HackerNews

HackerNews 编译，转载请注明出处： 开源工作流自动化平台 n8n 被披露存在一处关键安全漏洞，已登录攻击者可在服务器上执行任意系统命令。该漏洞编号 CVE-2025-68668，CVSS 评分 9.9，由 Cyera Research Labs 的 Vladimir Tokarev 与 Ofek Itach 发现并命名为 N8scape。 受影响版本：1.0.0 ≤ n8n < 2.0.0 修复版本：2.0.0（已发布） 根因：Python Code Node 在使用 Pyodide 时存在沙箱逃逸，导致拥有“创建或修改工作流”权限的已登录用户能够以 n8n 进程相同权限在宿主机上执行任意操作系统命令。 n8n 官方说明 自 1.111.0 起已提供“基于 task runner 的原生 Python 运行器”可选功能，用于加强隔离；需手动设置环境变量 N8N_RUNNERS_ENABLED 与 N8N_NATIVE_PYTHON_RUNNER 开启。 在 2.0.0 中该实现被设为默认，彻底移除旧有 Pyodide 路径。 临时缓解方案（无法立即升级时） 禁用整个 Code Node NODES_EXCLUDE: "[\"n8n-nodes-base.code\"]" 仅关闭 Python 支持 N8N_PYTHON_ENABLED=false 强制使用新 runner 沙箱 N8N_RUNNERS_ENABLED=true N8N_NATIVE_PYTHON_RUNNER=true 此外，n8n 本月还修复了另一处 9.9 分漏洞 CVE-2025-68613，同样可导致任意代码执行，建议用户尽快升级至 2.0.0 及以上版本。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，英国政府罕见地公开承认，其多年来对政府系统网络安全的管理方式存在根本缺陷，并坦言“到2030年让所有政府机构免受已知网络漏洞与攻击手段影响”的原定目标已不可能实现。 这份由科学、创新与技术部（DSIT）提交给议会的《政府网络行动计划》被视为一次重大政策重置。文件直言，现行问责机制使英国政府“从中央到地方、再到供应链”普遍暴露在攻击风险之下，责任归属“各级都不清晰”。 “为保护关键国家基础设施、捍卫公共机构并维持民众对核心服务的信任，我们必须彻底改变做法、显著加快节奏。”行动计划写道。文件警告，尽管多年投入，公共部门面临的网络风险仍“极高”，且“绝非假设，而是反复出现的现实”，例如导致至少一名患者死亡的 Synnovis 勒索软件事件，就是系统性失灵的缩影。 一、设立“政府网络部队” 新路线摒弃过去“只发指导性建议、无强制力”的模式，转向集中化、强制性管理。2026 年底前将组建“政府网络部队”（Government Cyber Unit），统一制定政策方向、协调落地并作为唯一问责主体。 重大事件响应也将集中化：定期举行跨政府演习，提升大规模中断的应对能力。 面向政府的战略供应商，合同中将写入更严格的网络安全条款，以堵住第三方风险。 二、人才与薪酬 2023 年一份被嘲“薪水过低”的招聘广告让政府饱受诟病。此次官方同步推出“政府网络职业体系”，希望吸引并留住顶尖人才。 皇家联合军种研究院（RUSI）网络研究员 Joe Jarnecki 认为，这能提高岗位吸引力，“但政府永远给不出私营企业的价码”。他质疑：“既然是内部战略，为何公开？透明度值得欢迎，可受众到底是谁？” 三、立法层面 同一天，《网络安全与韧性法案》（CSRB）迎来二读。批评者担心该法案对私营关键服务设下重罚，却给公共部门留“后门”，形成“双轨制”。 RUSI 研究员 Jamie MacColl 指出，欧盟 NIS2 指令把公共部门一并纳入，而英国 CSRB 目前并未做到；行动计划此时发布，正是为了缓解这类批评。 文件承诺“让高级官员对网络结果负责，而非把安全当成纯技术问题”，但未写明若做不到将如何处罚。MacColl 直言：“我没看到任何有牙齿的执行机制。” 四、失败根源：老旧 IT + 资金缺口 行动计划承认，政府防御能力远落后于威胁升级速度。GCHQ 局长去年警告，国家正面临几十年来最“复杂拥挤”的威胁环境，攻击量一年增长四倍。 全国审计署（NAO）早已指出，各部门依赖的遗留系统“难以甚至无法达到现代安全标准”。数十年投资不足，使“技术债”越滚越大。 新计划并不打算一次性替换所有老旧资产，而是先建立“关键数字资产清单”，摸清家底与漏洞。 MacColl 总结：“最大的潜台词是钱。NAO 报告说得直白——IT 预算缺口不补，光靠一份网络行动计划无法根治。没有额外资金，内阁办公室或 DSIT 能推动的幅度终究有限。” 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国 CERT 协调中心（CERT/CC）披露了一个尚未修补的安全漏洞，影响 TOTOLINK EX200 无线中继器。该漏洞可让已远程通过身份验证的攻击者直接获得设备完整控制权。 漏洞编号 CVE-2025-65606（CVSS 评分暂缺），成因在于固件上传环节的错误处理逻辑缺陷：当触发特定错误时，设备会意外启动一个无需任何认证的 root 级 Telnet 服务。漏洞发现者 Leandro Kogan 已向 CERT/CC 报告此问题。 CERT/CC 指出：“已登录管理界面的攻击者可通过构造畸形固件包，令固件上传处理程序进入异常错误状态，从而在设备上启动无认证的 root Telnet 服务，获得完整系统权限。” 成功利用该漏洞的前提，是攻击者必须先取得 Web 管理界面的合法身份，才能使用固件上传功能。 CERT/CC 解释称，当固件上传模块解析到特定格式错误的固件文件时，会进入“异常错误状态”，随即以 root 权限拉起 Telnet 服务且不做任何身份校验。这条意料之外的远程管理通道可被用来劫持受影响设备，进而篡改配置、执行任意命令或植入持久化后门。 截至目前，TOTOLINK 尚未发布任何补丁，且该产品已处于停止维护状态。TOTOLINK 官网显示，EX200 最后一次固件更新停留在 2023 年 2 月。 在官方修复方案出炉前，CERT/CC 建议用户： 仅允许受信任网络访问管理界面 禁止未授权用户登录设备后台 持续监控异常活动 尽快更换为仍在支持列表的新型号设备 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Chrome 网上应用店中存在两款新的恶意扩展程序，专门用于窃取用户与 OpenAI ChatGPT 及 DeepSeek 的聊天记录，并将浏览数据一并上传至攻击者控制的服务器。 这两款扩展程序的名称及其用户数量如下： Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI（ID：fnmihdojmnkclgjpcoonokmkhjpjechg，用户量约 60 万） AI Sidebar with Deepseek, ChatGPT, Claude, and more.（ID：inhcgfpbfdjbjogdfjbclgolkmhnooop，用户量约 30 万） 此次发现紧随另一起事件：拥有数百万安装量的 Urban VPN Proxy 扩展程序也被曝出暗中监控用户与 AI 聊天机器人的对话。Secure Annex 将这种通过浏览器扩展窃取 AI 对话的行为命名为 “Prompt Poaching”（提示词掠夺）。 OX Security 的研究员 Moshe Siman Tov Bustan 表示，这两款新发现的扩展程序“每 30 分钟将用户的聊天记录及所有 Chrome 标签页 URL 上传至远程 C2 服务器”。他指出：“这些恶意软件通过请求用户授权‘匿名、不可识别的分析数据’，实则窃取了 ChatGPT 与 DeepSeek 的完整对话内容。” 这两款恶意扩展程序伪装成合法扩展 “Chat with all AI models (Gemini, Claude, DeepSeek…) & AI Agents”（由 AITOPIA 开发，用户量约 100 万）。截至发稿时，这两款扩展仍可在 Chrome 网上应用店下载，不过前者已被取消了“精选”标识。 安装后，这些扩展会诱导用户授权其收集“匿名浏览行为数据”，声称用于优化侧边栏体验。一旦用户同意，嵌入的恶意代码便开始收集浏览器标签页信息及 AI 聊天内容。 具体做法是：扩展程序会查找网页中的特定 DOM 元素，提取聊天消息并本地存储，随后上传至远程服务器（如 chatsaigpt[.]com 或 deepaichats[.]com）。 更令人担忧的是，攻击者还利用 AI 驱动的网页开发平台 Lovable 托管其隐私政策及其他基础设施（如 chataigpt[.]pro 或 chatgptsidebar[.]pro），以掩盖其恶意行为。 安装此类扩展的后果可能非常严重，因为它们不仅能窃取用户与 ChatGPT、DeepSeek 的对话内容，还能获取浏览记录、搜索关键词甚至企业内部 URL。 OX Security 警告称：“这些数据可能被用于企业间谍活动、身份盗用、定向钓鱼攻击，或在地下论坛出售。若企业员工安装了这些扩展，可能在不知情的情况下泄露了知识产权、客户数据及商业机密。” 合法扩展也加入“Prompt Poaching”行列 Secure Annex 还指出，一些看似合法的浏览器扩展也在进行“Prompt Poaching”，包括： Similarweb（用户量约 100 万） Sensor Tower 的 Stayfocusd（用户量约 60 万） Similarweb 据称于 2025 年 5 月引入了监控 AI 对话的功能，并在 2026 年 1 月 1 日的更新中弹出了完整的服务条款，明确告知用户其输入至 AI 工具的数据将被收集，用于“深入分析流量与参与度指标”。其 2025 年 12 月 30 日的隐私政策更新也明确指出： 此类信息包括您输入或提交至某些人工智能工具的提示词、查询、内容、上传或附加的文件（如图片、视频、文本、CSV 文件）及其他输入内容，以及您从这些 AI 工具中获得的输出结果（包括任何附加文件）——统称为“AI 输入与输出”。 鉴于 AI 工具中常见的 AI 输入与输出及元数据的性质，可能会无意中收集或处理某些敏感数据。然而，我们的处理目的并非为了识别您的身份。尽管我们无法保证所有个人数据都被移除，但我们会尽可能采取措施过滤或移除您输入至这些 AI 工具中的识别信息。 进一步分析发现，Similarweb 使用 DOM 抓取或劫持浏览器原生 API（如 fetch() 和 XMLHttpRequest()）——与 Urban VPN Proxy 类似——通过加载远程配置文件，实现对 ChatGPT、Claude、Gemini 和 Perplexity 的对话数据抓取。 Secure Annex 的 John Tuckner 告诉 The Hacker News，这种行为在 Chrome 和 Edge 版本的 Similarweb 扩展中均存在。其 Firefox 版本最后一次更新是在 2019 年。 Tuckner 表示：“显然，‘Prompt Poaching’已经到来，正在窃取你最敏感的对话内容，而浏览器扩展就是其利用的载体。目前尚不清楚这是否违反了谷歌‘扩展应单一用途、不得动态加载代码’的政策。” “这仅仅是开始。越来越多的公司将意识到这些数据的价值。扩展开发者为了变现，也会将这类由营销公司提供的复杂库集成到自己的应用中。” 建议 若您已安装上述扩展程序并担心隐私泄露，建议立即卸载，并避免安装来源不明的扩展，即使它们带有“精选”标签。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  据观察，与俄罗斯相关的威胁行为者UAC-0184一直在利用Viber即时通讯平台投递恶意ZIP压缩包，以此针对乌克兰军方和政府实体。 “该组织在2025年持续对乌克兰军方和政府部门进行高强度情报搜集活动”。 该黑客组织也被追踪为Hive0156，主要以在网络钓鱼邮件中利用战争主题诱饵，在针对乌克兰实体的攻击中投递Hijack Loader而闻名。该恶意软件加载器随后会成为感染Remcos远程访问木马的途径。 该威胁行为者最早由乌克兰计算机应急响应小组于2024年1月初记录。随后的攻击活动被发现利用Signal和Telegram等即时通讯应用作为恶意软件的传播载体。中国安全厂商的最新发现表明，这一战术得到了进一步演化。 攻击链包括将Viber用作初始入侵向量，分发包含多个Windows快捷方式文件的恶意ZIP压缩包。这些LNK文件伪装成Microsoft Word和Excel官方文档，以诱骗接收者打开它们。 这些LNK文件旨在向受害者展示一个诱饵文档以降低其怀疑，同时在后台通过PowerShell脚本从远程服务器获取第二个ZIP压缩包，从而静默执行Hijack Loader。 攻击通过一个多阶段过程在内存中重构并部署Hijack Loader，该过程采用了DLL侧加载和模块堆叠等技术来规避安全工具的检测。随后，该加载器通过计算相应程序的CRC32哈希值，扫描环境中安装的安全软件，例如卡巴斯基、Avast、BitDefender、AVG、Emsisoft、Webroot和微软的相关产品。 除了通过计划任务建立持久性外，该加载器还在通过将其注入”chime.exe”进程来隐蔽执行Remcos RAT之前，采取措施破坏静态签名检测。这款远程管理工具使攻击者能够管理终端、执行负载、监控活动并窃取数据。 “尽管作为合法的系统管理软件进行营销，但其强大的侵入能力使其经常被各种恶意攻击者用于网络间谍和数据窃取活动”，”通过Remcos提供的图形用户界面控制面板，攻击者可以对受害者的主机进行批量自动化管理或精确的手动交互操作。” 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位使用标识符1011进行活动的威胁行为者在暗网论坛上公开声称，其已获取并泄露了来自NordVPN开发基础设施的敏感数据。 据报道，此次泄露暴露了超过十个数据库的源代码，以及可能对该VPN提供商运营安全构成重大风险的关键身份验证凭证。 攻击者声称，他们是通过位于巴拿马的一台配置错误的开发服务器获得访问权限的。这一发现凸显了整个科技行业存在安全防护不足的开发环境所带来的持续脆弱性。 根据最初的披露，泄露的受损数据包括NordVPN核心系统的源代码仓库、Salesforce API密钥和Jira令牌。 这些凭证允许直接访问用于客户关系管理和项目跟踪的关键业务工具。 该威胁行为者已发布了样本SQL转储文件，揭示了敏感数据库表的结构，包括salesforce_api_step_details表和api_keys配置，这证明了其对NordVPN后端基础设施的访问权限。 Dark Web Informer的分析师在2026年1月4日威胁行为者在暗网论坛分享证据后，确认了此次泄露。 研究人员指出，这一事件例证了开发服务器为何常常因其相比生产环境更为宽松的安全配置而成为有吸引力的目标。 数据库架构信息和API密钥结构的泄露，显著增加了针对NordVPN更广泛生态系统发起后续攻击的风险。 此次攻击途径的核心是针对配置错误服务器进行凭证暴力破解，这种技术对于缺乏适当速率限制和访问控制的系统而言，仍然具有令人不安的效力。 这种方法涉及系统性地尝试各种密码组合直至获得进入权限，在防御措施缺失或不足的情况下，这是一种直接但有效的手段。 此次泄露与标准数据盗窃的不同之处在于源代码本身的暴露，这使得攻击者获得了数百万用户赖以保护隐私的系统的架构知识。 其影响超出了NordVPN的直接运营范围。随着API密钥和Jira令牌进入公开流通，威胁态势已扩大到包括在集成服务内进行潜在的横向移动，以及对内部项目管理系统的可能操纵。 安全研究人员建议NordVPN立即对所有开发基础设施进行安全审计，在所有平台上轮换已泄露的凭证，并通过强制执行多因素认证来加强身份验证协议。 管理类似开发环境的组织应实施更严格的访问控制和持续监控，以防止发生类似的泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  WhatsApp的多设备加密协议长期存在元数据泄露问题，使得攻击者能够对用户设备的操作系统进行指纹识别，从而有助于精准投递恶意软件。近期研究显示Meta已进行部分修复，但透明度问题依然存在。 Meta旗下的WhatsApp拥有超过30亿月活跃用户，其使用端到端加密来保障消息安全；然而，其多设备功能却会暴露设备信息。 在该设置下，发送方与接收方的每个设备建立独立会话，使用的是在设备而非服务器上生成的唯一加密密钥。 密钥ID在实现上的差异，会揭示设备运行的是Android还是iOS系统，这对网络攻击链中的侦查环节至关重要。 攻击者可被动利用此漏洞，无需用户交互即可通过查询WhatsApp服务器获取会话密钥，从而识别操作系统类型，进而向Android设备部署精准漏洞利用程序和恶意软件，同时避免触及iOS设备或惊动受害者。 2024年初，Tal A. Be’ery在WOOT’24上的研究揭露了基于Signal协议实现的、按设备建立的会话会泄露设备数量、类型和身份信息。 同年晚些时候，攻击者已能精确定位特定设备进行漏洞利用。2025年，Gabriel Karl Gegenhuber等人在WOOT’25上详细阐述了操作系统指纹识别方法：Android的签名预密钥ID每月从0开始缓慢递增，而iOS的模式则截然不同。 Tal A. Be’ery使用定制工具验证了这一点，确认攻击者可将这些泄露信息串联起来：先检测操作系统，然后悄无声息地投递针对特定操作系统的恶意负载。 近期，WhatsApp已将Android签名预密钥ID的分配方式更改为在整个24位范围内随机取值，从而阻断了该攻击途径。这一变动是通过监测工具发现的，标志着Meta改变了先前认为此问题”无法采取行动”的立场。 然而，一次性预密钥仍然具有区分度：iOS的ID起始值较低且每隔几天递增，而Android则使用完全随机的范围。修复后经过调整的工具仍能可靠地检测出操作系统。 这使得高级持续性威胁能够利用WhatsApp作为传播恶意软件的渠道，正如Paragon间谍软件案例所示。查询过程中不会向用户发出任何通知，从而保持了攻击的隐蔽性。 批评者指出，此次修复措施的推出并未像处理另一个类似问题那样，向研究人员发出警报、提供漏洞赏金或分配CVE编号。CVE通过CVSS评分记录问题，而非用于指责；此类疏漏阻碍了问题的追踪。 虽然修复措施在持续改进，但实现跨平台的完全随机化并提高CVE透明度，将能更好地保护数十亿用户，促进社区协作。在当前风险持续存在的情况下，用户应限制关联设备数量并监控账户活动。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新的ClickFix社会工程攻击活动正瞄准欧洲的酒店业，利用虚假的Windows蓝屏死机界面诱使用户在其系统上手动编译并执行恶意软件。 蓝屏死机是Windows操作系统遇到致命且无法恢复的错误导致系统停止时显示的崩溃界面。 在12月首次发现、并被Securonix研究人员追踪为”PHALT#BLYX”的新攻击活动中，冒充Booking.com的网络钓鱼邮件引发了一次部署恶意软件的ClickFix社会工程攻击。 ClickFix社会工程攻击是一种设计用于显示错误或问题，然后提供”修复”方案来解决该问题的网页。这些错误可能是虚假的错误消息、安全警告、验证码挑战或更新通知，指示访问者在其计算机上运行命令来解决问题。 受害者最终通过运行攻击者指令中提供的恶意PowerShell或Shell命令而感染自己的机器。 在这项新的ClickFix攻击活动中，攻击者发送冒充酒店客人取消Booking.com预订的网络钓鱼邮件，通常发送给酒店企业。声称的退款金额足够大，足以给邮件接收者制造一种紧迫感。 点击邮件中的链接会将受害者带到一个托管在’low-house[.]com’上的虚假Booking.com网站，Securonix将其描述为真实Booking.com网站的”高保真克隆”。 Securonix报告称：”该页面使用了Booking.com官方品牌元素，包括正确的配色方案、徽标和字体样式。在外行人看来，它与真实网站无法区分。” 该网站托管着恶意JavaScript，向目标显示虚假的”加载时间过长”错误，诱使他们点击按钮刷新页面。 然而，当目标点击该按钮时，浏览器会进入全屏模式并显示虚假的Windows蓝屏死机崩溃界面，从而启动ClickFix社会工程攻击。 该界面提示用户打开Windows”运行”对话框，然后按CTRL+V，这将粘贴已复制到Windows剪贴板的恶意命令。 接着提示用户按键盘上的”确定”按钮或Enter键来执行该命令。 真正的蓝屏死机消息不会提供恢复指令，只会显示错误代码和重启通知，但经验不足的用户或急于解决纠纷的酒店员工可能会忽略这些欺骗迹象。 粘贴提供的命令会运行一条PowerShell命令，该命令会打开一个诱饵性的Booking.com管理员页面。同时，在后台下载一个恶意的.NET项目（v.proj）并使用合法的Windows MSBuild.exe编译器进行编译。 执行时，该有效负载会添加Windows Defender排除项并触发用户账户控制提示以获取管理员权限，然后使用后台智能传输服务下载主要加载器，并通过在启动文件夹中放置.url文件来建立持久性。 该恶意软件是DCRAT，一种远程访问木马，通常被威胁行为者用于远程访问受感染设备。 该恶意软件使用进程空洞技术注入到合法的’aspnet_compiler.exe’进程中，并直接在内存中执行。 首次与命令与控制服务器联系时，恶意软件会发送其完整的系统指纹，然后等待执行命令。 它支持远程桌面功能、键盘记录、反向Shell以及在内存中执行额外有效负载。在Securonix观察到的案例中，攻击者投放了一个加密货币挖矿程序。 随着远程访问的建立，威胁行为者现在在目标网络中获得了立足点，使他们能够传播到其他设备、窃取数据并可能危害其他系统。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Everest勒索软件组织声称已从全球保险基础设施平台Bolttech处截获了约186GB的数据。该威胁行为者正要求该公司支付赎金。 根据Everest在暗网泄露网站上发布的信息，其窃取的数据高度敏感。 该团伙声称：”我们掌握着高度敏感的数据，包括员工和代理账户（电子邮件、姓名、角色、标识符）、客户信息、联系详情、保单数据、抵押贷款相关记录、电话号码、电子邮件地址、被保险财产地址、财务参数以及内部运营标识符。” 为了支持其说法，该团伙发布了照片样本。网站上还有一个倒计时器和解释说明，声称如果本周晚些时候未收到Bolttech的回复，数据将被公开。 Cybernews研究团队在调查数据样本后表示，Bolttech数据被滥用的风险是严重的。 我们的研究人员解释说：”客户、员工的个人身份信息、保单标识符可能导致相关人员遭受网络钓鱼、身份信息被用于画像分析。保单ID也可能被用于向客户支持部门提交欺诈性索赔。” 目前还难以确定数据库中是否包含完整的地址信息。但研究团队补充道，如果包含，则人肉搜索的风险会更大。 Bolttech平台于2020年推出，连接保险公司、经纪商和技术平台，以实现保险单的数字化分销。其保险交易所处理的年总保费超过50亿美元，连接着超过150家保险公司。 今年夏天早些时候，总部位于新加坡的Bolttech完成了1.47亿美元的C轮融资，估值达21亿美元。该公司年收入约15亿美元。 Everest被认为是与俄罗斯有关的勒索软件团伙，于2021年首次被识别。它在2022年10月攻击美国电信巨头AT&T后成为头条新闻。当时，Everest声称能够访问AT&T的整个企业网络。 根据Cybernews的暗网监控工具Ransomlooker的数据，在过去的12个月中，Everest已经侵害了超过100家组织，使其成为当前最臭名昭著的网络犯罪集团之一。 Everest是当前运作中最具攻击性的勒索软件组织之一。它最近攻击了巴西石油巨头巴西国家石油公司和全球运动服装及鞋类品牌Under Armour。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： VVS 窃取器是一款基于 Python 编写的恶意软件，专门窃取 Discord 平台的账号凭证与令牌。据悉，这款恶意软件至少从 2025 年 4 月起便开始在电报平台上进行售卖。 该恶意软件采用 Python 代码混淆工具 Pyarmor 对自身代码进行深度混淆，以此阻碍安全人员的分析与检测工作。为此，安全研究人员对恶意软件样本进行了解混淆处理，才得以开展恶意代码的分析工作。 这款在电报平台上被宣传为 “终极窃取器” 的恶意软件，采用订阅制或授权制的售卖模式，价格区间从每周 10 欧元起，最高至终身授权 199 欧元。 VVS 窃取器：功能与攻击流程  VVS 窃取器具备多项恶意功能，包括窃取 Discord 平台数据、劫持用户会话、提取浏览器中保存的账号凭证，以及截取用户屏幕画面。它会通过添加开机自启项的方式实现持久化驻留，同时还会弹出伪造的错误提示信息，以此隐蔽自身的恶意行为。 帕洛阿尔托网络公司发布的报告指出：“一旦完成上述各类数据的提取，该恶意软件样本会将所有数据压缩为一个名为<用户名>_vault.zip的压缩包文件，随后通过 HTTP POST 请求，将该文件发送至预先设定的网络钩子端点，这一数据外传流程与 Discord 平台的数据窃取方式十分相似。” 研究人员对一个经 PyInstaller 打包、并通过 Pyarmor 混淆的 VVS 窃取器样本展开了分析。他们提取并还原了原始的 Python 字节码，确认该恶意软件基于 Python 3.11.5 版本开发，并获取了相关的 Pyarmor 混淆信息。通过重构.pyc文件头，研究人员成功反编译了这款恶意软件，还原出其源代码。 研究团队深入分析了 Pyarmor 的文件头信息、AES-128-CTR 加密算法，以及 BCC 编译模式 —— 该模式会将 Python 函数编译为 C 语言代码，并存储在 ELF 格式文件中。借助与 Pyarmor 授权相关的密钥和随机数，研究人员重构了加密的字节码、常量与字符串，最终还原出浏览器密钥提取等核心恶意功能。剥离这些混淆层后，安全人员才得以全面分析该恶意软件的攻击能力。 去除 Pyarmor 混淆保护后，研究人员证实 VVS 窃取器是一款技术成熟的恶意软件，攻击目标明确指向数据窃取与会话劫持。该恶意软件设有时间限制，将于 2026 年 10 月 31 日失效，且其发起的所有 HTTP 网络请求均使用固定的 Chrome 浏览器用户代理。它针对 Discord 平台的攻击流程为：定位并解密被加密的 Discord 令牌，随后调用 Discord 的应用程序编程接口（API），收集大量用户数据，涵盖账号详情、支付信息、多重身份验证状态、IP 地址以及系统元数据等内容。 报告进一步补充道：“该恶意软件样本会首先搜索可能存在的加密 Discord 令牌。这类加密令牌的字符串均以dQw4w9WgXcQ:为前缀。恶意软件会利用正则表达式，基于该前缀生成检索规则，随后在 LevelDB 目录下的.ldb或.log格式文件中检索匹配内容。收集到所有目标信息后，恶意软件会将其转换为 JavaScript 对象表示法（JSON）格式进行数据外传，传输方式同样是通过 HTTP POST 请求发送至预先设定的网络钩子端点，具体包括环境变量%WEBHOOK%所指定的地址，以及程序内置的备用地址。” Discord 开发者平台的资料显示：“网络钩子是一种便捷的工具，可直接向 Discord 的频道发送消息，无需借助机器人账号或进行身份验证。” 窃取到的数据会通过 Discord 网络钩子向外传输。此外，该恶意软件还会向 Discord 客户端中注入经过混淆处理的 JavaScript 脚本，以此劫持用户的活跃会话、监控用户操作，并维持自身在受感染设备中的持久化存在。不仅如此，VVS 窃取器还会针对多款基于 Chromium 内核及火狐内核的浏览器发起攻击，提取其中保存的密码、Cookie、浏览历史记录与自动填充数据，将这些信息打包为 ZIP 压缩包后，通过相同的网络钩子渠道完成数据外传。 该恶意软件还会调用 Windows 系统的MessageBoxW应用程序编程接口（API）弹出伪造的致命错误提示框，误导用户认为设备需要重启。 报告最后总结：“VVS 窃取器的出现，印证了 Pyarmor 这类本可用于合法用途的工具，也能被不法分子利用来开发隐蔽性极强的恶意软件，以窃取 Discord 等热门平台的用户凭证。这一威胁的出现，警示安全防护人员必须加强对凭证窃取与账号滥用行为的监测力度。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲监管机构正考虑对埃隆·马斯克的社交媒体平台X采取行动，因其人工智能工具Grok被用于生成未成年人的色情图像。 这是欧盟、英国与X平台（原Twitter）之间日益激烈的冲突中的最新焦点。美国政府指责其跨大西洋伙伴通过对该平台的监管实施非关税贸易壁垒。 本周，Grok在回应用户提示对一名14岁女演员图像进行”脱衣”后引发广泛愤怒。类似行为近期激增，该工具被用于”脱去”女性衣物并让她们身着比基尼摆拍。 马斯克未直接回应批评，但似乎通过Grok生成的一张穿着比基尼的烤面包机图像来淡化担忧。 巴黎检察官办公室周五向Recorded Future News证实，已收到法国两名议员的报告，指控“Grok生成并传播含未成年人在内的色情’深度伪造’内容”。该事件已被纳入检察官办公室对X平台的持续调查中，调查重点是该平台涉嫌未能遏制诈骗和外国干涉的传播。 英国政府发言人表示，计划全面禁止包括AI模型在内的各种形式的”裸体化工具”。”私密图像滥用是一种毁灭性犯罪，对妇女和女童的影响尤为严重。根据这项新刑事罪行，任何设计或提供此类裸体化工具的个人或公司都将面临监禁和巨额罚款。” 根据英国《网络安全法》，私密图像滥用目前属于优先处理罪行，这意味着大型科技平台负有法律责任首先防止其出现，并在发布后予以删除。 英国通信管理局发言人在声明中表示：”未经同意创建或分享私密图像或儿童性虐待材料（包括AI生成的色情深度伪造内容）属于非法行为，实施此类网络犯罪行为的个人将面临执法部门的起诉。” 此次Grok事件发生前，欧盟委员会上月已因X平台违反欧盟法律对其处以1.2亿欧元（约1.39亿美元）罚款。在罚款之前，X平台的全球政府事务团队曾指责欧盟委员会的执法行动是”前所未有的政治审查行为和对言论自由的攻击”。 在2024年总统大选前，特朗普的竞选搭档JD·万斯曾暗示欧盟对马斯克的对待将影响美国对北约的政策。就在罚款公布前，万斯在X平台声称欧洲计划因该公司”未进行审查”而罚款，并表示：”欧盟应该支持言论自由，而不是用垃圾理由攻击美国公司。” 美国联邦贸易委员会曾在8月警告国内科技公司，遵守欧盟和英国法规可能构成”为遵守外国法律而审查美国人”，这可能被视为违反禁止商业中不公平或欺骗性行为的法律。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  特朗普上周五下令撤销一项价值290万美元的计算机芯片交易，他认为如果当前所有者HieFo公司继续控制该技术，将威胁美国安全利益。 这项行政命令将焦点投向了一笔在2024年5月拜登政府时期宣布时几乎未引起关注的商业交易。该交易涉及航空航天与防务专业公司Emcore将其计算机芯片及晶圆制造业务以292万美元的价格出售给HieFo公司——此价格包含承担约100万美元的债务。 但特朗普现要求HieFo在180天内剥离该技术，理由是有”可信证据”表明当前所有者是中华人民共和国公民。 HieFo由张根造博士和哈里·摩尔共同创立。根据交易完成后发布的新闻稿，从Emcore收购的技术计划将由位于加利福尼亚州阿尔罕布拉市的原班员工团队主要负责监督。 在担任HieFo首席执行官之前曾任Emcore工程副总裁的张根造承诺，将利用包括人工智能在内的技术，”继续追求最具创新性和颠覆性的解决方案”。 HieFo未立即回应就特朗普行政令置评的请求。 在与HieFo交易时，Emcore是一家上市公司，但去年已被投资公司Charlesbank Capital Partner私有化。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部本周宣布，两名美国网络安全行业从业者，已就其参与BlackCat（又名Alphv） 勒索软件攻击 相关指控认罪。 去年 10 月，美方曾指控三名人员针对多家美国本土企业实施勒索软件攻击。其中两名嫌疑人分别为来自得克萨斯州、36 岁的凯文・马丁，以及一名未公开身份的人士 —— 二人此前均在威胁情报与事件响应公司数字明特担任勒索软件谈判专员。第三名嫌疑人是来自佐治亚州、40 岁的瑞安・戈德堡，他曾任职于网络安全企业赛格尼娅，担任事件响应经理。 美方指控这三人非法入侵多家企业系统，窃取核心机密信息，并投放BlackCat勒索软件。 据司法部对该犯罪团伙运作模式的描述，这三名嫌疑人实为BlackCat勒索软件的附属成员。他们会将从受害者处获取的赎金抽取 20%，上缴给该勒索软件运营组织的管理者，以此换取文件加密恶意软件的使用权，以及专用敲诈勒索管理平台的访问权限。 司法部透露，三人曾从一名受害者处，通过比特币收取了 120 万美元赎金。 戈德堡与马丁均承认犯有敲诈勒索共谋罪—— 二人利用勒索软件瘫痪企业运营，以此实施敲诈。他们或将面临最高 20 年监禁，案件量刑听证会定于 2026 年 3 月 12 日举行。 2021 年 11 月至 2023 年 12 月期间，执法部门开展专项行动瓦解了该网络犯罪团伙，而在此期间，BlackCat勒索软件运营组织已针对超 1000 家机构发起攻击。该团伙并未就此销声匿迹，而是继续活动数月之久，直至从全康医疗处榨取 2200 万美元赎金后，才以 “跑路骗局” 的方式彻底收手。 自 2024 年初起，美国政府已悬赏 1000 万美元，征集与BlackCat 勒索软件团伙核心成员有关的线索，但截至目前，尚未公布相关抓捕指控进展。 值得注意的是，就在戈德堡与马丁认罪消息公布的数天前，乌克兰籍人士阿尔乔姆・斯特里扎克，也已在美国一家法院就其涅斐勒姆”勒索软件附属成员 的相关指控认罪。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 发现澳大利亚政府系统中的关键漏洞，使一名英国道德黑客获得了最难申请的签证类型之一。 36岁的雅各布·里格斯是一家大型软件即服务公司的全球信息安全总监，他获得了邀请制的858国家创新签证（原全球人才签证）。 据SWNS报道，该签证要求申请者具备卓越的专业能力，仅有不到1%的申请人（如诺贝尔奖得主和奥运奖牌获得者）能够获得。 在签证申请审查期间，里格斯发现并披露了澳大利亚外交贸易部运营的一个实时系统中的关键漏洞。 里格斯于7月从伦敦贝克斯利的家中进行了此次黑客行为，他表示这只是作为常规安全评估处理，并采用了与平时相同的方法。 在发现该机构未意识到的漏洞之前，他测试了多个入口点。 “发现漏洞大约用了一小时五十分钟。”他说。 DFAT将里格斯的名字列入了该部门的漏洞披露计划荣誉名单，正式认可了他的成就。 澳大利亚网络安全中心在2024-25财年收到了超过84,700份网络犯罪报告，企业每份报告的平均自报网络犯罪成本为80,850美元。 与此同时，国家支持的网络攻击者针对政府运营的关键基础设施和网络。 去年11月，澳大利亚政府对两家俄罗斯服务提供商（Media Land LLC和ML. Cloud LLC）实施制裁，原因是它们为恶意网络行为者和网络犯罪分子提供了勒索软件基础设施。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 昨日，美国对委内瑞拉发动 “大规模军事打击”，抓获委内瑞拉总统尼古拉斯・马杜罗及其夫人，目前二人已被押解至美国纽约，面临联邦指控。特朗普暗示，美国动用了网络攻击及其他技术手段切断了当地电力供应。 互联网监测机构NetBlocks在Mastodon上发文称：“已确认：监测数据显示，委内瑞拉加拉加斯部分地区的互联网连接中断，时间点与美国军事行动期间的停电情况吻合。此次行动对首都实施了打击，并将马杜罗总统拘捕带离委内瑞拉。” 据美国政治新闻网POLITICO报道：“唐纳德・特朗普总统表示，在对委内瑞拉首都加拉加斯发起军事打击、抓获委内瑞拉总统尼古拉斯・马杜罗的行动中，美方动用了网络攻击或其他技术手段切断了当地电力供应。”若该消息属实，这将是美国网络作战力量少有的一次公开实战应用。 特朗普在海湖庄园举行的新闻发布会上详述此次行动时称：“当时的加拉加斯一片漆黑，全城电力基本中断，这正是我们技术优势的体现。那是一个黑暗之夜，也是一场致命行动。” Tor的监测数据可以呈现，美军军事行动期间，委内瑞拉境内使用该匿名网络的用户数量是否出现显著变化。下图数据显示，该国 Tor 网络用户量出现急剧攀升。 委内瑞拉 Tor 用户数量的激增，是社会陷入严重政治与信息危机的典型信号。当民众意识到常规网络渠道已不再安全可靠时，便会转向具备匿名性、抗审查能力的工具，以此突破本土信息壁垒。 此次事件后，多重因素共同推动了这一趋势。 首先，有报道称社交媒体、即时通讯软件及独立新闻网站遭遇封锁、限流或选择性屏蔽，民众被迫使用 Tor 绕过网络过滤，获取境外媒体、非政府组织及流亡群体发布的信息。 其次，随着压制力度不断升级，活动人士、记者及普通民众愈发担忧自身网络浏览与通讯内容遭到监控。Tor 能够隐藏用户 IP 地址，并通过多节点中继传输网络数据，成为少数能保障用户安全组织活动、披露证据，甚至只是安全浏览新闻的工具。 最后，面对当局的网络管控，海外侨民网络与数字权利组织通常会迅速行动，推广 Tor 等工具并发布使用指南，一旦形成传播规模，用户数量便会出现爆发式增长。 图表呈现的趋势显示，前期使用量量平稳波动，后期突然跃升至此前基准线的数倍，与其他危机事件中的情况高度吻合，例如部分国家爆发大规模抗议活动或选举后动荡，当局随即实施网络管控时。这一变化并非临时性技术故障，而是民众网络行为的根本性转变：数万委内瑞拉人试图在常规网络渠道风险高企的当下，重新掌控自身的网络浏览、言论表达与信息分享权利。 值得一提的是，2025年12 月中旬，委内瑞拉国家石油公司PDVSA曾遭遇网络攻击，其石油出口业务一度受扰。该公司当时宣称，此次攻击仅波及部分行政系统，未对生产运营造成实质影响。 委内瑞拉国家石油公司强调，其安全防护机制有效避免了供应链及出口业务中断，并将此次网络攻击定性为一次蓄意挑衅，直指美方试图通过网络手段夺取委内瑞拉石油资源。该油气企业明确指控，美国政府是此次网络攻击的幕后黑手。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 索赔管理公司Sedgwick证实，其专注于政府业务的子公司正在处理一起网络安全事件。 在新年前夕，TridentLocker勒索软件团伙声称攻击了Sedgwick政府解决方案公司，并窃取了3.4千兆字节的数据。 Sedgwick的一位发言人证实，公司目前正在处理该子公司的一起安全事件。该子公司为国土安全部、移民和海关执法局、海关和边境保护局、公民及移民服务局、劳工部以及网络安全和基础设施安全局等联邦机构提供索赔和风险管理服务。 该发言人称：”在发现该事件后，我们立即启动了事件响应预案，并通过外部法律顾问聘请了外部网络安全专家，协助对受影响的隔离文件传输系统进行调查。” “重要的是，Sedgwick政府解决方案公司的系统与公司其他业务系统是隔离的，更广泛的Sedgwick系统或数据未受影响。此外，没有证据表明索赔管理服务器被访问，Sedgwick政府解决方案公司为客户提供服务的能力也未受影响。” 公司已通知执法部门，并正在就此事与客户保持沟通。 网络安全和基础设施安全局与国土安全部没有回应置评请求。该公司还为美国所有50个州的市政机构以及史密森尼学会和纽约与新泽西港务局提供服务。 网络安全专家表示，TridentLocker是一个于2023年11月新出现的勒索软件团伙。该团伙此前曾声称对比利时邮政与包裹服务公司bpost的攻击负责，bpost已证实近期遭遇了数据泄露。 自出现以来，该团伙在其数据泄露网站上总共列出了12个受害者。 勒索软件团伙曾多次针对像Sedgwick这样的联邦政府承包商。一年前，知名政府承包商Conduent遭受攻击后，超过1000万人的信息被泄露。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月，与伊朗有关的黑客组织Handala声称，已完全入侵了两名以色列政要的移动设备。 然而，Kela网络情报研究人员的详细分析揭示，实际入侵范围更有限——攻击目标是特定的Telegram账户，而非完全获取设备访问权限。 该组织声称，在”章鱼行动”中入侵了前总理纳夫塔利·贝内特的iPhone 13，并泄露了联系人列表、照片、视频以及约1900条聊天记录。 此后不久，他们声称以类似方式访问了以色列参谋长察希·布拉弗曼的设备。尽管这些声称十分惊人，但实际的入侵暴露了账户安全方面的严重漏洞，而非设备层面的入侵。 Kela的分析师对泄露的材料进行了取证检查，发现大多数被曝光的对话是Telegram在同步过程中自动生成的空联系人卡片。 只有大约40个对话包含实际消息，其中显示实质性交流的对话更少。所有被曝光的联系人都链接到活跃的Telegram账户，证实数据来源于Telegram本身。 Kela的研究人员和分析师指出，该事件凸显了会话管理和账户安全实践中的严重漏洞，即使在加密消息平台上也是如此。 了解感染和账户接管机制可以揭示Handala是如何在没有完全设备访问权限的情况下入侵这些账户的。 该组织可能采用了多种攻击向量，包括SIM卡交换攻击——攻击者控制受害者的电话号码以接收登录验证码。 他们也可能利用电信基础设施中SS7协议的漏洞，在网络层面拦截短信。此外，Handala可能使用了复杂的钓鱼活动，通过虚假登录页面或恶意二维码窃取一次性密码。 会话劫持是另一种可能的攻击向量，即攻击者从Telegram Desktop复制tdata文件夹——该认证文件包含活跃会话数据，当在其他地方恢复时，可绕过一次性密码和多因素认证，提供完整的账户访问权限。 该组织的操作手法还包括通过多种技术获取一次性验证码：通过语音通话触发验证、利用未更改的默认PIN码从语音信箱提取验证码，或冒充Telegram支持人员，通过社会工程手段诱使工作人员泄露凭据。 Telegram的默认设置显著放大了这些风险。云密码功能是可选的，且默认禁用，这意味着仅凭一次性密码即可获得完整的账户访问权限。 标准聊天缺乏端到端加密，数据以云聊天的形式存储在Telegram服务器上，而非本地存储，这大大扩展了攻击面。 Handala最早于2023年12月出现，在多个网络犯罪论坛建立存在，并运营多个Telegram频道和社交媒体账户。 他们的行动主要针对以色列公司和组织，一贯在其活动中表现出对伊朗和巴勒斯坦事业的支持，这表明其具有国家支持或亲国家的动机。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 5 月，Covenant Health遭遇Qilin勒索软件团伙攻击，导致超过 47.8 万名个人的数据安全受到影响。 总部位于马萨诸塞州安多弗市的Covenant Health, Inc.是一家提供医疗服务和患者护理的医疗机构，其运营的医院、诊所及相关医疗设施遍布多个州，包括马萨诸塞州、缅因州、新罕布什尔州、宾夕法尼亚州和佛蒙特州。 该机构的网络攻击始于 2025 年 5 月 26 日，导致旗下多家医院、诊所及医疗网点的系统被迫关闭。起初，尚不清楚是否存在数据被盗或勒索软件植入情况，Covenant Health随即聘请顶尖网络安全专家遏制事件影响并展开调查。尽管部分系统和门诊实验室受到波及，但医疗服务仍基本未中断，新罕布什尔州的圣约瑟夫医院及缅因州的两家医院也受到了此次攻击的影响，院方建议患者按原计划就诊。 目前，该医疗机构已通知相关用户，其个人信息和健康数据可能因 2025 年 5 月 18 日发生的网络攻击而泄露。 Covenant Health曾在 7 月报告称，有 7800 人受到此次数据泄露事件影响，但在 2025 年 12 月更新数据显示，受影响总人数已达 478188 人。 提交给缅因州总检察长办公室的数据泄露通知中写道：“2025 年 12 月 31 日，圣约健康公司已根据《健康保险流通与责任法案》（45 CFR § 164.404）及《缅因州修订法规》第 10 篇第 1348 条规定，向可能受影响的患者（包括缅因州居民）邮寄了通知函（随附通知函样本）。对于社会保障号码可能涉及此次泄露的马萨诸塞州居民，圣约健康公司将提供免费的信用监控和身份保护服务。”“同时，圣约健康公司已设立专属免费呼叫中心，解答与该事件相关的咨询。我们已加强信息技术环境的安全性，以防止此类事件再次发生。” 此次泄露的数据包括患者姓名、出生日期、住址、社会保障号码（SSN）、病历编号、健康保险信息，以及诊疗相关信息（如诊断结果、诊疗日期和治疗类型等）。 2025 年 6 月，Qilin勒索软件团伙宣布对该起攻击负责，并声称窃取了 850GB 的敏感数据。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 在发布的报告中称：“2025 年圣诞假期期间，GreyNoise 监测到一场针对 Adobe ColdFusion 服务器的协同漏洞利用攻击活动。此次攻击似乎由单一威胁行为者发起，其使用的基础设施位于日本（归属 CTG Server Limited 公司）。该攻击源贡献了约 98% 的攻击流量，系统性地利用了 2023 – 2024 年间披露的 10 余个 ColdFusion 相关 CVE 漏洞。” 这名单一威胁行为者借助日本的基础设施，产生了约 98% 的攻击流量，且利用了 2023 – 2024 年间的 10 余个 ColdFusion CVE 漏洞。攻击采用 ProjectDiscovery Interactsh 工具进行带外验证，主要攻击向量为 JNDI/LDAP 注入。大部分攻击活动发生在圣诞节当天，这一刻意选择的时间点，显然是为了利用假期期间安全监控力度减弱的漏洞。 研究人员共监测到 5940 条利用 2023 – 2024 年间 ColdFusion 漏洞的恶意请求，攻击峰值出现在 12 月 25 日。 这些请求的攻击目标主要集中在美国（4044 次）、西班牙（753 次）和印度（128 次）的服务器。 GreyNoise 已锁定该主导威胁行为者所使用的两个 IP 地址（134.122.136 [.] 119、134.122.136 [.] 96），这两个 IP 均由 CTG Server Limited 公司（自治系统编号 AS152194）托管，几乎所有已监测到的 ColdFusion 漏洞利用流量都来自这两个 IP。它们占总请求量的 98% 以上，在多数情况下同步运作，共享 Interactsh 会话，展现出自动化、协同化的行为特征，会循环使用多种攻击类型。少量攻击活动来自加拿大、印度、美国及 Cloudflare 网络中的其他几个次要 IP。CTG Server Limited 是一家在香港注册的服务商，其 IP 地址资源近期增长迅速，且此前就与钓鱼攻击、垃圾邮件、伪造路由以及薄弱的滥用行为管控存在关联，这使其作为 “纵容性托管环境” 的角色引发担忧。 以下是此次攻击所针对的 ColdFusion 漏洞清单： 分析表明，此次 ColdFusion 相关攻击活动，仅占这两个 IP 所发起的大规模漏洞扫描活动的约 0.2%。总体而言，该操作共产生超过 250 万条请求，针对 2001 – 2025 年间披露的 767 个 CVE 漏洞，涉及 1200 余种攻击特征码，以及数千个独特指纹和带外应用安全测试（OAST）域名。 该攻击活动以侦察为主要目的，随后开展漏洞利用、本地文件包含（LFI）及远程代码执行（RCE）尝试。攻击目标涵盖 47 余种技术栈，包括 Java 应用服务器、Web 框架、内容管理系统（CMS）平台、网络设备及企业级软件。从活动规模、覆盖漏洞的广度以及自动化特征来看，这是一场系统性、基于模板的侦察行动，覆盖了全球范围内的漏洞环境。 专家已发布此次攻击活动的入侵指标（IOC），供相关方参考防御。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ShadyPanda和GhostPoster背后的威胁行为体，目前被确认与第三项攻击活动有关，该活动代号为DarkSpectre，已影响了Google Chrome、Microsoft Edge和Mozilla Firefox的220万用户。 此活动经评估系一个中国威胁行为者所为，Koi Security以代号DarkSpectre对其进行追踪。总体而言，这三项活动在超过七年的时间里，总共影响了超过880万用户。 本月初，网络安全公司Koi Security首次揭露了ShadyPanda活动，该活动针对所有三种浏览器的用户，以促进数据窃取、搜索查询劫持和联盟欺诈。据发现，它影响了560万用户，其中包括130万新发现的受害者，这些受害者源自被标记为属于同一集群的100多个扩展程序。 这还包括一个名为”New Tab – Customized Dashboard”的Edge插件，该插件包含一个逻辑炸弹，在触发其恶意行为前会等待三天。这种延时激活的企图是为了在审查期间给人以合法的印象，从而获得批准。 其中9个扩展目前处于活跃状态，另有85个是”休眠潜伏者”，它们目前是良性的，旨在吸引用户基础，然后通过恶意更新将其武器化。Koi表示，在某些情况下，恶意更新是在扩展存在超过五年后才引入的。 第二项活动GhostPoster主要针对Firefox用户，通过看似无害的实用工具和VPN工具向他们投放恶意JavaScript代码，旨在劫持联盟链接、注入跟踪代码以及实施点击和广告欺诈。对此活动的进一步调查发现了更多浏览器插件，包括一个用于Opera的Google Translate扩展（开发者”charliesmithbons”），其安装量接近一百万。 最近的发现，”The Zoom Stealer”（Zoom窃取者），是DarkSpectre发起的第三次此类活动，其使用一组横跨Chrome、Edge和Firefox的18个扩展程序，通过收集在线会议相关数据（如包含密码的会议URL、会议ID、主题、描述、预定时间、注册状态等）来协助企业情报搜集。 已识别的扩展及其对应ID列表如下： Google Chrome: Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp) ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep) X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha) Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga) Zoom.us Always Show “Join From Web” (aedgpiecagcpmehhelbibfbgpfiafdkm) Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf) CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo) GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme) Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai) Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn) Mute All on Meet (adjoknoacleghaejlggocbakidkoifle) Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj) Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn) Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl) Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi) Microsoft Edge: Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj) Mozilla Firefox: Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, 发布者：”invaliddejavu”) x-video-downloader ([email protected], 发布者：”invaliddejavu”) 正如扩展名称所示，其中大多数被设计成模仿面向企业的视频会议应用工具（如Google Meet、Zoom和GoTo Webinar），通过WebSocket连接实时外泄会议链接、凭据和参与者列表。 每当用户通过安装了这些扩展之一的浏览器访问网络研讨会注册页面时，它还能收集关于网络研讨会演讲者和主持人的详细信息，例如姓名、职位、简介、个人资料照片、公司关联信息，以及徽标、宣传图片和会话元数据。 研究发现，这些插件会请求访问超过28个视频会议平台，包括Cisco WebEx、Google Meet、GoTo Webinar、Microsoft Teams、Zoom等，无论它们是否真的需要这些访问权限。 研究人员Tuval Admoni和Gal Hachamov表示：”这不是消费者欺诈——这是企业间谍基础设施。’Zoom窃取者’代表着更具针对性的东西：对企业会议情报的系统性收集。用户得到了广告宣传的功能。这些扩展赢得了信任和正面评价。与此同时，监控在后台悄然运行。” 网络安全公司表示，收集到的信息可能被用来推动企业间谍活动（将数据出售给其他不良行为者），并支持社会工程和大规模冒充行动。 此活动与中国相关联的线索基于以下几点：持续使用托管在阿里云上的命令与控制（C2）服务器；与中国省份（如湖北）相关的互联网内容提供商（ICP）备案；包含中文字符串和注释的代码工件；以及专门针对京东、淘宝等中国电子商务平台的欺诈计划。 Koi表示：”DarkSpectre现在很可能部署了更多的基础设施——那些看起来完全合法的扩展，因为它们目前确实是合法的。它们仍处于建立信任的阶段，积累用户、获得徽章、等待时机。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文