HackerNews

HackerNews 编译，转载请注明出处： Trust Wallet 官方证实，12 月 24 日发布的 Chrome 扩展程序更新被植入恶意代码，已造成约 700 万美元的加密资产失窃。 币安创始人赵长鹏（CZ）在 X 平台发文称：“截至目前，此次攻击已影响约 700 万美元。Trust Wallet 将全额赔付，用户资金 SAFU。对造成的不便深表歉意。”“团队仍在调查黑客是如何提交了新版本。” 与此同时，BleepingComputer 发现攻击者趁火打劫，注册钓鱼域名，假借“漏洞修复”之名继续洗劫受害用户钱包。 平安夜更新后钱包被掏空 12 月 24 日起，大量用户在社交媒体反映，刚升级 Trust Wallet Chrome 扩展后资产瞬间被转走。现已确认，这起供应链攻击至少造成 700 万美元损失。 Trust Wallet 是一款热门非托管钱包，支持移动端与 Chrome 浏览器扩展，用于管理多链资产并与 dApp 交互。 早先有用户发帖：“越来越多人抱怨，浏览器扩展一授权，钱就消失了……损失已超 200 万美元？” 安全分析师 Akinator 提醒：“在官方结论出炉前，请立即停用 Trust Wallet Chrome 扩展。” BleepingComputer 确认，Trust Wallet 于 12 月 24 日发布了 2.68.0 版本，随后钱包被盗报告激增。舆论发酵后，Trust Wallet 悄然在 Chrome 商店推送 2.69 版。 研究人员很快在 2.68.0 的打包文件 4482.js 中发现可疑代码：“新版偷偷加入了一段‘分析’代码，一旦导入助记词，就把钱包数据外发到 api.metrics-trustwallet[.]com。”该域名系事发前几天刚注册，现已无法访问。 安全研究员 Andrew Mohawk 最初持怀疑态度，最终证实该接口确实用于窃取密钥。 WHOIS 显示，metrics-trustwallet[.]com 与后续出现的钓鱼域名 fix-trustwallet[.]com 注册商相同，极可能由同一团伙操控。 官方确认安全事件 昨晚，Trust Wallet 公告承认 2.68.0 版扩展“遭遇安全事件”，呼吁用户立即升级至 2.69。对于受影响人数及具体损失，官方尚未回应媒体问询。 钓鱼网站趁火打劫 恐慌期间，多个 X 账号诱导用户访问 fix-trustwallet[.]com。该站仿冒官网，声称“修复漏洞”，实则弹窗索要助记词。一旦输入，攻击者可立即转走全部资产。 用户应立即执行以下操作 若未升级，切勿打开桌面端扩展。 在浏览器地址栏输入： chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph 关闭 Trust Wallet 扩展开关。 打开右上角“开发者模式”。 点击左上角“更新”按钮，确保版本号为 2.69。 若怀疑已泄露，立即新建钱包并转移剩余资产，旧助记词永久作废。 Trust Wallet 表示客服已主动联系受损用户，其他问题可提交至： https://twtholders.trustwallet.com   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LangChain Core（langchain-core）是 LangChain 生态的核心 Python 包，为构建大模型应用提供通用接口与模型无关工具。安全研究员 Yarden Porat 于 2025 年 12 月 4 日披露了一个严重漏洞（CVE-2025-68664，CVSS 9.3），代号“LangGrinch”。 公告指出： “LangChain 的 dumps() 与 dumpd() 函数存在序列化注入缺陷。函数在序列化自由格式字典时，未对含有内部保留键 ‘lc’ 的字典做转义。’lc’ 被 LangChain 用于标记已序列化的对象。当用户可控数据携带该键结构时，在反序列化阶段会被当成合法的 LangChain 对象，而非普通用户数据。” 漏洞根因： dumps()/dumpd() 未转义用户可控字典中的 “lc” 键；当后续用 load()/loads() 反序列化时，这些数据被当作有效 LangChain 对象实例化，而非普通输入。攻击者可通过 metadata、response 等字段注入恶意对象结构。虽然无法加载任意外部类，但可在受信任的 LangChain 命名空间（如 langchain_core、langchain_community）内实例化 Serializable 子类，其中部分类在初始化时会产生副作用。 Cyata 研究员 Yarden Porat 强调： “一旦攻击者能让 LangChain 的编排循环先序列化、再反序列化带有 ‘lc’ 键的内容，就能实例化任意不安全对象，打开多种攻击面。” 潜在危害： 从环境变量泄露机密 在受信任命名空间实例化危险类 通过 Jinja2 模板造成代码执行 借助提示注入，把恶意对象藏进用户可控字段（如 metadata） Porat 指出，该漏洞尤为严重： 位于 langchain-core 本体，而非外围工具或极端场景； dumps()/dumpd() 是框架核心 API，全球累计安装量数亿； 单条提示即可间接触发——LLM 输出可能影响后续被序列化的 metadata，正常业务流程就能完成攻击，隐蔽且影响面广。 修复版本：1.2.5、0.3.81 已发布补丁，请立即升级。 消息来源： securityaffairs.com ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客“Lovely”宣称攻破康泰纳仕系统，泄露 230 万《WIRED》订阅者数据，并威胁将曝光旗下其他品牌多达 4000 万用户的信息。 据称，这批数据于 2025 年 12 月 20 日被发布在新兴黑客论坛 Breach Stars 上，附带下载链接与文件哈希值。黑客指责《WIRED》母公司康泰纳仕在收到多次安全警告后仍置之不理。 Lovely 在论坛留言中写道： “康泰纳仕根本不在乎用户数据安全。我们花了一个月时间才说服他们修复网站漏洞。接下来几周，我们会陆续泄露超过 4000 万用户的数据，敬请期待！” 起初，Lovely 假扮安全研究员，声称希望协助康泰纳仕进行负责任的漏洞披露；但随后承认已下载完整数据库并威胁公开，误导了 DataBreaches.net。 黑客声称已侵入康泰纳仕的集中式账户体系，覆盖旗下《纽约客》《WIRED》《Vogue》《GQ》等主要品牌，总计逾 4000 万用户，并扬言将分批公开这些用户的个人资料。 Hackread 报道称，泄露文件中还包含近 950 万条标记为“NIL”的记录以及若干国际小型子集，进一步佐证了“统一身份基础设施”的存在。 被泄信息包括：姓名、邮箱地址、用户 ID、显示昵称、账户创建与更新时间戳，部分记录还含最后登录时间。 数据集中既有系统生成的测试邮箱，也有真实个人邮箱，确认最早可追溯到 2011 年的真实用户账户；创建时间跨度为 2011–2022 年，登录活跃度不一。 未涉及密码或支付信息。 Hudson Rock 联合创始人 Alon Gal 通过将泄露记录与窃密木马日志比对，验证了数据真实性。 “Hudson Rock 利用窃密木马感染数据，确认这 230 万条《WIRED》记录属实。更令人担忧的是，黑客声称即将公开一份包含 4000 万行的康泰纳仕更大规模数据库，预计波及《Vogue》《纽约客》《名利场》等知名刊物。”公司官网 Infostealers 发布的报告指出。 “我们验证发现，当前数据真实且新鲜，最新条目截至 2025 年 9 月 8 日。” Gal 强调，超 10.2 万条家庭地址的泄露已带来严重风险，若更大规模数据发布，可能引发人肉搜索、报假警（swatting）以及利用康泰纳仕品牌背景实施精准鱼叉式钓鱼攻击。 目前，该数据集已被收录进“Have I Been Pwned”泄露查询库。   消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 披露了一个高危安全漏洞，可能允许未认证用户读取未初始化的堆内存。 该漏洞编号为 CVE-2025-14847（CVSS 评分：8.7），被描述为“长度参数不一致处理不当”的问题。当程序未能正确处理长度字段与实际数据长度不一致的情况时，就会触发该漏洞。 根据 CVE.org 的描述：“Zlib 压缩协议头中的长度字段不匹配，可能允许未认证客户端读取未初始化的堆内存。” 受影响的数据库版本包括： MongoDB 8.2.0 至 8.2.3 MongoDB 8.0.0 至 8.0.16 MongoDB 7.0.0 至 7.0.26 MongoDB 6.0.0 至 6.0.26 MongoDB 5.0.0 至 5.0.31 MongoDB 4.4.0 至 4.4.29 所有 MongoDB Server v4.2 版本 所有 MongoDB Server v4.0 版本 所有 MongoDB Server v3.6 版本 该问题已在以下 MongoDB 版本中得到修复： 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 MongoDB 官方表示：“攻击者可在未认证的情况下，通过客户端利用服务器的 zlib 实现，返回未初始化的堆内存。我们强烈建议尽快升级至已修复版本。” 如果无法立即更新，建议通过启动 mongod 或 mongos 时设置 networkMessageCompressors 或 net.compression.compressors 参数，显式排除 zlib 来禁用 MongoDB 服务器的 zlib 压缩。MongoDB 支持的替代压缩算法包括 snappy 和 zstd。 安全公司 OP Innovate 指出：“CVE-2025-14847 允许远程、未认证的攻击者触发 MongoDB 服务器返回其堆中的未初始化内存。这可能导致敏感内存数据泄露，包括内部状态信息、指针或其他有助于进一步攻击的数据。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 又名 Bronze Highland、Daggerfly、StormBamboo 的 Evasive Panda APT 组织自 2022 年 11 月起持续发动定向攻击，通过“中间人（AitM）+ DNS 投毒”组合手法，向土耳其、中国、印度等多国目标植入 MgBot 后门，行动至少延续至 2024 年 11 月。 攻击者将恶意程序伪装成搜狐影音、爱奇艺、IObit Smart Defrag、腾讯 QQ 等主流应用的“升级包”。当用户点击更新时，DNS 响应被篡改，域名解析指向攻击者服务器，例如 p2p.hd.sohu.com[.]cn 被解析为恶意 IP，下载到的 sohuva_update_10.2.29.1-lup-s-tp.exe 实为木马。 Securelist 分析指出，黑客先通过 DNS 投毒劫持合法更新请求，再把加密后的恶意组件存放在自己服务器，并借特定域名解析返回，加大溯源难度。 初始加载器使用单字节 XOR 解密配置，若当前用户为 SYSTEM，则复制自身并追加 ext.exe 后缀。随后解密 9556 字节 shellcode，因 .data 段默认不可执行，调用 VirtualProtect 改权限以隐蔽运行。 多阶段感染与混合加密 1. 第一段 shellcode 在安装目录寻找指定 DAT 文件，存在则调用 CryptUnprotectData 本地解密，用完即删； 2. 若无 DAT，则通过被 DNS 投毒的 dictionary[.]com（按受害者地理位置返回不同恶意 IP）下载加密数据； 3. 第二段载荷伪装成 PNG，采用 DPAPI+RC5 混合加密：RC5 密钥先被 DPAPI 加密并存放于 perf.dat 前 16 字节，剩余部分为 RC5 加密内容； 4. 次级加载器 libpython2.4.dll 借助合法签名程序 evteng.exe 进行 DLL 侧载，进一步隐蔽； 5. 最终解密出的 MgBot 被注入 svchost.exe，实现长期驻留。配置内含战役名、硬编码 C2 地址及加密密钥，部分服务器已活跃多年。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为巩固美国在人工智能领域的领先地位，美国国家标准与技术研究院（NIST）宣布投入 2000 万美元启动一项大型 AI 安全计划，用于新建两大研发中心——“美国制造业生产力 AI 经济安全中心”和“保护美国关键基础设施免受网络威胁 AI 经济安全中心”。两家机构均由非营利组织 MITRE 运营。 NIST 在 12 月 22 日的公开声明中表示，这些中心将开发必要的技术评估与进步，“有效保护美国在 AI 创新中的主导地位，应对对手利用 AI 带来的威胁，并降低对不安全 AI 依赖的风险”。该院期望借此实现应用科学与先进技术的突破，为国家最紧迫的挑战提供颠覆性创新解决方案。 美国商务部副部长保罗·达巴尔称，这笔投资将“推动美国制造业复兴”，提升制造商竞争力并吸引国内外资本。兼任商务部标准与技术代理副部长、NIST 代理院长的克雷格·伯克哈特亦指出：“与 MITRE 的新协议将聚焦提升美国企业高效生产高价值产品的能力，满足国内外市场需求，并催化新技术、新设备的发现与商业化。” 该投资是 NIST《21 世纪美国技术领先战略》的一部分，旨在加速关键与新兴技术从研发到落地的进程，并与白宫 2025 年 7 月发布的《美国人工智能行动计划》中“加速 AI 创新”和“建设美国 AI 基础设施”两大支柱相契合。 两大中心将承接 NIST 主导的一系列 AI 与安全项目，包括前身为“美国 AI 安全研究所”的“AI 标准与创新中心”（CAISI）。此外，NIST 即将公布 Manufacturing USA 项目下的“韧性制造 AI 研究院”，拟投入 7000 万美元联邦资金并撬动私人投资，强化 AI 驱动的供应链与制造韧性。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 本周三表示，在特定配置下，已观察到五年前披露的一个 FortiOS SSL VPN 安全缺陷（CVE-2020-12812）被“近期滥用”。该漏洞评分 5.2，属于认证不当：若登录时改变用户名大小写，可在启用 2FA 的情况下跳过第二因素验证。 Fortinet 早在 2020 年 7 月就解释过：当用户本地启用 2FA，且认证类型指向远程 LDAP 时，本地与远程对大小写敏感度不一致，即可触发绕过。该漏洞随后被多家威胁组织利用，美国政府也在 2021 年将其列入“边界设备被武器化漏洞”清单。 2025 年 12 月 24 日，Fortinet 更新公告，给出精确触发条件： 1. FortiGate 上存在引用 LDAP 并启用 2FA 的本地用户条目； 2. 这些用户同时是 LDAP 服务器某组成员； 3. FortiGate 配置了对应 LDAP 组，并把它用在管理、SSL 或 IPsec VPN 等认证策略中。 一旦满足，LDAP 用户即可绕过 2FA，直接走 LDAP 完成登录。原因在于 FortiGate 把用户名当大小写敏感，而 LDAP 不区分。若用户用 “Jsmith”“jSmith” 等非完全匹配的大小写形式登录，FortiGate 找不到本地条目，就会按其他策略继续匹配，最终落到 LDAP 组，凭正确密码即可成功，无视本地 2FA 或禁用状态。 Fortinet 已在 2020 年 7 月发布 6.0.10、6.2.4、6.4.1 修复。若无法升级，可为所有本地账户执行： set username-case-sensitivity disable 对于 6.0.13、6.2.10、6.4.7、7.0.1 及更高版本，应使用： set username-sensitivity disable 关闭后，FortiGate 会把所有大小写形式视为同一用户，避免回落到错误配置的 LDAP 组。进一步缓解可删除不必要的 LDAP 组，彻底阻断攻击路径。 新公告未透露攻击细节或是否得手，仅建议客户如发现管理员或 VPN 用户未经 2FA 成功登录，立即联系支持并重置全部凭据。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 区块链情报公司 TRM Labs 最新调查显示，2022 年 LastPass 数据泄露事件中被窃的加密备份文件，因部分用户主密码强度不足，至今仍在被黑客离线破解，导致加密货币资产持续失窃，最近一次盗币发生在 2025 年 10 月。 链上证据显示，俄罗斯网络犯罪集团深度参与：相关资金多次与俄罗斯关联基础设施交互，混币前后控制权一致，且持续使用高风险俄系交易所套现。TRM Labs 指出，评估结论“基于完整的链上证据链”。 2022 年，LastPass 遭重大入侵，攻击者获取大量客户加密密码库，内含加密货币私钥、助记词等敏感信息。英国信息专员办公室（ICO）本月早些时候以“未采取足够技术和安全措施”为由，对 LastPass 处以 160 万美元罚款。事发后 LastPass 曾警告，黑客可能用暴力破解手段还原主密码；TRM Labs 证实这一预言已成现实。 “任何主密码薄弱的密码库都可能被离线爆破，2022 年的一次入侵为攻击者打开了持续数年的盗窃窗口。由于用户未更换密码或加固库文件，黑客在数年后仍能破解并转走资产，最晚一批盗币发生在 2025 年底。” 资金流向凸显俄罗斯背景：混币后主要通过 Cryptomixer.io 洗白，再经 Cryptex、Audia6 两家俄系交易所套现。其中 Cryptex 已于 2024 年 9 月被美国财政部制裁，理由是其接收逾 5120 万美元勒索软件赃款。TRM Labs 目前已追踪到 3500 万美元被盗数字资产：2800 万美元在 2024 年末至 2025 年初通过 Wasabi Wallet 混币并换成比特币；另 700 万美元于 2025 年 9 月的新一轮盗币中被发现。 尽管攻击者采用 CoinJoin 混币技术，TRM Labs 仍通过聚类提款与“剥皮链”手法还原资金路径，将混合后的比特币锁定至上述两家交易所。 TRM Labs 全球政策主管 Ari Redbord 表示：“这是单一泄露演变为多年盗窃的典型案例。即便使用混币器，操作习惯、基础设施复用及套现行为仍会暴露幕后黑手。高风险俄系交易所仍是全球网络犯罪的核心出口，此案再次证明‘去混币’与生态级分析对追踪和执法至关重要。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将影响 Digiever DS-2105 Pro 网络硬盘录像机（NVR）的安全漏洞（CVE-2023-52163，CVSS 8.8）列入“已知被利用漏洞”目录，并指出已有活跃攻击证据。 该漏洞属于命令注入类，可在认证后实现远程代码执行。CISA 公告称：“Digiever DS-2105 Pro 存在缺失授权漏洞，攻击者可通过 time_tzsetup.cgi 注入命令。” Akamai 与 Fortinet 的多份报告显示，该漏洞已被用于投递 Mirai、ShadowV2 等僵尸网络。TXOne Research 安全研究员颜达伦指出，由于设备已进入生命周期终止（EoL）状态，CVE-2023-52163 及其伴随的任意文件读取漏洞（CVE-2023-52164，CVSS 5.1）均未获得官方补丁。 成功利用需先登录设备并发送特制请求。在补丁缺失的情况下，用户应避免将设备暴露于互联网，并立即修改默认口令。 CISA 同时要求联邦文职行政机构（FCEB）在 2025 年 1 月 12 日前采取缓解措施或停用该产品，以抵御持续威胁。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 官方警告 IT 管理员立即修复一个严重漏洞（CVE-2025-14847），该漏洞可被攻击者远程利用，直接执行任意代码并控制服务器。 漏洞成因在于长度参数处理不一致，无需认证、无需用户交互即可发动低复杂度攻击。受影响版本覆盖 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29，以及所有 4.2、4.0、3.6 系列。 官方给出的安全版本为：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暂时无法升级，应立即关闭 zlib 压缩功能，即在启动 mongod/mongos 时通过 networkMessageCompressors 或 net.compression.compressors 参数显式排除 zlib。 MongoDB 安全团队周五公告称：“攻击者可在无需认证的情况下，利用服务端 zlib 实现缺陷返回未初始化的堆内存。强烈建议尽快升级。” MongoDB 是全球主流的非关系型数据库，数据以 BSON（二进制 JSON）文档形式存储，客户超 6.25 万家，包括数十家《财富》500 强企业。此前，美国网络安全与基础设施安全局（CISA）曾将 MongoDB 组件 mongo-express 的远程代码执行漏洞（CVE-2019-10758）列入“已知被利用漏洞”清单，并要求联邦机构限期修复。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非洲 19 个国家的执法机构联手打击网络犯罪，取得重大胜利。在为期一个月的 Operation Sentinel中，警方于 11 月 27 日行动结束时，共逮捕 574 名嫌疑人，并成功捣毁 6 种勒索软件变种。 该行动于 10 月 27 日启动，11 月 27 日结束，重点打击三大日益猖獗的网络威胁：企业邮箱入侵诈骗（BEC）、数字勒索和勒索软件攻击。执法部门已禁用 6000 多个恶意链接，追回约 300 万美元非法资金，而此次行动调查的案件相关损失估计超过 2100 万美元。“哨兵行动” 充分展现了快速国际合作在防范重大经济损失方面的巨大成效。 典型案例 塞内加尔：一家大型石油企业遭遇精密的企业邮箱入侵诈骗，诈骗分子入侵企业内部邮件系统，伪装成高管批准了一笔 790 万美元的电汇。塞内加尔当局在数小时内冻结了收款账户，成功阻止了转账。 加纳：一家金融机构遭到勒索软件攻击，100 太字节数据被加密，约 12 万美元被盗。加纳当局通过先进的恶意软件分析，锁定了勒索软件类型，开发出解密工具，成功恢复近 30 太字节数据，并逮捕多名嫌疑人。行动还捣毁了一个横跨加纳与尼日利亚的网络诈骗团伙，该团伙通过仿冒知名快餐品牌的专业网站和移动应用，骗取 200 多名受害者共 40 万美元。加纳警方逮捕 10 名嫌疑人，缴获 100 多台电子设备，关闭 30 台诈骗服务器。 贝宁：执法部门关闭 43 个恶意域名，禁用 4318 个与勒索相关的社交媒体账户，逮捕 106 人。 喀麦隆：警方迅速阻止了一场针对汽车销售平台的钓鱼攻击，并在数小时内紧急冻结相关银行账户。 国际刑警组织网络犯罪部主任尼尔・杰顿表示：“非洲地区网络攻击的规模和复杂程度正不断升级。‘哨兵行动’体现了非洲执法部门保护民众生计与关键基础设施安全的坚定决心。” 此次行动的成功离不开行业领军企业的协作支持，包括西姆鲁团队（Team Cymru）、影子服务器基金会（The Shadowserver Foundation）、趋势科技（Trend Micro）、TRM 实验室（TRM Labs）和乌普萨拉安全公司（Uppsala Security），这些机构为追踪攻击源头和冻结非法资产提供了关键技术支持。“哨兵行动” 有 19 个国家参与，并得到英国外交、联邦和发展办公室通过非洲联合打击网络犯罪计划（AFJOC）提供的支持。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Seqrite Labs的安全研究人员发现了一场代号为Operation IconCat的网络攻击活动，攻击者利用伪装成合法安全工具的恶意文档，专门针对以色列各类机构发起攻击。 该攻击活动始于 2025 年 11 月，已致使以色列信息技术、人力资源服务及软件开发等多个行业的多家企业遭受入侵。 此次攻击的核心手段是心理诱导：攻击者伪造酷似 Check Point、SentinelOne 等知名杀毒软件厂商的文档，用户打开这些伪装文件后，会在不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。这一案例充分体现了社会工程学与复杂技术手段相结合，足以绕过传统安全防护体系。 两大攻击链路 图标猫行动包含两条独立的攻击链路，二者战术相似，但投放的恶意软件变种不同。第一条链路以 PDF 文档为传播载体，第二条则借助隐藏了程序代码的 Word 文档发起攻击。赛格瑞特的分析师通过分析 2025 年 11 月 16-17 日来自以色列的可疑文件上传记录，成功识别出这些恶意软件。 链路一：PDF 文档传播 PYTRIC 恶意软件 第一轮攻击中，攻击者使用名为help.pdf的文件，伪装成 Check Point 安全扫描器说明书。文档诱导用户从 Dropbox 下载一款名为 “安全扫描器” 的工具，该文件的解压密码为 “cloudstar”。文档中还附有看似真实的截图和详细的安全扫描操作指南。 这份 PDF 文件是传播 PYTRIC 恶意软件的入口，该恶意软件基于 Python 开发，通过 PyInstaller 打包生成可执行程序。 PYTRIC 具备远超普通恶意软件的危害能力。分析显示，它可扫描整个系统文件、检查管理员权限，并能执行删除系统数据、清除备份文件等破坏性操作。该恶意软件通过名为 “Backup2040” 的 Telegram 机器人进行通信，使攻击者能够远程控制受感染的设备，其目的不仅是窃取信息，更在于彻底销毁数据。 链路二：Word 文档传播 RUSTRIC 植入程序 第二条攻击链路流程类似，但使用了名为 RUSTRIC 的 Rust 语言植入程序。攻击者通过仿冒的以色列人力资源公司 L.M. 集团的邮箱（伪造域名 l-m.co.il）发送钓鱼邮件，邮件附件是一个被篡改的 Word 文档，文档中的隐藏宏会提取并执行最终的恶意载荷。 RUSTRIC 拥有先进的侦察能力，可检测 28 款主流杀毒软件的存在，包括 Quick Heal、CrowdStrike 和卡巴斯基等。该程序通过 Windows 管理规范（WMI）执行后，会运行系统命令识别受感染计算机，并与攻击者控制的服务器建立连接。 安全团队应将此类攻击活动列为最高优先级威胁，需立即开展调查并采取补救措施。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯洛伐克网络安全公司 ESET 发布数据显示，名为 “诺曼尼（Nomani）” 的投资诈骗活动增幅达 62%，其传播范围也已从脸书扩展至YouTube等其他社交媒体平台。 该公司透露，今年已拦截超 6.4 万个与该诈骗相关的独立恶意链接，检测到的诈骗活动主要集中在捷克、日本、斯洛伐克、西班牙和波兰等国。 诺曼尼诈骗最早于 2024 年 12 月由 ESET 首次披露，诈骗分子通过社交媒体恶意广告、仿冒企业官方帖文以及人工智能生成的视频推荐，诱导用户投资不存在的虚假项目，并以高额回报为诱饵实施诈骗。 当受害者申请提取承诺收益时，诈骗分子会以各种理由要求其支付额外费用，或提供身份证、信用卡信息等更多个人资料。与这类投资诈骗的常见套路一致，其最终目的都是造成受害者的经济损失。 更严重的是，诈骗分子还会在社交媒体上以欧洲刑警组织和国际刑警组织相关名义设下二次陷阱，谎称可协助受害者追回被骗资金，诱导受害者再次遭受财产损失。 ESET 指出，该诈骗活动近期又有显著升级，其中包括优化 AI 生成视频的逼真度，降低潜在受害者识别诈骗的概率。 该公司称：“用于诱导用户填写钓鱼表单或访问钓鱼网站的名人换脸视频，如今分辨率更高，人物动作与呼吸的不自然感大幅减少，音视频同步效果也显著提升。” 诈骗分子制作的虚假内容还常常借助热点事件或公众熟知的人物来增加可信度。例如在捷克发现的一起案例中，一篇虚假新闻称政府正通过该诈骗团伙运营的某加密货币平台进行投资并获利丰厚。 为避免恶意广告被平台系统拦截，诈骗分子仅在短时间内投放广告，通常仅持续数小时。另一关键手段是，当用户不符合定向投放条件时，会将其重定向至正常的伪装页面，而非直接跳转到外部钓鱼表单。 ESET 表示：“为进一步降低被发现的风险，诈骗分子越来越多地滥用社交媒体广告系统提供的合法工具，如用表单和问卷替代外部网页来收集受害者信息。” 研究人员还发现，钓鱼页面模板也有明显改进，代码注释中的复选框等特征表明诈骗分子很可能使用 AI 工具编写 HTML 代码。此外，托管这类投资诈骗模板的 GitHub 代码库，其开发者多为俄罗斯或乌克兰用户。 尽管诈骗手段不断翻新，但 2025 年下半年诺曼尼诈骗的检测量有所下降，这表明在执法部门加大打击力度的情况下，诈骗分子可能被迫调整作案策略。 ESET 称：“值得欣慰的是，尽管与 2024 年相比，今年的总检测量有所上升，但 2025 年下半年的检测量较上半年下降了 37%，这是一个积极信号。” 该报告发布之际，路透社的一项新调查显示，元宇宙公司去年在中国的 180 亿美元广告收入中，有 19% 来自诈骗、非法赌博、色情等违禁内容广告，这些广告由该公司在中国的广告代理合作伙伴投放，部分代理商甚至允许商家发布违禁广告。报道发布后，元宇宙公司已宣布对相关合作项目展开审查。 此前路透社的另一篇报道也曾披露，该公司曾预计 2024 年来自此类广告的收入将占其全球总收入的 10%，约 160 亿美元，其中包括诺曼尼诈骗团伙投放的广告，这一数据凸显了此类问题的严重性。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款名为MacSync的新型 macOS 窃密木马变种，该木马通过一款经过数字签名与公证的 Swift 应用传播，此应用伪装成即时通讯软件安装程序，以此绕过苹果的 Gatekeeper 安全验证机制。 “不同于早期主要依赖‘拖拽至终端’或‘一键修复’类技术的 MacSync 窃密木马变种，该样本采用了更具欺骗性、无需用户手动操作的攻击手段。”Jamf 公司安全研究员泰斯・哈夫莱尔表示。 这家苹果设备管理与安全企业指出，该最新变种以经过代码签名和公证的 Swift 应用形式，封装在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像文件中，文件托管于恶意域名zkcall[.]net/download。 由于这款应用经过签名和公证，它可以在苹果设备上运行，且不会被 Gatekeeper、XProtect 等系统内置安全工具拦截或标记。即便如此，研究人员发现该安装程序仍会显示引导用户右键打开应用的说明 —— 这是一种绕开系统安全防护的常用手段。目前苹果已吊销了该程序对应的代码签名证书。 这款基于 Swift 语言开发的释放器，在通过辅助组件下载并执行编码脚本前，会执行一系列前置检查操作，包括验证网络连接状态、设置约 3600 秒的最小执行间隔以限制运行频率、移除文件的隔离属性，以及在执行前对文件进行有效性验证。 “值得注意的是，该变种用于获取载荷的 curl 命令，与早期版本存在明显差异。” 哈夫莱尔解释道，“它没有使用常见的-fsSL参数组合，而是拆分为-fL和-sS两个参数，同时新增了--noproxy等额外选项。” “这些改动，再加上动态填充变量的使用，表明攻击者在载荷的获取与验证方式上进行了刻意调整，其目的很可能是提升攻击可靠性或规避检测。” 该攻击活动还采用了另一种规避手段：制作异常大容量的磁盘镜像文件。通过嵌入无关的 PDF 文档，将镜像文件的大小扩充至 25.5MB。 经解析，这款经 Base64 编码的恶意载荷正是 MacSync 窃密木马，它是 2025 年 4 月首次出现的 Mac.c 木马的更名版本。据 MacPaw 公司月锁实验室分析，MacSync 内置了功能完备的 Go 语言代理程序，其功能已不局限于简单的数据窃取，还可实现远程控制操作。 值得一提的是，研究人员还发现攻击者曾使用伪装成谷歌会议（Google Meet）、带代码签名的恶意磁盘镜像文件，传播奥德赛（Odyssey）等其他 macOS 窃密木马。不过就在上个月，威胁攻击者仍在通过未签名的磁盘镜像文件传播数字窃密木马（DigitStealer）。 Jamf 公司指出：“这种传播方式的转变，折射出 macOS 恶意软件领域的一个普遍趋势 —— 攻击者正越来越多地尝试将恶意程序植入经过签名和公证的可执行文件中，使其外观更接近合法应用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对中东和北非地区多国的协同性虚假网络招聘广告骗局被揭露，诈骗分子借该地区远程办公模式的持续普及伺机作恶。 这类骗局依托制作精良的社交媒体广告，以 “轻松完成简单线上任务即可赚取收入” 为诱饵，背后实则暗藏窃取钱财与个人信息的有组织诈骗活动。 国际网络安全公司 Group-IB 于今日发布调查报告，详细披露了这一诈骗活动。报告指出，诈骗分子正是利用了新冠疫情后远程办公普及所引发的用工行为转变，伺机实施诈骗。 研究中引用的一份 Rcademy 报告显示，中东地区超 60% 的劳动者如今更倾向于全职远程工作，这一趋势为诈骗行为提供了可乘之机。 此类诈骗并非零散作案，而是规模化运作。Group-IB 的研究人员发现，2025 年全年共出现 1500 余条诈骗招聘广告，其中埃及、海湾地区国家、阿尔及利亚、突尼斯、摩洛哥、伊拉克和约旦成为主要目标区域。 每一轮诈骗攻势都经过精心的本地化适配：诈骗分子使用地区方言、本地货币单位，并植入受众熟悉的品牌元素，以此提高广告可信度，增强用户参与度。 骗局运作流程 虚假招聘广告通常出现在脸书、照片墙和抖音等社交平台，且往往冒用知名电商平台、银行或政府机构的名义发布。一旦有用户作出回应，诈骗分子会迅速将沟通转移至 WhatsApp 或 Telegram 等私人即时通讯软件，并在这些平台上实施核心诈骗行为。 诈骗分子会以 “入职审核” 为借口，要求受害者提供个人信息及财务信息。在许多案例中，他们还会要求受害者缴纳押金，声称缴纳后可获取报酬更高的 “任务”。初期，诈骗分子会返还小额返利以骗取受害者信任，随后便会彻底失联。 研究显示，这些诈骗活动由有组织犯罪团伙操控。团伙在多个国家重复使用相同的诈骗脚本、品牌伪装模板、虚假网站以及 Telegram 群组架构。 这种高度协同的作案模式不仅让骗局得以快速规模化扩散，相比传统的单次诈骗行为，其追踪难度也大幅提升。 对用户及平台造成的影响 诈骗分子利用用户对知名机构的信任，以及社交媒体广告的低成本特性实施诈骗。广告宣称 “仅需几分钟完成任务，日薪可达 10 至 170 美元”，所承诺的收入水平普遍高于当地平均薪资，以此诱骗经济状况较为脆弱的群体入局。 Group-IB 警示称：“总体而言，这类骗局绝非零散广告的简单堆砌，而是一场协同运作、分步骤实施的犯罪活动，拥有统一的基础设施、重复使用的钓鱼手段以及固定的作案模式。” “防御方可通过整合广告关键词、平台传播路径、品牌冒用特征、网站识别指标及诈骗分子身份信息等多维度数据，更高效地在多国范围内追踪、拦截并瓦解此类诈骗活动。” 为防范此类威胁，该公司建议用户提高警惕，同时呼吁平台方加强安全防护措施。 个人层面，应避免向未经验证的招聘方泄露个人及财务信息；对不切实际的高薪承诺保持质疑；通过官方网站或可信招聘平台核实招聘方资质；发现可疑广告及时举报。 企业及社交平台层面，则需加强招聘类广告的审核力度，密切监测品牌或政府部门名义被冒用的情况，并开展多语言反诈宣传活动，提醒高危用户群体提高防范意识。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威科法律信息库旗下法律人工智能助手文森特，存在文档隐藏式提示注入攻击漏洞，攻击者可通过在用户浏览器生成虚假登录页面实施凭证窃取。攻击者在案件文件中植入白底白字的隐形代码，触发恶意超文本标记语言程序运行。文森特人工智能漏洞波及全球超 20 万家律所及威科法律信息库用户。 上述漏洞由 “提示防护” 公司的研究人员发现，他们已于本周一发布博客文章披露相关情况。 研究人员表示，这款专为律师打造的人工智能助手文森特，可能被黑客钻空子。黑客会在文档中植入隐藏文本，律所法务团队在不知情的情况下将文档上传至威科法律信息库平台，就会触发人工智能输出恶意超文本标记语言代码，随后该代码会在用户浏览器中加载运行。 这种间接提示注入攻击存在远程代码执行风险，最终会对毫无防备的威科法律信息库用户发起 “屏幕覆盖式” 钓鱼攻击。 屏幕覆盖式攻击是一种 “复杂攻击手段”，指在合法应用或网站界面上覆盖一层虚假界面 —— 本事件中具体表现为虚假登录页面，以此诱骗用户泄露敏感信息。 威科法律信息库官方称，这是一个综合性法律智能平台，旨在帮助法律从业者完成 “各类工作中的研究、分析及法律实务操作”。 该人工智能平台已被全球排名前十的八家律所采用。就在上月，全球领先的法律科技解决方案供应商克利欧公司以 10 亿美元的里程碑式交易收购威科法律信息库，使得使用该平台的律所、律师协会及政府机构数量突破 20 万家。 “我们已通过负责任的方式向威科法律信息库披露了这一漏洞。” 提示防护公司联合创始人兼董事总经理尚卡尔・克里希南表示，威科法律信息库 “迅速采取了有效行动，并依照我们的修复建议完成了系统更新”。 恶意弹窗可窃取登录信息 提示防护公司指出，这一新型远程代码执行漏洞可能被黑客操控，以未经授权的方式访问律所内部系统，进而可能导致大量敏感客户文件外泄。 研究人员将攻击流程拆解为 “三步攻击链”：首先通过提示注入手段，在网络来源的文档中植入 “白底白字” 的隐藏文本；随后，法务团队在案件研究过程中上传这些文档。 在本次研究案例中，隐藏文本以伪造证人证言的形式植入，且研究人员预先设定文森特人工智能需解析文档中的所有直接引语。 而当 “文森特人工智能读取文档并解析‘直接引语’—— 包括攻击者用白底白字植入的伪造证言时”，隐藏的恶意超文本标记语言代码会在受害者的浏览器中自动执行。 “当这段代码在聊天界面输出时，用户浏览器会将其当作文森特人工智能网页的一部分进行处理。” 克里希南表示，“恶意代码会加载攻击者的网站，并将其覆盖在用户的聊天界面之上。” 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库的登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 强化威科法律信息库安全防护的建议 研究还指出，文森特人工智能模型还可能被诱导输出 “存储在标记语言超链接或超文本标记语言元素中的恶意脚本程序”。 克里希南称，这一漏洞可支持攻击者通过 “零点击数据窃取” 方式盗取信息、劫持用户会话、强制用户下载文件或进行加密货币挖矿，且 “每次打开聊天界面，攻击程序都会自动运行”。 会话令牌也存在被盗风险，一旦失窃，攻击者便可 “代表用户在威科法律信息库平台执行操作”，包括访问平台内存储的数据。 配图：提示防护公司 文森特人工智能钓鱼漏洞示意图 之四 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 提示防护公司建议相关机构采取以下防护措施： 确保在威科法律信息库的 “文件集” 功能中，所有来源不可信的文档均被清晰标记； 将不可信文档的可见权限设置为 “仅授权人员可见”，而非 “全组织可见”； 明令禁止用户上传来源未经核实的网络文档。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本汽车制造商日产公司披露了一起数据泄露事件，该事件与Red Hat公司使用的自托管 GitLab 实例存在关联。威胁行为者获得了该GitLab实例的访问权限，窃取了2.1万名客户的数据。 Red Hat系统遭入侵 今年 10 月，黑客组织Crimson Collective宣称，已从Red Hat私有GitHub代码仓库中窃取了570GB的数据，其中包含2.8万个项目文件，以及约800份带有敏感网络数据的客户互动报告CER。这类报告通常包含基础设施细节、系统配置信息和各类令牌等敏感内容，攻击者可利用这些信息对客户网络发起针对性攻击。 Red Hat确认发生数据泄露，但并未证实Crimson Collective黑客组织的相关说法。 9月24日，该黑客组织在一个Telegram频道上，公布了完整的文件目录、客户互动报告清单及相关截图，以此作为入侵成功的证据。 “顺带提一句，我们还获取了部分客户的基础设施访问权限，虽然已经向他们发出警告，但他们选择无视我们。” Crimson Collective在Telegram上写道。 该文件目录中包含数千个代码仓库的相关信息，涉及多家大型银行、电信运营商、航空公司及公共部门机构，例如花旗集团、威瑞森通信、西门子、博世、摩根大通、汇丰银行、梅里克银行、澳大利亚电信、西班牙电信，甚至还提及了美国参议院。 此外，Crimson Collective还公布了其试图联系Red Hat的相关证据。 Red Hat方面表示，保护系统与数据安全是公司的首要任务，并补充称，此次事件未对公司其他服务或产品造成影响，供应链也依旧保持安全稳定。 日产数据泄露 日产此次的数据泄露，源于其一个存储着示例代码、内部通信记录及项目技术规格的GitLab实例遭到未授权访问。 日产发布的一份数据泄露通知中写道：“日产汽车株式会社收到合作方Red Hat的报告，称该公司的数据服务器遭到非法访问，数据已泄露。经后续核实，此次泄露的数据中包含日产福冈销售公司的部分客户信息。” 日产表示，从遭入侵的Red Hat GitLab实例中被盗的数据，涵盖日产福冈销售公司约2.1万名客户的个人信息，包括姓名、住址、电话号码、部分电子邮箱地址以及与销售相关的信息。 日产指出，此次事件未涉及客户财务数据，也未造成其他客户记录泄露。红帽于事件发生约一周后的 2025 年 10 月 3 日，将数据泄露情况告知日产。 “日产于10月3日收到Red Hat的报告后，立即向个人信息保护委员会进行了报备。同时，日产正直接联系那些个人信息可能已遭泄露的客户。” 截至目前，尚无证据表明泄露的数据已被不法分子滥用，但日产仍敦促客户提高警惕，留意可疑来电与邮件。 通知最后强调：“日产高度重视此次事件，未来将加强对分包商的监督力度，并进一步采取措施强化信息安全防护。对于此次事件给客户带来的不便，我们再次致以最诚挚的歉意。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 凤凰城大学披露，该校于今年夏季遭遇黑客未授权入侵系统事件，近 350 万人的信息因此泄露。 此次事件导致在校学生、往届校友、教职工及供应商的敏感个人信息与财务信息遭窃取。 凤凰城大学是一所总部位于亚利桑那州凤凰城的私立营利性院校，该校表示，此次信息泄露源于其甲骨文电子商务套件（Oracle E-Business Suite，简称 EBS）财务应用程序遭到攻击。 调查人员确认，黑客入侵行为发生在 2025 年 8 月 13 日至 22 日期间，但校方直至 11 月 21 日才检测到这一事件 —— 而在前一天，该校刚被克洛普（Clop）勒索软件团伙列入其数据泄露网站的攻击名单。 12 月初，凤凰城大学在其官网发布相关公告，其母公司凤凰教育伙伴公司则向美国证券交易委员会提交了一份 8-K 文件（上市公司重大事项报告）。 校方于本周一向缅因州总检察长办公室及受影响人员提交的通知函证实，此次事件的受害者共计3489274 人，其中包括 9131 名缅因州居民。 遭泄露的数据具体包含以下内容： 姓名及联系方式 出生日期 社保号码 银行账户号码及路由号码 凤凰城大学称，上述信息均被黑客非法访问，但同时指出，黑客获取的银行账户信息 “不具备实际使用权限”。 大规模系列攻击事件 据悉，此次攻击是克洛普勒索软件团伙发起的系列攻击的一部分。该团伙利用了甲骨文电子商务套件中一个编号为CVE-2025-61882的零日漏洞实施攻击。这一系列攻击于今年 10 月初被公开曝光，已波及多个行业的超 100 家机构。 “根据我们的数据统计，这是今年全球范围内波及人数第四多的勒索软件攻击事件。” 数据研究机构 Comparitech 的数据研究主管丽贝卡・穆迪表示。 “这一事件凸显出企业持续面临的勒索软件威胁 —— 这种威胁不仅源于针对企业自身系统的攻击，像甲骨文这类第三方平台遭遇攻击时，黑客往往能通过这一集中式入口，获取多家企业的访问权限及数据。” 尽管克洛普团伙已宣称对此次事件负责，但部分安全研究人员仍不愿将攻击方完全归咎于 FIN11 威胁组织。 经证实，同样因甲骨文电子商务套件漏洞遭攻击的美国高校还包括哈佛大学、宾夕法尼亚大学及达特茅斯学院。 值得注意的是，尽管此次事件波及范围甚广，但截至本文撰写时，攻击者虽已公布据称从其他受害者处窃取的大量文件，凤凰城大学的相关数据却未被公开泄露。 教育行业仍是攻击重灾区 凤凰城大学表示，将为受影响人员提供免费的身份信息保护服务，具体包括为期 12 个月的信用监控、身份盗用恢复协助、暗网监测，以及一份保额达 100 万美元的欺诈赔偿保险。 “我强烈建议所有受此次泄露事件影响的人员，充分利用校方提供的免费身份保护服务。” 隐私保护机构 Pixel Privacy 的消费者隐私维权专员克里斯・豪克说。 “这项服务能帮助他们及时察觉不法分子是否正利用泄露的数据实施恶意行为。” 安全领域负责人指出，此次事件暴露出高等教育行业普遍存在的系统性安全漏洞。 “这起信息泄露事件，凸显了我们在 2025 年全年观察到的一个令人担忧的趋势。” 网络安全公司 SOCRadar 的首席信息安全官恩萨尔・塞克尔解释道。 “像克洛普这样的威胁组织，持续将零日漏洞和大规模数据窃取攻击作为武器，针对大型集中式教育平台发起攻击。” 此次事件跻身 2025 年已披露的最严重教育行业信息泄露事件之列，同时也表明，高校作为海量个人及财务数据的存储库，对网络犯罪分子的吸引力有增无减。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美亚保险（Aflac）发布的最新声明显示，该公司今年 6 月发生的一起数据泄露事件，已导致超 2200 万客户的个人信息遭泄露。 这家总部位于美国佐治亚州的保险巨头于上周五发布声明，公布了针对今年年初披露的一起网络安全事件展开的、历时数月的调查结果。 美亚保险此前曾向美国证券交易委员会预警称，尽管公司在 “数小时内” 就成功阻止了黑客入侵，但部分文件仍已被网络犯罪分子窃取。 该公司重申，此次事件未受到勒索软件的影响。目前，美亚保险已着手向各州监管机构通报这起攻击事件，并向受害者发送数据泄露通知函。 得克萨斯州相关部门表示，该州超 200 万居民受此次事件波及；经统计，本次信息泄露事件的受害者总数约达2270 万人。 此次网络攻击未对美亚保险的日常运营造成影响，但被盗文件中包含其美国业务涉及的客户、受益人、员工、代理人及其他相关人员的保险索赔信息、健康数据、社保号码以及其他个人详细信息。 事发后，美亚保险已向联邦执法部门报案，并聘请网络安全专家处理此次事件。 通知函指出，相关调查已于 12 月 4 日结束，受害者可免费享受为期两年的身份信息保护服务，而该服务的注册截止日期为 2026 年 4 月 18 日。 此次数据泄露事件，发生于黑客组织 Scattered Spider针对保险业发起的一系列攻击行动期间。该组织由一群松散结盟的英语系网络犯罪分子组成，其惯用手法是伪装成信息技术人员，以此侵入大型企业网络。同期，伊利保险、费城保险公司以及斯堪尼亚金融服务公司均曾报告遭受网络攻击。 自这些攻击事件发生以来，执法部门已关停该黑客组织用于泄露数据的网站，且两名组织成员在英国被逮捕并提起诉讼。美国司法部于今年 9 月公开的一份起诉书显示，过去三年内，“分散蜘蛛” 这一网络犯罪团伙通过勒索，已从数十名受害者处榨取至少 1.15 亿美元的赎金。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 工作流自动化平台 n8n 被曝存在一处高危安全漏洞，该漏洞若被成功利用，在特定条件下可导致攻击者执行任意代码。 该漏洞编号为CVE-2025-68613，通用漏洞评分系统（CVSS）评分为 9.9 分。据 npm 平台统计数据显示，该软件包周下载量约达 5.7 万次。 该 npm 软件包维护团队指出：“在特定条件下，已完成身份验证的用户在配置工作流时提交的表达式，可能会在未与底层运行环境充分隔离的执行上下文中被解析执行。” 漏洞危害与影响范围 “已通过身份验证的攻击者可利用这一漏洞，以 n8n 进程的权限执行任意代码。漏洞一旦被成功利用，可能导致受影响的平台实例被完全攻陷，包括敏感数据遭未授权访问、工作流被篡改，以及系统级操作被恶意执行等后果。” 该漏洞影响所有版本号≥0.211.0 且≤1.120.4的 n8n 程序，目前官方已在 1.120.4、1.121.1 和 1.122.0 三个版本中完成漏洞修复。据攻击面管理平台 Censys 监测数据，截至 2025 年 12 月 22 日，全球范围内存在潜在漏洞风险的 n8n 实例多达 103476 个，其中大部分分布于美国、德国、法国、巴西及新加坡等国家。 鉴于该漏洞的高危等级，相关部门建议用户尽快为 n8n 程序安装更新补丁。若暂时无法立即完成补丁部署，建议将工作流的创建与编辑权限仅开放给可信用户，同时在权限受限的操作系统环境中部署 n8n，并限制其网络访问范围，以此降低漏洞被利用的风险。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文