Aggregator

Siber Systems Inc.が提供するAndroidアプリ「RoboForm Password Manager」には、代替パスまたはチャネルを使用した認証回避の脆弱性が存在します。

本文尝试DeepSeek接入WPS实现智能办公，希望您喜欢

本文尝试DeepSeek接入WPS实现智能办公，希望您喜欢

本文尝试DeepSeek接入WPS实现智能办公，希望您喜欢

HackerNews 编译，转载请注明出处： 据 SecurityScorecard 报道，朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关，该程序被用于针对开发者的有限定向攻击。 SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”，恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃，目前已无法在代码托管平台上访问。 该植入程序旨在收集系统信息，可嵌入网站和 NPM 包中，带来供应链风险。证据显示，该恶意软件最早于2024年12月底出现。此次攻击已在美国、欧洲和亚洲确认有233名受害者。 “该账户提到了网络开发技能和学习区块链，这与 Lazarus 的兴趣一致，”SecurityScorecard 表示。“威胁行为者将预混淆和混淆后的有效载荷提交到多个 GitHub 仓库。” 有趣的是，GitHub 仓库中的植入程序与直接从命令与控制（C2）服务器 74.119.194[.]129:3000/j/marstech1 提供的版本不同，表明其可能正处于积极开发中。 其主要任务是在各种操作系统中搜索基于 Chromium 的浏览器目录，并更改与扩展相关的设置，特别是与 MetaMask 加密货币钱包相关的设置。它还能够从同一服务器的 3001 端口下载额外的有效载荷。 该恶意软件还针对 Windows、Linux 和 macOS 上的 Exodus 和 Atomic 钱包。捕获的数据随后被窃取到 C2 端点 “74.119.194[.]129:3000/uploads”。 SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 告诉《黑客新闻》，恶意 JavaScript 文件还被植入到某些属于加密货币项目的 NPM 包中。 “Marstech1 植入程序的引入，其分层混淆技术——从 JavaScript 中的控制流扁平化和动态变量重命名到 Python 中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面的复杂方法，”该公司表示。 与此同时，Recorded Future 披露，在2024年10月至11月期间，至少有三家与加密货币领域相关的公司——一家做市公司、一家在线赌场和一家软件开发公司——成为 “Contagious Interview” 活动的目标。 这家网络安全公司正在跟踪名为 PurpleBravo 的集群，称其背后的朝鲜 IT 工作者是网络间谍活动的幕后黑手。该活动还被追踪为 CL-STA-0240、Famous Chollima 和 Tenacious Pungsan。 “无意中雇佣朝鲜 IT 工作者的组织可能违反了国际制裁，使自己面临法律和财务后果，”该公司表示。“更严重的是，这些工人几乎肯定会作为内部威胁，窃取专有信息、引入后门或协助更大的网络行动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

SSH3: faster and rich secure shell using HTTP/3 SSH3 is a complete revisit of the SSH protocol, mapping its semantics on top of the HTTP mechanisms. In a nutshell, SSH3 uses QUIC+TLS1.3 for secure channel establishment...

The post SSH3: faster and rich secure shell using HTTP/3 appeared first on Penetration Testing Tools.

PichichiH0ll0wer Process hollowing loader written in Nim for PEs only PichichiH0ll0wer has some features to protect your payload. Features Configurable builder Payload encrypted and compressed (and optionally splitted) in the hollow loader Supports splitted...

The post PichichiH0ll0wer: Nim process hollowing loader appeared first on Penetration Testing Tools.

近期三大软件供应链安全问题剖析

近期三大软件供应链安全问题剖析

近期三大软件供应链安全问题剖析

谷歌在安卓 16 Beta 2 中推出了一项突破性的安全功能，旨在通过阻止用户在通话期间修改敏感设置来打击电话诈骗。

EDRSilencer Inspired by the closed-source FireBlock tool FireBlock from MdSec NightHawk, I created my version. This tool was created to block the outbound traffic of running EDR processes using Windows Filtering Platform (WFP) APIs....

The post EDRSilencer: uses WFP to block EDR agents from reporting security events to the server appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一种新型名称混淆攻击“whoAMI”，该攻击允许任何发布具有特定名称的亚马逊机器镜像（AMI）的人在亚马逊网络服务（AWS）账户内获得代码执行权限。 Datadog安全实验室研究员Seth Art在一份与《黑客新闻》共享的报告中表示：“如果大规模执行，这种攻击可以用于获取数千个账户的访问权限。这种易受攻击的模式可以在许多私有和开源代码仓库中找到。” 这种攻击本质上是一种供应链攻击，通过发布恶意资源并诱骗配置错误的软件使用它而不是合法的对应资源来实现。 攻击利用了任何人都可以将AMI（用于在AWS中启动弹性计算云EC2实例的虚拟机镜像）发布到社区目录这一事实，以及开发人员在通过ec2:DescribeImages API搜索时可能省略“–owners”属性的情况。 具体来说，当受害者通过API检索AMI ID时，名称混淆攻击需要满足以下三个条件： 使用名称过滤器， 未指定所有者、所有者别名或所有者ID参数， 从返回的匹配镜像列表中获取最新创建的镜像（“most_recent=true”）。 这使得攻击者可以创建一个与搜索条件中指定的模式匹配的恶意AMI，从而导致使用威胁行为者的“替身”AMI创建EC2实例。反过来，这授予了对实例的远程代码执行（RCE）能力，允许威胁行为者发起各种后续利用行动。 攻击者只需要一个AWS账户，就可以将他们的后门AMI发布到公共社区AMI目录，并选择一个与目标所寻求的AMI匹配的名称。 “这与依赖混淆攻击非常相似，只是在后者中，恶意资源是一个软件依赖项（如pip包），而在whoAMI名称混淆攻击中，恶意资源是一个虚拟机镜像，”Art说。 Datadog表示，该公司监控的大约1%的组织受到了whoAMI攻击的影响，并且发现了使用易受攻击标准编写的Python、Go、Java、Terraform、Pulumi和Bash shell的公开代码示例。 在2024年9月16日负责任地披露后，亚马逊在三天后解决了这个问题。当被要求置评时，AWS告诉《黑客新闻》，它没有发现任何证据表明这种技术在野外被滥用。 “所有AWS服务都按设计运行。根据广泛的日志分析和监控，我们的调查确认，这项研究中描述的技术仅由授权研究人员执行，没有证据表明任何其他方使用了它，”该公司表示。 “这种技术可能会影响通过ec2:DescribeImages API检索亚马逊机器镜像（AMI）ID但未指定所有者值的客户。2024年12月，我们推出了Allowed AMIs，这是一种新的账户范围设置，使客户能够限制在其AWS账户内发现和使用AMI。我们建议客户评估并实施这一新的安全控制措施。” 截至去年11月，HashiCorp Terraform已开始在terraform-provider-aws版本5.77.0中使用“most_recent = true”但未使用所有者过滤器时向用户发出警告。预计该警告诊断将在版本6.0.0中升级为错误。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

XWormRAT远控样本分析