HackerNews

HackerNews 编译，转载请注明出处： 亚马逊网络服务CodeBuild中的一个关键配置错误，可能导致攻击者完全接管该云服务提供商自身的GitHub仓库，包括其AWS JavaScript SDK，从而使每个AWS环境面临风险。 该漏洞被云安全公司Wiz命名为CodeBreach。在2025年8月25日进行负责任披露后，AWS已于2025年9月修复了该问题。 “通过利用CodeBreach，攻击者可能注入恶意代码，发起一次平台级的入侵，不仅可能影响无数依赖该SDK的应用程序，还可能威胁到控制台本身，危及每一个AWS账户，”研究员Yuval Avrahami和Nir Ohfeld在分享给The Hacker News的一份报告中表示。 Wiz指出，该漏洞源于持续集成流水线中的一个弱点，可能使未经身份验证的攻击者入侵构建环境、泄露特权凭证（如GitHub管理员令牌），然后利用这些令牌向受入侵的仓库推送恶意更改——从而为供应链攻击开辟了路径。 换言之，该问题削弱了AWS引入的Webhook过滤器，这些过滤器旨在确保只有特定事件才会触发CI构建。例如，可以配置AWS CodeBuild，使其仅在代码变更提交到特定分支，或者GitHub或GitHub Enterprise Server账户ID（亦称ACTOR_ID或参与者ID）匹配正则表达式模式时才触发构建。这些过滤器旨在防范不受信任的拉取请求。 此配置错误影响了以下由AWS管理的开源GitHub仓库，这些仓库被配置为在拉取请求时运行构建：aws-sdk-js-v3 aws-lc amazon-corretto-crypto-provider awslabs/open-data-registry 这四个项目都实施了ACTOR_ID过滤器，但存在一个”致命缺陷”：它们未包含确保完全正则表达式（regex）匹配所需的两个字符——即起始锚点 ^ 和结束锚点 $。相反，正则表达式模式允许任何是受批准ID超字符串（例如，755743）的GitHub用户ID绕过过滤器并触发构建。 由于GitHub按顺序分配数字用户ID，Wiz表示能够预测新用户ID（目前为9位长）大约每五天就会”超过”一位受信任维护者的六位ID。这一洞察，结合使用GitHub应用来自动化应用创建（这反过来会创建一个对应的机器人用户），使得通过触发数百次新的机器人用户注册来生成目标ID（例如226755743）成为可能。 一旦获得了参与者ID，攻击者现在就可以触发构建，并获取aws-sdk-js-v3 CodeBuild项目的GitHub凭证，即属于aws-sdk-js-automation用户的个人访问令牌（PAT），该用户拥有对该仓库的完全管理员权限。 攻击者可以利用这种提升后的访问权限，直接将代码推送到主分支、批准拉取请求、窃取仓库机密，最终为供应链攻击铺平道路。 “上述仓库为AWS CodeBuild Webhook过滤器配置的正则表达式原本旨在限制受信任的参与者ID，但存在不足，允许通过可预测获取的参与者ID获得对受影响仓库的管理权限，” AWS在今天发布的一份公告中表示。 “我们可以确认，这些是这些仓库Webhook参与者ID过滤器特定于项目的错误配置，而非CodeBuild服务本身的问题。” 亚马逊还表示，它已修复了已识别的问题，并实施了额外的缓解措施，例如凭证轮换和保障包含GitHub令牌或内存中任何其他凭证的构建流程安全的步骤。它进一步强调，没有发现CodeBreach在野外被利用的证据。 为降低此类风险，必须确保不受信任的贡献不会触发特权CI/CD流水线，可通过启用新的”拉取请求评论批准”构建门控功能、使用CodeBuild托管的运行器通过GitHub工作流管理构建触发器、确保Webhook过滤器中的正则表达式模式使用锚点、为每个CodeBuild项目生成唯一的PAT、将PAT的权限限制在所需的最低范围，并考虑为CodeBuild集成使用一个专用的无特权GitHub账户来实现。 网络安全 “此漏洞是一个典型的例子，说明了为什么攻击者将CI/CD环境作为目标：一个微妙、容易被忽视的缺陷，却能被利用来造成巨大影响，” Wiz研究员指出。”复杂性、不可信数据和特权凭证的结合，为无需事先访问即可造成高影响入侵创造了完美风暴。” 这并非CI/CD流水线安全首次受到审视。去年，Sysdig的研究详细阐述了如何利用与pull_request_target触发器相关的、不安全的GitHub Actions工作流来窃取特权的GITHUB_TOKEN，并通过单个来自分叉的拉取请求，未经授权访问数十个开源项目。 Orca Security的一项类似的两部分分析发现，谷歌、微软、英伟达和其他财富500强公司的项目中存在不安全的pull_request_target配置，这可能允许攻击者运行任意代码、窃取敏感机密，并向受信任的分支推送恶意代码或依赖项。这种现象被称为pull_request_nightmare。 “通过滥用通过pull_request_target触发的、配置不当的工作流，攻击者可能从一个不受信任的分叉拉取请求，升级到在GitHub托管的甚至自托管的运行器上执行远程代码（RCE），”安全研究员Roi Nisimi指出。 “使用pull_request_target的GitHub Actions工作流，绝不应在没有适当验证的情况下检出不受信任的代码。一旦这样做，它们就面临完全入侵的风险。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组指出，乌军近期遭到一系列新型网络攻击，攻击所使用的恶意软件为PLUGGYAPE。政府专家以中等置信度将该攻击归因于与俄罗斯有关联的组织Void Blizzard（又名Laundry Bear、UAC-0190），该组织自2024年开始活跃。 此次攻击的链路以社会工程学手段为开端。攻击者通过即时通讯软件联系目标对象，诱骗其访问一个伪装成慈善基金会的虚假网站。该网站诱导受害者下载所谓的“文件资料”，而这些文件实则为恶意可执行程序。 这些恶意文件通常会被封装在带密码保护的压缩包中，或通过聊天工具直接发送，还会使用.docx.pif这类具有迷惑性的扩展名，以此伪装成无害文件。 一旦受害者打开文件，其中基于Python编写、经 PyInstaller打包的程序便会运行，进而安装PLUGGYAPE后门程序，让攻击者得以远程控制受感染的设备。 乌克兰计算机应急响应小组的报告中提到：“在至少五轮攻击行动中，所使用的PIF文件均为经PyInstaller打包生成的可执行文件。其底层软件代码基于Python编程语言开发，被归类为PLUGGYAPE后门程序。需要注意的是，2025年10月期间，攻击者曾使用扩展名是.pdf.exe的文件，该文件会启动一个加载器，其作用是下载Python解释器，并从 Pastebin平台获取早期版本的PLUGGYAPE Python恶意脚本。” 该恶意软件的后续版本功能更为完善。升级版的 PLUGGYAPE变种采用消息队列遥测传输协议进行通信，还加入了反分析检测机制，例如能够识别虚拟机环境。在部分攻击案例中，命令与控制服务器的相关信息会被隐藏，并从 Pastebin、rentry.co 等公共平台获取，且这些信息往往会经过编码处理，以规避安全检测。 自2025年12月起，攻击者开始部署经过混淆处理的 PLUGGYAPE.V2变种，该变种同样采用MQTT协议通信，具备反分析检测能力，其命令与控制服务器的相关信息会以编码形式藏匿于公共网站中。 PLUGGYAPE是一款基于Python 开发的恶意工具，通过WebSockets或MQTT与控制服务器建立连接，并采用JSON 格式传输数据。它会收集受感染设备的系统标识信息，通过 SHA-256算法生成唯一的设备编号，执行从控制服务器接收的恶意代码，同时还会将自身添加到系统的开机启动注册表项中，以此实现持久化驻留。 该报告的结论指出：“乌克兰计算机应急响应小组强调，网络威胁态势正处于持续演变之中。在网络攻击的初始阶段，攻击者愈发倾向于使用合法账户、乌克兰境内移动运营商的电话号码与目标对象建立联系，交流过程中会使用乌克兰语，并辅以音视频沟通手段，此外，攻击者还会展示出其对目标个人、相关机构及其运作模式的详尽了解。在移动设备和个人电脑上广泛使用的即时通讯工具，实际上已成为网络攻击工具最主要的传播渠道。” 今年5月，荷兰情报与安全总局及荷兰国防情报与安全局将一个先前未被发现的、代号为Laundry Bear（又名Void Blizzard）的俄罗斯关联组织与2024年的一起警方数据泄露事件联系起来。 2024年10月，荷兰司法部长向议员表示，荷兰警方将2024年9月的一起数据泄露事件归咎于国家行为体，该事件泄露了警员的联系方式。警方已向数据保护局报告了这起安全漏洞。威胁行为者侵入了一个警方系统，获取了多名警员的工作相关联系方式。攻击者能够访问警员的姓名、电子邮件、电话号码和一些私人信息。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正越来越多地使用一种隐蔽的”浏览器套浏览器”攻击技术，企图窃取Facebook用户的登录凭证。 根据Trellix网络安全研究人员的分析，攻击者分发钓鱼邮件的数量激增，这些邮件诱使用户访问看似可信的认证界面，意图窃取用户名和密码。 据认为，攻击目的是为了劫持账户、窃取个人数据、实施身份欺诈或向用户的联系人传播诈骗。拥有超过30亿用户的Facebook，对网络罪犯来说仍然是进行攻击和诈骗的诱人目标。 这些活动通常始于钓鱼邮件：研究人员指出，攻击者通常会分发声称来自律师事务所的诱饵邮件，警告潜在受害者需要立即采取行动以避免版权侵权索赔。攻击者已知分发的其他诱饵还包括发送有关未授权登录尝试的虚假通知，或警告账户因可疑活动即将被关闭。 这些手段的设计目的都是迫使用户惊慌失措，并按照被告知的”必要步骤”操作，以防止账户被关闭。钓鱼邮件敦促用户点击看起来像是Facebook的链接以采取必要行动——尽管这些是经过伪装的虚假短链接，目的是让其看起来更可信。 令这些攻击看似可信的是，”浏览器套浏览器”弹窗看起来非常逼真，完全符合用户对Facebook登录页面的预期。弹出的浏览器窗口包含了真实的Facebook登录页面URL，这是攻击者硬编码到认证窗口中的。此外，攻击者还会在此之前部署一个虚假的验证码窗口。这两种策略都旨在诱骗受害者相信他们正在访问真正的Facebook登录页面。 这些”申诉”页面首先要求用户提供个人信息，包括姓名、电子邮件地址、电话号码和出生日期——随后在第二个页面要求用户”确认”密码。通过这些虚假页面，攻击者获得了敏感的个人信息、用户名和密码，可用于以受害者为代价实施进一步的欺诈。 “通过在受害者浏览器内创建自定义的虚假登录弹窗，此方法利用了用户对认证流程的熟悉度，使得凭据窃取在视觉上几乎无法察觉，”Trellix表示。 为帮助防范此类钓鱼攻击，建议用户为账户启用双因素认证：即使网络犯罪分子窃取了合法的登录凭证，2FA也能自动阻止账户被接管。同时，建议用户对突然出现的、意料之外的此类请求邮件保持警惕——如果担心账户通知的真实性，应直接通过浏览器登录Facebook官网，而不是点击不熟悉的链接。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lumen Technologies的Black Lotus Labs团队表示，自2025年10月初以来，他们已阻断了流向与AISURU/Kimwolf僵尸网络相关的超过550个命令与控制节点的流量。 AISURU及其Android对应物Kimwolf已成为近期规模最大的僵尸网络之一，能够操控受控设备参与分布式拒绝服务攻击，并为住宅代理服务转发恶意流量。 关于Kimwolf的细节于上月浮出水面。该软件通过直接或通过设备预装的不可靠应用程序，向受感染的设备分发一个名为ByteConnect的软件开发工具包，从而将其转变为住宅代理。最终结果是，该僵尸网络通过住宅代理网络进行隧道传输，已感染超过200万台暴露了Android调试桥服务的Android设备，使威胁行为者能够入侵大量电视盒子。 Synthient随后的报告披露，Kimwolf的操作者试图出售代理带宽以换取预付现金。 Black Lotus Labs表示，基于对Aisuru后端C2服务器65.108.5[.]46的分析，他们于2025年9月识别出一组源自多个加拿大IP地址的住宅SSH连接，这些IP地址使用SSH访问194.46.59[.]169，即proxy-sdk.14emeliaterracewestroxburyma02132[.]su。 值得注意的是，该二级域名在2025年11月Cloudflare的顶级100域名榜单中曾超越Google，促使该网络基础设施公司将其从列表中移除。 随后，在2025年10月初，该网络安全公司表示，他们识别出另一个C2域名——greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su——其解析至104.171.170[.]21，这是一个属于犹他州托管服务提供商Resi Rack LLC的IP地址。该公司自称是”高级游戏服务器托管提供商”。 这一关联至关重要，因为独立安全记者Brian Krebs近期的报告揭示了基于此类僵尸网络的各类代理服务背后人员如何在一个名为resi[.]to的Discord服务器上推销其”warez”。这包括Resi Rack的联合创始人，据说他们近两年来一直积极通过Discord销售代理服务。 该服务器现已消失，其所有者名为”d”（推测是昵称”Dort”的缩写），而”Snow”被认为是僵尸网络的掌控者。 “在10月初，我们观察到在7天时间内，加入Kimwolf的新僵尸数量激增了300%，这是增长的开端，到月中时僵尸总数达到了80万，”Black Lotus Labs说，”这次激增中几乎所有的僵尸都被发现挂牌在单一的住宅代理服务上出售。” 随后发现，在2025年10月20日至11月6日期间，Kimwolf的C2架构会扫描PYPROXY等服务以寻找易受攻击的设备——这种行为是因为僵尸网络利用了众多代理服务中的一个安全漏洞，该漏洞使其能够与住宅代理端点内网的设备交互并植入恶意软件。 这进而将设备转变为住宅代理节点，导致其公网IP地址被列在住宅代理提供商网站上出租。威胁行为者随后租用对受感染节点的访问权限，并利用它扫描本地网络，寻找启用了ADB模式的设备以进一步传播。 “在2025年10月成功阻断一次路由后，我们观察到greatfirewallisacensorshiptool域名转移到了104.171.170[.]201，这是另一个Resi Rack LLC的IP地址，”Black Lotus Labs指出，”随着该服务器上线，我们观察到大量流量涌向176.65.149[.]19:25565，这是一个用于托管其恶意软件的服务器。该服务器所在的自治系统号当时正被Aisuru僵尸网络同时使用。” 此次披露的背景是，Chawkr的一份报告详细描述了一个包含832台受感染KeeneticOS路由器的复杂代理网络，这些路由器在Net By Net Holding LLC、VladLink和GorodSamara等俄罗斯ISP中运行。”所有832台设备上一致的SSH指纹和相同的配置指向了自动化的大规模利用，无论是利用窃取的凭证、嵌入式后门还是路由器固件中已知的安全漏洞，”报告称，”每台被入侵的路由器都同时保持HTTP和SSH访问权限。” 鉴于这些被入侵的SOHO路由器充当住宅代理节点，它们为威胁行为者提供了融入正常互联网流量以开展恶意活动的能力。这说明了对手如何越来越多地利用消费级设备作为多阶段攻击的渠道。 “与数据中心IP或已知托管提供商的地址不同，这些住宅代理端点在大多数安全厂商声誉列表和威胁情报源的雷达之下运行，”Chawkr指出，”其合法的住宅分类和清洁的IP声誉使得恶意流量能够伪装成普通的消费者活动，规避了那些会立即标记出来自可疑托管基础设施或已知代理服务请求的检测机制。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Node.js已发布更新，修复了一个被其描述为影响”几乎所有生产环境Node.js应用”的严重安全问题。若被成功利用，该漏洞可能引发拒绝服务条件。 Node.js的Matteo Collina和Joyee Cheung在周二的一份公告中表示：”Node.js/V8会尽力从栈空间耗尽中恢复，并抛出一个可捕获的错误，许多框架已依赖此机制来保证服务可用性。但一个仅在启用async_hooks时才会复现的bug会破坏这种恢复尝试，导致当用户代码中的递归耗尽栈空间时，Node.js会直接退出并返回代码7，而不会抛出可捕获的错误。这使得那些递归深度由未净化的输入控制的应用程序容易遭受拒绝服务攻击。” 该漏洞的核心在于，当启用async_hooks且用户代码发生栈溢出时，Node.js会直接以退出码7（表示内部异常处理程序运行时失败）退出，而不是正常地处理异常。Async_hooks是一个底层的Node.js API，允许开发者跟踪数据库查询、定时器或HTTP请求等异步资源的生命周期。 Node.js表示，由于许多框架和应用程序性能监控工具使用了AsyncLocalStorage（一个构建在async_hooks模块之上的组件，使得在整个异步操作生命周期内存储数据成为可能），该问题影响了多个框架和APM工具，包括React Server Components、Next.js、Datadog、New Relic、Dynatrace、Elastic APM和OpenTelemetry。 该漏洞已在以下版本中得到修复： Node.js 20.20.0 (LTS) Node.js 22.22.0 (LTS) Node.js 24.13.0 (LTS) Node.js 25.3.0 (Current) 此问题还影响从8.x（首个包含async_hooks的版本）到18.x的所有Node.js版本。值得注意的是，代号为Carbon的Node.js 8.0.0版本发布于2017年5月30日。然而，这些版本由于已达到生命终止状态，将不会收到补丁。 已实施的修复会检测栈溢出错误并将其重新抛给用户代码，而不是将其视为致命错误。该漏洞被追踪为CVE-2025-59466（CVSS评分：7.5）。尽管实际影响重大，但Node.js表示，由于以下几个原因，他们仅将此修复视为一种缓解措施： 栈空间耗尽不属于ECMAScript规范的一部分。 V8 JavaScript引擎不将其视为安全问题。 作为异常处理最后一道防线的”uncaughtException”处理程序存在限制。 Node.js表示：”尽管这是对未指定行为的错误修复，但由于其对生态系统的广泛影响，我们选择将其包含在安全版本中。React Server Components、Next.js以及几乎所有的APM工具都受到影响。此修复改善了开发者体验，并使错误处理更具可预测性。” 鉴于该漏洞的严重性，建议相关框架/工具的用户及服务器托管提供商尽快更新。同时，建议库和框架的维护者应用更强大的防御措施来应对栈空间耗尽问题，确保服务可用性。 此次披露之际，Node.js还修复了另外三个高危漏洞（CVE-2025-55131、CVE-2025-55130和CVE-2025-59465），这些漏洞可能分别被利用来实现数据泄漏或损坏、通过精心构造的相对符号链接路径读取敏感文件，以及触发远程拒绝服务攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护监管机构对一家法国电信巨头处以4800万美元罚款，因其网络安全漏洞导致大规模数据泄露， 2024年10月，一名黑客侵入了法国Free SAS及其姊妹公司Free Mobile的信息系统，获取了包括国际银行账号在内的2400万订阅者的个人数据。 Free SAS是一家主要电信服务提供商，Free Mobile是一家移动网络运营商。两者都是法国Iliad集团的子公司。 数据保护监管机构，即法国国家信息与自由委员会，在数据泄露事件发生后启动了调查，并发现其违反了欧洲的《通用数据保护条例》。 CNIL周三表示，对Free罚款2700万欧元（3100万美元），对Free SAS罚款1500万欧元（1700万美元）。 Iliad集团的一位发言人在一份声明中表示，公司将就这一决定向法国最高行政法院提出上诉。”该决定的严厉程度前所未有，与先前涉及网络攻击的案件相比，所施加的制裁完全不成比例，”声明称。”自2024年10月以来，我们已加强了安全架构，强化了访问控制，并实施了增强的实时监控。我们订阅者的数据受到符合最高安全标准的系统保护。” 根据CNIL的说法，罚款金额受到了被黑数据的敏感性、公司的高额利润以及其”对基本安全原则缺乏了解”的影响。 CNIL表示，公司缺乏足够的安全措施，包括为其VPN连接提供弱认证程序，以及没有有效的措施来检测其信息系统上的异常活动。 公司还违反了GDPR关于泄露通知的要求，没有向受影响客户提供足够的信息，以”直接理解数据泄露的后果，或了解他们可以采取哪些措施来保护自己”。 CNIL还指控，Free Mobile保留了前订阅者的数据，不必要地使其面临风险。 该机构表示，自调查开始以来，公司已采取措施改善其安全性，并被责令继续这样做。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日捣毁了一个名为RedVDS的流行网络犯罪订阅服务平台。据称，仅在美国，该平台就造成了超过4000万美元的诈骗损失。 微软助理总法律顾问史蒂文·正田表示，RedVDS为网络犯罪分子提供了一次性的虚拟计算机，这使得诈骗活动成本低廉、易于扩大规模且难以追踪。 作为一场与欧洲刑警组织和德国当局合作的更广泛国际执法行动的一部分，微软在美国和英国提起了民事诉讼。该公司与执法部门合作，查封了托管RedVDS市场和客户门户的两个域名，并采取措施追查该骗局背后的涉案人员。目前尚未公开任何嫌疑人姓名。 德国州刑事警察查封了一台用于运行RedVDS的服务器，使得该市场平台下线。 “RedVDS是一种在线订阅服务，属于日益增长的’网络犯罪即服务’生态系统的一部分，网络犯罪分子在此买卖服务和工具以大规模发起攻击，”正田说。”它提供对运行未授权软件的廉价、有效、一次性虚拟计算机的访问，使犯罪分子能够快速、匿名地跨境操作。” 网络犯罪分子每月仅需支付24美元即可访问该平台，并利用它发送钓鱼邮件、托管诈骗基础设施等。RedVDS自2019年开始存在，一直通过一家据称位于巴哈马的虚假公司公开运营。大多数客户使用比特币和其他加密货币购买该网站的服务。 正田解释说，仅在一个月内，微软就观察到超过2600个不同的RedVDS虚拟机向微软客户平均每天发送100万条钓鱼信息。虽然大部分信息被拦截，但仍有少量可能到达了目标收件箱。自9月以来，RedVDS支持的攻击”已导致全球超过130,000个组织中的超过191,000个微软电子邮件账户遭到入侵或被欺诈性访问”，他补充道。 微软与两家共同原告方一起提起了民事诉讼以关闭这些平台：一家是位于阿拉巴马州的制药公司H2 Pharma，另一家是佛罗里达州的Gatehouse Dock共管公寓协会。H2 Pharma遭遇的网络犯罪分子利用RedVDS窃取了超过730万美元，而该公寓协会则损失了居民和业主为维修贡献的约50万美元资金。 房地产诈骗 网络犯罪分子通常使用RedVDS进行支付转移欺诈，也称为商业电子邮件入侵。该平台允许威胁行为者侵入电子邮件账户、监控对话，并在支付或电汇发生前将自己插入邮件链中。通过冒充邮件链中的其他参与者，黑客能够在几秒钟内转移资金，远在组织意识到资金发送错误之前。 正田指出，RedVDS一直是房地产支付转移诈骗蔓延的关键推手。网络犯罪分子越来越多地针对房地产经纪人、托管代理或产权公司，窃取人们以为用于支付房屋首付款的数百万美元。”对于家庭和首次购房者来说，后果可能是毁灭性的，一次被转移的支付就可能耗尽毕生积蓄或彻底破坏购房计划，”正田说。”仅房地产领域，微软就观察到RedVDS支持的活动影响了超过9,000名客户，在加拿大和澳大利亚等国影响尤为严重。而且威胁远不止于房地产。RedVDS支持的诈骗已波及建筑、制造、医疗、物流、教育、法律服务等众多行业——扰乱了从生产线到患者护理的方方面面。” 微软观察到网络犯罪分子发送虚假发票或要求更改付款账户的电子邮件，并利用紧迫感迫使受害者尽快汇款。在某些情况下，他们发送虚假的未付发票，要求当天偿还债务。 RedVDS本身并不拥有物理数据中心，而是从美国、加拿大、英国、法国和荷兰的第三方托管提供商那里租用服务器。这使得网络犯罪分子能够从靠近受害者目标的IP地址发起攻击，从而绕过基于地理位置的安全过滤器。 欧洲刑警组织也协助捣毁了支持RedVDS客户的更广泛的服务器和支付网络。 “即用型”平台 微软表示，RedVDS是网络犯罪分子获取基于Windows的远程桌面协议服务器的途径，这些服务器具有完全管理员控制权且无使用限制。该公司最终追查到了数千条被盗凭证、从目标组织窃取的发票、群发邮件工具和钓鱼工具包，它们都指向该平台。 这些网络犯罪分子使用了几种不同的工具来验证大型电子邮件地址数据库、分类和清理邮件列表以及发送批量邮件，所有这些操作都是通过RedVDS实例完成的，他们还使用注重隐私的网页浏览器和VPN来隐藏身份。一些用户甚至部署了ChatGPT和其他OpenAI工具来撰写有说服力的英文电子邮件。 研究人员解释说：”一旦配置完成，这些克隆的Windows主机为攻击者提供了一个即用型平台，用于研究目标、部署钓鱼基础设施、窃取凭证、劫持邮箱，并以最小的阻力执行基于冒充的金融欺诈。威胁行为者受益于RedVDS无限制的管理员访问权限和微乎其微的日志记录，使得他们能够在没有有效监督的情况下操作。RedVDS服务器统一、一次性的特性使网络犯罪分子能够快速迭代攻击活动，自动化大规模投递，并迅速从初始目标选定转移到金融盗窃。” 与RedVDS相关的其他平台能生成PDF或HTML诱饵附件，自动化电子邮件发送周期，并创建看似合法网站的钓鱼域名。在30多天的时间里，微软发现了超过7,300个与RedVDS基础设施相关的IP地址，这些地址共同托管了超过3,700个用于冒充合法平台的域名。 当受害者在这些网站上输入他们的凭证时，RedVDS会协助提取令牌或Cookie，从而使网络犯罪分子能够绕过多因素身份验证。利用窃取的信息，攻击者登录邮箱，搜索任何涉及财务、发票或供应商的对话。 微软表示，这是该公司为关闭网络犯罪基础设施而采取的第35次民事诉讼行动。在2025年秋季，它采取了类似行动关闭了一个名为RaccoonO365的流行服务，该服务被网络犯罪分子用于窃取用户名和密码。至少有一名在尼日利亚的男子因运营RaccoonO365平台被捕。微软观察到的许多使用RaccoonO365钓鱼服务的网络犯罪分子也同时使用了RedVDS。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙能源公司Endesa披露了一起数据泄露事件，大量用户核心信息遭泄露，涵盖联系方式、国民身份证号码及支付相关数据。 Endesa发布公告称：“对此，我们遗憾地通知您，Endesa Energía 检测到一宗安全事件，导致其商业平台遭到未经授权和非法的访问。该事件损害了Endesa Energía负责保管的某些数据的机密性。尽管本公司已实施安全措施，但我们检测到有证据表明，与客户能源合同相关的某些个人数据（遭到了未经授权和非法的访问。” Endesa是西班牙一家主要的跨国电力公用事业公司，也是西班牙最大的电力供应商。该公司发电、配电并销售电力和天然气，在国内为超过1000万客户提供服务。 Endesa是意大利公用事业集团Enel的控股子公司，Enel持有其约70%的股份。该公司约有8900名员工（2024年数据）。2024年，Endesa报告营收213亿欧元，净利润约18.9亿欧元，反映出较前一年强劲的盈利增长。 Endesa Energía 表示，攻击者侵入系统后，可能窃取了用户身份信息、联系方式、国民身份证号码、合同数据，甚至可能包含国际银行账户号码，但用户密码未被泄露。目前，公司已启动安全应急协议，阻断了所有被非法入侵的访问路径，并第一时间向受影响用户及西班牙数据保护局等监管机构进行了通报。针对此次事件的调查仍在与供应商协同推进，系统持续监控工作也在同步进行。 公告最后指出：“截至本通知发布之日，尚无证据显示本次事件涉及的数据被用于欺诈活动，因此该事件对您的合法权益与隐私自由造成高风险影响的可能性较低。即便如此，恶意人员对您个人数据的未授权访问，仍有可能导致您遭遇身份冒充、个人信息被公开泄露，或成为钓鱼诈骗、垃圾信息的攻击目标。” Endesa提醒用户，需警惕各类可疑来电、邮件及信息，如有任何疑虑可拨打客服热线800-760-366咨询。同时切勿向陌生对象泄露个人敏感信息，若怀疑遭遇欺诈行为，应立即通知恩德萨或向执法机关报案。该公司同时确认，目前所有业务与服务均正常运转。 对于此次数据泄露的技术细节，Endesa并未进一步披露。但有威胁攻击者在网络犯罪论坛上宣称，已从该公司窃取了1.05TB的数据。 以下是该威胁攻击者在黑客论坛发布的信息： “我入侵了西班牙最大的电力天然气供应商 —— Endesa！拥有对一切的完全访问权限，这份数据库目前只有我一人掌握。 本帖内容已通过审核，所涉数据经核验真实且独一无二。 价格可议，数据总量达 1,055,950,885,115 字节。 这份全新出炉的 SQL 数据库中，包含超过 2000 万用户的信息，此前从未对外泄露！”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大的教育及生活用品企业之一教元集团宣布，本周末在发现疑似勒索软件攻击后，已关闭其内部计算机网络的关键部分。 在该公司的一份声明中，教元集团表示周六早上发现了异常活动，随即启动了应急响应计划，隔离受影响的服务器以防止黑客入侵更多系统。 这家由韩国首富之一张平淳所有的企业集团表示，”已确认有迹象表明，由于勒索软件攻击，部分数据可能已外泄。受影响的数据是否包含客户信息，目前正在调查中。” 自系统关闭以来，其多家附属企业的网站（包括教育和旅游子公司）已无法访问，该公司称正在努力安全地恢复系统。 教元集团表示，在与其所谓的”专业安全人员”和相关政府机构合作调查”入侵原因、影响范围以及是否有数据受影响”的同时，已将网络下线以”稳定服务并优先保护客户”。 据《亚洲商业日报》报道，此次攻击背后的黑客已向教元集团发出勒索要求。据《朝鲜日报》报道，人们担心该公司的数据泄露可能影响数百万人，数据包括使用其教育服务的儿童的姓名和地址。 该公司表示，在发现问题后不久，已向韩国互联网振兴院及其他调查机构报告了此次安全漏洞。 该集团网站上的一条横幅声明写道：”如果进一步调查确认客户信息已泄露，我们将及时、透明地通知受影响的客户。” 此前，首尔近期发生了一起涉及该国最大在线零售商Coupang的数据泄露丑闻，据报道是由一名已逃往中国的前员工造成。 这是影响韩国公司的最新一起高调数据泄露事件，去年有SK电信的2700万客户和乐天信用卡的300万客户收到了相关事件通知。韩国官员已承诺加强该国的数据保护法，并对未能保护客户数据的公司实施更严厉的处罚。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰上诉法院判处一名44岁黑客7年监禁，罪名是通过入侵欧洲物流枢纽的港口系统，协助可卡因走私进入荷兰。上诉法院将刑期从10年减至7年，理由是该上诉审理过程拖延超过21个月。 检方称，该犯罪团伙通过此手法从鹿特丹港走私进口了210公斤可卡因。该黑客贿赂了一名安特卫普港工作人员，使其插入感染恶意软件的U盘，从而创建了一个后门，远程访问了集装箱、闸门和门禁控制系统。 阿姆斯特丹上诉法院裁定：”被告被判处七年监禁。他犯有协助计算机入侵罪。此举的目的是获取港口系统访问权限，以便在无人察觉的情况下进口毒品，从而为毒品贩运提供便利。被告还犯有协助向荷兰进口210公斤可卡因罪。此外，他犯有企图勒索罪。关于获取和使用SkyECC消息作为证据的辩护被驳回。支持受害方的索赔请求，并判令被告支付连带法律费用。” 根据法庭文件，被告说服了安特卫普一个集装箱码头的一名港口员工，将载有恶意软件的U盘插入工作电脑。该恶意软件创建了一个数字后门，使黑客能够远程访问用于管理集装箱、闸门和人员进出的内部港口系统。 这款恶意软件使该犯罪集团能够秘密远程监控集装箱、操纵闸门并发放准入凭证，该后门在系统中存留数月，期间持续尝试获取管理员权限。调查人员严重依赖从Sky ECC截获的消息，被告在这些消息中详细描述了他对港口系统的控制，并指导同伙进行黑客攻击。 调查人员发现恶意软件在港口系统中隐藏了数月，并反复尝试获取管理员权限。攻击者声称拥有完全控制权，包括准入通行证和闸门。 法院文件指出：”2020年9月18日，在系统AV150081C上安装了一个潜在后门。2020年9月19日至27日期间，攻击者使用了各种权限提升工具，试图控制[受影响方]环境中的一个管理员账户。攻击者使用多种漏洞利用工具进行了多次尝试，这表明他们可能未能成功提升权限。此外，没有证据表明攻击者能够接管具有管理员权限的账户。(…) 此外，有证据表明，2020年9月18日安装的后门至少在2021年4月24日之前一直处于活跃状态。(…) 在2020年9月21日至2020年10月19日期间，威胁行为者多次访问了AV150081C上的Solvo集装箱管理应用程序。” 该团伙窃取并共享了摄像头位置、员工照片和布局图等敏感数据。法官表示，此次黑客攻击旨在支持毒品贩运，严重危及港口安全。 法院认定该男子犯有伪造运输文件和Portbase记录以运送可卡因的罪行。法官还判定该男子犯有企图勒索罪，因其就丢失的可卡因威胁亲属，并以暴力相威胁索要120万欧元。 该被告目前仍被关押在荷兰西部，并已提起另一项上诉。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时综合医院网络AZ Monica遭遇网络攻击，被迫关闭所有服务器，取消预定手术，并转移危重病人。AZ Monica在安特卫普和德尔讷设有两个院区，为当地居民提供急症、门诊及专科医疗服务。 医院在检测到网络攻击后，于今天清晨6点32分断开了系统连接。AZ Monica目前仍在提供紧急护理并治疗现有患者，但由于员工无法访问电子病历，已推迟了非紧急的门诊预约。 “今天早上，AZ Monica的IT系统遭受了严重干扰。作为预防措施，德尔讷和安特卫普两个院区的所有服务器均已主动关闭。”医院发布的一份新闻声明称。”受此情况影响，今日所有计划进行的手术均无法实施。我们已通知所有相关患者。急诊科目前运行能力有限。MUG和PIT服务暂时不可用。门诊照常进行。访客始终欢迎。” 该医疗机构已就此事件展开调查，并通知了警方和检察官办公室。在红十字会的协助下，AZ Monica安全转移了七名危重病人，其他所有患者则继续接受治疗。 “我们的急诊科目前以较低容量运行。救护车不会将患者转运至我院急诊科。因此，如果您需要紧急护理，请尽可能联系您的全科医生、非工作时间全科医生诊所或其他急诊服务机构。”一份网络事件更新公告写道。 AZ Monica未透露事件的具体细节。《布鲁塞尔时报》报道了有关勒索要求的未经证实说法，但当局和医院官员均未予以确认。 医院强调，患者安全和护理的连续性是当前的首要任务，正在密切监测情况，并将提供进一步的信息更新。 针对医院的网络攻击极其危险，因为它们可能扰乱关键的医疗服务，危及患者生命。医院依赖数字系统处理病历、检验和治疗，系统中断会延误紧急护理。这类攻击还可能暴露敏感的患者数据，并迫使医院分流病人，从而给整个医疗服务体系带来更大压力。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一种先前未被记录的、功能丰富的恶意软件框架的详细信息，该框架代号为VoidLink，专门设计用于长期、隐蔽地访问基于Linux的云环境。 根据Check Point Research的一份新报告，这款云原生的Linux恶意软件框架包含一系列自定义加载器、植入程序、rootkit和模块化插件，使其操作者能够随时间推移增强或改变其功能，并在目标变化时进行”转向”。该框架于2025年12月首次被发现。 这家网络安全公司在今日发布的分析报告中称：”该框架包含多项专注于云的功能和模块，专为在云和容器环境中长时间稳定运行而设计。VoidLink的架构极其灵活且高度模块化，围绕一个自定义插件API构建，该API的灵感似乎源自Cobalt Strike的Beacon对象文件方法。默认情况下，超过30个插件模块均使用此API。” 这些发现反映了威胁行为者的关注点正从Windows系统转向已成为云服务和关键业务基石的Linux系统。VoidLink处于积极维护和演进中，评估认为其与中国有关联的威胁行为者有关。 作为一个使用Zig编程语言编写的”云优先”植入程序，该工具包能够检测主要的云环境，即亚马逊网络服务、谷歌云、微软Azure、阿里云和腾讯云，并能识别自身是否运行在Docker容器或Kubernetes Pod中，从而调整其行为。它还能收集与云环境以及Git等流行源代码版本控制系统相关的凭证。 瞄准这些服务表明，VoidLink很可能专门针对软件开发人员设计，意图窃取敏感数据或利用获得的访问权限发起供应链攻击。 其他部分功能列举如下： 利用LD_PRELOAD、可加载内核模块和eBPF隐藏自身进程的类Rootkit功能。 用于扩展功能的进程内插件系统。 支持多种命令与控制信道，如HTTP/HTTPS、WebSocket、ICMP和DNS隧道。 在被攻陷主机之间形成点对点或网状网络。 一个基于Web的中文控制面板，允许攻击者远程控制植入程序、动态创建定制版本、管理文件、任务和插件，并执行从侦察、持久化到横向移动和防御规避（通过清除恶意活动痕迹）的整个攻击周期的不同阶段。 VoidLink支持37个插件，涵盖反取证、侦察、容器、权限提升、横向移动等类别，使其成为一个功能全面的后渗透利用框架： 反取证：根据关键字擦除或编辑日志和shell历史记录，并对文件进行时间戳篡改以阻碍分析。 云：辅助进行Kubernetes和Docker发现与权限提升、容器逃逸，并探测配置错误。 凭证窃取：收集凭证和密钥，包括SSH密钥、Git凭证、本地密码资料、浏览器凭证与Cookie、令牌和API密钥。 横向移动：使用基于SSH的蠕虫进行横向传播。 持久化：通过滥用动态链接器、cron作业和系统服务来建立持久化访问。 侦察：收集详细的系统和环境信息。 Check Point将其描述为”令人印象深刻”且”远比典型的Linux恶意软件先进”，并指出VoidLink具有一个处理C2通信和任务执行的核心协调器组件。 它还融合了大量反分析功能以规避检测。除了能够标记各种调试器和监控工具外，一旦检测到任何篡改迹象，它还能自我删除。它还具备自我修改代码功能，可在运行时解密受保护的代码区域，并在不使用时将其加密，从而绕过运行时内存扫描器。 此外，该恶意软件框架会枚举受感染主机上安装的安全产品和加固措施，以计算风险评分并制定全面的规避策略。例如，这可能涉及在高风险环境中放慢端口扫描速度并进行更精确的控制。 Check Point指出：”开发者展现出高水平的技术专长，熟练掌握包括Go、Zig、C和React等现代框架在内的多种编程语言。此外，攻击者拥有对复杂操作系统内部原理的深入了解，从而能够开发出先进而复杂的解决方案。VoidLink旨在尽可能自动化地实现规避，对环境进行画像并选择最合适的策略在其中运作。结合内核模式的技巧和庞大的插件生态系统，VoidLink使其操作者能够以自适应的隐秘方式在云环境和容器生态系统中活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一款恶意谷歌Chrome扩展的详细信息，该扩展伪装成一个可在MEXC（一个在170多个国家可用的中心化加密货币交易所）平台上实现交易自动化的工具，实则能够窃取与之关联的API密钥。 这款名为”MEXC API Automator”（ID：pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展程序，截至发稿时在Chrome网上应用店仍可下载，已记录了29次下载。它由一位名为”jorjortan142″的开发者于2025年9月1日首次发布。 安全研究机构Socket的研究员Kirill Boychenko在一份分析报告中指出：”该扩展能以编程方式创建新的MEXC API密钥、启用提款权限、在用户界面中隐藏该权限，并将生成的API密钥和密钥外泄至威胁行为者控制的一个硬编码的Telegram机器人。” 根据Chrome网上应用店的列表描述，这款网页浏览器插件被宣传为一个扩展，可通过在API管理页面上生成具有必要权限的API密钥，”简化将您的交易机器人与MEXC交易所的连接”。 如此一来，安装此扩展后，威胁行为者就能控制从受感染浏览器访问的任何MEXC账户，从而能够执行交易、进行自动提款，甚至清空通过该服务可访问的钱包和余额。 Socket补充道：”实际上，一旦用户导航到MEXC的API管理页面，该扩展就会注入一个单一的内容脚本script.js，并在已认证的MEXC会话内开始操作。”为了实现这一目的，该扩展会检查当前URL是否包含字符串"/user/openapi"，该字符串指向API密钥管理页面。 随后，该脚本会以编程方式创建一个新的API密钥，并确保启用了提款功能。同时，它会篡改页面的用户界面，让用户误以为提款权限已被禁用。一旦生成访问密钥和密钥的过程完成，该脚本会提取这两个值，并通过HTTPS POST请求将它们传输到威胁行为者控制下的一个硬编码的Telegram机器人。 此威胁构成了严重风险，因为只要API密钥有效且未被撤销，它就会一直保持活跃状态，即使受害者从Chrome浏览器中卸载了该扩展，攻击者仍能不受限制地访问受害者的账户。 Boychenko指出：”实质上，威胁行为者利用Chrome网上应用店作为传播渠道，利用MEXC的Web UI作为执行环境，并利用Telegram作为外泄渠道。其结果就是一个专门构建的、旨在窃取MEXC API密钥的扩展，它在API密钥被创建和配置为拥有完全权限的瞬间发起攻击。” 这种攻击之所以能够实现，是因为它利用了浏览器已通过身份验证的会话来达到其目的，从而无需获取用户密码或绕过身份验证保护。 目前尚不清楚此次攻击背后的操纵者是谁，但”jorjortan142″这个名称指向了一个同名的X平台账号，该账号链接到一个名为”SwapSushiBot”的Telegram机器人，这个机器人也在TikTok和YouTube上进行了推广。关联的YouTube频道创建于2025年8月17日。 Socket表示：”通过在浏览器内劫持单个API工作流程，威胁行为者可以绕过许多传统控制措施，直接获取具有提款权限、长期有效的API密钥。同样的攻击手法可以很容易地适配到其他交易所、DeFi仪表板、经纪商门户以及任何在会话中发放令牌的Web控制台，并且未来的变种很可能会引入更重的混淆技术、请求更广泛的浏览器权限，并将支持多个平台的功能捆绑到一个扩展中。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  黑客正兜售一批据称是与亚美尼亚政府相关的海量数据，埃里温官方已针对这起数据泄露事件启动调查。化名为dk0m的数据售卖者声称，自己侵入了一个用于发布官方文书的政府通知系统。该数据集在某地下论坛标价 2500 美元出售，据称包含约 800 万条与官方通知相关的记录，其中涵盖警方和司法机构的相关文书。 亚美尼亚政府旗下战略传播机构 ——亚美尼亚公共关系与信息中心于周六发布声明，否认该国政府邮件系统遭到入侵，但表示攻击者有可能获取了另一政府平台的数据。 该中心称：“初步核查显示，泄露文件源自电子民事诉讼平台。” 同时补充道，正在进行内部调查以确认数据来源及其访问方式。 非政府组织亚美尼亚网络安全中心的研究人员指出，dk0m 是地下网络犯罪论坛上一名臭名昭著的信息中间商，至少从 2024 年起就有售卖各国政府相关数据的前科。 该黑客通常依靠信息窃取恶意软件，这类工具可从受感染设备中窃取已保存的账户凭证和会话 Cookie，获取敏感政府门户网站的访问权限，随后将窃取的数据打包转售牟利。 研究人员还提到，dk0m 此前曾兜售过阿根廷、乌克兰、巴西等多国部委的相关数据，且为提升可信度，常常会对外分享数据样本或数据库结构。 该组织表示，2024 年 8 月的相关截图显示，这名黑客当时可能就已获取亚美尼亚政府相关数据，此次兜售行为很可能是为了将早前窃取的资料变现。 研究人员警示，若该数据集属实，亚美尼亚公民面临的网络风险将大幅上升。 亚美尼亚网络安全中心指出：“源自法院、执法部门或警方的官方样式数据，会大大降低社会工程学攻击的实施门槛。” “不法分子可利用真实的案件编号、罚款信息或执法文书，向公民发送极具迷惑性的诈骗信息，极易引发民众恐慌性回应或让其乖乖落入圈套。” 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Struts 2中发现了一个关键的XML外部实体注入漏洞，可能导致数百万个应用程序面临数据窃取和服务器被攻击的风险。 该漏洞编号为CVE-2025-68493，影响了该广泛使用框架的多个版本，开发人员与系统管理员需立即采取行动。 漏洞概述 该安全漏洞存在于Apache Struts 2的XWork组件中，该组件负责处理XML配置解析。 该组件未能正确验证XML输入，导致应用程序容易受到XXE注入攻击。 CVE 编号 漏洞类型 受影响组件 受影响版本 CVE-2025-68493 XML外部实体（XXE）注入 XWork组件 Struts 2.0.0–2.3.37，2.5.0–2.5.33，6.0.0–6.1.0 威胁行为者可利用此弱点访问受影响服务器上存储的敏感信息，或发起拒绝服务攻击。 ZAST.AI的安全研究人员发现了该漏洞，并已向Apache Struts团队报告。 该漏洞因其对数据机密性和系统可用性的潜在影响，被评定为”重要”安全等级。 该漏洞影响了全球各组织当前正在使用的广泛的Struts 2版本： 受影响版本范围 状态 Struts 2.0.0 – 2.3.37 生命周期结束 Struts 2.5.0 – 2.5.33 生命周期结束 Struts 6.0.0 – 6.1.0 积极支持 运行任何这些版本的组织应立即优先进行安全更新。 成功利用CVE-2025-68493可能导致： 影响类型 描述 数据泄露 攻击者可提取敏感配置文件、数据库凭证和应用程序密钥 服务器端请求伪造（SSRF） 内部网络资源和系统可能被入侵 拒绝服务（DoS） 使用恶意XML负载可破坏应用程序可用性 Apache已发布Struts 6.1.1作为修复版本。组织应立即升级到此版本。 该补丁保持了向后兼容性，确保在不破坏现有应用程序的情况下顺利部署。 无法立即升级的组织可以实施临时缓解措施： 缓解措施 描述 自定义 SAXParserFactory 通过将 xwork.saxParserFactory 设置为一个禁用外部实体的工厂类，来配置自定义SAXParserFactory JVM 级别配置 使用JVM系统属性全局禁用外部实体： -Djavax.xml.accessExternalDTD="" -Djavax.xml.accessExternalSchema="" -Djavax.xml.accessExternalStylesheet="" 这些缓解措施为组织规划升级时间表提供了临时保护。CVE-2025-68493对全球范围内的Struts 2部署构成了严重威胁。 立即打补丁应成为安全团队的首要任务，其次是验证那些无法立即升级的系统是否已落实缓解措施。 组织应审查其Struts 2资产清单，并制定加急的修补计划，以消除此关键漏洞带来的风险。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者HawkSec声称正在拍卖一个包含78,541,207个文件的Discord数据集。该数据集按消息、语音会话、操作和服务器分类整理，源于一个已废弃、历时数月的开源情报（OSINT）/网络开源情报项目。 HawkSec在其名为”Hello Hawks Community”的Discord服务器中推广此数据集，宣布可通过指定渠道购买。 据称，这些文件涵盖了公开的Discord互动，截图中重点展示了诸如”ME文件”、语音数据和服务器元数据等细节。公开渠道未透露具体价格，但该行为者邀请潜在买家询价获取样本。 类似的销售行为此前也曾出现，例如2025年在网络犯罪论坛上曾出现一份清单，出售从近1000个公共服务器中抓取的3.48亿条消息。 研究人员也曾发布大型公共数据集，例如”Discord Unveiled”，其中包含通过Discord API从3,167个服务器获取的超过20亿条消息。 这7800万个文件表明数据抓取范围非常广泛，可能针对的是在Discord”探索”列表中列出的公共服务器，这些服务器平均每个拥有约1200名成员。HawkSec描述称，该项目最初旨在开发高级情报工具，后转而进行商业化。 虽然未经证实包含私人数据，但聚合的公开日志在与其它来源交叉引用时，会带来重新识别的风险。 Discord因公开数据抓取问题一直面临审查；过去的事件涉及诸如Spy.pet等出售数十亿条消息的工具。与地下销售不同，合法的学术数据抓取强调匿名化和API合规。 即使没有发生数据泄露，公开的Discord数据也可能助长骚扰、人肉搜索或针对性钓鱼攻击。可见服务器中的用户面临更大的暴露风险，这与2025年因20亿条消息数据集引发的隐私担忧如出一辙。没有证据表明此事与Discord的基础设施有关；这很可能属于通过API可访问的公开内容。 Discord坚持认为，公开频道是自由访问的，以此区分数据抓取与数据泄露。2025年，一家第三方供应商通过Zendesk泄露了7万份政府身份证件，但攻击者夸大其词，声称涉及550万用户。官方在泄露事件后敦促用户警惕钓鱼攻击。 截至2026年1月12日，Discord尚未就HawkSec事件作出回应。网络安全专家建议用户检查服务器的可见性设置，并监控数据的滥用情况。 除了一张共享的图片外，HawkSec的说法尚未得到证实，这突显了游戏社区中数据商品化带来的持续威胁。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Telegram移动客户端中存在一个隐蔽漏洞，允许攻击者仅需一次点击即可揭露用户的真实IP地址，即使是那些隐藏在代理之后的用户也不例外。该漏洞被称为”一键IP泄露”，它将看似无害的用户名链接变成了强大的追踪武器。 问题的核心在于Telegram的自动代理验证机制。当用户遇到一个伪装的代理链接时（通常隐藏在用户名后，例如 t.me/proxy?server=attacker-controlled），应用程序在添加代理服务器之前会先对其进行”ping”操作测试连通性。 至关重要的是，这个”ping”请求会绕过所有用户配置的代理，直接从受害者的设备路由出去，从而暴露其真实IP。此过程不需要密钥，类似于Windows上的NTLM哈希泄露——认证尝试本身就会暴露客户端信息。 网络安全专家 @0x6rss 在X上演示了一个攻击向量，并分享了一个概念验证：一键Telegram IP泄露。”Telegram在添加代理前会自动ping该代理，”他们指出。”该请求会绕过所有已配置的代理。你的真实IP会被立即记录。” 攻击如何展开 攻击者制作恶意代理URL，并将其伪装成聊天或频道中的可点击用户名。目标用户点击一次后，将触发： 自动代理测试：Telegram向攻击者的服务器发送连通性探测请求。 代理被绕过：该请求忽略SOCKS5、MTProto或VPN设置，使用设备的原生网络栈。 IP被记录：攻击者的服务器捕获来源IP、地理位置和元数据。 Android和iOS客户端均受影响，波及数百万依赖Telegram进行敏感隐私通信的用户。除了点击外，无需任何其他用户交互；该漏洞隐蔽且有效，可用于人肉搜索、监控或使活动人士去匿名化。 在政府资助的追踪活动日益增加的背景下，这一漏洞凸显了重度依赖代理的应用程序所面临的风险。Telegram拥有超过9.5亿用户，目前尚未公开修补此漏洞。过去，Signal等应用程序也曾受到类似旁路问题的困扰。 缓解措施： 在设置中禁用自动代理检测（如果可用）。 避免点击未知的用户名/链接。 使用防火墙规则阻止出站代理ping请求（例如，在iOS上使用Little Snitch或在Android上使用AFWall+）。 通过Telegram的更新日志监控补丁发布。 研究人员敦促立即修复。截至发稿时，Telegram尚未对置评请求作出回应。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新一波GoBruteforcer攻击瞄准了加密货币和区块链项目的数据库，将其纳入僵尸网络，该网络能够对Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务进行用户密码暴力破解。 “当前这一波攻击活动由两个因素驱动：大量重复使用人工智能生成的服务器部署示例，这些示例传播了常见的用户名和脆弱的默认设置；以及XAMPP等遗留Web堆栈的持续存在，这些堆栈暴露了FTP和管理界面，且安全加固程度极低。”Check Point Research在上周发布的分析报告中表示。 GoBruteforcer最初由Palo Alto Networks Unit 42于2023年3月记录，其能够针对运行x86、x64和ARM架构的类Unix平台，部署一个互联网中继聊天僵尸程序和一个用于远程访问的Web Shell，同时获取暴力破解模块以扫描易受攻击的系统并扩大僵尸网络的覆盖范围。 Lumen Technologies的Black Lotus Labs团队在2025年9月的一份后续报告中发现，由另一个名为SystemBC的恶意软件家族控制的大量受感染僵尸机器，也属于GoBruteforcer僵尸网络的一部分。 Check Point表示，他们在2025年年中识别出一个更复杂的Golang恶意软件版本，该版本包含一个用跨平台编程语言重写的、经过深度混淆的IRC僵尸程序，改进了持久化机制、进程伪装技术和动态凭证列表。 凭证列表包含了可以接受远程登录的常见用户名和密码组合（例如：myuser:Abcd@123 或 appeaser:admin123456）。选择这些名称并非偶然，因为它们曾在数据库教程和供应商文档中使用，而这些资料都被用于训练大型语言模型，导致模型生成的代码片段带有相同的默认用户名。 列表中的其他一些用户名则专注于加密货币（例如：cryptouser、appcrypto、crypto_app 和 crypto）或针对phpMyAdmin面板（例如：root、wordpress 和 wpuser）。 “攻击者在每次活动中重复使用一个稳定的小型密码池，从该池中刷新每个任务的列表，并每周数次轮换用户名和特定领域的补充内容，以追求不同的目标，”Check Point称。”与其他服务不同，FTP暴力破解使用的是硬编码在破解程序二进制文件中的一小套凭证。这套内置的凭证指向网络托管堆栈和默认服务账户。” 根据Check Point观察到的活动，攻击者利用运行XAMPP的服务器上暴露在互联网的FTP服务作为初始入侵载体，上传一个PHP Web Shell，然后使用基于系统架构的Shell脚本来下载并执行更新版的IRC僵尸程序。一旦主机被成功感染，它可以用于三种不同的用途： 运行暴力破解组件，尝试对互联网上的FTP、MySQL、Postgres和phpMyAdmin进行密码登录。 托管并向其他被入侵的系统分发有效负载，或者 托管IRC风格的控制端点，或充当备用命令与控制（C2）服务器以增强弹性。 对该攻击活动的进一步分析确定，其中一台被入侵的主机被用来部署一个模块，该模块遍历TRON区块链地址列表，并使用 tronscanapi[.]com 服务查询余额，以识别资金非零的账户。这表明了针对区块链项目的协同努力。 “GoBruteforcer例证了一个更广泛且持久的问题：暴露的基础设施、脆弱的凭证和日益自动化的工具的组合，”Check Point表示。”虽然该僵尸网络在技术上相对简单，但其运营者受益于大量在线且配置不当的服务。” 这一披露正值GreyNoise透露，威胁行为者正在系统地扫描互联网，寻找可能提供对商业LLM服务访问权限的配置不当的代理服务器。 在这两个攻击活动中，有一个在2025年10月至2026年1月期间，利用了服务器端请求伪造（SSRF）漏洞，针对Ollama的模型拉取功能和Twilio SMS webhook集成。基于对ProjectDiscovery OAST基础设施的使用，推测该活动可能源于安全研究人员或漏洞赏金猎人。 第二组活动始于2025年12月28日，据评估是一次大规模枚举尝试，旨在识别与阿里巴巴、Anthropic、DeepSeek、Google、Meta、Mistral、OpenAI和xAI相关的暴露或配置不当的LLM端点。扫描源自IP地址 45.88.186[.]70 和 204.76.203[.]125。 “从2025年12月28日开始，两个IP地址启动了对超过73个LLM模型端点的系统性探测，”该威胁情报公司称。”在十一天内，他们生成了80,469个会话——这是对可能泄露商业API访问权限的配置不当代理服务器进行的系统性侦察。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被发现在npm注册表上上传了八个软件包，这些软件包伪装成针对n8n工作流自动化平台的集成工具，旨在窃取开发者的OAuth凭证。 其中一个名为 “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit” 的软件包模仿了Google Ads集成，它会提示用户在看似合法的表单中关联其广告账户，随后将凭证窃取到攻击者控制的服务器上。 “这次攻击代表了供应链威胁的新升级，”Endor Labs在上周发布的一份报告中表示。”与通常针对开发者凭证的传统npm恶意软件不同，这次活动利用了作为集中式凭证库的工作流自动化平台——这些平台将OAuth令牌、API密钥以及用于Google Ads、Stripe和Salesforce等数十种集成服务的敏感凭证集中存储在一个位置。” 已发现的软件包清单（目前已被移除）如下： n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (下载量：4,241，作者：kakashi-hatake) n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (下载量：1,657，作者：kakashi-hatake) n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (下载量：1,493，作者：kakashi-hatake) n8n-nodes-performance-metrics (下载量：752，作者：hezi109) n8n-nodes-gasdhgfuy-rejerw-ytjsadx (下载量：8,385，作者：zabuza-momochi) n8n-nodes-danev (下载量：5,525，作者：dan_even_segler) n8n-nodes-rooyai-model (下载量：1,731，作者：haggags) n8n-nodes-zalo-vietts (下载量：4,241，作者：vietts_code 和 diendh) 用户 “zabuza-momochi”、”dan_even_segler” 和 “diendh” 还被发现与其他仍可下载的库有关联： n8n-nodes-gg-udhasudsh-hgjkhg-official (下载量：2,863) n8n-nodes-danev-test-project (下载量：1,259) @diendh/n8n-nodes-tiktok-v2 (下载量：218) n8n-nodes-zl-vietts (下载量：6,357) 目前尚不清楚这些库是否具有类似的恶意功能。然而，在ReversingLabs Spectra Assure上对前三个软件包的评估未发现安全问题。对于 “n8n-nodes-zl-vietts”，分析已将该库标记为包含具有恶意软件历史的组件。 就在三小时前，软件包 “n8n-nodes-gg-udhasudsh-hgjkhg-official” 的更新版本被发布到npm，这表明该攻击活动可能仍在进行中。 该恶意软件包一旦作为社区节点安装，其行为会像任何其他n8n集成一样，显示配置屏幕，并将Google Ads账户的OAuth令牌以加密格式保存到n8n的凭证存储中。当工作流执行时，它会运行代码，使用n8n的主密钥解密存储的令牌，并将其外泄到远程服务器。 这一事件标志着供应链威胁首次明确针对n8n生态系统，不良行为者利用社区集成的信任来实现其目标。 这些发现凸显了集成不受信任的工作流所带来的安全问题，这可能会扩大攻击面。建议开发者在安装软件包前对其进行审计，仔细检查软件包元数据是否存在异常，并使用官方的n8n集成。 n8n也警告了使用来自npm的社区节点所带来的安全风险，并表示这些节点可以在n8n服务运行的机器上执行恶意操作。对于自托管的n8n实例，建议通过将 N8N_COMMUNITY_PACKAGES_ENABLED 设置为 false 来禁用社区节点。 “社区节点拥有与n8n本身相同的访问权限。它们可以读取环境变量、访问文件系统、发起出站网络请求，最关键的是，在工作流执行期间接收解密的API密钥和OAuth令牌，”研究员Kiran Raj和Henrik Plate表示。”节点代码和n8n运行时之间没有沙盒化或隔离。” “正因如此，只需一个恶意的npm软件包，就足以深入洞察工作流、窃取凭证，并在不立即引起怀疑的情况下与外部通信。对于攻击者而言，npm供应链为进入n8n环境提供了一个隐蔽且高效的切入点。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为MuddyWater的伊朗黑客组织近日被指发动了一场针对中东地区外交、海事、金融及电信实体的鱼叉式钓鱼攻击，其使用的是一款基于Rust语言、代号为RustyWater的植入程序。 CloudSEK的研究员Prajwal Awasthi在本周发布的报告中表示：“此次攻击活动利用图标伪装和恶意Word文档，投放基于Rust语言开发的植入程序。该植入程序具备异步命令与控制（C2）通信、反分析、通过注册表实现持久化以及模块化扩展等能力。” 这一最新进展表明MuddyWater的攻击手法持续演变。该组织已逐步但稳步减少对合法远程访问软件作为入侵后工具的依赖，转而采用多样化的定制恶意软件库，包括Phoenix、UDPGangster、BugSleep和MuddyViper等工具。 该黑客组织被评估隶属于伊朗情报与安全部，其活动至少可追溯至2017年。 传播RustyWater的攻击链较为直接：伪装成网络安全指南的鱼叉式钓鱼邮件附带一个Microsoft Word文档。当受害者打开文档时，会收到“启用内容”的提示，一旦执行，便会激活一个负责部署Rust植入程序的恶意VBA宏。 RustyWater会收集受害者计算机信息、检测已安装的安全软件、通过Windows注册表项建立持久化，并与命令与控制（C2）服务器（”nomercys.it[.]com”）建立联系，以执行文件操作和命令。 值得注意的是，Seqrite Labs在上月底曾报告RUSTRIC被用于针对以色列的信息技术（IT）公司、管理服务提供商（MSP）、人力资源及软件开发公司的攻击活动中。这家网络安全公司将该活动追踪命名为UNG0801和Operation IconCat。 CloudSEK指出：“从历史手法看，MuddyWater一直依赖PowerShell和VBS加载程序进行初始入侵和后续操作。此次引入基于Rust语言的植入程序，标志着其工具链向更结构化、模块化和低噪声的远程访问木马能力显著演进。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文