HackerNews

HackerNews 编译，转载请注明出处： 加拿大网络安全中心（The Canadian Center for Cyber Security）警告，关键基础设施相关企业及机构已成为黑客组织的攻击目标，需采取额外安全措施。 近几周，加拿大网络安全中心与加拿大皇家骑警（Royal Canadian Mounted Police）收到多起安全事件报告，涉及可通过互联网访问的工业控制系统（ICS）。 其中一起事件发生在某供水设施。攻击者成功侵入该设施的 IT 网络，篡改供水压力数值，导致当地社区供水服务中断。 另有一家加拿大油气企业受影响，其自动油罐计量仪（ATG）遭篡改，触发虚假警报。此外，加拿大某农场的谷物烘干仓曾遭遇黑客攻击，对方试图篡改温度与湿度数据，此举可能导致安全隐患。 加拿大网络安全中心在新闻稿中表示：“尽管部分机构可能并非攻击者的直接目标，但仍可能成为‘机会性受害者’。目前黑客组织正越来越多地利用可联网的工业控制系统设备，以获取媒体关注、破坏机构声誉，并损害加拿大的国家形象。” 为抵御攻击者，关键基础设施领域的企业及机构需采取额外安全防护措施。 根据加拿大网络安全机构的建议，相关主体应采取以下行动： 对所有可联网的工业控制系统设备进行全面盘点，并评估其联网必要性； 尽可能采用替代方案避免设备直接暴露在互联网中，例如使用带有双重认证（2FA）的虚拟专用网络（VPN）； 若上述方案不可行，应考虑采用强化监控服务，包括定期渗透测试与漏洞管理； 定期对员工开展培训，提升其在网络安全事件中的应对能力； 市政部门及相关机构应与服务提供商紧密合作，确保托管服务的安全部署，并遵循供应商建议与指导方针，保障设备及服务安全。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦多部门正联合支持一项提案，计划禁止TP-Link 家用路由器在美销售，理由是该厂商被指仍与前中国母公司存在紧密关联。 据《华盛顿邮报》报道，美国商务部已正式提出这一禁售建议。消息人士透露，该提案获得了美国国防部、国土安全部及司法部的支持。 指控理由 TP-Link Systems总部位于美国加利福尼亚，最初是从中国本土企业普联技术（TP-Link Technologies）分拆而来。 数据显示，该公司产品占据美国家用路由器市场份额的36%。且由于一些互联网服务提供商会捆绑TP-Link设备，实际份额可能更高。 美国商务部指控的理由有两个： 第一，该公司仍持有原中国母公司在华资产。 第二，路由器设备涉及美国敏感数据处理，或存安全隐患。 此外，据此，商务部怀疑该公司仍受中国政府的管辖或影响。 对此，TP-Link 美国公司明确否认所有指控，并表示过去三年已与中国母公司完成彻底拆分。 公司发言人里卡・西尔维里奥在声明中强调：“TP-Link 坚决驳斥任何有关其产品对美国国家安全构成威胁的说法，我们作为一家美国企业，始终致力于为美国及全球市场提供高品质、安全可靠的产品。” 未来走向 目前，该提案仍需美国商务部最终签署生效，且不排除被否决的可能。 近期，中美两国领导人会晤后，双方达成了为期一年的贸易休战协议。 或许正因如此，《华盛顿邮报》指出，提案中预留了协商空间：TP-Link 美国公司可通过提交一份令政府满意的解决方案，来避免禁令生效。美方的核心诉求是获得明确保证：产品的关键软硬件研发过程，不得受到中国方面的任何影响。 这一情节与 TikTok 的命运轨迹颇为相似。TikTok 的母公司字节跳动总部位于中国，此前特朗普政府在获得国家安全相关承诺后，允许该应用继续在美国运营，中国方面也已批准相关协议；此外，TikTok 还需将其核心算法复制后，利用美国用户数据重新训练。 根据美国相关法律，若商务部长认定某款受外国影响的技术存在安全风险，商务部有权提出风险缓解方案。但在 TP-Link 一案中，官员们认为，除全面禁售外，任何缓解措施都无法达到安全要求。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名政府技术服务商Conduent本周向多个州政府通报，今年1月发生的网络安全事件导致超过1000万人的个人信息面临泄露风险。 根据数据泄露通知文件，Conduent调查发现黑客在2024年10月21日至2025年1月13日期间持续访问公司网络，窃取了与该公司在美国多州业务相关的大量文件。该公司表示：”发现事件后，我们安全恢复了系统运营，并已通知执法部门。” Conduent与州政府签有数十份合同，为医疗补助、儿童抚养、食品援助、道路收费等项目提供技术支持。该公司每年处理约850亿美元的政府支付款项，完成23亿次客户服务交互。公司声明其”为美国政府各类健康项目中的约1亿居民提供支持，协助州和联邦机构在降低成本的同时提供关键服务”。 目前已确认的具体影响包括： 得克萨斯州：超40万人，涉及社保号码、医疗信息和健康保险数据 华盛顿州：约7.6万人 南卡罗来纳州：约4.8万人 新罕布什尔州：超1万人 缅因州：378人 公司还在俄勒冈州、马萨诸塞州、加利福尼亚州和新罕布什尔州提交了违规通知。 事件时间线与应对措施 2025年1月：公司向Recorded Future News承认因”第三方系统遭入侵”导致业务中断 2025年2月：SafePay勒索软件团伙声称窃取8.5TB数据 2025年4月：公司在SEC备案中确认黑客”窃取了与少量客户相关的文件集” Conduent已设立呼叫中心处理相关咨询，并将向信息泄露者发送通知信件。公司指出其网络安全保险将覆盖部分事件响应成本，并透露联邦执法机构已介入调查。 运营影响与财务成本 此次事件导致多日运营中断，威斯康星州儿童和家庭部曾向居民通报Conduent系统中断影响邮件支付处理。家长和受益人也向当地媒体抱怨支付困难，威斯康星州当时确认至少还有其他三个州同样面临影响电子转账或EBT卡支付的系统中断。 根据最新财报，Conduent上财季收入为7.54亿美元，为应对今年1月的网络安全事件已支出约200万美元用于”调查、修复和响应”。公司强调，据其所知”被窃数据尚未在暗网或公开渠道泄露”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为AdaptixC2的开源命令与控制框架正被越来越多的威胁行为体使用，其中部分与俄罗斯勒索软件团伙存在关联。 AdaptixC2是一款新兴的可扩展后渗透与对抗模拟框架，专为渗透测试设计。其服务端组件采用Golang编写，GUI客户端则使用C++ QT实现跨平台兼容性。该框架具备全加密通信、命令执行、凭证与截图管理、远程终端等丰富功能。 该框架的早期版本由GitHub用户”RalfHacker”于2024年8月公开发布，该用户自称是渗透测试员、红队操作员和恶意软件开发者。尽管AdaptixC2是作为道德红队活动的开源工具推出，但显然已引起网络犯罪分子的关注。 近几个月来，多家黑客组织已开始采用AdaptixC2，包括与Fog和Akira勒索软件行动相关的威胁行为体，以及一名在攻击中利用CountLoader投放多种后渗透工具的初始访问经纪人。 Palo Alto Networks旗下Unit 42团队上个月分析了该框架的技术特点，称其作为模块化多功能框架能够”全面控制受感染机器”，并已被用于通过Microsoft Teams实施的假冒技术支持诈骗以及通过AI生成的PowerShell脚本进行攻击。 网络安全公司Silent Push表示，RalfHacker在GitHub简介中自称”恶意软件开发者”的表述引起了他们的警觉。调查发现该账号所有者关联的多个GitHub账户邮箱，以及一个拥有超过28,000订阅者的Telegram频道“RalfHackerChannel”，该频道专门转发AdaptixC2相关消息。 在2024年8月AdaptixFramework频道的消息中，RalfHacker曾表示有兴趣启动一个”当前非常流行的公共C2框架”项目，并希望其能成为像Empire一样受欢迎的后渗透和对抗模拟框架。 尽管目前尚无证据表明RalfHacker直接参与与AdaptixC2或CountLoader相关的恶意活动，但Silent Push指出：”通过其使用Telegram进行营销推广，以及该工具随后被俄罗斯威胁行为体大量使用的情况，都显示出与俄罗斯犯罪地下世界的关联，这些现象均敲响了严重的安全警钟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大营销机构之一的日本跨国广告与公关公司电通集团近日发布公告，确认其美国子公司Merkle遭受网络攻击，导致员工及客户数据泄露。 根据公司发布的安全事件通知，电通集团表示：”我们在负责集团海外业务的客户体验管理子公司Merkle的部分网络中检测到异常活动。我们立即启动了事件响应程序，主动关闭了部分系统，并迅速采取措施将影响降至最低，目前系统已恢复运行。”作为应急响应计划的一部分，公司采取了将部分系统离线的措施以遏制攻击蔓延。 电通确认黑客从Merkle网络中窃取了文件，涉及供应商、客户和员工数据，包括个人信息、薪资资料和国家保险详细信息。公司正在通知受影响个体，并为其提供免费的暗网监控服务。 “调查发现某些文件从Merkle网络中被窃取。经审查，这些文件包含现任及前任员工的个人信息，”电通在声明中表示，”调查仍在进行中，但目前我们预计文件包括银行和薪资详情、工资、国家保险号码以及个人联系方式。” 公司声明其日本本土网络系统未受影响，但目前尚无法评估此次事件对业务造成的财务影响。截至2024年12月31日，电通集团拥有约67,667名员工。2024财年，公司报告合并营收为1.41万亿日元（按当前汇率约合102亿欧元）。 Merkle作为电通集团旗下美国营销与客户体验机构，专注于数据驱动型绩效营销，利用分析、技术和数字平台帮助客户优化体验并推动增长。该公司在全球拥有超过16,000名员工，年收入约15亿美元。 目前尚不确定此次事件是否为勒索软件攻击，截至目前尚无任何勒索组织声称对Merkle或电通遭受的攻击负责。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员何塞·皮诺近日披露了Chromium的Blink渲染引擎中存在一个名为”Brash”的高危漏洞，攻击者可通过单个恶意链接在数秒内使众多基于Chromium的浏览器崩溃。 “Brash”漏洞利用document.title API缺乏速率限制的缺陷，以每秒数百万次的速度向浏览器发送DOM更新请求，导致主线程过载。 该漏洞会引发CPU使用率飙升、浏览器冻结和系统减速，影响涵盖桌面端、Android及嵌入式设备。 攻击分三个阶段实施： 预加载阶段：在内存中预存100个独特的512字符十六进制字符串，以最大化更新吞吐量 爆发注入：快速执行三重更新（默认爆发量8000次，1毫秒间隔），实现每秒约2400万次标题写入 持续饱和：持续注入使UI/主线程饱和，数秒内即可导致CPU占用率飙升、标签页冻结，最终浏览器崩溃 经测试，以下基于Chromium/Blink引擎的浏览器均受影响： Chrome：15-30秒内崩溃 Edge：15-25秒内崩溃 Vivaldi/Arc/Dia浏览器：15-30秒内崩溃 Opera：约60秒内崩溃 Perplexity Comet：15-35秒内崩溃 ChatGPT Atlas：15-60秒内崩溃 Brave：30-125秒内崩溃 以下浏览器不受影响： Firefox（使用Gecko引擎） Safari及所有iOS浏览器（使用WebKit引擎） 皮诺警告，”Brash”可能被武器化并造成严重后果： 定时攻击：可预设精确执行时间，将攻击从干扰工具转变为时间精准武器 经济破坏：针对AI智能体和无头浏览器的爬取活动，可导致自动化交易、价格监控、SEO爬虫等关键业务中断 系统依赖风险：同时发生的多系统故障将暴露企业对自动化系统的关键依赖弱点 专家总结指出：”Brash的诞生证明了当基础保护措施缺失时会发生的状况。该漏洞并非存在于复杂代码中，而是源于本应受限的API缺乏速率限制这一基本设计缺陷。它对全球30亿Chromium用户的影响表明，核心组件的架构缺陷会带来巨大的全球性后果——这不是一个孤立漏洞，而是影响整个Chromium生态系统的设计缺陷。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的知名勒索软件团伙再次发起攻击，此次声称已入侵日本连锁超市集团Super Value Co.，并在暗网上公开泄露了员工与财务数据。 涉嫌发动此次勒索软件攻击的Qilin团伙，已在其暗网泄露网站上将日本零售商Super Value Co.列为受害者。该超市主要在日本埼玉县及东京都市圈运营结合超市与家居中心的混合零售综合体，以及独立的食品超市。 攻击团伙在其泄露网站上提供了据称属于受害者的被盗数据样本，这是勒索攻击中威胁行为体常用的施压手段，旨在迫使公司支付赎金。 攻击者分享的数据样本中包含大量载有敏感信息的日文内部文件，涉及： 人力资源文件（暴露员工个人信息及雇佣数据） 安保密钥移交证明文件 绩效报告 工伤事故报告表 现金丢失事件报告表 薪资文件 财务报表（包括门店月销售额、盈利与亏损状况） 销售、产品订单及交货单日志 具体而言，人力资源文件泄露了员工的个人身份证号、全名、完整家庭住址、出生日期、年龄、性别、入职日期、雇佣类型（全职/兼职）、职位、部门/销售区域或工作地点、状态及离职/退休日期（部分记录）、电话号码、工作事故数据、工资及工作安排。 目前尚无法确认这些声称的真实性，以及数据是否确实属于该日本零售商。Cybernews已联系该公司，但尚未获得回复。 若数据被证实属实，将使公司及其员工面临欺诈和身份盗窃的风险。Cybernews研究人员指出：”就公司而言，这些样本主要揭示了其运营细节，可能将商业策略暴露给竞争对手。”此外，由于未包含员工个人联系方式，社会工程学攻击更可能针对公司而非个人展开。 Qilin是勒索软件领域的重要角色。这个与俄罗斯有关联的团伙以医院和制造业为攻击目标而闻名。该组织于2022年首次出现在勒索软件领域，但其暗网泄露网站声称其自2021年便开始运作。 自今年9月初以来，Qilin已列出超过88名受害者，在过去12个月内跃升为最活跃的勒索软件团伙。根据Cybernews内部监控工具Ransomlooker的数据，自2023年以来该团伙已声称入侵947名受害者。 本月，Qilin还声称入侵了德克萨斯州的电力合作社，并泄露了美国大型药房福利管理公司MedImpact的数据。该团伙近期对英国NHS合作伙伴Synnovis实验室的攻击造成了严重后果，导致医院被迫转移患者并取消超过1万个预约和手术。 值得注意的是，这个臭名昭著的俄罗斯相关团伙LockBit已与DragonForce和Qilin勒索软件组成联盟。专家认为，该联盟可能通过共享资源改进攻击策略并提高攻击频率。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ribbon是一家实时通信技术公司，为全球企业及关键基础设施领域，提供安全云通信、IP 及光网络解决方案。 其总部位于美国得克萨斯州，服务用户涵盖电信、银行、政府等领域的数十家大型企业，美国国防部也包括在列。这一背景使得此次国家级攻击更具威胁性。 攻击者潜伏近一年 10月23日，Ribbon在提交给美国证券交易委员会的第三季度财报（10-Q 文件）中首次披露了此次数据泄露事件。 文件第 57 页“网络安全事件披露” 部分写道：“2025 年 9 月初，公司发现有国家级未授权威胁行为体入侵了公司的 IT 网络。” 公司初步分析显示，攻击者的首次入侵可追溯至2024年12月。不过，关于初始入侵时间的最终结论，仍需等待完整的调查结果来盖棺定论。 Barrier Networks 公司首席技术官瑞安・麦科尼奇表示：“此次大型电信提供商遭遇攻击，进一步证明网络世界已成为所有对手的首选‘战场’。” 他指出：“我们尚不清楚幕后是哪个国家，也不知道他们的攻击手法，但黑客在被发现前已潜伏近一年，这一事实着实令人担忧。” 风险声明 Ribbon 的产品主打帮助用户将固定、移动及企业网络，从传统环境转型为安全的 IP 及云架构。其客户及合作伙伴包括： 电信服务商：威瑞森、美国电话电报公司、康卡斯特、英国电信、世纪互联、德国电信、软银、TalkTalk、塔塔集团等。 政府与公共机构：美国国防部、洛杉矶市、得克萨斯大学。 金融机构：美国银行、摩根大通、富国银行。 技术合作伙伴：帕洛阿尔托网络、慧与、英特尔、爱立信、飞塔以及 F5 Networks。 Ribbon声明称：“网络安全是客户网络的首要关切，物品们始终重视与客户的长期合作”。 得知入侵后，公司 “立即启动事件响应计划，联系联邦执法部门，并联合多家第三方网络安全专家开展调查”。 Ribbon 还表示，已成功将威胁行为体驱逐出网络，“截至目前的调查，未发现黑客访问客户系统或其他重要公司信息的证据”。 但公司也承认，“两台笔记本电脑上存储的、主网络之外的部分客户文件，似乎已被威胁行为体访问”，不过未透露受影响客户的名称，仅表示已通知相关方。 路透社报道称，被访问的是 “4 份较早期文件”。此外，Ribbon 已采取即时预防措施，进一步加强网络防护以避免未来再发此类事件，并表示 “对此次事件引发的担忧深表歉意，已与 3 家受影响客户直接沟通”。 网络安全研究人员认为，尽管 Ribbon 称 “政府客户未受影响”，但这一情况仍需全面核实。鉴于国家级威胁行为体正将目标聚焦于关键基础设施及其他电信企业，这些机构做好攻击防御准备至关重要。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国防承包商L3Harris的一名前高管于周三认罪，承认向一名俄罗斯经纪人出售间谍软件漏洞利用工具。 根据美国司法部发布的新闻稿，曾主管L3Harris旗下间谍软件与零日漏洞部门Trenchant的彼得·威廉姆斯，将商业机密出售给一家”公开自称向包括俄罗斯政府在内的各类客户转售网络漏洞利用工具”的俄罗斯网络工具经纪人。 威廉姆斯对其两项窃取商业机密的指控认罪。官方称他在2022年至2025年的三年期间窃取并兜售这些信息。司法部表示，被出售的物料属于国家安全软件，包含至少八个”敏感且受保护的网络漏洞利用组件”，这些工具原本仅限向美国政府及经批准的盟友销售。 每项指控最高可判处10年监禁并处罚金。 检方指出，威廉姆斯因出售这些机密被承诺获得数百万美元的加密货币报酬。官方称他与该俄罗斯经纪人签订了多份合同，涉及初始销售及“后续技术支持”。 “这些国际网络经纪人是新一代国际军火商，我们将持续警惕其活动，”美国检察官珍妮·费里斯·皮罗在声明中表示。 皮罗指出，威廉姆斯的罪行不仅给L3Harris造成3500万美元损失，更向非盟友的外国网络行为体提供了“可能已被用于攻击众多无辜受害者的尖端网络漏洞利用工具”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现10个恶意npm软件包，这些包被设计用于在Windows、Linux和macOS系统上投放信息窃取程序。 Socket安全研究员Kush Pandya表示：“该恶意软件采用四层混淆技术隐藏有效负载，显示虚假验证码以伪装成合法程序，通过IP地址对受害者进行指纹识别，并下载一个24MB的PyInstaller打包信息窃取程序，能够从Windows、Linux和macOS系统的密钥环、浏览器和认证服务中窃取凭证。” 这些npm包于2025年7月4日上传至注册表，累计下载量超过9,900次，具体包括： deezcord.js dezcord.js dizcordjs etherdjs ethesjs ethetsjs nodemonjs react-router-dom.js typescriptjs zustand.js 此次多阶段凭证窃取行动通过伪装成TypeScript、discord.js、ethers.js等热门npm库的仿冒包进行。安装后，恶意软件会显示虚假验证码提示，并输出看似正常的安装信息，让开发者误以为安装过程正常进行。然而在后台，该软件包会捕获受害者的IP地址并发送至外部服务器，随后投放主恶意软件。 每个软件包中的恶意功能都会通过”postinstall”钩子在安装时自动触发，启动名为”install.js”的脚本。该脚本会检测受害者的操作系统，并在新的命令提示符（Windows）、GNOME终端（Linux）或终端（macOS）窗口中启动经过混淆的有效负载。 Pandya指出：”通过生成新的终端窗口，恶意软件能够独立于npm安装进程运行。开发者在安装过程中瞥见终端窗口时，只会看到新窗口短暂出现，而恶意软件会立即清屏以避免引起怀疑。” “app.js”中的JavaScript代码通过四层混淆技术隐藏，包括使用动态生成密钥的XOR密码、对有效负载字符串进行URL编码，以及使用十六进制和八进制运算混淆程序流程等，这些设计都旨在抵抗分析。 攻击的最终目标是从同一服务器获取并执行一个全能型信息窃取程序。该程序能够全面扫描开发者计算机，从网页浏览器、配置文件和SSH密钥中搜索密钥、认证令牌、凭证和会话cookie。 该窃密程序还包含针对不同平台的特定实现，使用keyring npm库从系统密钥环中提取凭证。收集到的信息会被压缩成ZIP文件并外泄至服务器。 Socket公司强调：“系统密钥环存储着关键服务的凭证，包括电子邮件客户端、云存储同步工具、VPN连接、密码管理器、SSH密码、数据库连接字符串等与操作系统凭证存储集成的应用程序。通过直接攻击密钥环，恶意软件绕过了应用级安全防护，直接获取解密形式的存储凭证。这些凭证可让攻击者立即访问企业邮箱、文件存储、内部网络和生产数据库。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰境内的多个组织近日遭到源自俄罗斯的威胁行为者攻击，其目的在于窃取敏感数据并维持对受感染网络的持久访问权限。 根据赛门铁克和Carbon Black威胁猎人团队发布的最新报告，此次攻击活动持续针对一家大型商业服务组织进行了两个月的渗透，同时对一家当地政府实体进行了一周的入侵。 攻击主要采用“离地生存”技术和双重用途工具，仅辅以最低限度的恶意软件，从而减小数字足迹并长期保持隐蔽。 “攻击者通过在面向公众的服务器上部署Webshell获得对商业服务组织的访问权限，很可能是利用了一个或多个未修复的漏洞，”这两支隶属于博通公司的网络安全团队在报告中表示。 攻击中使用的Webshell之一是Localolive，微软此前曾警告称该工具被与俄罗斯有关的沙虫组织下属团队在多年度行动”BadPilot”中使用。LocalOlive旨在协助投送Chisel、plink和rsockstun等后续载荷，至少自2021年底开始被活跃使用。 针对该商业服务组织的恶意活动最早可追溯至2025年6月27日，攻击者利用初始立足点投放Webshell并实施侦察。研究还发现，攻击者运行PowerShell命令将设备的下载目录排除在Microsoft Defender防病毒扫描范围之外，并设置计划任务每30分钟执行一次内存转储。 攻击时间线与技术细节 在接下来的几周内，攻击者实施了多种恶意行为，包括： 将注册表配置单元副本保存至名为1.log的文件 投放更多Webshell 使用Webshell枚举用户目录中的所有文件 运行命令列出所有以”kee”开头的运行进程（可能旨在定位KeePass密码存储库） 列出第二台设备上的所有活跃用户会话 运行位于下载文件夹中的”service.exe”和”cloud.exe”可执行文件 在第三台设备上运行侦察命令并使用Microsoft Windows资源泄漏诊断工具执行内存转储 修改注册表以允许RDP连接 在第四台设备上运行PowerShell命令获取Windows配置信息 运行RDPclip获取远程桌面连接中的剪贴板访问权限 安装OpenSSH以方便远程访问计算机 运行PowerShell命令允许OpenSSH服务器在22端口上的TCP流量 创建计划任务，使用域账户每30分钟运行未知PowerShell后门（link.ps1） 运行未知Python脚本 在下载文件夹中部署合法的MikroTik路由器管理应用程序（“winbox64.exe”） 值得关注的是，乌克兰计算机应急响应小组曾在2024年4月记录过“winbox64.exe”的使用，当时它与沙虫组织针对乌克兰能源、供水和供热供应商的攻击活动有关。 赛门铁克和Carbon Black表示，虽然未发现此次入侵与沙虫组织直接关联的证据，但指出其”确实显示出源自俄罗斯的特征”。该网络安全公司还透露，这些攻击的特点在于部署了多个PowerShell后门和疑似恶意软件的可疑可执行文件，但目前尚未获取这些样本进行分析。 “虽然攻击者在入侵过程中使用的恶意软件数量有限，但大部分恶意活动都涉及合法工具，包括系统原生工具或攻击者引入的双重用途软件，”报告强调，“攻击者展现出对Windows原生工具的深入了解，并展示了熟练攻击者如何推进攻击、窃取凭证等敏感信息，同时在目标网络上留下最小痕迹。” 行业背景与趋势 此报告发布之际，Gen Threat Labs详细披露了Gamaredon组织利用WinRAR中一个已修复安全漏洞（CVE-2025-8088，CVSS评分：8.8）攻击乌克兰政府机构的行为。 该公司在X平台上发文称：“攻击者正在滥用CVE-2025-8088（WinRAR路径遍历漏洞）投递RAR压缩包，这些压缩包会静默将HTA恶意软件放入启动文件夹——除了打开压缩包内的良性PDF文件外，无需任何用户交互。这些诱饵经过精心设计，可诱骗受害者打开武器化压缩包，延续了以往攻击活动中出现的激进攻击模式。” Recorded Future的最新报告也印证了这一趋势，该报告发现俄罗斯网络犯罪生态系统正受到”终端游戏”等国际执法行动的积极影响，促使俄罗斯政府与电子犯罪组织的关系从被动容忍转向主动管理。对泄露聊天记录的进一步分析显示，这些威胁组织内的高级人物通常与俄罗斯情报部门保持联系，通过提供数据、执行任务或利用贿赂和政治关系获得豁免权。与此同时，网络犯罪团伙正在分散运营以规避西方和国内的监控。 尽管长期以来众所周知俄罗斯网络犯罪分子只要不攻击该地区运营的企业或实体就可以自由活动，但克里姆林宫现在似乎采取了更为细致的方法：在需要时招募或合作人才，在攻击符合其利益时视而不见，并在威胁行为者变得”政治上不便或对外尴尬”时选择性执法。 由此可见，这种“黑暗契约”实质上是多种因素的结合体：既是商业企业，也是影响力和信息获取的工具，同时当它威胁到国内稳定或面临西方压力时也会成为负担。该公司在《黑暗契约》系列报告的第三部分中指出：“俄罗斯网络犯罪地下世界在国家控制和内部不信任的双重压力下正在分裂，而专有论坛监控和勒索软件联盟聊天记录显示运营者之间的偏执情绪日益加剧。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日在OpenAI ChatGPT Atlas等智能体浏览器中发现新的安全隐患，这些浏览器底层的人工智能模型容易遭受上下文投毒攻击。 AI安全公司SPLX设计的攻击场景中，攻击者可建立特定网站，向ChatGPT和Perplexity运行的浏览器及AI爬虫提供差异化内容。该技术被命名为“AI定向伪装”。 这种手法实为搜索引擎伪装技术的变种——即向用户和搜索引擎爬虫呈现不同网页版本，最终达到操纵搜索排名目的。在此类攻击中，攻击者仅通过简单的用户代理检查即可针对不同供应商的AI爬虫优化内容，实现内容交付操控。 安全研究人员指出：”由于这些系统依赖直接检索，任何提供给它们的内容都会成为AI概述、摘要或自主推理中的’事实依据’。这意味着只需一条条件规则——’如果用户代理是ChatGPT，则提供此替代页面’——就能塑造数百万用户看到的所谓权威输出。” SPLX警告，AI定向伪装虽然原理简单，却可能成为强大的虚假信息武器，破坏用户对AI工具的信任。通过诱导AI爬虫加载替代内容，该技术还能引入偏见，影响依赖此类信号的系统输出。 “AI爬虫与早期搜索引擎一样容易被欺骗，但其下游影响更为深远。随着搜索引擎优化逐渐融合人工智能优化，这种攻击正在扭曲现实认知。” 与此同时，hCaptcha威胁分析小组发布的分析报告显示，针对20种常见滥用场景的测试中，各类浏览器智能体几乎无需越狱即可执行恶意请求。研究还发现，所谓”被阻止”的操作多数源于工具功能限制而非内置防护机制。值得注意的是，当被要求执行调试任务时，ChatGPT Atlas会完成高风险操作。 研究进一步披露，Claude Computer Use和Gemini Computer Use能够无限制执行密码重置等危险账户操作，后者甚至在电商平台表现出暴力破解优惠券的攻击性行为。测试还发现Manus AI可无障碍完成账户接管和会话劫持，而Perplexity Comet会主动实施SQL注入以窃取隐藏数据。 “这些智能体经常超额完成任务：在无用户指令时尝试SQL注入，在页面注入JavaScript以绕过付费墙等。我们观察到几乎完全缺失的安全防护措施，预示着攻击者很快会将这类智能体用于攻击任何下载它们的合法用户。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯本土网络安全公司发现，由国家支持的黑客组织Cloud Atlas再次发起网络间谍活动，利用即将召开的行业论坛作为诱饵，瞄准了该国农业领域。 这是近几个月来该组织第二次针对俄罗斯农业工业企业发起攻击，恰逢本月末莫斯科即将举行的俄罗斯农业论坛筹备期。据F6研究人员分析，黑客发送了伪装成论坛官方日程的钓鱼邮件，内含利用旧版Microsoft Office漏洞（CVE-2017-11882）的恶意文件——该漏洞虽于2017年修复，但至今仍被网络犯罪分子广泛利用。 该漏洞早在2023年就被Cloud Atlas利用过，当时他们通过涉及俄乌战争的钓鱼邮件，攻击了俄罗斯一家农业企业和一家国有研究公司。 此漏洞允许攻击者执行恶意代码并可能完全控制系统，使其能够安装软件、修改或删除数据以及创建新用户账户。 研究人员指出，Cloud Atlas（亦被追踪为Inception）在2025年全年活动频次显著增加，尤其针对俄罗斯和白俄罗斯目标。F6还发现迹象表明，一家国防企业也是该组织10月的攻击目标之一，不过未提供技术细节。 报告显示，Cloud Atlas持续优化其工具和传播方法，在保持长期使用的感染链的同时，尝试使用不同的有效载荷。 研究人员表示：”Cloud Atlas持续使用相同战术并利用早已曝光的漏洞，表明其攻击仍然有效——这主要归因于未受保护或维护不善的系统，以及人为因素。” Cloud Atlas至少自2014年开始活跃，是一个由国家支持的间谍组织，以攻击俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的机构而闻名。其行动侧重于数据窃取和监控，但背后具体是哪个国家仍不明确。 该组织通常依赖多阶段钓鱼攻击，发送模仿政府通讯、商业邀约或媒体资料的邮件。其恶意软件常使用定制加载器和加密通信以保持隐蔽并外泄窃取数据。 研究人员补充道：”这些因素使Cloud Atlas成为对组织网络安全极具威胁且持续存在的攻击者。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心近日披露，黑客活动分子已多次入侵该国关键基础设施系统，对一家水处理设施、一家石油天然气公司及一家农业企业的工业控制系统进行了篡改。 加拿大网络中心发布此次警报，旨在警示新的网络威胁，并为受影响组织提供检测、缓解措施及支持。这些攻击已引发误报警报、运营中断，并可能导致受影响系统出现危险状况。 “近几周来，网络中心和加拿大皇家骑警已收到多起涉及可通过互联网访问的工业控制系统的事件报告，”加拿大网络安全中心发布的警报称，”其中一起事件影响了一家水处理设施，攻击者篡改了水压数值，导致该社区服务品质下降。另一起事件涉及一家加拿大石油天然气公司，其自动储罐测量系统遭操纵，触发误报警报。第三起事件则涉及加拿大某农场的谷物干燥仓，其温湿度参数被篡改，若未能及时发现将可能导致不安全状况。” 黑客活动分子通过利用暴露在互联网上的工业控制系统设备来吸引关注、诋毁组织声誉并损害加拿大国家形象。攻击者旨在入侵可编程逻辑控制器、监控与数据采集系统、楼宇管理系统及工业物联网系统，从而对公共安全构成威胁。 加拿大网络机构指出，职责不清与协调不力往往导致关键系统暴露于风险之中。政府、市政机构及各组织必须明确责任划分、紧密协作，并加强所有服务的安全防护，特别是在水务、食品和制造等缺乏网络安全监管的领域。 每个组织都应维护一份可通过互联网访问的工业控制系统设备的最新清单，以虚拟专用网络和双因素认证替代直接暴露在公网的服务，并应用网络中心的”就绪目标”以强化防御。当无法避免服务暴露时，团队应部署入侵防御系统、定期进行渗透测试，并持续管理漏洞。市政和企业领导应直接与供应商合作，确保所有系统的安全部署、维护及退役。关键基础设施组织应定期开展桌面推演，以优化协调机制并提升事件响应能力。若发现可疑活动，各组织应及时向网络中心或加拿大皇家骑警报告，以支持加拿大全国范围内的网络韧性建设。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国电信巨头LG Uplus确认发生数据泄露，成为今年继SK Telecom、KT Telecom之后，韩国又一家遭遇网络攻击的主要电信运营商。目前LG Uplus已向韩国互联网与安全局通报了这起网络安全事件。 业内质疑：LG Uplus动作迟缓 据业内人士透露，LG Uplus是在检测到服务器可能遭入侵的迹象后提交的报告。 早在今年7月，一名白帽黑客向韩国互联网与安全局警告，LG Uplus公司系统存在潜在漏洞。 《韩国时报》报道，8月，LG Uplus曾向科学和信息通信技术部表示，其内部审查未发现网络攻击的确凿证据。 然而，随着黑客媒体Phrack公开声称“攻击者已渗透LG Uplus内网，泄露约4.2万名客户和167名员工个人数据”，事件进一步升级。 立法者批评该公司在收到入侵警告后，移除或修改了与账户管理系统相关的服务器，恐导致关键证据灭失。 三大运营商相继失守 今年韩国电信行业面临严峻网络安全挑战。韩国其他主要电信运营商如SK Telecom和KT Telecom曾先后遭遇网络攻击。加之本次LG Uplus遭受网络攻击，形成三大运营商接连失守的局面。 勒索软件组织“麒麟”率先声称对SK Telecom发动攻击，宣称窃取约1TB敏感文件。事件发生后，SK Telecom CEO 刘永相公开致歉，并宣布为所有用户免费更换SIM卡，同时承诺实施“双重乃至三重”安全保障措施。为确保换卡工作顺利进行，该公司一度暂停新用户注册服务。 然而危机并未结束。今年9月，不明黑客组织再次声称入侵SK Telecom系统，并在数据泄露论坛公开声称获取了包括内部项目源代码、构建配置、Docker文件乃至AWS访问密钥在内的大量核心数据。 至10月，名为“CoinbaseCartel”的新兴黑客组织也加入战局，威胁SK Telecom必须就其窃取的机密源代码和项目文件进行谈判，否则将公开泄露这些数据。 同样在9月，KT Telecom确认遭受网络攻击。据最新统计，因未授权支付造成的损失已超过2.4亿韩元（约合人民币130万元），累计368名用户受到影响。 面对这一系列安全事件，韩国国会已于9月启动专项调查。KT、SK Telecom与LG Uplus三家运营商的高管均被传唤，就其网络安全防护措施与事件应对机制接受质询。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 塔塔咨询服务公司（TCS）近日否认因英国零售商玛莎百货（M&S）遭受网络攻击而丢失其服务台合同。 10月26日，英国《每日电讯报》报道称，玛莎百货已”抛弃”与TCS的服务台合同，原因是这家印度IT外包巨头被指控应对2025年4月袭击该零售商的严重网络攻击负责。 在同日向多家印度证券交易所提交的监管申报文件中，TCS称该报道”存在误导性”并指出其”事实性错误”。 TCS在声明中表示，虽然玛莎百货确实曾考虑通过2025年1月启动的建议邀请书（RFP）流程与TCS签订服务台合同，但该零售商最终选择了其他供应商。TCS强调，这一决定”远在2025年4月网络事件发生之前”，因此”这些事项明显无关”。 据知情人士向《金融时报》透露，TCS在2025年1月前确实为玛莎百货提供过服务台服务，但该英国零售商在RFP流程后决定选择其他供应商。 TCS特别指出，除服务台外，公司与玛莎百货还保持着多种其他形式的合作与合同，其中许多仍在持续进行。 关于导致玛莎百货大量数字服务停摆的网络攻击，TCS坚称引发该事件的漏洞并非来自其任何网络和系统——这一结论基于TCS在2025年6月开展的调查结果。公司同时说明，TCS并未向玛莎百货提供网络安全服务。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌Chrome浏览器中的一个关键零日漏洞（编号CVE-2025-2783）已被发现在野利用，这是一次被称为”Operation ForumTroll”的针对性网络间谍行动的一部分。 根据卡巴斯基的最新研究，这些攻击与被称为Mem3nt0 mori（亦称作ForumTroll APT）的黑客组织有关，并且似乎涉及意大利监控软件开发商Memento Labs所打造的工具。 复杂攻击链解析 攻击始于2025年3月，受害者会收到高度个性化的钓鱼邮件，邀请他们参加普里马科夫读书论坛活动。点击这些存在时间极短的恶意链接将直接导致设备感染，无需受害者进行任何额外操作。此次攻击主要针对俄罗斯和白俄罗斯的各类组织，包括大学、研究中心、金融机构及政府机构。 卡巴斯基的分析显示，攻击者部署了一个沙箱逃逸漏洞利用程序，成功攻破了Chrome及其他基于Chromium内核的浏览器。该漏洞源于Windows操作系统在处理”伪句柄”时存在的逻辑缺陷，使得攻击者能够在Chrome浏览器进程中执行任意代码。 谷歌已在Chrome 134.0.6998.177/.178版本中紧急修复了此问题。火狐浏览器开发商后来也在其产品中发现了一个相关问题，并将其标识为CVE-2025-2857予以解决。 与Memento Labs关联的间谍工具 调查人员将”Operation ForumTroll”中使用的恶意工具包追溯至2022年由Mem3nt0 mori发起的攻击活动。这些攻击曾部署一款名为LeetAgent的间谍软件，其功能包括： 远程执行Shellcode和命令 运行后台键盘记录程序 窃取.docx、.xlsx和.pdf等扩展名的文件 进一步的分析还发现了对一款更先进的监控软件平台”Dante”的使用证据。这是Memento Labs（前身为Hacking Team）开发的一款商业产品。Dante恶意软件由Hacking Team早期的远程控制系统套件演变而来，具备全面的反分析技术和加密通信功能。 事件影响与行业响应 卡巴斯基研究人员得出结论，Mem3nt0 mori在ForumTroll攻击活动中利用了基于Dante的组件，这标志着首次在野观察到这款商业监控软件的实际使用。 研究团队表示：”这个漏洞利用确实让我们感到困惑，因为它允许攻击者在未执行任何明显恶意或被禁止操作的情况下，绕过谷歌Chrome的沙箱保护。这都源于Windows操作系统中一个晦涩特性所导致的强大逻辑漏洞。” 此事件凸显了与国家行为体结盟的黑客组织及商业监控软件供应商所带来的持续风险。卡巴斯基敦促安全研究人员检查其他软件及Windows服务，以寻找类似的伪句柄漏洞。 尽管Chrome的新补丁已封堵此漏洞，但该案例再次表明间谍行为体与全球监控软件市场之间存在持续的重叠——这也提醒我们，商业监控工具正在针对性网络行动中不断获得新的生命力。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一个位于印度新德里的欧洲使馆，以及斯里兰卡、巴基斯坦和孟加拉国的多个组织，成为黑客组织”响尾蛇”在2025年9月发起新一轮攻击的目标。 Trellix研究人员指出，此次活动”显示出响尾蛇组织在战术、技术和程序上的显著升级，特别是在采用基于PDF和ClickOnce的新型感染链方面，这与其以往主要利用Microsoft Word漏洞的攻击方式形成鲜明对比”。 在2025年3月至9月期间，攻击者分四波发送鱼叉式钓鱼邮件，意图投放ModuleInstaller和StealerBot等恶意软件家族，从受感染主机收集敏感信息。 攻击链剖析 ModuleInstaller作为下载器，负责获取后续有效负载（包括StealerBot）。后者是一个.NET植入程序，能够启动反向Shell、投送更多恶意软件，并从受感染主机收集包括截图、键盘记录、密码和文件在内的各类数据。 值得关注的是，卡巴斯基早在2024年10月就首次公开记录了这两个恶意软件家族，当时它们被用于针对中东和非洲地区重要实体和战略基础设施的攻击。 最新攻击特征 Trellix观察到的最新攻击活动始于2025年9月1日后，主要针对印度使领馆。攻击者使用标题为”部际会议凭证.pdf”或”印度-巴基斯坦冲突-2025年5月战略战术分析.docx”的钓鱼邮件，发送方域名伪装成巴基斯坦国防部。 研究人员指出：”初始感染载体始终如一：要么是无法正常显示的PDF文件，要么是包含漏洞的Word文档。PDF文件中包含一个按钮，诱使受害者下载安装最新版Adobe Reader以查看文档内容。” 然而，点击该按钮会从远程服务器下载ClickOnce应用程序。该程序启动时，会侧加载恶意DLL文件，同时向受害者显示诱饵PDF文档。 精妙伪装与规避技术 这款ClickOnce应用程序实际上是MagTek公司的合法可执行文件，它伪装成Adobe Reader，并带有有效签名以规避检测。此外，攻击者对命令与控制服务器的访问设置了南亚地区限制，且有效负载下载路径为动态生成，极大增加了分析难度。 恶意DLL会解密并启动名为ModuleInstaller的.NET加载器，随后对受感染系统进行环境探测，并最终投放StealerBot恶意软件。 Trellix总结道：”多波次的钓鱼攻击活动表明该组织能够针对不同外交目标精心制作高度特定的诱饵，显示出对地缘政治背景的深刻理解。ModuleInstaller和StealerBot等定制恶意软件的持续使用，加上对合法应用的巧妙滥用进行侧加载，充分体现了响尾蛇组织在运用高级规避技术和实现间谍目标方面的执着追求。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露一款名为Herodotus的新型安卓银行木马细节。该恶意软件目前正活跃于意大利和巴西，专门实施设备接管攻击。 荷兰安全公司ThreatFabric在报告中指出：”Herodotus木马在执行设备接管攻击时，首次尝试模拟人类操作行为以绕过行为生物特征识别检测。”该木马于2025年9月7日在地下论坛作为恶意软件即服务进行推广，声称支持Android 9至16系统。 技术特征与传播手段 分析显示，虽然该木马并非直接由另一知名银行恶意软件Brokewell演化而来，但确实借鉴了其部分技术特征，包括相似的混淆技术，代码中甚至直接出现”BRKWL_JAVA”等Brokewell相关标识。 与其他安卓恶意软件一样，Herodotus通过滥用无障碍服务实现其目标。它通过短信钓鱼等社交工程手段，伪装成谷歌浏览器应用进行传播。一旦安装，便会利用无障碍功能进行屏幕交互、显示不透明覆盖界面隐藏恶意活动，并在金融应用上层显示虚假登录界面窃取凭证。 此外，该木马还能窃取短信验证码、截取屏幕显示内容、自主提升权限、获取锁屏PIN码或图案，并远程安装APK文件。 独特攻击手法：模拟人类行为 该木马的突出特点在于其人性化欺诈能力。具体而言，它能在执行远程操作时引入随机延迟，例如在设备上输入文本时。ThreatFabric解释称：”延迟时间设定在300-3000毫秒之间，这种文本输入间隔的随机化确实符合人类的输入习惯。通过刻意设置随机延迟，攻击者很可能试图规避仅依赖行为分析的反欺诈系统对机器输入速度的检测。” 研究人员还获得了该木马用于攻击美国、土耳其、英国、波兰的金融机构以及加密货币钱包和交易所的覆盖页面，表明其运营者正积极扩展攻击范围。 ThreatFabric强调：”该恶意软件处于活跃开发阶段，借鉴了Brokewell银行木马的长期技术积累，其设计初衷显然是为了在活跃会话中持续驻留，而非简单地窃取静态凭证实施账户接管。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个未受保护的MongoDB数据库暴露了数百万条记录，涵盖双重认证码、哈希密码及钱包地址等敏感信息。更严重的是，这些数据已公开访问长达数月。 网络安全研究团队Cybernews发现，属于加密货币交易平台NCX的一个未设防数据库正在泄露大量敏感信息。该数据集包含多个数据集合，总计超过500万条记录。 研究团队指出：”NCX声称提供安全、快速、透明的加密货币交易服务，但此次泄露事件严重质疑了这些承诺，特别是在用户隐私和运营安全方面。” 泄露数据详情 暴露的1GB多数据包含全球用户的： 全名、用户名及出生日期 电子邮箱地址 用户上传的身份证明文件链接（KYC验证） 双重认证码及相关URL 内部API密钥 IP地址 哈希密码 头像URL 加密密钥 钱包地址及相关区块链交易信息 存取款记录、货币类型及冻结状态 客服日志及帮助中心通讯记录 研究人员发现数据存储于八个不同集合中，最大的集合包含超过200万条记录。所有数据均为最新，表明系统正处于活跃使用状态。 影响与建议 此次泄露使用户面临身份盗用、账户接管和加密货币钱包被盗等多重威胁。研究团队已向该公司进行负披露，但未获回应。 专家建议NCX立即采取以下措施： 立即下线MongoDB实例或通过防火墙限制访问 启用凭证访问和传输加密 更换暴露的2FA密钥并使秘密URL失效 通知受影响用户和监管机构 进行全面的取证审计 对于用户，研究人员建议： 考虑将资金转移至其他平台 警惕关于加密货币或投资的任何通讯 可注册信用监控服务以防身份盗用   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文