Aggregator

一款名为VoidStealer的窃密恶意软件采用新型攻击手段，绕过谷歌浏览器（Chrome）的应用程序绑定加密（ABE）防护机制，非法提取用于解密浏览器本地敏感数据的主密钥。 

这项全新破解技术隐蔽性极强，核心原理是利用硬件断点，直接从浏览器内存中读取明文状态的v20_master_key万能主密钥（同时负责加密与解密运算），全程无需权限提权或代码注入等高风险操作。

诺顿、Avast、AVG、Avira等安全品牌母公司——Gen Digital发布专项安全报告证实，这是全球野外实战攻击中，首例采用该底层绕过机制的窃密恶意软件。

谷歌于2024年6月发布的Chrome 127版本中，正式上线ABE应用绑定加密功能，专门防护浏览器Cookie缓存及各类核心敏感数据。该机制确保万能主密钥在磁盘中始终处于加密封存状态，普通用户权限无法直接读取还原。 

正常合法解密主密钥，必须依托系统最高权限运行的谷歌浏览器权限提升服务，严格校验请求进程身份后方可放行。

ABE如何阻止恶意软件概述

但该防护体系此前已被多款窃密恶意软件家族成功绕过，甚至相关破解逻辑已公开开源工具化。尽管谷歌多次推送补丁迭代加固封堵旧漏洞，新型恶意软件仍能衍生新变种，持续绕过防护窃取密钥。 

Gen Digital威胁情报研究员表示：“VoidStealer是野外攻击中首个实战落地的窃密工具，创新依托调试器底层原理绕过ABE加密，精准调用硬件断点，直接从浏览器运行内存中dump读取v20_master_key万能主密钥。” 

据悉，VoidStealer属于恶意软件即服务（MaaS）黑产平台，最迟自2025年12月中旬起，已在暗网论坛公开售卖推广，其2.0版本正式新增这款全新ABE加密绕过高危机制。

网络犯罪分子在VoidStealer 2.0版本中宣传ABE绕过功能

主密钥窃取攻击原理详解

VoidStealer的核心破解漏洞逻辑，是精准捕捉浏览器解密运算瞬间：Chrome的v20_master_key会短暂以明文裸奔状态驻留内存，恶意软件精准卡位该极短时间窗口完成窃取。

VoidStealer 的目标字符串

具体攻击流程分为五步：

1. 启动静默挂起、后台隐藏的浏览器进程，以调试器身份绑定注入目标进程；

2. 静默等待浏览器核心动态链接库（chrome.dll/msedge.dll）加载完成；

3. 检索库文件内特定特征字符串及寻址指令，锁定指令地址作为硬件断点触发靶点；

4. 对当前所有运行线程及新建线程全局植入断点，静默监听浏览器启动解密流程；

5. 断点触发瞬间读取寄存器密钥指针地址，调用内存读取接口直接dump明文万能主密钥。 

恶意软件最优攻击时机为浏览器开机冷启动阶段：此时程序会批量加载ABE加密防护Cookie缓存，强制触发主密钥解密运算，漏洞攻击成功率最高。 

该新型绕过技术并非VoidStealer原创开发，而是直接复刻开源项目ElevationKatz漏洞利用逻辑——该工具隶属ChromeKatz缓存导出套件，专门演示Chrome浏览器加密体系底层缺陷，开源上线至今已超一年。 两款工具代码虽存在少量微调差异，但核心攻击实现逻辑高度同源复用。

嘶吼安全动态

【国内新闻】

蚂蚁AI实验室发现OpenClaw严重权限漏洞，可接管AI智能体

摘要：蚂蚁AI实验室发现OpenClaw 1个严重、4个高危漏洞，普通账号可提权接管智能体、读取本地敏感文件，官方已紧急修复。

原文链接：https://36kr.com/newsflashes/3744930102149120

调研显示超半数受访者因安全漏洞选择卸载AI智能体

摘要：据《中国青年报》最新调查显示，56.4%的受访者会因智能体出现安全漏洞而选择卸载。公众对“养虾”热情高涨的同时，对隐私泄露、数据跨境流向等安全红线的敏感度大幅提升。

原文链接：https://www.chinanews.com.cn/sh/2026/03-27/10593513.shtml

全国网安标委发布关于征集个人信息保护标准应用实践案例的通知

摘要：本次案例征集聚焦个人信息保护主题，包括但不限于个人信息保护合规审计、敏感个人信息处理、个人信息去标识化、APP个人信息安全保护等方向。

原文链接：https://www.tc260.org.cn/portal/article/2/d5d3a625c0964f6d8aa716fcad7e6665

央视曝光：手机发烫或正被窃密，中木马病毒后银行卡、相册等信息遭实时泄露

摘要：如果手机莫名其妙发烫，这可能是你的手机正在被窃密者操纵着进行远程实时监控，即使手机关机，窃密行为也没有停止。窃密者还能通过“木马”病毒，盗取手机里的通讯录、通话记录、短信、照片等全部隐私信息。

原文链接；https://m.thepaper.cn/newsDetail_forward_32859554

【国外新闻】

F5 BIG-IP漏洞被重新定级为RCE并遭利用

摘要：F5披露其BIG-IP产品漏洞（CVE-2025-53521）已从DoS升级为远程代码执行，且正在被攻击者利用。该漏洞影响访问控制组件，可能导致系统完全失控，企业需紧急修补。

原文链接：https://www.darkreading.com/application-security/fortinet-big-ip-vulnerability-reclassified-rce-exploitation

VPN与应用交付设备成为攻击重点

摘要：安全机构警告，F5、Citrix等边界设备漏洞正被集中攻击，这类设备位于认证入口，一旦被攻破将直接影响企业核心系统。

原文链接：https://www.govinfosecurity.com/under-fire-attackers-target-flaws-in-f5-citrix-gear-a-31289

Magento电商平台漏洞被大规模利用

摘要：PolyShell漏洞可实现未授权RCE，攻击者利用WebRTC窃取信用卡数据，攻击呈规模化趋势。

原文链接：https://www.techradar.com/pro/security/huge-numbers-of-web-stores-are-facing-attack-from-this-dangerous-new-malware

欧盟委员会云平台遭网络攻击

摘要：欧盟Europa网站云基础设施遭攻击，部分数据被窃取。官方称内部系统未受影响，目前正在调查攻击来源与影响范围。

原文链接：https://www.reuters.com/technology/eu-commission-web-platform-hit-by-cyber-attack-march-24-2026-03-27/

AI工作流工具Langflow曝未授权RCE漏洞

摘要：Langflow存在未授权接口导致远程代码执行且暂无补丁。该漏洞源于“公开运行流程”的设计缺陷，体现了AI工具链安全短板。

原文链接：https://www.reddit.com/r/cybersecurity/comments/1s7nm2w/cve202633017_langflow_has_a_critical/

A sophisticated supply chain attack has targeted Axios, one of the most heavily adopted HTTP clients within the JavaScript ecosystem, by introducing a malicious transitive dependency into the official npm registry. Serving as a critical component across frontend frameworks, backend microservices, and enterprise applications, Axios records approximately 83 million weekly downloads on npm. The compromise […]

The post Axios NPM Packages Compromised to Inject Malicious Codes in an Active Supply Chain Attack appeared first on Cyber Security News.