Aggregator

Here’s a look at the most interesting products from the past week, featuring releases from Cynomi, DataLocker, Gigamon, Lookout, and Relyance AI. Cynomi simplifies vendor risk management Cynomi’s TPRM provides MSPs and MSSPs with a scalable way to deliver these critical services. By cutting vendor assessment times from 7 – 16 hours down to just 1.5 – 4.5 hours, Cynomi TPRM users can work up to 79% faster. This efficiency directly translates into higher profitability, … More →

The post New infosec products of the week: September 12, 2025 appeared first on Help Net Security.

GitHub近期遭遇一场名为“GhostAction”的供应链攻击，攻击者窃取了3325个敏感密钥，包括PyPI、npm、DockerHub、GitHub的令牌，以及Cloudflare和AWS的访问密钥等。

该攻击由GitGuardian的研究人员发现。据报告，受影响项目之一FastUUID最早出现入侵迹象的时间可追溯至2025年9月2日。

此次攻击的手法是：攻击者利用被攻陷的维护者账户提交代码，植入恶意的GitHub Actions工作流文件。该文件会在“推送（push）”操作或手动触发时自动运行，一旦触发，便会从项目的GitHub Actions环境中读取密钥，并通过curl POST请求将其窃取至攻击者控制的外部域名。

针对FastUUID的恶意工作流

GitGuardian指出，在FastUUID项目中，攻击者窃取了该项目的PyPI令牌，但好在攻击被发现并修复前，软件包索引（package index）上未出现恶意包发布的情况。

然而，深入调查后发现，此次攻击范围远不止FastUUID。研究人员表示，“GhostAction”攻击行动已在至少817个代码仓库中注入了类似的恶意提交，所有被盗密钥均被发送至同一个窃取端点：“bold-dhawan[.]45-139-104-115[.]plesk[.]page”。 

攻击者先从合法工作流中枚举密钥名称，再将这些名称硬编码到自己的恶意工作流中，从而窃取多种类型的密钥。

9月5日，GitGuardian摸清攻击的完整范围后，立即在573个受影响的代码仓库中提交了GitHub Issue，并直接通知了GitHub、npm和PyPI的安全团队。目前，已有100个GitHub代码仓库检测到入侵并回滚了恶意修改。 

攻击被发现后不久，该密钥窃取端点便已无法解析。 研究人员估计，“GhostAction”攻击中共窃取了约3325个密钥，涵盖PyPI令牌、npm令牌、DockerHub令牌、GitHub令牌、Cloudflare API令牌、AWS访问密钥及数据库凭据等。

泄露密钥的类型和数量

至少有9个npm包和15个PyPI包直接受此影响——在维护者撤销泄露的密钥前，这些包随时可能被发布恶意版本或植入木马的版本。 

分析显示，多个软件包生态系统的令牌均遭泄露，包括Rust crate和npm包。有几家公司的整个SDK产品组合都已沦陷，其Python、Rust、JavaScript和Go代码仓库同时受到恶意工作流的影响。 

尽管此次攻击与8月末发生的“s1ngularity”攻击在实际操作和技术层面存在一些相似之处，但GitGuardian表示，目前认为这两起攻击并无关联。

近期出现大规模针对思科ASA设备的网络扫描活动，网络安全研究人员就此发出警示，称此类活动可能预示这些产品即将曝出新漏洞。

网络安全公司GreyNoise记录显示，8月末出现两次显著的扫描高峰，多达2.5万个独立IP地址对ASA登录入口及思科IOS的Telnet/SSH服务进行探测。

2025年8月26日的第二波扫描中，80%的流量来自一个巴西僵尸网络，涉及约1.7万个IP地址。两次扫描活动中，威胁者使用的用户代理均与Chrome浏览器相似且存在重叠，表明其可能源自同一源头。

扫描活动主要针对美国，英国和德国也未能幸免。 

GreyNoise此前曾指出，在80%的案例中，此类侦察活动都发生在被扫描产品的新漏洞披露之前。从数据上看，思科产品的这种相关性较其他厂商更弱，但扫描高峰的相关信息仍能帮助防御者加强监控并采取主动防御措施。 

这些扫描活动通常是对已修复漏洞的失败利用尝试，但也可能是攻击者为利用新漏洞而进行的资产枚举与网络测绘。

报告证实扫描活动升级

系统管理员“NadSec – Rat5ak”此前发布的另一份报告显示，类似扫描活动始于7月31日，初期为低强度的 opportunistic 扫描，8月中旬逐渐升级，并于8月28日达到顶峰。

Rat5ak观察到，20小时内思科ASA端点遭遇了20万次访问，且每个IP的流量均稳定在1万次左右，呈现出高度自动化的特征。

该管理员称，这些活动来自三个自治系统编号（ASN），分别是Nybula、Cheapy-Host和Global Connectivity Solutions LLP。

安全建议

研究人员建议系统管理员采取以下措施：

1.  为思科ASA设备安装最新安全更新，修复已知漏洞；

2.  对所有ASA远程登录强制启用多因素认证（MFA）；

3.  避免将/+CSCOE+/logon.html页面、WebVPN、Telnet或SSH服务直接暴露在公网；

4.  若确需外部访问，应使用VPN集中器、反向代理或访问网关加强访问控制；

5.  利用GreyNoise和Rat5ak报告中共享的扫描活动指标，主动拦截此类尝试，或对远离本组织业务区域的IP实施地理封锁与速率限制。

某企业重保期间遭遇连续 3 天高强度邮件攻击，核心业务邮件一度中断；另有企业日常运营中，黑客借 SMTP 协议漏洞窃取核心数据.....关键是，这些两家企业都部署了+邮件网关，却还是照样中招。

这并非个例，数据显示：2023 年已有 60% 中国企业遭遇邮件漏洞攻击，2024 年上半年这一比例进一步升至 68%，企业邮件安全压力持续攀升。更扎心的是，这些遇袭的企业里，80%都装了传统WAF+邮件网关，却依然没挡住黑客的攻击。

传统WAF+网关防护，真的够用吗？

答案显然是否定的——这套很多企业依赖的”防护组合“，早已跟不上黑客攻击节奏：既没有针对邮件SMTP/HTTP 协议、客户端的专项防护逻辑，也缺乏对未知威胁的前瞻响应能力，直接暴露三大短板：

1. 漏洞补丁慢，空窗期长达数周，核心数据随时面临被窃取、服务器被操控的风险；

2. SMTP 协议层攻击难防，WAF 和普通网关查不出隐蔽入侵，黑客能轻松通过邮件突破内网；

3. 遇未知漏洞只能被动挨打，重保期怕高强度攻击搞垮系统、日常用怕隐蔽渗透偷数据，企业安全成本和经营风险双重增加。

企业急需一款能同时应对重保攻击与日常威胁的防护产品——Coremail CACTER邮件入侵防护系统（CACTER MAF）应运而生。

重保实战说话：CACTER MAF高效拦截75 万次攻击，解防护难题

就在今年重保期间，CACTER MAF 交出了一份硬核成绩单：累计拦截751,566 次攻击，涵盖高危漏洞利用、SMTP、Coremail 客户端及 Web 攻击，护航CACTER用户重保全周期”0失陷“；在不少厂商遭遇攻击失陷的背景下，其防护硬实力尤为突出。

CACTER MAF核心作用在于，可实时拦截通过SMTP/HTTP协议发起的N-Day漏洞攻击（含变种），阻断黑客入侵邮件服务器和客户端，防护传统方案无法覆盖的灰色地带。

四大核心优势：填补传统防护”漏洞防不住，补救响应慢“短板

针对传统防护在协议层防护、漏洞响应、态势管控等方面的不足，CACTER MAF通过四大关键能力，攻克传统防护难以解决的痛点：

1、协议层+ 客户端双防护，全场景拦截攻击：针对 SMTP/HTTP协议层攻击，可精准阻断漏洞入侵，同时识别并拦截客户端异常邮件，从源头防止服务器瘫痪、被控并保障用户数据。

2、专家团队 + 小时级响应，提前防未知漏洞：国家级重保攻防团队实时监控漏洞动态，防护引擎小时级更新（比传统方案快 50%），可快速阻断未知漏洞攻击。

3、原厂适配+可视化管控，清晰掌安全态势：精准防御针对 Coremail 的攻击，也能覆盖 XSS、漏扫、Java 代码等常规攻击防护，百万流量测试误判率为0；支持可视化安全管控，全量记录攻击详情，提供溯源分析。

4、本地化串联部署，1 小时快速上线：采用本地串联部署模式，1 小时可完成上线，适配现有架构且满足企业数据合规要求。

从重保到日常：CACTER MAF全时段防护

企业邮件系统面临的攻击风险从未停止攀升。尤其在日常运营中，SMTP/HTTP 协议层漏洞若不及时防护，黑客可通过隐蔽入侵窃取客户信息、篡改业务邮件，甚至渗透内网瘫痪系统 —— 这些隐患往往因传统防护 “重重保、轻日常” 被忽视，最终酿成数据泄露或运营中断的后果。

CACTER MAF在重保期间75万次拦截的实战成绩证明了抗高强度的防护能力，更能将这份防护力延伸到日常运营中：其协议层+客户端双防护、小时级漏洞响应等优势，恰好补上传统防护在日常场景的缺口，让 “重保不慌、日常无忧” 成为企业常态。

9月11日（周四）15：00：反钓鱼防盗号防护干货

立即预约：领取千元好礼

直播亮点

效果有数据：解读反钓鱼防盗号成效数据，安全效果一目了然

配置有策略：专家现场教学，快速配置邮件&账号防护策略

扫码预约直播间，更多干货内容待解锁！