HackerNews

HackerNews 编译，转载请注明出处： 最新分析发现，在公开爬取的网络数据中，DeepSeek 的 11,908 条 API 密钥、密码及身份验证令牌遭到曝光。 据网络安全公司 Truffle Security 披露，这一研究凸显了 AI 模型在未经筛选的互联网数据训练下，可能会内化并复现不安全的编码模式。 此前已有研究表明，大型语言模型（LLM）常建议在代码中硬编码凭据，这引发了关于训练数据如何影响开发实践的讨论。 Truffle Security 通过扫描 Common Crawl 2024 年 12 月的数据集（约 400TB 数据，覆盖 47.5 万个网站、26.7 亿个网页），利用其开源工具 TruffleHog 发现： 11,908 条有效凭据，可用于访问 AWS、Slack、Mailchimp 等服务； 276 万个网页 含有暴露的凭据，其中 63% 的密钥 被多个域名重复使用； WalkScore API 密钥 在 1,871 个子域 上重复 57,029 次，暴露范围极广。 特别值得注意的是，部分数据集涉及高风险暴露，例如： AWS 根密钥 直接嵌入前端 HTML 代码； 同一网页的聊天功能中 硬编码了 17 个独特的 Slack webhook。 Mailchimp API 密钥泄露尤为严重，超 1,500 例，且大多直接嵌入客户端 JavaScript 代码，这种做法不仅助长了网络钓鱼攻击，也增加了数据泄露风险。 Common Crawl 的数据集包含 90,000 份 WARC 文件，存储了网站爬取的 HTML、JavaScript 及服务器响应数据。 Truffle Security 使用 20 节点 AWS 集群 处理这些存档，借助 awk 拆分文件，并通过 TruffleHog 逐一验证密钥是否仍然有效。该工具能区分有效凭据（可用于服务认证）和无效字符串——这是 LLM 训练时无法做到的关键步骤。 研究团队在分析过程中面临基础设施挑战：WARC 数据流式处理效率低，初期严重拖慢分析进度，而 AWS 优化后下载速度提升了 5-6 倍。 尽管面临技术难题，研究团队仍秉持负责任的披露原则，与 Mailchimp 等供应商合作，撤销了数千条泄露的密钥，避免了逐个联系网站所有者的低效通知方式。 这一研究揭示了一项重大安全隐患：基于公开数据训练的 LLM 可能继承其中的不安全模式。尽管 DeepSeek 采用额外的安全防护措施（如微调、对齐技术和提示限制），但硬编码凭据的广泛存在，使得不安全实践易于被模型学习并传播。 此外，非功能性凭据（如占位符令牌）也加剧了问题，因为 LLM 在代码生成时无法识别其有效性。 Truffle Security 警告，在多个客户端项目中重复使用 API 密钥 会带来极大风险。例如，一家软件公司因在多个客户域名间共享 Mailchimp 密钥，导致所有关联账户均面临攻击风险。 为减少 AI 生成代码中的安全漏洞，Truffle Security 建议： 在 AI 编码工具中引入安全防护措施，如 GitHub Copilot 的自定义指令，以强制执行禁止硬编码密钥的政策； 扩展密钥扫描范围，涵盖存档的网络数据，以减少历史泄露数据进入 LLM 训练集的风险； 采用“宪法 AI”技术，使 LLM 生成代码时更符合安全最佳实践，降低敏感信息的无意泄露。 随着 LLM 在软件开发中的影响力持续上升，确保训练数据的安全性已不再是可选项，而是构建安全数字未来的基础。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 Better Auth 库中发现了一个关键的安全漏洞，Better Auth 是一个流行的 TypeScript 身份验证框架。该漏洞可能允许攻击者绕过安全措施并潜在地接管用户账户。 该漏洞存在于 trustedOrigins 保护功能中，该功能旨在将重定向限制为受信任的网站。然而，发现了一种绕过方法，允许攻击者利用此功能将用户重定向到恶意网站。 根据安全公告：“发现了一种绕过 trustedOrigins 安全功能的方法。这适用于通配符或绝对 URL 的 trustedOrigins 配置，使受害者的网站面临开放重定向漏洞，攻击者可以通过更改 ‘callbackURL’ 参数值为攻击者拥有的网站来窃取受害者的重置密码令牌。” 攻击者可以通过开放重定向利用此漏洞，攻击者制作恶意链接并将其发送给受害者。当受害者点击链接时，他们将被重定向到攻击者控制的网站，可能允许攻击者窃取受害者的重置密码令牌并接管其账户。 该漏洞源于处理 trustedOrigins 的中间件中对回调 URL 的验证不当。攻击者可以制作恶意负载，例如： https://demo.better-auth.com/api/auth/reset-password/x?callbackURL=/ /example.com 这利用了 URL 解析的方式，允许攻击者将受害者重定向到外部域名。一旦受害者点击链接，他们的密码重置令牌将被发送到攻击者的网站，导致账户完全被攻陷。 另一种利用方法涉及库中 trustedOrigins 处理中使用的弱正则表达式模式：[^/\\]*?\.example\.com[/\\]*? 攻击者可以使用如下负载：http:attacker.com?.example.com/ 由于 : 和 ? 是 URL 中的特殊字符，浏览器将 http: 解释为 URL 方案的一部分，而不是纯文本，导致意外重定向到攻击者的网站。 Better Auth 项目已发布 1.1.21 版本来解决此漏洞。强烈建议所有 Better Auth 库的用户尽快更新到最新版本，以保护自己免受潜在攻击。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国当局追回了 2021 年对铀金融（Uranium Finance）网络攻击中被盗的 3100 万美元加密货币，铀金融是一个基于币安智能链（Binance Smart Chain）的去中心化金融（DeFi）协议。 铀金融是一个建立在币安 BNB 链上的去中心化金融（DeFi）协议，作为自动化做市商（AMM），类似于 Uniswap。 该平台于 2021 年 4 月推出，但黑客迅速利用其智能合约中的漏洞窃取资产，导致其过早死亡，造成数百万美元的投资者损失。 区块链情报公司 TRM 实验室今天报告称，已协助纽约南区（SDNY）和国土安全调查局（HSI）圣地亚哥追踪并追回被盗资产，这是近年来最重要的追回行动之一。 “2023 年 2 月，TRM 与执法部门密切合作，仔细追踪被盗资产在多个区块链上的流动，识别关键的洗钱模式，并为执法部门提供可操作的情报，” TRM 实验室的报告中写道。 “到 2023 年 3 月，该团队已经绘制出攻击者试图模糊资金的企图，将其与 Tornado Cash 交易和跨链交换联系起来。” “因此，执法部门能够在 2025 年 2 月成功扣押 3100 万美元的未追回资金。” 被盗资金在 2021 年 4 月的两次攻击中被盗，导致超过 5370 万美元的损失。 第一次攻击发生在 2021 年 4 月 6 日，利用奖励分配系统中的漏洞，导致 140 万美元的盗窃。 黑客后来归还了 100 万美元，保留了 385,500 美元，这些资金通过 Tornado Cash 洗钱。 第二次攻击发生在 2021 年 4 月 28 日，利用铀金融交易逻辑中的单字符编码错误，使攻击者能够通过操纵余额窃取 5200 万美元。 被盗资金通过去中心化交易所洗钱，转换为各种加密货币，并在休眠钱包中存储多年。 如今，超过一半的金额已被追回，美国纽约南区要求受害者通过电子邮件 [email protected] 联系，以领取部分追回的加密货币。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发现了 Paragon 分区管理器的五个 BioNTdrv.sys 驱动程序漏洞，其中一个被勒索软件团伙利用进行零日攻击，以在 Windows 系统中获取 SYSTEM 权限。 这些易受攻击的驱动程序被用于 “自带易受攻击驱动程序”（BYOVD）攻击，威胁行为者将内核驱动程序放到目标系统上以提升权限。 “具有本地访问权限的攻击者可以利用这些漏洞提升权限或在受害者的机器上造成拒绝服务（DoS）场景，”CERT/CC 的警告中解释道。 “此外，由于攻击涉及一个微软签名的驱动程序，攻击者可以利用自带易受攻击驱动程序（BYOVD）技术来利用系统，即使未安装 Paragon 分区管理器。” 由于 BioNTdrv.sys 是内核级驱动程序，威胁行为者可以利用漏洞以与驱动程序相同的权限执行命令，绕过保护和安全软件。 微软研究人员发现了所有五个漏洞，并指出其中一个是 CVE-2025-0289，被勒索软件团伙利用进行攻击。然而，研究人员并未披露哪些勒索软件团伙将此漏洞作为零日漏洞利用。 “微软观察到威胁行为者（TAs）在 BYOVD 勒索软件攻击中利用这一弱点，特别是使用 CVE-2025-0289 来实现 SYSTEM 级权限提升，然后执行进一步的恶意代码，”CERT/CC 的公告中写道。 “Paragon Software 已经修复了这些漏洞，并且易受攻击的 BioNTdrv.sys 版本已被微软的易受攻击驱动程序阻止列表阻止。” 微软发现的 Paragon 分区管理器漏洞如下： CVE-2025-0288：由于 ‘memmove’ 函数处理不当导致的任意内核内存写入，允许攻击者写入内核内存并提升权限。 CVE-2025-0287：由于输入缓冲区中缺少对 ‘MasterLrp’ 结构的验证，导致空指针解引用，启用任意内核代码执行。 CVE-2025-0286：由于用户提供的数据长度验证不当导致的任意内核内存写入，允许攻击者执行任意代码。 CVE-2025-0285：由于未验证用户提供的数据，导致任意内核内存映射，通过操纵内核内存映射实现权限提升。 CVE-2025-0289：由于在传递给 ‘HalReturnToFirmware’ 之前未验证 ‘MappedSystemVa’ 指针，导致不安全的内核资源访问，可能会导致系统资源被攻陷。 前四个漏洞影响 Paragon 分区管理器 7.9.1 及更早版本，而 CVE-2025-0298（正在被积极利用的漏洞）影响 17 及更早版本。 建议该软件的用户升级到最新版本，其中包含 BioNTdrv.sys 版本 2.0.0，解决了上述所有漏洞。 然而，需要注意的是，即使未安装 Paragon 分区管理器的用户也并非安全无虞。BYOVD 战术并不依赖于软件在目标机器上存在。 相反，威胁行为者将易受攻击的驱动程序包含在他们自己的工具中，允许他们将其加载到 Windows 中并提升权限。 微软已更新其 “易受攻击驱动程序阻止列表”，以阻止该驱动程序在 Windows 中加载，因此用户和组织应确认保护系统已激活。 您可以通过进入 “设置”→“隐私和安全”→“Windows 安全”→“设备安全”→“核心隔离”→“微软易受攻击驱动程序阻止列表”，并确保该设置已启用，来检查阻止列表是否已启用。 Windows 易受攻击驱动程序阻止列表设置 来源：BleepingComputer Paragon Software 网站上的一则警告也指出，用户必须在今天之前升级 Paragon 硬盘管理器，因为它使用了相同的驱动程序，而该驱动程序将在今天被微软阻止。 虽然目前尚不清楚哪些勒索软件团伙正在利用 Paragon 漏洞，但 BYOVD 攻击在网络犯罪分子中越来越受欢迎，因为它允许他们轻松获得 Windows 设备的 SYSTEM 权限。 已知利用 BYOVD 攻击的威胁行为者包括 Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等。 因此，启用微软易受攻击驱动程序阻止列表功能非常重要，以防止易受攻击的驱动程序在您的 Windows 设备上被利用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据国际特赦组织的一份新报告，一名 23 岁的塞尔维亚青年活动人士的安卓手机成为 Cellebrite 开发的零日漏洞的目标，该漏洞被用于解锁其设备。 “一名学生抗议者的安卓手机被一个针对安卓 USB 驱动程序的复杂零日漏洞链利用并解锁，该漏洞链由 Cellebrite 开发，” 这家国际非政府组织表示，并补充说该漏洞的痕迹是在 2024 年年中的一起单独案件中发现的。 此次漏洞事件涉及的漏洞是 CVE-2024-53104（CVSS 评分：7.8），这是一个名为 USB 视频类（UVC）驱动程序的内核组件中的提权漏洞。2024 年 12 月，Linux 内核发布了该漏洞的补丁，并于本月早些时候在安卓系统中得到修复。 据悉，CVE-2024-53104 被与其他两个漏洞结合使用——CVE-2024-53197 和 CVE-2024-50302，这两个漏洞已在 Linux 内核中得到解决，但尚未包含在安卓安全公告中。 CVE-2024-53197（CVSS 评分：暂无）：Extigy 和 Mbox 设备的越界访问漏洞 CVE-2024-50302（CVSS 评分：5.5）：一个未初始化资源使用漏洞，可用于泄露内核内存 “该针对 Linux 内核 USB 驱动程序的漏洞利用使 Cellebrite 的客户能够在拥有物理访问权限的情况下，绕过安卓手机的锁屏并获得设备的特权访问权限，” 国际特赦组织表示。 “此案例突显了现实世界中的攻击者如何利用安卓的 USB 攻击面，利用 Linux 内核中支持的广泛传统 USB 内核驱动程序。” 这名活动人士化名为 “Vedran”，以保护其隐私。2024 年 12 月 25 日，他参加了一场在贝尔格莱德的学生抗议活动后，被带往警察局，手机被没收。 国际特赦组织的分析发现，该漏洞被用于解锁他的三星 Galaxy A32 手机，当局试图安装一个未知的安卓应用程序。尽管该安卓应用程序的确切性质尚不清楚，但其操作方式与 2024 年 12 月中旬报告的 NoviSpy 间谍软件感染一致。 本周早些时候，Cellebrite 表示，其工具并非旨在促进任何类型的进攻性网络活动，并且公司积极遏制其技术的滥用。 这家以色列公司还表示，将不再允许塞尔维亚使用其软件，称 “我们认为此时停止相关客户使用我们的产品是合适的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Firefox 浏览器制造商 Mozilla 在上周五一周内第二次更新其使用条款，此前因条款中出现的宽泛语言似乎赋予该公司对用户上传所有信息的权利而受到批评。 修订后的使用条款现声明： 您授予 Mozilla 运行 Firefox 所需的权利。这包括按照 Firefox 隐私声明中所述处理您的数据。这也包括为了按照您在 Firefox 中输入内容的请求而授予的非独占、免版税、全球范围的许可。但这并不授予 Mozilla 对该内容的所有权。 此前，该条款于 2 月 26 日生效的版本声明： 当您通过 Firefox 上传或输入信息时，您在此授予我们非独占、免版税、全球范围的许可，以使用该信息帮助您按照您使用 Firefox 的方式浏览、体验和互动在线内容。 此举发生在该公司首次推出 Firefox 使用条款以及更新隐私声明几天之后，后者旨在让用户更清楚地了解其数据处理方式。 Mozilla 产品副总裁阿吉特・瓦尔马在一份声明中表示：“我们一直在倾听我们社区对使用条款某些部分的担忧，特别是关于许可的问题。我们的初衷只是尽可能清楚地说明我们如何让 Firefox 正常运行，但在这样做的过程中，我们也造成了一些困惑和担忧。” Mozilla 强调，它不会出售或购买用户数据，并且之所以做出这些更改，是因为某些司法管辖区对 “出售” 一词的定义比其他地区更广泛，涵盖了消费者个人信息与另一方交换金钱或其他利益的各种方式。 此外，Mozilla 指出，它已经收集并与合作伙伴共享一些数据，这些数据来自新标签页上的可选广告以及搜索栏中的赞助建议，以此保持 “商业可行性”。 Mozilla 还指出，虽然它不会访问用户通过侧边栏（以及通过快捷方式）启用的第三方人工智能（AI）聊天机器人的对话，但它确实收集有关此功能使用情况的技术和互动数据，以帮助改进 Firefox 浏览器。 这包括每个第三方聊天机器人提供商被选择的频率、建议提示被使用的频率以及所选文本的长度。 “每当我们与合作伙伴共享数据时，我们会投入大量精力确保我们共享的数据被剥离了潜在的识别信息，或者仅以汇总形式共享，或者通过我们的隐私保护技术（如 OHTTP）进行处理，” 瓦尔马说道。 对 Mozilla 使用条款的反对紧随谷歌新的广告跟踪政策之后，该政策引起了监管机构和监督机构的审查，他们表示这引发了隐私担忧。 于 2025 年 2 月 16 日生效的广告平台计划政策允许使用 IP 地址对用户进行指纹识别，并在无需重新识别的情况下跨平台追踪用户。英国信息专员办公室（ICO）称其为 “不负责任” 的改变。 ICO 在一份声明中表示：“寻求部署指纹识别技术用于广告的组织需要证明他们如何遵守数据保护法的要求。这些要求包括向用户提供透明度、确保自由给予的同意、确保公平处理以及维护诸如擦除权之类的信息权利。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）将 Bybit 平台的黑客攻击归咎于朝鲜黑客组织 TraderTraitor，随着更多技术细节的曝光，这一事件的来龙去脉逐渐清晰。 Bybit 平台在 2 月 21 日遭受攻击，导致近 15 亿美元的以太坊加密货币被盗。此次攻击迅速被指向朝鲜黑客，尤其是臭名昭著的 Lazarus 组织。 FBI 在周三发布的一份警报中表示，他们自 2022 年以来一直在监控的 TraderTraitor 是此次攻击的幕后黑手。FBI 过去曾指出，TraderTraitor 是 Lazarus 组织的另一个名称，但网络安全行业的部分成员将其描述为专门针对加密货币攻击的 Lazarus 行动。Lazarus 组织还以从事网络间谍活动和破坏性行动而闻名。 FBI 表示：“TraderTraitor 的行动者迅速行动，将部分被盗资产转换为比特币和其他虚拟资产，并分散到多个区块链上的数千个地址。预计这些资产将进一步被清洗，并最终转换为法定货币。” FBI 此前还曾将 TraderTraitor 与从 Bitcoin.DMM.com 盗取 3.08 亿美元加密货币的事件联系起来。该机构已公布了一份朝鲜威胁行为者已知使用的加密货币地址列表。 Bybit 声称自己是全球第二大加密货币交易所（按交易量计算），已启动漏洞赏金计划，以努力追回被盗资金，向成功冻结资金的实体提供追回金额的 5%，并向帮助追踪资金的实体提供 5%。 然而，截至目前，只有 3%（4200 万美元）的被盗加密货币被冻结，这是在黑客攻击曝光后不久被阻止的金额——此后似乎没有其他资金被追回。目前近 9500 万美元被标记为“等待回应”。 Bybit 表示，已向帮助追踪和冻结资金的实体支付了超过 400 万美元的赏金。该公司指出，一些加密货币服务拒绝合作。 Bybit 联合创始人兼首席执行官 Ben Zhou 表示：“我们已指派一个团队来维护和更新这个网站，我们将不会停止，直到 Lazarus 或行业中的恶意行为者被消除。未来，我们还将向其他 Lazarus 的受害者开放这个漏洞赏金平台。” 该加密货币交易所已向客户保证，即使被盗资金无法追回，他们的资产也是有保障的，公司依然具有偿付能力。 Bybit 已聘请 Sygnia 和 Verichains 对此次事件进行调查，这些公司声称已确定了根本原因——攻击涉及来自 Safe{Wallet} 基础设施（特别是 AWS S3 存储桶）的恶意代码，没有迹象表明 Bybit 自己的基础设施被攻破。 Safe{Wallet} 是一个去中心化托管协议和集体资产管理平台，发表声明确认其成为 Lazarus 黑客的目标，黑客攻破了一名 Safe{Wallet} 开发者的机器。该公司指出，其智能合约未受影响，前端及其服务的源代码也未受影响。 根据目前掌握的信息，攻击者似乎在 2 月 19 日将一个恶意的 Safe{Wallet} JavaScript 文件替换为恶意代码，该代码针对 Bybit 的以太坊冷钱包，设计在下一次交易期间激活，这次交易发生在 2 月 21 日。 恶意代码在签名过程中操纵了交易内容，使其看起来像是将资金转移到正确的地址，而实际上资金却转入了黑客控制的地址。 攻击者随后迅速从 Safe{Wallet} JavaScript 文件中移除了恶意代码。 Chainalysis 于周三发布的《2025 年加密货币犯罪报告》显示，根据目前收集到的数据，2024 年用于非法活动的加密货币地址收到了大约 400 亿美元，但预计一旦所有数据被分析，这一金额将增加到 510 亿美元。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英伟达（NVIDIA）发布了一项安全更新，以解决影响其 Jetson AGX Orin 系列和 IGX Orin 设备的高严重性漏洞，该漏洞编号为 CVE-2024-0148，可能允许具有物理访问权限的攻击者执行恶意代码。 安全公告指出，该漏洞存在于 UEFI 固件的 RCM 启动模式中，可能允许具有物理访问权限的未授权攻击者加载不受信任的代码。如果被利用，这可能导致代码执行、权限提升、数据篡改、拒绝服务和信息泄露。 “英伟达 Jetson Linux 和 IGX OS 映像在 UEFI 固件 RCM 启动模式中存在漏洞，具有物理访问权限的未授权攻击者可以加载不受信任的代码，”英伟达在安全公告中表示。 该漏洞的 CVSS 基础评分为 7.6，被归类为高严重性威胁。 英伟达已为受影响的平台发布了补丁： CVE ID 受影响产品 平台/操作系统 受影响版本 更新版本 CVE-2024-0148 NVIDIA IGX Orin IGX OS 所有 IGX 1.1 之前的版本 IGX 1.1 CVE-2024-0148 Jetson AGX Orin 系列 Jetson Linux 所有 36.4.3 之前的版本 36.4.3 英伟达建议所有用户立即升级其软件，以降低被利用的风险。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，多个行业和国家共有 49,000 个配置不当且暴露的访问管理系统（AMS），这可能会危及关键领域的隐私和物理安全。 访问管理系统是通过生物识别、身份证或车牌控制员工进入建筑物、设施和限制区域的安全系统。 Modat 的安全研究人员在 2025 年初进行了全面调查，发现了数万个暴露在互联网上的 AMS，这些系统未正确配置安全认证，任何人都可以访问。 这些暴露的 AMS 包含未加密的敏感员工数据，包括： 个人身份信息（姓名、电子邮件地址、电话号码） 生物识别数据，如指纹和面部识别 照片 工作时间表 访问日志，显示谁进出以及何时进出 在某些情况下，Modat 可以编辑员工记录、添加假员工、更改访问凭证，或操纵建筑入口系统，限制合法员工的访问或允许恶意行为者未经授权的物理访问。 对于政府建筑和关键基础设施（如发电站和水处理单位）的暴露 AMS，物理安全风险尤其令人担忧。 除了物理安全风险外，这些暴露的信息还可能被利用，对暴露的组织进行鱼叉式网络钓鱼和社会工程攻击。 暴露的车牌识别 AMS 在全球总共 49,000 个暴露的 AMS 设备中，大多数（16,678 个）位于意大利，其次是墨西哥（5,940 个）和越南（5,035 个）。在美国，Modat 发现了 1,966 个暴露的 AMS 系统。 缓解问题 研究人员直接联系了所有系统所有者，告知他们 AMS 暴露及其对组织的风险。然而，他们告诉 BleepingComputer，目前尚未收到回复，因此不清楚有多少人采取了措施来保护他们的系统。 供应商也收到了通知，一些供应商表示他们正在与受影响的客户合作解决暴露问题。 Modat 为 AMS 用户提供了几项安全建议，包括将系统离线以防止未经授权的远程访问，或将它们置于防火墙和 VPN 后，以限制只有授权人员的访问。 还建议更改默认的管理员凭据，因为这些凭据很容易被暴力破解，如果可能，应实施多因素身份验证（MFA）。 AMS 管理员应应用供应商的最新软件和固件更新，并减少不必要的网络服务，以降低攻击面。 生物识别数据和个人身份信息（PII）应始终以加密形式存储，并且应清除过去员工的数据，以避免通过未在其他系统上禁用的旧账户进行未经授权的访问。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于隐私的电子邮件提供商 Tuta（原名 Tutanota）和 VPN 信任倡议（VTI）对法国拟议的法律表示担忧，这些法律可能会在加密消息系统中设置后门，并限制互联网访问。 第一个案例涉及法国“毒品贩运法”的一项拟议修正案，该修正案将迫使加密通信服务提供商设置后门，使执法部门能够在 72 小时内访问疑似犯罪分子的解密消息。不遵守规定可能会导致巨额罚款：个人最高可达 150 万欧元，公司最高可达其全球年营业额的 2%。 该法律尚未生效，但修正案已通过法国参议院，正在提交国民议会，因此增加反对意见至关重要。 在一份新声明中，Tuta 呼吁法国国民议会拒绝这一修正案，倡导保护强大的加密技术，以维护个人隐私和安全。他们再次强调，强制在软件中设置后门会破坏所有用户的安全和隐私，而不仅仅是犯罪分子，因为这会制造出可能被恶意行为者利用的漏洞。 “为好人设置后门只是一个危险的幻觉，”Tuta 邮件的首席执行官 Matthias Pfau 告诉 BleepingComputer。“为了执法而削弱加密技术，必然会制造出可能被网络犯罪分子和敌对外国行为者利用的漏洞。这项法律不仅会针对犯罪分子，还会破坏每个人的安全。” Tuta 进一步指出，拟议的修正案引发了法律复杂性，因为它据称与欧洲的 GDPR 和德国的 IT 安全法相冲突。 VPN 反对访问限制 本周早些时候，VTI 就法国一项由版权方 Canal+ 和法国足球联赛（LFP）推动的法律修正案发表了强烈声明，他们已采取法律行动，迫使 VPN 提供商阻止对盗版网站和服务的访问。 VTI 的成员包括 AWS、Google、Cloudflare、Namecheap、OVH、IPVanish VPN、Ivacy VPN、NordVPN、PureVPN 和 ExpressVPN，认为这是对 VPN 服务的错误 targeting，并敦促法国当局重新考虑他们的方法。 “将重点放在内容中立的工具如 VPN 上，而不是解决非法内容的来源，不仅无法打击盗版，还会对网络安全和隐私造成附带损害，使用户面临风险，”VTI 表示。 政府压力不断增加 关于法国全面法律提案的最新消息证实了政府行动呈上升趋势，旨在对互联网上的数据流施加更严格的控制和监控。 上周，苹果决定从英国撤下其 iCloud 端到端加密功能“高级数据保护”（ADP），此前政府秘密要求创建一个后门以访问用户数据。 瑞典提出的一项类似法律将允许执法机构访问用户在 Signal 等应用上的消息历史。然而，Signal 的总裁 Meredith Whittaker 在最近的一次采访中表示，这项法律将迫使他们将服务撤出该国。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Xlab 调查，Vo1d 恶意软件僵尸网络的新变种已感染全球 226 个国家的 1,590,299 台 Android TV 设备，将其招募为匿名代理服务器网络的一部分。 Xlab 自去年 11 月以来一直在跟踪这场新的活动，并报告称该僵尸网络在 2025 年 1 月 14 日达到峰值，目前有 800,000 台活跃的僵尸设备。 2024 年 9 月，Dr.Web 杀毒研究人员发现，通过未知感染途径，Vo1d 恶意软件已在全球 200 个国家感染了 130 万台设备。 Xlab 的最新报告表明，Vo1d 僵尸网络的新版本继续在更大规模上运作，不受之前曝光的影响。 此外，研究人员强调，该僵尸网络已进化出高级加密（RSA + 自定义 XXTEA）、具有弹性的 DGA（域名生成算法）驱动的基础设施，以及增强的隐蔽能力。 Vo1d 僵尸网络的规模令人瞩目，使用的 32 个 DGA 种子可生成超过 21,000 个 C2（命令与控制）域名。C2 通信受到 2048 位 RSA 密钥的保护，即使研究人员识别并注册了 C2 域名，也无法向僵尸设备发出命令。 截至 2025 年 2 月，近 25% 的感染设备位于巴西，其次是南非（13.6%）、印度尼西亚（10.5%）、阿根廷（5.3%）、泰国（3.4%）和中国（3.1%）。 研究人员报告称，该僵尸网络出现了显著的感染激增情况，例如在印度，感染设备数量在短短三天内从 3,900 台激增至 217,000 台。 最大的波动表明，僵尸网络运营商可能在“出租”特定区域的设备作为代理服务器，这些服务器通常用于进行进一步的非法活动或自动化攻击。 “我们推测，‘快速激增后急剧下降’的现象可能是由于 Vo1d 将其僵尸网络基础设施出租给其他团体。以下是这种‘出租-归还’周期的工作原理： 出租阶段：在出租开始时，僵尸设备从主 Vo1d 网络转移到承租人的操作中。这种转移导致 Vo1d 的感染数量突然下降，因为僵尸设备暂时从其活跃池中移除。 归还阶段：一旦出租期结束，僵尸设备重新加入 Vo1d 网络。这种重新整合导致感染数量迅速激增，因为僵尸设备在 Vo1d 的控制下再次变得活跃。 这种‘出租和归还’的循环机制可以解释 Vo1d 在特定时间点的规模波动。” Vo1d 僵尸网络是一个多用途的网络犯罪工具，将受感染设备变成代理服务器，以促进非法活动。 受感染设备为网络犯罪分子中转恶意流量，隐藏其活动来源，并融入住宅网络流量中。这还帮助威胁行为者绕过区域限制、安全过滤和其他保护措施。 Vo1d 的另一个功能是广告欺诈，通过模拟广告点击或视频平台上的观看行为来为欺诈广告商生成收入。 该恶意软件具有特定的插件，可自动化广告互动并模拟类似人类的浏览行为，以及 Mzmess SDK，该 SDK 将欺诈任务分配给不同的僵尸设备。 由于感染链仍未知，建议 Android TV 用户采取全面的安全措施来应对 Vo1d 威胁。 首先，从信誉良好的供应商和可信的经销商处购买设备，以尽量减少从工厂或运输途中预装恶意软件的可能性。 其次，安装固件和安全更新至关重要，这些更新可以关闭可能被利用进行远程感染的漏洞。 第三，用户应避免下载 Google Play 以外的第三方应用程序或承诺扩展和“解锁”功能的第三方固件镜像。 如果不需要远程访问功能，应禁用 Android TV 设备的远程访问功能，而在不使用时将其断网也是一种有效的策略。 最终，物联网设备应在网络层面与存储敏感数据的贵重设备隔离。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为 TgToxic（又名 ToxicPanda）的 Android 恶意软件的更新版本，这表明其背后的威胁行为者正在持续做出改变以应对公开报道。 “TgToxic 有效载荷中的修改反映了行为者对开源情报的持续监控，并展示了他们增强恶意软件功能以改进安全措施并使研究人员难以应对的承诺，”Intel 471 在本周发布的一份报告中表示。 TgToxic 最早由 Trend Micro 于 2023 年初记录，被描述为一种银行木马，能够从加密钱包以及银行和金融应用程序中窃取凭据和资金。自 2022 年 7 月以来，它已被检测到在野外出现，主要针对台湾、泰国和印度尼西亚的移动用户。 2024 年 11 月，意大利在线欺诈预防公司 Cleafy 详细描述了一种更新的变种，该变种具有广泛的数据收集功能，并将其操作范围扩展到意大利、葡萄牙、香港、西班牙和秘鲁。该恶意软件被认为是中国威胁行为者所为。 Intel 471 的最新分析发现，该恶意软件通过短信或钓鱼网站分发的 Dropper APK 文件进行传播。然而，确切的传播机制仍未知。 一些显著的改进包括增强了模拟器检测能力和更新了命令与控制（C2）URL 生成机制，突显了持续努力以规避分析。 “该恶意软件对设备的硬件和系统能力进行了彻底评估，以检测模拟，”Intel 471 表示。“该恶意软件检查了一组设备属性，包括品牌、型号、制造商和指纹值，以识别模拟系统中常见的差异。” 另一个重大变化是从嵌入恶意软件配置中的硬编码 C2 域名转向使用论坛（如 Atlassian 社区开发者论坛）创建虚假个人资料，其中包含指向实际 C2 服务器的加密字符串。 TgToxic APK 设计为随机选择配置中提供的社区论坛 URL 之一，该 URL 作为 C2 域名的死胡同解析器。 这种方法具有几个优势，最主要的是它使威胁行为者更容易通过简单地更新社区用户个人资料来指向新的 C2 域名，而无需对恶意软件本身进行任何更新。 “这种方法显著延长了恶意软件样本的使用寿命，只要这些论坛上的用户个人资料保持活跃，它们就能保持功能，”Intel 471 表示。 2024 年 12 月发现的 TgToxic 后续迭代版本更进一步，依赖于域生成算法（DGA）来创建用于 C2 服务器的新域名。这使恶意软件更能抵御破坏，因为 DGA 可以创建多个域名，即使某些域名被关闭，攻击者也可以切换到新域名。 “TgToxic 因其先进的反分析技术（包括混淆、有效载荷加密和反模拟机制）而脱颖而出，这些技术使其能够躲避安全工具的检测，”Approov 首席执行官 Ted Miracco 在一份声明中表示。“其使用动态命令与控制（C2）策略（如域生成算法（DGA））和自动化能力，使其能够劫持用户界面、窃取凭据并执行未经授权的交易，同时具备躲避反制措施的隐蔽性和弹性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，被称为“空间海盗”的威胁行为者与一场针对俄罗斯信息技术（IT）组织的恶意活动有关，该活动使用了一种此前未被记录的恶意软件，名为 LuckyStrike Agent。 此次恶意活动于 2024 年 11 月被俄罗斯国有电信公司 Rostelecom 的网络安全部门 Solar 检测到。Solar 将该活动追踪为Erudite Mogwai。 攻击还使用了其他工具，如 Deed RAT（也称为 ShadowPad Light）和一个定制版本的代理工具 Stowaway，后者此前已被其他与中国有关的黑客组织使用。 “Erudite Mogwai是活跃的高级持续性威胁（APT）组织之一，专门从事机密信息窃取和间谍活动，”Solar 研究人员表示，“自 2017 年以来，该组织一直在攻击政府机构、各类组织的 IT 部门以及与航空航天和电力等高科技产业相关的企业。” 该威胁行为者最早于 2022 年由 Positive Technologies 公开记录，详细说明了其独家使用 Deed RAT 恶意软件的情况。该组织被认为与另一个名为 Webworm 的黑客组织在战术上有重叠。已知其针对俄罗斯、格鲁吉亚和蒙古的组织。 在针对一个政府行业客户的攻击中，Solar 表示发现攻击者部署了各种工具以协助侦察，同时还投放了 LuckyStrike Agent，这是一个多功能的 .NET 后门，使用 Microsoft OneDrive 进行命令与控制（C2）。 “攻击者不迟于 2023 年 3 月通过入侵一个公开访问的网络服务获得了对基础设施的访问权限，随后开始在基础设施中寻找‘低垂果实’，”Solar 表示，“在 19 个月的时间里，攻击者逐渐在客户的系统中扩散，直到 2024 年 11 月到达与监控连接的网络段。” 值得注意的是，攻击者还使用了修改版的 Stowaway，仅保留了其代理功能，并使用 LZ4 作为压缩算法，采用 XXTEA 作为加密算法，增加了对 QUIC 传输协议的支持。 “Erudite Mogwai开始通过削减不需要的功能来修改这个工具，”Solar 表示，“他们继续进行了一些小的修改，如重命名函数和更改结构大小（可能是为了绕过现有的检测特征）。目前，该组织使用的 Stowaway 版本可以称为一个完整的分支。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Winos 4.0的恶意软件正在通过伪装成台湾地区国税局的钓鱼邮件，针对中国台湾地区的公司展开攻击。 此次攻击活动由Fortinet FortiGuard Labs于上月发现，与以往利用恶意游戏相关应用程序的攻击链条有所不同。攻击者声称附件是“待税务检查的企业名单”，并要求收件人将其转发给公司财务主管。该附件伪装成财政部的官方文件，诱导收件人下载所谓的“待税务检查企业名单”，但实际上是一个包含恶意DLL文件（“lastbld2Base.dll”）的ZIP文件。该文件为下一阶段的攻击做准备，执行下载Winos 4.0模块的shellcode，该模块从远程服务器（“206.238.221[.]60”）下载并收集敏感数据。 Winos 4.0的登录模块具备多种功能，包括截屏、记录按键、修改剪贴板内容、监控连接的USB设备、运行shellcode，以及在Kingsoft Security和Huorong安全提示时允许执行敏感操作（例如cmd.exe）。Fortinet还发现了一个次要攻击链条，该链条可下载一个在线模块，用于截取微信和网上银行的屏幕截图。 值得注意的是，传播Winos 4.0恶意软件的入侵组织被命名为Void Arachne和银狐（Silver Fox），该恶意软件还与另一种名为ValleyRAT的远程访问木马存在重叠。Forescout Vedere Labs的安全研究主管Daniel dos Santos表示：“Winos和ValleyRAT都源自同一源头——Gh0st RAT，这是一种于2008年在中国开发并开源的恶意软件。” ValleyRAT最早于2023年初被发现，最近被观察到利用假冒Chrome网站作为传播渠道，感染使用中文的用户。类似的恶意下载方案也被用于传播Gh0st RAT。此外，Winos 4.0的攻击链条还整合了名为CleverSoar的安装程序，该程序通过伪装成假软件或游戏相关应用程序的MSI安装包执行。Rapid7在2024年11月底指出，CleverSoar安装程序会检查用户的语言设置，如果设置为中文或越南语以外的语言，安装程序将终止，从而防止感染。 与此同时，银狐APT组织还被发现利用被篡改的飞利浦（Philips）DICOM查看器版本部署ValleyRAT，随后用于投放键盘记录器和加密货币矿工。值得注意的是，这些攻击利用了TrueSight驱动程序的漏洞来禁用防病毒软件。Forescout表示：“此次攻击利用被篡改的DICOM查看器作为诱饵，感染受害者系统，部署用于远程访问和控制的后门（ValleyRAT）、用于捕获用户活动和凭据的键盘记录器，以及用于利用系统资源获取经济利益的加密货币矿工。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “Have I Been Pwned”（HIBP）数据泄露通知服务新增了超 2.84 亿个被信息窃取恶意软件盗取且在一个 Telegram 频道上被发现的账户。 HIBP 创始人特洛伊・亨特表示，他在分析可能从多个来源收集并在一个名为 “ALIEN TXTBASE” 的 Telegram 频道上共享的 1.5TB 窃取日志时，发现了 284,132,969 个受到危害的账户。 “这些日志包含 230 亿行数据，涉及 4.93 亿个唯一的网站和电子邮件地址组合，影响了 2.84 亿个唯一的电子邮件地址，” 亨特在周二的博客中说道。 “我们还向 Pwned Passwords 添加了 2.44 亿个此前从未见过的密码，并更新了其中已有的另外 1.99 亿个密码的计数。” 由于此次收集的账户数量庞大，这些数据可能既包括通过凭证填充攻击和数据泄露被盗取的旧凭据，也包括新凭据。 在将被盗账户添加到 HIBP 数据库之前，特洛伊通过检查使用被盗电子邮件地址进行密码重置尝试是否会触发该服务发送密码重置电子邮件来确认其真实性。 借助新添加的 API（每分钟允许搜索多达 1000 个电子邮件地址以及窃取日志搜索），域名所有者和网站运营者（支付月订阅费用的）现在可以通过按电子邮件域名或网站域名查询添加的窃取日志来识别凭据被盗的客户。 当被问及普通用户是否也能知道他们的账户是否在 ALIEN TXTBASE 信息窃取日志中时，特洛伊称如果他们也订阅了 HIBP 通知服务的话，就可以知道。 “但如果他们使用通知服务来验证地址，它只会显示其凭据被捕获的网站，我不想公开显示这些信息，因为这可能会暴露对敏感服务的使用，” 他说道。 “今天推出这些新 API 将最终帮助许多组织确定恶意活动的来源，更重要的是，提前采取措施，在其造成损害之前阻止它，” 他补充道。 2021 年 12 月，HIBP 还添加了 44.1 万个账户，这些账户是在当时使用最广泛的信息窃取软件之一 RedLine 进行的信息窃取活动中被盗取的。这些数据在一个未受保护的服务器上被发现，该服务器暴露了 2021 年 8 月和 9 月收集的超过 600 万条 RedLine 日志。 更近一些，本月早些时候，HIBP 添加了 1200 万个 Zacks Investment 用户的账户，这些用户的敏感数据（包括姓名、用户名、电子邮件地址、IP 地址、实际地址和电话号码）在一次安全漏洞事件中被暴露。 两年前，即 2023 年 6 月，该漏洞通知服务还添加了另一个数据库，其中包含使用 Zacks 平台的另外 880 万个用户的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 白蚁勒索软件团伙声称对澳大利亚最大的生育服务提供商 Genea 近期的数据泄露事件负责，窃取了敏感的医疗保健数据。 这家体外受精（IVF）提供商自 1986 年开始运营（当时名为悉尼 IVF）。它在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供广泛的服务，包括生育治疗、检查、遗传服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司报道，Genea 和另外两家公司（Monash IVF 和 Virtus）占据了该国行业总收入的 80% 以上。 Genea 上周三首次披露，其正在调查一起 “网络事件”，此前在公司网络上检测到 “可疑活动”。在今天发布的一份更新声明中，这家生育服务巨头确认攻击者从其系统中窃取了数据，这些数据随后被发布在网上。 该公司表示，已获得法院命令，禁止他人分享泄露的数据，并且正在与澳大利亚网络安全中心合作调查这起事件。 这份经过删减的法院命令显示，威胁行为者于 2025 年 1 月 31 日通过 Citrix 服务器入侵了 Genea 的网络。随后，他们获得了对该公司主文件服务器、域控制器、备份程序和 BabySentry 主患者管理系统的访问权限。两周后，即 2 月 14 日，攻击者从 Genea 的被入侵系统中窃取了 940.7GB 的数据，并将其转移到了他们控制的一个 DigitalOcean 云服务器上。 正在进行的调查还发现，Genea 被入侵的患者管理系统中包含了以下类型的个人和健康数据，每个受影响个体暴露的信息各不相同： 全名、电子邮件、地址、电话号码、出生日期、紧急联系人和近亲信息， 医疗保险卡号码、私人健康保险详情、国防部门号码、医疗记录号码、患者号码， 病史、诊断和治疗、药物和处方、患者健康问卷、病理和诊断测试结果、医生和专家的记录、预约详情和时间表。 “目前没有证据表明任何财务信息（如信用卡详细信息或银行账户号码）受到此次事件的影响，”Genea 补充道。 “我们还通知了澳大利亚信息专员办公室（OAIC）这起事件的最新进展，”Genea 一位发言人告诉 BleepingComputer。 白蚁勒索软件声称对此负责 尽管 Genea 没有将此次攻击归咎于特定的威胁组织或网络犯罪团伙，但白蚁勒索软件团伙在周一声称对此负责。 在他们暗网泄露网站的新条目中，他们声称窃取了约 700GB 的数据，并泄露了据称从 Genea 网络中窃取的身份证明文件和患者文件的截图。 “我们从公司的服务器中获得了约 700GB 的数据，包括客户的机密和个人数据，”威胁行为者声称。 据威胁情报公司 Cyjax 称，白蚁勒索软件团伙于 2024 年 10 月中旬浮出水面，此后在其暗网门户上列出了来自世界各地和各个行业的 18 名受害者。 2024 年 12 月，该勒索软件团伙还声称入侵了总部位于亚利桑那州的服务（SaaS）提供商 Blue Yonder。这家全球供应链软件提供商拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、DHL、3M、Ace Hardware、宝洁、嘉士伯、都乐、沃尔格林、西部数据和 7-Eleven 等知名企业。 与其他勒索软件团伙一样，白蚁网络犯罪团伙也从事数据盗窃、勒索和加密攻击。据网络安全公司 Trend Micro 称，他们使用的是 2021 年 9 月泄露的 Babuk 加密器版本，并且已知会在受害者的加密系统上留下 “How To Restore Your Files.txt” 赎金便条。 Trend Micro 还补充道，白蚁的勒索软件加密器可能仍在开发中，因为它会因代码执行缺陷而提前终止。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Prodaft 上周内部发布并于昨天公开的一份报告显示，自 2024 年 6 月开始活动以来，被追踪为 “EncryptHub”（又称 Larva-208）的威胁行为者已针对全球各地的组织发起了鱼叉式网络钓鱼和社会工程攻击，以获取企业网络的访问权限。该报告显示，自 2024 年 6 月 EncryptHub 开始运营以来，已至少入侵了 618 家机构。 在获得访问权限后，这些威胁行为者会安装远程监控和管理（RMM）软件，随后部署诸如 Stealc 和 Rhadamanthys 之类的信息窃取木马。在许多被观察到的案例中，EncryptHub 还会在被入侵的系统上部署勒索软件。 Prodaft 告诉 BleepingComputer，该威胁组织与 RansomHub 和 BlackSuit 有关联，曾部署过这两种勒索软件加密器，可能作为它们的初始访问代理或直接附属机构。然而，在许多攻击中，研究人员观察到威胁行为者部署了自定义的 PowerShell 数据加密器，因此他们也有自己的变种。 Larva-208 的攻击手段包括短信钓鱼、语音钓鱼以及模仿 Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet 和 Microsoft 365 等企业 VPN 产品的虚假登录页面。 攻击者通常在发给目标的消息中冒充 IT 支持人员，声称 VPN 访问出现问题或账户存在安全问题，引导他们登录钓鱼网站。 受害者会收到链接，这些链接会将他们重定向到钓鱼登录页面，其凭据和多因素认证（MFA）令牌（会话 cookie）会被实时捕获。 一旦钓鱼过程结束，受害者会被重定向到服务的真实域名，以避免引起怀疑。 EncryptHub 购买了 70 多个模仿上述产品的域名，如 “linkwebcisco.com” 和 “weblinkteams.com”，以增加钓鱼页面的可信度。 这些钓鱼网站托管在 Yalishanda 等不受监管的托管服务提供商上，ProDaft 表示，这些提供商通常不会响应合理的下架请求。 Prodaft 还发现另一个被追踪为 Larva-148 的子组，该子组帮助购买钓鱼活动中使用的域名、管理托管服务并设置基础设施。虽然 Larva-148 可能向 EncryptHub 出售域名和钓鱼工具包，但它们的确切关系尚未明确。 一旦 EncryptHub 入侵目标系统，它会部署各种 PowerShell 脚本和恶意软件，以获得持久性、远程访问、数据窃取和文件加密的能力。 首先，他们诱骗受害者安装 AnyDesk、TeamViewer、ScreenConnect、Atera 和 Splashtop 等 RMM 软件。这使他们能够远程控制被入侵的系统，保持长期访问权限，并实现横向移动。 接下来，他们使用不同的 PowerShell 脚本部署信息窃取木马，如 Stealc、Rhadamanthys 和 Fickle Stealer，以窃取存储在网页浏览器中的数据。这些数据包括保存的凭据、会话 cookie 和加密货币钱包助记词。 BleepingComputer 还看到了针对 Linux 和 Mac 设备执行类似操作的 Python 脚本。 在 BleepingComputer 看到的脚本样本中，威胁行为者试图从被入侵的系统中窃取大量数据，包括： 各种加密货币钱包的数据，包括 MetaMask、Ethereum Wallet、Coinbase Wallet、Trust Wallet、Opera Wallet、Brave Wallet、TronLink、Trezor Wallet 等。 各种 VPN 客户端的配置数据，包括 Cisco VPN Client、FortiClient、Palto Alto Networks GlobalProtect、OpenVPN 和 WireGuard。 各种流行密码管理器的数据，包括 Authenticator、1Password、NordPass、DashLane、Bitwarden、RoboForm、Keeper、MultiPassword、KeePassXC 和 LastPass。 与特定扩展名匹配或文件名包含某些关键词的文件，包括图片、RDP 连接文件、Word 文档、Excel 电子表格、CSV 文件和证书。文件名中的一些目标关键词包括 “pass”、“account”、“auth”、“2fa”、“wallet”、“seedphrase”、“recovery”、“keepass”、“secret” 等。 Larva-208 的最终威胁是勒索软件，其形式为自定义的基于 PowerShell 的加密器，该加密器使用 AES 加密文件并附加 “.crypted” 扩展名，同时删除原始文件。 会为受害者生成一张赎金条，要求通过 Telegram 以 USDT 支付赎金。 Prodaft 表示，EncryptHub 是一个复杂的威胁行为者，会根据目标定制攻击以提高效果，成功入侵了大型组织的高价值目标。 “本报告中考察的 LARVA-208 鱼叉式网络钓鱼行为者体现了针对性网络攻击日益增长的复杂性，”Prodaft 警告说。“通过采用高度定制的社会工程手段、先进的混淆方法和精心制作的诱饵，该威胁行为者展示了强大的能力，能够规避检测并入侵高价值目标。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2019年以来，一个名为“automslc”的恶意PyPi包已从Python Package Index下载超过10万次，利用硬编码的凭据从Deezer流媒体服务盗取音乐。 Deezer是一个在180个国家可用的音乐流媒体服务，提供超过9000万首曲目、播放列表和播客。它通过广告支持的免费层级或付费订阅提供，付费订阅支持更高的音频质量和离线收听。 安全公司Socket发现了这个恶意包，并发现它通过硬编码Deezer凭据来下载媒体和抓取平台的元数据，从而盗取音乐。 尽管盗版工具通常不被视为恶意软件，但automslc使用命令与控制（C2）基础设施进行集中控制，可能会将不知情的用户纳入分布式网络。 此外，该工具可能很容易被用于其他恶意活动，因此其用户始终面临风险。 截至本文撰写时，automslc仍可在PyPI上下载。 该恶意包包含硬编码的Deezer账户凭据，用于登录服务，或使用用户提供的凭据创建与服务API的认证会话。 登录后，它请求曲目元数据并提取内部解密令牌，特别是Deezer用于URL生成的“MD5_ORIGIN”。 接下来，脚本使用内部API调用来请求完整长度的流媒体URL并检索整个音频文件，绕过了Deezer允许的30秒预览限制。 下载的音频文件以高质量格式存储在用户的设备上，允许离线收听和分发。 这违反了Deezer的服务条款和版权法，使用户在不知情的情况下面临风险。 automslc包可以不受限制地反复请求和下载曲目，实际上允许大规模盗版。 至于该包的制作者，Socket在各种账户和GitHub仓库上识别出别名“hoabt2”和“Thanh Hoa”，但他们的身份未知。 如果你将automslc作为独立工具使用或作为软件项目的一部分，要知道该工具允许非法活动，可能会给你带来麻烦。 C2导向的操作表明，威胁行为者正在积极监控和协调盗版活动，而不是简单地提供一个被动的盗版工具，这增加了未来更新中引入更多恶意行为的风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已从Visual Studio Marketplace移除了两款受欢迎的VSCode扩展：“Material Theme – Free”和“Material Theme Icons – Free”，原因是这些扩展据称包含恶意代码。 这两款扩展非常受欢迎，总下载量接近900万次，用户现在会在VSCode中收到提示，告知这些扩展已被自动禁用。 发布者马蒂亚·阿斯托里诺（网名equinusocio）在VSCode Marketplace上有多个扩展，总安装量超过1300万次。 关于这些扩展存在恶意软件的消息来自网络安全研究人员阿米特·阿萨拉夫和伊泰·克鲁克，他们在扫描VSCode恶意扩展方面具有专业技能。 在今天发布的一份报告中，研究人员表示他们在这些扩展中发现了可疑代码，并已将调查结果报告给微软。 “微软已从VS Code Marketplace移除了这两个扩展，并封禁了开发者。”一位微软员工在YCombinator的Hacker News上发布消息称，“社区成员对扩展进行了深入的安全分析，发现了多个表明存在恶意意图的危险信号，并将此报告给了我们。微软的安全研究人员证实了这些说法，并发现了更多可疑代码。” “我们已将发布者从VS Marketplace封禁，移除了其所有扩展，并从所有运行这些扩展的VS Code实例中卸载。为澄清，此次移除与版权/许可证无关，仅涉及潜在的恶意意图。” VSCode自动移除Material Theme扩展   研究人员告诉BleepingComputer，他们的专业扫描器检测到扩展代码中存在恶意活动。其中一位研究人员阿米特·阿萨拉夫表示，他们认为恶意代码是在扩展更新中引入的，这表明要么是通过依赖项的供应链攻击，要么是开发者的账户被入侵。   此外，他们解释称，主题应该是静态的JSON文件，不应执行任何代码，因此这种行为在他们的评估中被标记为可疑。 经BleepingComputer验证，主题中的“release-notes.js”文件包含高度混淆的JavaScript，这在开源软件中始终是一个危险信号。 “release-notes.js”文件中的高度混淆JavaScript 对代码的部分反混淆显示了对用户名和密码的多次引用。然而，由于文件仍然高度混淆，BleepingComputer无法确定这些引用的具体方式。 微软表示，他们将很快在VSMarketplace GitHub仓库中发布更多关于该扩展和任何检测到的恶意活动的详细信息。 扩展的开发者马蒂亚·阿斯托里诺（网名equinusocio）回应了关于扩展存在恶意软件的担忧，称问题是由于过时的Sanity.io依赖项“看起来被入侵”所致。 “亲爱的@gegtor，Material Theme从未包含任何有害内容。”阿斯托里诺在微软的VSMarketplace仓库中发布消息称，“我们自2016年以来使用了一个过时的sanity.io依赖项来从sanity headless CMS显示发布说明，这就是他们发现的唯一问题。” “该依赖项自2016年以来一直存在，并且通过了此后所有的检查，现在看起来被入侵了，但微软从未联系过我们要求移除它。他们直接下架了一切，导致数百万用户出现问题，并在VSCode中造成循环（是的，这是他们的错）。” “他们从未联系我们澄清就破坏了一切。移除旧依赖项只需30秒，但这似乎就是微软的行事方式。我们还提供了一个混淆的index.js文件，其中包含所有主题命令和逻辑。它被混淆是因为扩展现在是闭源的；然而，如果你删除它，扩展仍然可以使用纯JSON文件正常运行。” 在情况明朗并确定这些扩展是否恶意之前，建议从所有项目中移除以下内容： – equinusocio.moxer-theme – equinusocio.vsc-material-theme – equinusocio.vsc-material-theme-icons – equinusocio.vsc-community-material-theme – equinusocio.moxer-icons 随后，开发者阿斯托里诺在VSCode Marketplace上发布了一个名为“Fanny Themes”的“完全重写且没有任何依赖项”的扩展，但微软随后将其移除。 针对我们关于混淆的release-notes.js文件的问题，阿斯托里诺重申了他在GitHub上的说法，即一个@sanity依赖项被入侵，如果他收到通知，可以迅速移除。 “发布说明文件是在2016年制作并用于从sanity.io（一个无头CMS）生成网页视图以显示更改的。”阿斯托里诺告诉BleepingComputer，“从那以后就再也没有动过，因为我一直专注于扩展的新版本。唯一有害的东西是旧的（也是唯一的）@sanity依赖项，它已被入侵。但我并不知情。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）周二警告称，一个被其追踪为 UAC-0173 的有组织犯罪团伙重新活跃，该团伙通过感染计算机部署名为 DCRat（又名 DarkCrystal RAT）的远程访问木马。 乌克兰网络安全机构表示，最新一波攻击始于 2025 年 1 月中旬，目标是乌克兰公证人。 感染链利用声称代表乌克兰司法部发送的网络钓鱼邮件，诱使收件人下载一个可执行文件，该文件一旦启动，就会部署 DCRat 恶意软件。该二进制文件托管在 Cloudflare 的 R2 云存储服务上。 “通过这种方式，攻击者获得了对公证人自动化工作场所的初步访问权限，随后采取措施安装额外工具，特别是 RDPWRAPPER，该工具实现了并行 RDP 会话的功能，结合使用 BORE 工具，允许从互联网直接建立到计算机的 RDP 连接，”CERT-UA 表示。 这些攻击还以使用其他工具和恶意软件家族为特征，如 FIDDLER（用于拦截国家注册表网络界面输入的认证数据）、NMAP（用于网络扫描）和 XWorm（用于窃取敏感数据，如凭据和剪贴板内容）。 此外，受感染的系统被用作发送恶意邮件的渠道，使用 SENDMAIL 控制台工具进一步传播攻击。 这一发展发生在 CERT-UA 将 Sandworm 黑客组织（又名 APT44、Seashell Blizzard 和 UAC-0002）的一个子集群归因于利用微软 Windows 中的一个现已修补的安全漏洞（CVE-2024-38213，CVSS 评分：6.5）后的几天，该漏洞在 2024 年下半年通过带有陷阱的文档被利用。 攻击链被发现执行 PowerShell 命令，负责显示诱饵文件，同时在后台启动其他有效负载，包括 SECONDBEST（又名 EMPIREPAST）、SPARK 和一个名为 CROOKBAG 的 Golang 加载器。 CERT-UA 将此活动归因于 UAC-0212，该活动在 2024 年 7 月至 2025 年 2 月期间针对塞尔维亚、捷克共和国和乌克兰的供应商公司，其中一些攻击记录针对了 20 多家乌克兰企业，这些企业专注于自动化过程控制系统（ACST）、电气工程和货运运输。 这些攻击中的一些已被 StrikeReady Labs 和微软记录，后者将该威胁组织追踪为 BadPilot。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文