感信息。” 该团队认为，这些信息主要可用于对该公司员工实施社会工程学攻击。 研究人员表示：“目前尚无充分证据表明他们确实掌握了可控制卫星的高度机密数据或敏感系统。尽管如此，太空通信公司应立即对可能遭攻击的系统进行漏洞修补。” 与此同时，Handala组织是一个支持德黑兰的黑客激进组织，其攻击目标主要为以色列及西方机构。与勒索软件团伙类似，该组织运营着一个暗网博客，用于发布窃取的数据。 今年早些时候，该组织曾攻击伊朗国际电视台。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国哈罗德百货公司通知客户，因第三方供应商问题发生数据泄露事件，部分客户的姓名及联系方式已泄露。 英国奢侈品百货公司哈罗德向客户发出警告，称其在线系统遭遇数据泄露。该公司证实，由于其合作的一家第三方供应商系统被入侵，部分电商客户的姓名和联系方式已泄露。目前，哈罗德百货正在调查此事件，并与网络安全专家合作以确保系统安全，避免客户数据面临进一步风险。 哈罗德百货在一份声明中表示：“我们从一家第三方供应商处获悉，部分哈罗德电商客户的个人数据已从其系统中被窃取。” “我们已告知受影响客户，此次泄露的个人数据仅限于基本个人身份信息，包括姓名和联系方式，但不包含账户密码及支付信息。”“第三方已确认这是一起已得到控制的孤立事件，我们正与他们密切合作，确保所有必要措施均已落实到位。我们已向所有相关部门通报了该事件。”该公司确认此次安全漏洞已得到缓解，并指出未发生财务数据泄露情况。 此次安全漏洞与 5 月的网络攻击事件无关。今年 5 月，这家奢侈品百货公司证实遭遇网络攻击，攻击者试图非法访问其部分系统。为应对此次攻击，该公司 “限制了旗下场所的互联网访问权限”。 今年 7 月，英国国家犯罪局（NCA）在对近期针对合作社集团、玛莎百货及哈罗德百货的系列攻击事件展开调查后，在英国境内逮捕了 4 名涉案人员。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个包含近10,000名科罗拉多州美国全国步枪协会（National Rifle Association of America,NRA）支持者姓名和家庭住址的邮件列表被意外发布到网上，导致敏感数据暴露给任何在谷歌上搜索的人。 “NRA之友”是一个支持射击运动和枪支教育项目的非营利组织。它主要是美国全国步枪协会基金会的一个筹款项目。 Cybernews 收到一位读者的消息，该读者称其在谷歌上搜索一位朋友时，发现”NRA之友”意外地在自己的网站上发布了一个1.1MB的包含姓名和家庭住址的邮件列表，并且该列表已被搜索引擎收录。 Cybernews 的研究人员调查了这一说法，发现该数据集很可能来自2018年。该列表包含了近10,000名在 friendsofnra.org 网站上注册参加抽奖和服务的科罗拉多州客户的联系数据。此次泄露很可能是由于疏忽和人为错误造成的，因为此类配置错误非常普遍。 Cybernews 的研究人员表示：”这次数据泄露的影响有限，因为只涉及姓名和家庭住址。”，”此外，这些数据是七年前的，可能已经不再是最新的了。尽管如此，泄露此类数据可能会导致跟踪和骚扰。” Cybernews 已联系该组织，但尚未收到回复。 2021年，与俄罗斯有关联的、臭名昭著的 Evil Corp 的子公司 Grief，曾针对有争议的游说团体美国全国步枪协会。NRA当时未承认有任何违规行为，声称其不讨论电子安全事宜。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，思科（Cisco）与网络安全机构就一场攻击活动发出警报：某 “高级威胁行为者” 正利用此前未被发现的思科高危漏洞发起持续攻击。借助这些漏洞，攻击者可实现权限提升，并以 “根用户（root）” 身份在防火墙设备上执行远程代码。 网络安全搜索引擎 Censys警告称，其检测到 192,038 台可通过互联网访问的思科路由器与交换机（运行 IOS 或 IOS XE 系统）暴露在外，且这些设备均启用了 SNMP（简单网络管理协议，Simple Network Management Protocol）服务。 Censys 在安全公告中表示：“我们建议立即排查所有启用 SNMP 服务的设备，确认其是否已安装补丁或采取缓解措施。鉴于该漏洞的高危属性及当前正被利用的现状，相关处置工作需紧急推进。” 上周，思科披露了其产品线中存在的多个高危漏洞，涉及 SNMP 服务及思科安全防火墙产品（包括自适应安全设备 Adaptive Security Appliance、思科安全防火墙威胁防御系统 Cisco Secure Firewall Threat Defense 等软件）。 SNMP 协议主要用于设备的远程管理与监控。此次发现的漏洞可被已通过远程认证的攻击者滥用：根据攻击者拥有的权限不同，其可通过漏洞导致设备 “拒绝服务（DoS）”，或直接以根用户身份执行远程代码。 尽管思科防火墙中的漏洞风险等级更高，但暴露在外的 SNMP 服务可通过外部扫描轻易被发现 —— 攻击者也能借助物联网（IoT）搜索引擎，轻松定位到这些暴露的服务。 此次特定的 SNMP 漏洞影响范围包括未打补丁的思科 IOS 及 IOS XE 软件，涉及的硬件设备包括思科 Catalyst 9300 系列交换机与 Meraki MS390 交换机。且该漏洞对所有旧版本的 SNMP 协议均存在影响。 美国网络安全与基础设施安全局（CISA）上周发布指令，强制要求各政府机构在24 小时内为相关设备安装补丁。 CISA 上周指出：“此次攻击活动波及范围广泛，给目标网络带来重大风险。” 目前，思科已发布紧急软件更新以修复上述漏洞，且暂无其他可替代的临时缓解方案（即除安装官方补丁外，无其他办法规避漏洞风险）。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软正提请关注一场新的钓鱼攻击活动，该活动主要针对美国境内机构，且疑似利用大型语言模型（LLM）生成代码，对攻击载荷进行混淆处理，以绕过安全防护机制。 微软威胁情报团队在上周发布的分析报告中指出：“该攻击活动疑似借助大型语言模型（LLM），将恶意行为隐藏在 SVG 文件中，并利用商业术语和合成结构掩盖其恶意意图。” 这场于 2025 年 8 月 28 日被检测到的攻击活动表明，威胁行为者正越来越多地将人工智能（AI）工具纳入其攻击流程，目的通常包括制作更具欺骗性的钓鱼诱饵、自动完成恶意软件混淆，以及生成模仿合法内容的代码。 据微软（这家 Windows 操作系统开发商）记录的攻击链显示，威胁行为者利用已被入侵的企业邮箱账户发送钓鱼邮件，以窃取受害者凭证。这些邮件伪装成 “文件共享通知”，诱骗受害者打开看似 PDF 文档的文件 —— 但实际上，该文件是可缩放矢量图形（Scalable Vector Graphics，简称 SVG）文件。 此类邮件的一大特点是攻击者采用 “自发送” 策略：发件人与收件人地址一致，而真正的攻击目标则隐藏在密送（BCC）字段中，以此绕过基础检测规则。 微软表示：“SVG 文件（可缩放矢量图形）对攻击者极具吸引力，原因在于其基于文本且支持脚本编写，可直接在文件内嵌入 JavaScript 及其他动态内容。这使得攻击者能够交付看似无害的交互式钓鱼载荷，无论对用户还是多数安全工具而言，都难以识别其恶意本质。” 微软进一步补充，SVG 文件格式还支持 “隐藏元素”“编码属性”“延迟脚本执行” 等特性，这些功能使其成为攻击者规避静态分析与沙箱检测的理想选择。 SVG 文件一旦被打开，会将用户重定向至一个要求完成 “验证码（CAPTCHA）安全验证” 的页面。受害者完成验证后，通常会被引导至伪造的登录页面，其凭证随之被窃取。微软称，由于该威胁已被其系统识别并中和，目前尚不清楚后续具体攻击步骤。 此次攻击的独特之处在于其非常规的混淆手段：利用商业相关术语隐藏 SVG 文件中的钓鱼内容 —— 这一特征表明，相关代码可能由 LLM 生成。 微软解释道：“首先，SVG 代码的开头被构造成看似合法的‘企业分析仪表盘’样式。这种设计旨在误导任何随意检查文件的人，让他们误以为该 SVG 的唯一用途是可视化展示业务数据。但实际上，这只是一个伪装。” 其次，攻击载荷的核心功能（包括将用户重定向至初始钓鱼落地页、触发浏览器指纹识别、启动会话跟踪）也被一串冗长的商业相关术语（如 “收入”“运营”“风险”“季度”“增长”“份额” 等）所掩盖。 微软表示，其已将相关代码在 Security Copilot（微软安全副驾驶）中进行分析，结果显示该程序 “并非人类通常会从零编写的代码 —— 因其复杂度高、冗余度大，且缺乏实际应用价值”。微软得出这一结论的依据包括以下几点： 函数与变量的命名过于描述性且冗余 代码结构高度模块化但过度设计 注释内容通用且冗长 利用商业术语实现混淆的方法具有公式化特征 SVG 文件中包含 CDATA 段与 XML 声明，疑似为模仿文档示例而添加 微软指出：“尽管此次攻击活动影响范围有限且已被有效拦截，但各类威胁行为者正越来越多地采用类似技术。” 与此同时，Forcepoint（网络安全公司）也披露了一起多阶段攻击事件：攻击者通过含.XLAM 附件的钓鱼邮件执行 shellcode（壳代码），最终通过二级载荷部署 XWorm 远程访问木马（RAT）；同时，攻击者会显示空白或损坏的 Office 文件作为伪装。其中，二级载荷的作用是作为 “通道”，在内存中加载.DLL 文件。 Forcepoint 表示：“在内存中运行的二级.DLL 文件采用了高度混淆的打包与加密技术。该二级.DLL 文件通过‘反射式 DLL 注入’技术，在内存中再次加载另一个.DLL 文件，而后者最终负责执行恶意软件。” “后续的最终步骤是在其自身主可执行文件中进行‘进程注入’，以维持持久化控制，并将数据窃取至其命令与控制（C2）服务器。经核查，这些接收窃取数据的 C2 服务器与 XWorm 家族恶意软件相关。” 此外，Cofense（邮件安全公司）称，近几周的钓鱼攻击还利用 “美国社会保障局”“版权侵权” 等相关诱饵，分别分发 ScreenConnect ConnectWise（远程控制工具，常被用于后续攻击）及 Lone None Stealer、PureLogs Stealer 等信息窃取恶意软件。 针对 “版权侵权” 主题的钓鱼攻击，Cofense 表示：“攻击者通常伪装成多家律师事务所，声称要求受害者移除其网站或社交媒体页面上的侵权内容。该攻击活动的显著特点在于其创新手段：利用 Telegram 机器人资料页交付初始载荷、使用混淆处理的编译型 Python 脚本载荷，且通过多版攻击样本可看出其复杂度正不断升级。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了据称是全球首例在实际环境中被检测到的恶意模型上下文协议（Model Context Protocol，简称 MCP）服务器，这一发现加剧了软件供应链面临的风险。 据 Koi 安全公司透露，一名伪装成合法开发者的人员，在一个名为 “postmark-mcp” 的 npm 包中植入了恶意代码。该恶意包与 Postmark Labs 官方同名库高度相似，其恶意功能从 2025 年 9 月 17 日发布的 1.0.16 版本开始植入。 而 GitHub 上的正版 “postmark-mcp” 库，其功能是提供一个 MCP 服务器，供用户发送电子邮件、获取并使用电子邮件模板，以及通过人工智能（AI）助手跟踪营销活动。 涉事的 npm 包已被开发者 “phanpak” 从 npm 平台删除。该开发者于 2025 年 9 月 15 日将该包上传至 npm 仓库，此外还维护着其他 31 个包。这个 JavaScript 库在被删除前，累计被下载了 1643 次。 Koi 安全公司首席技术官伊丹・达迪克曼（Idan Dardikman）表示：“自 1.0.16 版本起，这个包就一直在暗中将每封电子邮件复制到开发者的私人服务器上。这是全球首次发现现实环境中的恶意 MCP 服务器。终端供应链攻击的攻击面正逐渐成为企业面临的最大攻击面。” 该恶意包是对正版库的仿制品，唯一区别是在 1.0.16 版本中添加了一行代码 —— 这行代码会通过 “密送（BCC）” 方式，将所有通过该 MCP 服务器发送的电子邮件转发至邮箱地址 “phan@giftshop [.] club”，这一行为可能导致敏感通信内容泄露。 达迪克曼指出：“postmark-mcp 中的后门并不复杂，甚至简单到令人尴尬。但它完美地证明了整个生态体系的漏洞有多严重：一名开发者、一行代码，就能导致成千上万封邮件被窃取。” 研究人员建议已安装该 npm 包的开发者，立即从工作流程中移除该包，更换所有可能通过电子邮件泄露的凭证，并检查电子邮件日志，确认是否存在向上述域名发送密送邮件的记录。 Snyk 公司（注：知名应用安全公司）表示：“MCP 服务器通常在代理工具链中拥有较高信任度和广泛权限。因此，它们处理的所有数据都可能具有敏感性，例如密码重置邮件、发票、客户沟通记录、内部备忘录等。在本次事件中，这个 MCP 服务器中的后门被设计用于收集并窃取依赖该 MCP 服务器的智能代理工作流（agentic workflows）所产生的电子邮件。” 此次事件表明，威胁 actors（注：指从事网络攻击等恶意活动的个人或组织）仍在利用开源生态系统以及新兴的 MCP 生态系统中的用户信任谋取私利，尤其当这些系统在缺乏足够安全防护措施的情况下，被部署到企业关键业务环境中时，风险更为突出。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周五，国际刑警组织宣布，其协助组织的7、8月打击跨国网络犯罪专项行动取得重大成果。 非洲14个国家同步收网，累计抓获260名涉嫌网恋诈骗与敲诈勒索的犯罪嫌疑人。警方核实此类诈骗累计波及超1400名受害者，总损失金额接近280万美元。 国际刑警组织拥有196个成员国，是全球规模最大、致力于打击跨国犯罪的国际警务网络。其总部位于法国里昂，主要职能包括协助各国警方开展沟通协作，在反恐、金融犯罪、儿童色情、网络犯罪、有组织犯罪等领域追踪嫌疑人和犯罪分子。近年来，国际刑警组织面临诸多新挑战，包括网络犯罪与儿童性虐待案件数量持续增加。 此次行动中，多个非洲国家的抓捕细节与作案特点被公开。 加纳：警方逮捕了 68名嫌疑人，他们涉嫌使用虚假身份诱骗受害者支付虚假的运输费用，或通过秘密录制的裸露视频进行勒索。 塞内加尔：警方逮捕了 22名嫌疑人，他们冒充社交媒体和交友平台上的名人，诈骗了 100多人，涉案金额约 3.4万美元。 科特迪瓦：警方逮捕了 24名嫌疑人，他们被指控利用虚假账号获取并用亲密影像勒索受害者。   国际刑警组织警务服务代理执行主任西里尔・古特（CyrilGout）在声明中指出：“非洲各国网络犯罪部门的报告显示，‘性勒索’、‘网恋诈骗’这类依托数字平台的犯罪，正以惊人速度增长。” 他进一步分析，随着社交软件、交友平台的普及，犯罪集团找到了新的剥削切口。利用人们对情感的需求，通过虚拟身份编织陷阱，最终造成受害者经济损失，给他们带来心理伤害，甚至引发极端事件。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发现一场新的钓鱼攻击活动，攻击者伪装成乌克兰政府机构，通过钓鱼邮件分发 CountLoader 恶意程序，进而植入 Amatera Stealer（窃取程序）与 PureMiner（挖矿程序）。 “钓鱼邮件中包含恶意可缩放矢量图形（SVG）文件，目的是诱骗收件人打开有害附件。”Fortinet 公司 FortiGuard 实验室研究员 Yurren Wan 在一份提交给《The Hacker News》的报告中表示。 根据该网络安全公司记录的攻击链，SVG 文件会触发下载一个受密码保护的 ZIP 压缩包，包内包含一个编译型 HTML 帮助文件（CHM 文件）。运行该 CHM 文件后，会触发一系列操作，最终部署 CountLoader 恶意程序。而钓鱼邮件则谎称是 “乌克兰国家警察局” 发出的通知。 CountLoader 此前已被安全公司 Silent Push 分析过，当时发现它可植入多种恶意载荷（如 Cobalt Strike、AdaptixC2、PureHVNC 远程访问木马（RAT））。但在本次攻击链中，它被用作 “分发载体”，专门传播 Amatera Stealer（ACRStealer 的变种，一款信息窃取程序）与 PureMiner（一款隐蔽的.NET cryptocurrency 挖矿程序）。 PureCoder 威胁 actor 的恶意软件套件 值得注意的是，PureHVNC RAT 与 PureMiner 均来自一个名为PureCoder的威胁 actor 开发的恶意软件套件。该开发者还开发了以下多款恶意工具： PureCrypter：针对原生程序（Native）与.NET 程序的加密工具，用于隐藏恶意代码以躲避检测； PureRAT（又称 ResolverRAT）：PureHVNC RAT 的升级版，功能更完善的远程访问木马； PureLogs：兼具信息窃取与日志记录功能的恶意程序； BlueLoader：可作为僵尸网络（botnet）的恶意软件，能远程下载并执行其他恶意载荷； PureClipper：剪贴板劫持恶意程序，会将用户复制的 cryptocurrency 钱包地址替换为攻击者控制的地址，从而窃取转账资金。 根据 Fortinet 的研究，Amatera Stealer 与 PureMiner 均以 “无文件（fileless）威胁” 形式部署 —— 这类恶意软件不依赖本地文件存储，而是通过两种方式执行： 借助.NET 提前编译（AOT）技术，结合 “进程注入（process hollowing）” 技术执行； 通过 PythonMemoryModule 工具直接加载到内存中运行。 Amatera Stealer 运行后会执行以下操作： 收集受感染设备的系统信息； 搜索并窃取符合 “预定义扩展名列表” 的文件； 从基于 Chromium 内核（如 Chrome、Edge）与 Gecko 内核（如 Firefox）的浏览器中窃取数据； 窃取多款应用程序的敏感信息，包括 Steam 游戏平台、Telegram 即时通讯软件、FileZilla FTP 工具，以及各类 cryptocurrency 钱包。 Fortinet 指出：“此次钓鱼活动表明，恶意 SVG 文件可作为 HTML 文件的替代品，触发完整的感染链。” 在本次攻击中，攻击者以乌克兰政府机构为目标，发送包含 SVG 附件的钓鱼邮件，而 SVG 文件中嵌入的 HTML 代码会将受害者重定向至恶意下载站点。 另一波传播 PureRAT 的钓鱼活动 与此同时，安全公司 Huntress 还发现一个疑似以越南语为母语的威胁团伙，正通过 “版权侵权通知” 主题的钓鱼邮件实施攻击：诱骗收件人打开 ZIP 压缩包，进而部署 PXA Stealer；随后 PXA Stealer 会启动多层感染流程，最终植入 PureRAT。 安全研究员 James Northey 分析称：“该攻击活动呈现出清晰且有预谋的递进逻辑 —— 从简单的钓鱼诱饵开始，逐步升级为内存加载器、防御规避技术、凭证窃取，最终达成目标。作为攻击终点的 PureRAT，是一款模块化、专业化开发的后门程序，能让攻击者完全控制受攻陷的主机。” “该团伙的技术演进也值得关注：从最初对 Python 恶意载荷的‘业余级混淆’，到如今滥用 PureRAT 这类成熟的商品化恶意软件，这不仅体现了他们的持续活跃，更标志着其已成为一个‘严肃且不断成熟’的攻击组织。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对 SonicWall SSL VPN 设备的 Akira 勒索软件攻击持续演变，研究人员发现，即便账户已启用一次性密码（OTP）多因素认证（MFA），威胁攻击者仍能成功登录。研究人员推测，这可能是通过使用此前窃取的 OTP 种子实现的，但具体方法尚未得到证实。 今年 7 月，BleepingComputer 曾报道，Akira 勒索软件团伙正利用 SonicWall SSL VPN 设备入侵企业网络，研究人员当时怀疑攻击者是通过某零日漏洞攻陷这些设备的。 然而，SonicWall 最终将这些攻击归因于一个名为CVE-2024-40766的 “不当访问控制漏洞”—— 该漏洞已于 2024 年 9 月披露。 尽管该漏洞在 2024 年 8 月已推出补丁，但即便设备安装了安全更新，威胁攻击者仍在使用此前从受攻陷设备中窃取的凭证（账号密码等）发起攻击。 在确认攻击与利用 CVE-2024-40766 窃取的凭证相关后，SonicWall 紧急建议管理员：重置所有 SSL VPN 凭证，并确保设备安装了最新版 SonicOS 固件。 最新研究：MFA 认证被绕过 网络安全公司 Arctic Wolf 最新报告显示，其观测到一场针对 SonicWall 防火墙的持续攻击活动 —— 即便账户启用了 “一次性密码（OTP）多因素认证”，威胁攻击者仍能成功登录。 报告指出，针对同一账户的登录尝试曾触发多次 OTP 验证请求，最终却均成功登录。这表明，攻击者可能还攻陷了 OTP 种子，或找到了生成有效令牌的其他方法。 Arctic Wolf 解释道：“SonicWall 将此次攻击活动中观测到的恶意登录归因于 CVE-2024-40766—— 这是一个一年前就已被识别的不当访问控制漏洞。” “从这个角度看，攻击者可能从受 CVE-2024-40766 漏洞影响的设备中窃取了凭证，即便这些设备后续安装了补丁，攻击者仍会使用这些凭证。在当前这场攻击活动中，他们成功通过了‘已启用 OTP 多因素认证’的账户验证。” 尽管研究人员尚不清楚 Akira 关联团伙如何绕过 MFA 保护登录账户，但谷歌威胁情报团队（Google Threat Intelligence Group）在今年 7 月发布的一份报告中，曾描述过类似的 SonicWall VPN 滥用行为。 在该起攻击中，一个被标记为UNC6148的牟利型威胁团伙，通过使用 “疑似此前窃取的 OTP 种子”，在 SMA 100 系列设备上部署了 OVERSTEP rootkit（一种深度隐藏的恶意程序），即便设备安装了补丁，攻击者仍能获取访问权限。 谷歌认为，威胁攻击者利用的是 “此前通过零日攻击窃取的一次性密码（OTP）种子”，但暂未确定当时被利用的具体 CVE 漏洞。 谷歌警告称：“谷歌威胁情报团队（GTIG）已发现，一个被我们标记为 UNC6148 的疑似牟利型威胁团伙，正针对‘已安装补丁但已停止支持（end-of-life）’的 SonicWall 安全移动访问（SMA）100 系列设备发起持续攻击。” “GTIG 高度确信，UNC6148 团伙正利用此前入侵中窃取的凭证和一次性密码（OTP）种子 —— 即便企业已安装安全更新，该团伙仍能重新获取设备访问权限。” 攻击者入侵后的行为 Arctic Wolf 报告显示，Akira 团伙在入侵设备后行动极为迅速，通常会在5 分钟内开始扫描内部网络。研究人员还指出，攻击者还会采取以下行动： 发送 Impacket SMB 会话建立请求（一种用于网络渗透的工具组件）； 尝试远程桌面协议（RDP）登录； 使用 dsquery、SharpShares、BloodHound 等工具枚举 Active Directory（活动目录）对象（即收集企业内部网络的账号、设备、权限等关键信息）。 攻击者特别关注Veeam Backup & Replication 服务器（一款常用的数据备份与恢复软件），会在这类服务器上部署自定义 PowerShell 脚本，提取并解密存储的 MSSQL 和 PostgreSQL 数据库凭证，包括 DPAPI 密钥（Windows 系统用于加密敏感数据的密钥）。 为躲避安全软件检测，该团伙还实施了 “自带易受攻击驱动程序（Bring-Your-Own-Vulnerable-Driver, BYOVD）” 攻击 ：滥用微软官方的 consent.exe 可执行文件（用于系统权限确认的合法程序），侧载（sideload）恶意动态链接库（DLL），进而加载存在漏洞的驱动程序（如 rwdrv.sys、churchill_driver.sys）。 这些漏洞驱动程序被用于禁用终端防护进程，确保勒索软件加密程序能正常运行而不被拦截。 重要安全建议 报告强调，部分攻击影响的设备甚至运行着SonicOS 7.3.0 版本—— 这正是 SonicWall 此前建议管理员安装以抵御凭证攻击的 “推荐版本”。 因此，SonicWall 强烈建议管理员：对于所有曾使用过 “存在漏洞的旧版固件” 的设备，重置其所有 VPN 凭证。因为即便这些设备已更新到最新固件，攻击者仍可能利用此前窃取的账户获取企业网络的初始访问权限。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经发现，黑客正利用搜索引擎优化投毒与搜索引擎广告推广伪造的微软 Teams 安装程序，向 Windows 设备植入 Oyster 后门程序，借此获取企业网络的初始访问权限。 Oyster 恶意软件又称 Broomstick 和 CleanUpLoader，是一款于 2023 年年中首次出现的后门程序，此后与多起攻击活动相关联。该恶意软件能让攻击者远程访问受感染设备，执行命令、部署额外有效载荷（恶意代码）并传输文件。 Oyster 通常通过伪装成热门 IT 工具（如 PuTTY、WinSCP）的恶意广告活动传播。勒索软件团伙（如 Rhysida 团伙）也曾利用该恶意软件入侵企业网络。 伪造微软 Teams 安装程序传播恶意软件 网络安全公司 Blackpoint 的安全运营中心（SOC）发现，在一场新的恶意广告与 SEO 投毒攻击活动中，威胁攻击者推广了一个伪造网站 —— 当用户搜索 “Teams download（Teams 下载）” 时，该网站会出现在搜索结果中。 尽管这些广告和域名并未仿冒微软官方域名，但会引导用户进入 “teams-install [.] top” 网站 —— 该网站伪装成微软 Teams 的官方下载页面。点击页面中的下载链接，会下载一个名为 “MSTeamsSetup.exe” 的文件，而这与微软官方 Teams 安装程序的文件名完全一致。 这款恶意的 “MSTeamsSetup.exe” 文件（可在 VirusTotal 查询）还使用了来自 “4th State Oy” 和 “NRM NETWORK RISK MANAGEMENT INC” 两家公司的数字证书进行代码签名，以此增加文件的 “合法性”，降低用户警惕。 然而，当用户执行该伪造安装程序时，程序会将一个名为 “CaptureService.dll” 的恶意动态链接库（可在 VirusTotal 查询）植入系统的 “% APPDATA%\Roaming” 文件夹（用户漫游配置文件夹）。 为实现持久化控制（确保恶意软件在设备重启后仍能运行），该伪造安装程序会创建一个名为 “CaptureService” 的计划任务，每 11 分钟执行一次上述恶意 DLL，从而保证后门程序持续活跃。 此类攻击手法与此前 “伪造谷歌 Chrome 浏览器安装程序”“伪造微软 Teams 安装程序” 传播 Oyster 恶意软件的行为高度相似，也印证了 “SEO 投毒 + 恶意广告” 仍是攻击者入侵企业网络的常用手段。 Blackpoint 在报告中指出：“此次攻击活动表明，攻击者仍在滥用 SEO 投毒与恶意广告，以‘可信软件’为伪装传播大众化后门程序。” “与今年早些时候发现的‘伪造 PuTTY 安装程序’攻击活动类似，威胁攻击者正利用用户对‘搜索结果’和‘知名品牌’的信任，获取（企业网络的）初始访问权限。” 由于 IT 管理员是攻击者的重点目标（攻击者希望通过攻陷管理员账户获取高权限凭证），因此建议 IT 管理员仅从经验证的官方域名下载软件，且避免点击搜索引擎中的广告链接。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Fortra 公司 GoAnywhere MFT（托管文件传输）软件中的一个最高严重级别漏洞（CVE-2025-10035）。该漏洞允许攻击者在无需身份验证的情况下远程注入命令。 供应商（Fortra）于 9 月 18 日披露了此漏洞，但该公司在一周前就已知晓相关情况，且未透露该漏洞的发现方式，也未说明其是否已被用于攻击活动。 CVE-2025-10035 是 GoAnywhere 托管文件传输软件 “许可证服务端程序（License Servlet）” 中存在的反序列化漏洞。“持有伪造有效许可证响应签名的攻击者” 可利用该漏洞注入命令。 尽管 Fortra 的安全公告尚未更新，未纳入该漏洞已被用于攻击活动的相关信息，但安全研究机构 WatchTowr Labs 表示，他们已获得 “可靠证据”，证明 Fortra GoAnywhere 的 CVE-2025-10035 漏洞正被作为零日漏洞（指未被供应商修复就已被利用的漏洞）利用。 WatchTowr 的报告中写道：“我们已获得可靠证据，证明早在 2025 年 9 月 10 日，就有人在实际攻击中利用 Fortra GoAnywhere 的 CVE-2025-10035 漏洞。” 研究人员指出：“这比 Fortra 于 2025 年 9 月 18 日发布公开公告的时间早了 8 天。” “这也解释了为何 Fortra 后来决定发布有限的入侵指标（IOCs），目前我们强烈建议防御人员立即改变对（漏洞相关）时间线和风险的认知。” WatchTowr 证实，其分析的数据中包含与漏洞利用及后门账户创建相关的堆栈跟踪信息，具体攻击行为包括： 利用该未授权反序列化漏洞实现远程命令执行； 创建名为 “admin-go” 的后门管理员账户； 通过该账户创建网络用户，以获取 “合法” 访问权限； 上传并执行多个二级有效载荷（恶意代码）。 从 WatchTowr 在报告末尾公布的入侵指标可知，相关有效载荷的文件名为 “zato_be.exe” 和 “jwunst.exe”。 其中，“jwunst.exe” 本是远程访问工具 SimpleHelp 的合法二进制文件，但在此次攻击中，攻击者滥用该文件对已攻陷的终端实现持久化手动控制。 研究人员还指出，攻击者执行了 “whoami/groups” 命令（该命令可显示当前用户账户及所属的 Windows 用户组），并将执行结果保存到文本文件 “test.txt” 中，以便后续窃取该文件。 通过这种操作，威胁攻击者能够确认被攻陷账户的权限，并寻找在已入侵环境中横向移动（即从一个受感染设备扩散到其他设备）的机会。 已观测到的漏洞利用痕迹 CVE-2025-10035 漏洞已观测到的利用痕迹来源：WatchTowr Labs BleepingComputer（科技媒体）已联系 Fortra，请求其就 WatchTowr 的发现发表评论，但截至目前尚未收到回复。 鉴于 CVE-2025-10035 漏洞正被积极利用，建议尚未采取应对措施的系统管理员将 GoAnywhere MFT 升级至修复版本，可选择最新版本 7.8.4 或长期支持版本（Sustain Release）7.6.3。 其中一项缓解措施（指在无法立即修复时降低风险的临时手段）是移除 GoAnywhere 管理控制台（GoAnywhere Admin Console）的公网访问权限。 Fortra 还建议管理员检查日志文件，查看是否存在包含 “SignedObject.getObject” 字符串的错误信息，以此判断自身的 GoAnywhere 实例是否已受到影响。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，网络安全专家和科技公司对一次广泛的软件供应链入侵事件发出警报。这次事件涉及“Shai-Hulud”——一种自我复制的蠕虫，被用于感染500多个嵌入在各种软件中的包。 本周，美国联邦政府发布警告，称发生了一起黑客事件，攻击者入侵了数百个开发人员用于构建软件的包。美国网络安全与基础设施安全局（CISA）表示，黑客在获得初始访问权限后，“部署了恶意软件来扫描环境中的敏感凭证”。攻击者的目标是 GitHub 个人访问令牌（PATs）和主要云服务的应用程序接口（API）密钥。 随后，恶意软件被用来窃取凭证，将其上传到公共代码库，并利用自动化流程快速传播，将恶意代码注入到其他包中。 CISA敦促所有机构对使用 npm 包生态系统的软件进行全面审查，重点检查可能受到影响的特定文件。该机构补充说，所有开发者的凭证都应及时更换，并且要警惕异常的网络行为。 GitHub 安全研究高级总监表示，他们于9月14日接到“Shai-Hulud”攻击的通知，并追踪到事件源自某个未具名维护者的账户被攻破。 René-Corail 在周一解释称：“由于这种蠕虫结合了自我复制功能与窃取多种秘密（不仅仅是 npm 令牌）的能力，如果不是 GitHub 与开源维护者及时采取行动，这可能会引发无休止的攻击浪潮。” GitHub 表示，在事件发生后，公司立即将500个受感染的包从 npm 注册库中移除，以防止恶意软件进一步传播。同时，GitHub 阻止了包含妥协指标（IoC）的新包上传，以切断自我复制的传播模式。 René-Corail 写道：“此类入侵破坏了对开源生态系统的信任，直接威胁到整个软件供应链的完整性与安全性。它们也凸显了为什么需要提高认证与安全发布的标准，以增强 npm 生态系统抵御未来攻击的能力。” 被污染的“构建模块” 网络安全公司 Wiz 的首席安全研究员 在接受 Recorded Future News 采访时表示，开发者日常依赖大量的小型软件构建模块（即“包”）来完成工作。 在这起事件中，黑客在部分构建模块中植入了恶意代码。他指出，这并非罕见情况。但这次的恶意代码会搜索“秘密”信息，例如密码、令牌和配置文件，有时甚至暴露原本应保持私密的项目。 McCarthy 强调：“这次事件的独特之处，也是更糟糕的地方在于，恶意代码还会尝试传播。它会检查其运行的每台机器，寻找该机器所控制的其他包。一旦找到，就会更新这些新包，使其同样带有恶意代码。这是一个供应链软件蠕虫，而且是我们在这个生态系统中首次见到成功的案例。” 这种供应链攻击的危险之处在于，一旦秘密信息泄露，攻击者就能迅速冒充服务、进入内部系统并篡改代码。由于攻击是自动扩散的，一个被攻陷的点可能会迅速演变成大规模的灾难。 McCarthy 还补充说，这次攻击的起点源于一起早前的秘密信息泄露事件，这也说明了秘密一旦暴露会带来持久的风险，以及组织必须立即采取应对措施的紧迫性。 “Shai-Hulud”事件是本月发生的第二起大规模开源安全事故，目前研究人员仍在不断发现更多遭到破坏的 npm 包。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两名17岁的荷兰少年因涉嫌使用黑客设备替俄罗斯从事间谍活动，于本周一被荷兰警方逮捕。 根据荷兰《电讯报》（DeTelegraaf）消息，这两名少年曾在欧盟刑警组织、欧洲司法组织，以及位于海牙的加拿大驻荷兰大使馆周边，使用WiFi嗅探设备开展间谍活动。 欧盟刑警组织工作人员称，目前没有迹象表明机构系统遭到入侵。“我们正就此事与荷兰当局保持密切联系。欧盟刑警组织拥有完善的安全基础设施，目前没有任何证据显示我们的系统受到损害。我们对业务运营和工作人员的安全极为重视，将继续与合作伙伴紧密合作，应对各类潜在风险。” 荷兰国家安全情报局提供的线索，最终促成了警方的抓捕行动。据悉，这两名青少年是通过Telegram平台被招募的。 《电讯报》提到：其中一名青少年是在家里写作业的时候被逮捕的，其父母对儿子参与间谍活动一事完全不知情。一位青少年的父亲在接受采访时无奈表示：“我们教育孩子时，会提醒他们防范生活中的危险，比如吸烟、电子烟、酒精和毒品。但从没想过会有这样的风险，谁能料到这种事会发生在自己孩子身上？” 由于涉案情节严重，在调查持续期间，两名少年将被拘留至少两周。 这起案件并非个例，欧洲多地出现的“低级别招募”活动正在升级。此前在德国就已发生类似事件：俄罗斯特工曾收买当地青少年，让他们对关键基础设施实施破坏和sabotage行为。 值得注意的是，两名少年使用的“WiFi嗅探设备”，本质是通过监听WiFi频道上的无线电信号，识别无线网络并拦截数据流量的工具，通常用于攻击行动的“侦察阶段”。 事实上，俄罗斯黑客利用WiFi网络发起远程攻击的能力早有先例。网络安全公司Volexity在2024年的一份报告中就曾披露，俄罗斯APT28（代号“FancyBear”）黑客组织曾采用“近邻攻击”（nearestneighborattack）手段：利用一家与美国某公司WiFi信号覆盖范围重叠的邻近机构，突破了该美国公司的企业WiFi网络。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软威胁情报研究人员发现了一种新的 XCSSET macOS 恶意软件变种，已在有限范围的攻击中被使用。 研究人员指出，Trend Micro 最早在 2020 年发现了 XCSSET，当时它通过 Xcode 项目传播，并利用了两个零日漏洞，从目标系统中窃取敏感信息并发动勒索软件攻击。 新版本的 XCSSET 能够窃取 Firefox 数据并劫持剪贴板。它通过加密和混淆技术来规避检测，并能运行隐藏的 AppleScript。该恶意软件还支持通过 LaunchDaemon 条目实现额外的持久化机制。 报告写道：“这一变种包含一个用于监控剪贴板的子模块，并会引用一个下载的配置文件，该文件包含与各种数字钱包相关的地址正则表达式模式。如果检测到匹配，XCSSET 就能将剪贴板内容替换为攻击者预定义的钱包地址。” 更新后的阶段还会下载并运行多个新模块，使得该恶意软件相较于旧版本功能更为强大。 报告继续指出：“这一新变种增加了一个信息窃取模块，用于外传 Firefox 存储的数据。最初会调用 runMe() 函数，从 C2 服务器下载一个 Mach-O FAT 二进制文件，该文件负责所有信息窃取操作。该下载的二进制文件似乎是 GitHub 项目 HackBrowserData 的修改版，能够解密并导出浏览器存储的数据。密码、浏览记录、信用卡信息和 Cookies 是它能提取的关键信息，几乎覆盖所有主流浏览器。” 新的 XCSSET 变种实现了四阶段感染链。前三个阶段与先前版本一致。微软详细介绍了第四阶段，包括 boot() 函数及其相关调用，用于下载和运行子模块。 新的 XCSSET 变种包含多个针对性子模块： vexyeqj（信息窃取器）：下载并运行已编译的 AppleScript（bnk），解密 C2 配置（AES），检查并外传剪贴板数据，并可将内容替换为攻击者的钱包地址。 bnk（载荷）：仅运行模式的 AppleScript，用于收集序列号/用户信息，验证/过滤剪贴板内容，加密并将数据发送至 C2。 neq_cdyd_ilvcmwx（文件窃取器）：从 C2 获取并运行额外的 AppleScript 以外传文件。 xmyyeqjx（LaunchDaemon 持久化）：创建 ~/.root，禁用 macOS 自动/快速更新，构建伪造的“系统设置”应用，写入 com.google.* LaunchDaemon plist，设置 root 权限并加载。 jey（混淆/持久化）：基于 shell 的载荷解密与执行，混淆能力增强。 iewmilh_cdyd（Firefox 窃取器）：下载一个 Mach-O 二进制文件（修改后的 HackBrowserData），导出 Firefox 的密码、Cookies、信用卡数据，并上传压缩结果。 这些模块普遍使用仅运行模式的 AppleScript、AES 加密的 C2 配置、加密货币欺诈式的剪贴板劫持、临时文件清理，以及分块外传以减少本地留痕。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家司机合规平台发生严重数据泄露，超过一万名德州卡车司机的个人文件，包括药检结果和其他敏感信息被。 Cybernews研究团队接到匿名举报，发现一个未加密的Amazon S3存储桶，里面包含大量个人可识别信息（PII）。 泄露的云存储中包含：超过 18,000份社会安全卡照片，超过 23,000份驾照图片，责任保险卡，药检结果，劳动合同，背景调查同意书，车辆保险卡，员工授权书，车辆检查结果以及其他敏感文件。 调查发现，这一泄露源头是总部位于德州的 AJT Compliance, LLC，该公司帮助企业满足政府法规要求。泄露的数据可能来自该公司专门用于管理美国交通部合规流程的 “DOT SHIELD”平台。 该AWS存储桶中包含的数据从2022年至今都有记录，在调查期间甚至还不断有新文件被上传。 受影响人员主要来自德州，或受雇于在德州注册的物流公司。 德州是美国物流业的领军州，重型和牵引式卡车司机数量全美最多。根据美国劳工统计局的数据，截至2023年，德州拥有超过 212,000名重型和牵引式卡车司机，以及 72,720名轻型卡车司机（数量位居全美第三）。本次数据泄露可能影响到该州 10%的卡车司机。 Cybernews研究团队指出：“这起事件尤其令人担忧，因为一个旨在确保合规的平台，反而泄露了与美国交通部要求相关的高度敏感个人信息。” 研究人员警告，泄露的数据极其危险，可能被用于诈骗或身份盗窃。“在恶意分子手中，这些信息可以被用来开设信用账户、冒领社会安全福利，甚至实施人肉搜索（doxxing）。” Cybernews已联系 AJT Compliance。该公司确认，其测试系统所使用的Amazon S3存储容器被错误地设置为“公共读取和列表权限”。 在收到负责任的漏洞披露后，相关数据已被保护。 这并不是美国公民数据首次被第三方服务提供商泄露。 去年，Cybernews研究发现，背景调查服务商 Protection Plus Solutions 泄露了数千份PDF文件，其中包含社会安全号码、护照信息以及马萨诸塞州的犯罪记录。 2023年，负责职业安全培训的 美国国家安全委员会（NSC） 泄露了近 10,000份电子邮件和密码，波及2000家机构，其中包括 NASA、美国司法部（DoJ）、Verizon、Tesla和Pfizer 等政府与企业组织。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新加坡政府已要求 Meta Platforms 在9月30日前采取措施，遏制Facebook上的冒充诈骗行为。 9月24日，新加坡警察部队（SPF）向该科技巨头发布了一项执行指令。次日，该指令在新加坡内政部（MHA）官网公开。 根据《网络犯罪危害法》（OCHA），SPF 的主管机构敦促Meta必须在Facebook上采取措施，打击那些冒充新加坡政府高级官员的诈骗广告、账号、个人资料和/或商业页面。 这些措施分为两类：一是为新加坡用户加强人脸识别措施，二是优先处理来自新加坡用户的诈骗举报。 如果Meta未能在9月30日前遵守，且无法提出“合理理由”解释其不合规行为，公司将面临最高 100万新元（约77.7万美元） 的罚款，并在定罪后，每延迟一天额外再罚 10万新元（约7.7万美元）。 MHA和SPF还表示，他们愿意协助Meta识别其他可能被诈骗分子冒充的新加坡公众人物。 社交媒体诈骗案件激增 新加坡MHA观察到，在 2024年6月至2025年6月 之间，社交媒体诈骗活动显著增加，其中包括冒充政府人员的虚假广告、账户和页面。 根据MHA的说法，Facebook是诈骗活动最集中的平台。 在这一期间，SPF共打击了约 2000起 出现在Meta平台上的诈骗广告活动。 MHA在声明中表示：“遏制此类冒充诈骗的蔓延至关重要，这不仅能保护公众免受伤害，也能维护公众对政府及公共机构的信任。” 虽然MHA承认Meta已采取部分措施来应对冒充诈骗风险，但这些措施仍不足以遏制此类诈骗在新加坡的泛滥。 专家：大型科技公司必须在反诈骗上投入更多 BioCatch欧洲、中东及非洲区全球咨询总监、英国伦敦警察局国家欺诈与网络犯罪举报系统前负责人 Jonathan Frost 对新加坡的决定表示欢迎，但同时担心这不足以推动Meta加大对网络诈骗的治理力度。 他指出：“新加坡对Meta的打击是朝正确方向迈出的一步，但罚款金额相对较小，不足以对大型科技公司形成真正的威慑。SPF在Facebook上阻止的2000个诈骗广告只是沧海一粟，这一问题必须由全球范围内的监管机构共同应对。” 他认为，大型科技公司应当效仿金融行业的做法，加大对反诈骗的投资。 “银行每年投入数十亿美元来保护消费者，并承担起防止诈骗的责任。然而，欺诈通常在更上游的网站和社交媒体上发生。与此同时，大型科技公司却从诈骗广告中赚取数十亿美元利润，其中 Facebook和Instagram新增广告商的70%为诈骗分子。只有协调一致的全球监管响应，才能真正约束大型科技公司，推动情报共享，并保护消费者免于遭受改变人生的财务损失。” 新加坡政府补充称，他们正在考虑向其他社交媒体平台提出类似要求。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文