HackerNews

HackerNews 编译，转载请注明出处： 黑客组织Lab Dookhtegan据称扰乱了60艘伊朗船只的通信。此次攻击至少影响了39艘油轮和25艘货轮，这些船只由受美国制裁的伊朗海运企业——国家伊朗油轮公司和伊朗伊斯兰共和国航运公司运营。 黑客攻破了卫星通信公司Fannava，禁用“猎鹰”通信系统并清除了核心数据。攻击致使伊朗船只陷入“失明”状态。 该组织发布的截图显示，他们已获取运行iDirect卫星软件（版本2.6.35）的Linux终端根权限。该软件版本陈旧，不符合基本网络安全标准。 黑客通过逐个调制解调器测绘伊朗船队，控制了“猎鹰”通信系统，并持续潜伏五个月后，于8月使船只陷入瘫痪。 “一旦入侵成功，黑客便瞄准名为‘猎鹰’的核心系统——正是这套软件维持着卫星链路的运行。它如同船舶通信系统的心脏。停止‘猎鹰’系统，船只便陷入黑暗：无法与岸上邮件往来，收不到气象更新，失去港口协调能力，彻底与世隔绝。”博客作者Nariman Gharib报道称。 “但邮件日志实际揭示的内容更为惊人：时间戳可追溯至五月和六月。这意味着Lab-Dookhtegan并非仅在三月实施突击后就撤离。他们持续潜伏在伊朗海事网络中长达五个月，始终保持着访问权限，可随时启停系统，很可能监控了所有往来通信。” 攻击者以造成永久性破坏为目标，用零值覆盖六个存储分区，清除了日志、配置和恢复数据，彻底摧毁了船舶通信系统。 “我正查看一份包含电话号码、IP地址的电子表格——最令人难堪的是——密码竟以明文存储。诸如‘1402@Argo’‘1406@Diamond’这类弱密码随处可见。”博客文章继续指出，“凭借这些数据，攻击者理论上可监听船港间通话，冒充船舶身份，甚至通过切断语音通信制造更大混乱。” 这是Lab-Dookhtegan今年发起的第二次攻击，此前曾在三月导致116艘船只通信中断。本次袭击恰逢美国对伊朗石油实施新制裁，使得破坏程度尤为严重。黑客不仅造成临时中断，每艘受影响船舶现在都需要完全重装系统，这个过程可能导致船只停运数周甚至数月。对于本就承受压力、依赖持续通信协调以避免被扣押的伊朗船队而言，这无疑是灾难性打击。失去导航能力、通信功能甚至求救手段，整个船队已实际陷入瘫痪。此次攻击绝非意外，而是经过精密策划、瞄准伊朗最脆弱时刻的精准打击，所有证据表明，这场行动取得了成功。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称泄露的详细信息包括从医疗从业者的姓名到家庭住址的一切信息。Cybernews研究团队认为，这些数据可能源自第三方服务提供商的漏洞。 该帖子被发布在一个流行的数据泄露论坛上，此类论坛常被用来分享被盗数据。攻击者并未明确说明数据的具体来源，但他们声称数据包含了43.3万名美国医疗从业者的信息。 Cybernews研究团队查看了攻击者提供的数据样本，并得出结论认为，其中的信息混合了个人和工作账户。包含的数据类型表明，这些信息可能是从多次数据泄露中整理而来，或是某个被黑的特定第三方服务提供商泄露的。 （攻击者在数据泄露论坛上发布的帖子图片，由Cybernews提供。） “其中一些电子邮件此前并未出现在数据泄露事件中，这进一步增加了以下可能性：数据可能来自不同来源，或者此次漏洞尚未公开。”我们的团队解释道。 据称，该数据库包含了大量关于医生、外科医生和医疗保健专业人员的个人敏感信息，包括： 全名 电话号码 职称 专业领域 医院信息 电子邮件 地址 其他数据 团队注意到，该帖子的作者此前曾发布过按地点、行业和泄露细节数量分类的类似数据库。“换句话说，该帖文的作者可能是从许多不同来源收集数据，并且对其来源秘而不宣。”团队解释道。 与此同时，恶意行为者可以通过多种邪恶途径利用这些泄露的详细信息。最明显的是身份盗窃，即攻击者冒充个人建立欺诈账户。 然而，由于泄露的数据揭示了特定人群的信息，网络犯罪分子更可能利用这些信息进行定向钓鱼攻击。在这种情况下，攻击者会精心制作信息，其中包含能吸引（例如）医疗从业者的内容。 “其中一些电子邮件此前并未出现在数据泄露事件中，这进一步增加了数据可能来自不同来源，或者此次漏洞尚未公开的可能性。” Cybernews研究团队解释道。 攻击者的主要目标是让受害者透露更多个人信息，或诱骗他们下载恶意软件。医疗数据是网络犯罪地下市场中最有价值的战利品之一，因为它通常能使网络犯罪分子提交欺诈性医疗索赔，从而用于非法购买处方药。 此外，攻击者会以医护人员为目标投放恶意软件，因为这可能促成针对医疗保健提供商的勒索软件攻击。勒索软件团伙专注于攻击医院，因为此类组织无法允许系统宕机，并且在攻击者看来，它们更有可能支付赎金。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场针对韩国政府及情报工作人员的大规模鱼叉式网络钓鱼活动，利用了一份国家情报通讯刊物来诱骗受害者。 网络安全公司Seqrite在8月29日发布的新报告中披露，APT37——一个被认为有朝鲜背景的国家级黑客组织——是此次大规模鱼叉式网络钓鱼活动的幕后黑手。 这项被称为“韩国幻影行动”（Operation HanKook Phantom）的行动包含两波活动，期间APT37武器化了一些能引起韩国政府官员和情报人员兴趣的文档。 以首尔情报为诱饵的鱼叉式钓鱼 第一波活动利用名为“国家情报研究学会通讯-第52期”（韩语：국가정보연구회 소식지 (52호)）的文档作为诱饵。 《国家情报研究学会通讯》是由韩国研究团体“国家情报研究协会”发布的月度或定期内部通讯刊物。它为会员提供最新及即将举办的研讨会、研究计划和组织发展的概述，并重点介绍有关国家安全、劳动力动态、当前地缘政治变化、技术进步（如人工智能）和韩朝关系的 ongoing 讨论。 根据Seqrite研究人员的说法，攻击者分发这份看起来合法的PDF文件的同时，还附带了一个恶意的LNK（Windows快捷方式）文件，该文件被命名为“国家情报研究学会通讯(52期).pdf.LNK”。 一旦LNK文件被执行，便会触发载荷下载或命令执行，使得攻击者能够入侵系统。其入侵链包含多种混淆恶意载荷和逃避检测的方法，包括内存执行、伪装诱饵和隐藏的数据渗出例程。 通过分析攻击链，Seqrite研究人员发现其最终载荷是RokRAT，这是一个通常作为编码后的二进制文件分发的后门程序，在利用武器化文档后由shellcode下载并解密。APT37在过去的攻击活动中也被观察到分发RokRAT。 此鱼叉式钓鱼活动的主要目标包括该通讯刊物的接收者，他们通常是以下一个或多个韩国机构的成员： 国家情报研究协会 光云大学 高丽大学 国家安全战略研究院 中央劳动经济研究所 能源安全与环境协会 救国精神振兴会 养志会（纪念会议主办方） 韩国整合战略 以朝鲜官方通讯为诱饵的鱼叉式钓鱼 第二波活动使用了朝鲜劳动党中央委员会副部长、朝鲜最高领导人金正恩的妹妹金与正于7月28日发表的声明作为诱饵。 Seqrite报告指出，根据平壤的朝鲜中央通讯社（KCNA）报道，该声明表明了朝鲜拒绝韩国任何和解努力的立场。研究人员称：“它强烈批评韩国改善朝韩关系的尝试，称其毫无意义或虚伪。”文件还提到，朝鲜断然拒绝未来与韩国的任何对话或合作，宣布结束和解努力，并将在未来采取敌对、基于对抗的立场。 此攻击链与第一波活动相似，从一个恶意的LNK文件开始，该文件在部署混淆组件（tony33.bat, tony32.dat, tony31.dat）到%TEMP%目录的同时，会释放一个诱饵文档。LNK文件会自行删除，随后批处理脚本触发无文件攻击：tony32.dat在内存中解码，用XOR解密（密钥0x37）tony31.dat，并通过API调用（VirtualAlloc+CreateThread）将其注入。 投放器通过伪造的HTTP请求从命令与控制（C2）服务器获取次要载荷（abs.tmp），通过PowerShell（-EncodedCommand）执行它并删除痕迹。同时，它通过在删除前通过伪装的POST请求（模仿PDF上传）来渗出%TEMP%文件，并使用合法系统工具（LOLBins）、内存执行和流量混合来逃避检测。 第二波活动的目标包括： 李在明政府（韩国政府内阁） 统一部 美韩军事同盟 亚太经合组织（APEC） APT37使用高度定制的鱼叉式钓鱼攻击 Seqrite将这两波结合的活动命名为“韩国幻影行动”（Operation HanKook Phantom），“HanKook”是一个通常用于指代韩国的韩语词，而“Phantom”（幻影）则代表了在整个感染链中使用的隐蔽且规避的技术。 APT37是一个网络间谍组织，拥有许多别名，包括InkySquid、ScarCruft、Reaper、Group123、RedEyes和Ricochet Chollima。该组织至少自2012年以来一直活跃，并被认为与朝鲜政权有关联。其主要焦点是韩国的公共和私营部门，近期的鱼叉式钓鱼活动涉及利用有关朝鲜士兵在乌克兰战争中帮助俄罗斯的文档作为诱饵。 2017年，APT37将其目标范围扩展到朝鲜半岛以外，包括日本、越南和中东，并瞄准了更广泛的行业领域，包括化工、电子、制造、航空航天、汽车和医疗保健组织。 Seqrite研究人员总结道：“对此次行动的分析凸显了APT37如何持续采用高度定制的鱼叉式钓鱼攻击，利用恶意的LNK加载器、无文件的PowerShell执行和隐蔽的渗出机制。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司Anthropic近期阻止了一起网络犯罪活动，该犯罪分子利用Claude Code编写钓鱼邮件、创建恶意代码并绕过安全过滤机制。 Anthropic最新版《威胁情报报告》显示，黑客、网络犯罪分子及其他威胁行为者已调整策略，开始利用AI的最先进能力实施攻击。AI模型正被用于执行复杂的网络攻击，同时该技术显著降低了从事网络犯罪的门槛——即便缺乏技术和编程能力的犯罪分子，如今也能借助AI实施勒索软件攻击或钓鱼骗局。 诈骗者更将AI嵌入其全流程操作：从受害者画像分析、窃取数据解析到伪造身份扩大潜在目标范围。报告中列举了Claude遭滥用的近期案例，包括： 利用Claude Code实施的大规模勒索行动 朝鲜背景的欺诈性就业骗局 仅具备基础编程能力的犯罪分子销售AI生成的勒索软件 首个案例中，威胁行为者使用Claude Code自动化执行侦察任务、窃取受害者凭证并渗透网络。Anthropic指出：“Claude被允许作出战术与战略决策，包括决定窃取哪些数据、如何设计心理定向勒索方案。它分析窃取的财务数据以确定赎金金额，并在受害者机器上生成视觉警示性勒索信。” 研究人员认为，此事标志着AI辅助网络犯罪的升级：“代理型AI工具正为攻击提供技术建议和实战支持，此类攻击原本需团队协作才能完成。由于这些工具能自适应防御措施，防护与执法难度持续增大。” 随着AI辅助工具日益精进和普及，此类复杂攻击将更加频繁。Anthropic表示，最佳解决方案是改进检测与遏制模型滥用的方法，承诺在该领域深化研究。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： nx构建系统的维护者已向用户发出供应链攻击警报，此次攻击导致恶意版本的流行npm软件包及具有数据收集功能的辅助插件被发布。 维护者在周三发布的公告中表示：“恶意版本的nx软件包以及一些辅助插件包被发布到npm，其中包含扫描文件系统、收集凭证并将其作为用户账户下的仓库发布到GitHub的代码。” Nx是一个开源、与技术无关的构建平台，旨在管理代码库。它被宣传为“AI优先的构建平台，将从编辑器到CI（持续集成）的一切连接起来”。该npm软件包每周下载量超过350万次。 受影响软件包及版本列表如下。这些版本现已从npm注册表中移除。nx软件包的入侵发生在2025年8月26日。 nx 21.5.0, 20.9.0, 20.10.0, 21.6.0, 20.11.0, 21.7.0, 21.8.0, 20.12.0 @nx/devkit 21.5.0, 20.9.0 @nx/enterprise-cloud 3.2.0 @nx/eslint 21.5.0 @nx/js 21.5.0, 20.9.0 @nx/key 3.2.0 @nx/node 21.5.0, 20.9.0 @nx/workspace 21.5.0, 20.9.0 项目维护者表示，问题的根本原因源于2025年8月21日添加的一个存在漏洞的工作流程，该流程引入了使用特别制作的拉取请求（PR）标题来注入可执行代码的能力。虽然在该工作流程被发现在恶意环境中可利用后，“master”分支中的流程“几乎立即”被恢复，但评估认为威胁行为者针对仍包含该工作流程的过时分支发起了PR以发动攻击。 nx团队表示：“pull_request_target触发器被用作一种方式，在PR创建或修改时触发操作运行。然而，被忽略的是警告信息：与标准的pull_request触发器不同，此触发器以提升的权限运行工作流程，包括具有读/写仓库权限的GITHUB_TOKEN。” 据信，GITHUB_TOKEN被用来触发“publish”工作流程，该流程负责使用npm令牌将nx软件包发布到注册表。 但由于PR验证工作流程以提升的权限运行，“publish工作流程”在“nrwl/nx”仓库上被触发运行，同时引入了恶意更改，使得将npm令牌外泄到攻击者控制的webhook[.]site端点成为可能。 nx团队解释说：“作为bash注入的一部分，PR验证工作流程触发了publish.yml的运行，并附带此恶意提交，将我们的npm令牌发送到一个陌生的webhook。我们相信这就是攻击者获取用于发布恶意版本nx的npm令牌的方式。” 换句话说，如果提交了恶意的PR标题，注入漏洞就能实现任意命令执行，而pull_request_target触发器则通过提供具有仓库读/写权限的GITHUB_TOKEN来授予提升的权限。 这些恶意版本的软件包中被发现包含一个安装后脚本（postinstall script），该脚本在软件包安装后被激活，用于扫描系统以查找文本文件、收集凭证，并将详细信息作为Base64编码的字符串发送到用户账户下包含名称“s1ngularity”的公开可访问的GitHub仓库。 维护者补充说：“恶意安装后脚本还修改了.zshrc和.bashrc文件（这些文件在终端启动时运行），以包含sudo命令，该命令会提示用户输入系统密码，如果提供，将立即关闭机器。” 尽管GitHub已开始归档这些仓库，但遇到这些仓库的用户仍应假设已遭入侵，并轮换GitHub和npm的凭证及令牌。还建议用户停止使用恶意软件包，并检查.zshrc和.bashrc文件中的任何不熟悉的指令并将其删除。 nx团队表示，他们还采取了补救措施，包括轮换其npm和GitHub令牌、审计组织内所有GitHub和npm活动以查找可疑活动，以及更新nx的发布访问权限以要求双因素认证（2FA）或自动化。 Wiz研究人员Merav Bar和Rami McCarthy表示，超过1000个被泄露的GitHub令牌中，有90%仍然有效，还有数十个有效的云凭证和npm令牌。据称，恶意软件通常在开发者机器上运行，通常是通过nx Visual Studio Code扩展。GitGuardian检测到多达1346个包含“s1ngularity-repository”字符串的仓库。 在2349个不同的被泄露秘密中，绝大多数是GitHub OAuth密钥和个人访问令牌（PAT），其次是Google AI、OpenAI、Amazon Web Services、OpenRouter、Anthropic Claude、PostgreSQL和Datadog的API密钥和凭证。 云安全公司发现，该有效负载仅能在Linux和macOS系统上运行，会系统性地搜索敏感文件并提取凭证、SSH密钥和.gitconfig文件。 该公司表示：“值得注意的是，该活动通过使用危险标志提示已安装的AI CLI工具来窃取文件系统内容，利用受信任的工具进行恶意侦察。” StepSecurity表示，此事件是首例已知的攻击者将开发者AI助手（如Claude、Google Gemini和Amazon Q）转变为供应链利用工具并绕过传统安全边界的案例。 Socket表示：“在作用域nx软件包中的恶意软件与nx软件包中的恶意软件之间存在一些差异。首先，AI提示不同。在这些软件包中，AI提示更基本一些。这个LLM提示的范围也远没有那么广泛，主要针对加密钱包密钥和秘密模式以及特定目录，而@nx中的提示则会抓取任何有趣的文本文件。” Aikido的Charlie Eriksen表示，使用LLM客户端作为枚举受害机器上秘密的载体是一种新颖的方法，并为防御者提供了关于攻击者未来可能方向的洞察。 StepSecurity的Ashish Kurmi说：“鉴于nx生态系统的流行度以及AI工具滥用的新颖性，此事件凸显了供应链攻击不断演变的复杂性。对于任何安装了受感染版本的用户来说，立即采取补救措施至关重要。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多家加密货币公司联合行动，成功阻止了通过“浪漫诱骗”诈骗手段窃取的近5000万美元资金落入犯罪分子手中。 区块链分析公司Chainalysis表示，其与加密货币交易所Binance、OKX以及稳定币公司Tether合作，查封了这笔资金。Chainalysis利用其调查工具，识别出与东南亚某“浪漫诱骗”组织相关的数个地址。 这类骗局通常结合情感欺骗和投资欺诈：诈骗者在约会网站上寻找目标人群，通过建立信任进行“情感培养”，随后说服受害者参与某种虚假的投资骗局。 Chainalysis识别出诈骗者用于接收来自数百个受害者钱包付款的五个钱包——其中一些钱包在2022年11月至2023年7月期间发送了超过100万美元。 Chainalysis解释称：“资金转移后，诈骗者将所得收益发送至一个归集钱包，该钱包又将4690万美元的USDT（Tether）转移到三个中间地址。随后，这些资金又流向了五个不同的钱包。” Tether随后将调查结果分享给一家亚太地区的执法机构，并应其要求于2024年6月冻结了资金。目前尚不清楚为何时隔较久才公开此次行动。 Tether首席执行官Paolo Ardoino告诉Chainalysis：“与以太币和比特币等其他加密货币不同，Tether拥有冻结已知非法资金的技术能力。我们致力于与全球执法机构合作，冻结与‘杀猪盘’诈骗及各种非法活动相关的资金，最终目标是为受害者挽回损失。” 然而，这并非首次此类行动。2023年11月，Tether和OKX曾宣布与美国司法部（DOJ）合作，冻结了约2.25亿美元的USDT，这些资金与东南亚一个涉及浪漫骗局的国际人口贩卖集团有关。 “浪漫诱骗”呈上升趋势 “浪漫诱骗”正成为网络犯罪分子日益猖獗的牟利手段。Chainalysis二月份的一份报告显示，2024年与此相关的损失同比增长了40%，占加密货币诈骗总金额的三分之一。 报告还指出，2024年，“浪漫诱骗”诈骗者接收的存款数量同比增长了210%，表明受害者数量在不断增长。 今年三月，美国当局和区块链分析公司TRM Labs宣布，他们已查封了正准备流向“浪漫诱骗”诈骗者的820万美元资金。 此类犯罪通常由东南亚大型诈骗园区内遭受人口贩卖、失去自由的人员实施。根据Chainalysis的说法，Huione Guarantee等在线市场也为这种犯罪提供了便利，该市场自2021年以来已处理了超过490亿美元的加密货币交易。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发现了一批为利用即将在美国举办的2025年国际足联俱乐部世界杯而创建的域名。这预示着2026年世界杯——这项更大的赛事——也面临类似风险。 专门从事主动威胁防护的网络安全公司BforeAI旗下的威胁研究团队PreCrime Labs指出，许多今年使用的域名早已为2026年国际足联世界杯注册完毕。研究人员表示：“这凸显了攻击者使用的两种关键策略：他们要么为新的活动重新利用旧域名，要么提前很久注册新域名。” 他们还提到：“通过将这些域名‘老化’一年或更久，攻击者可以更好地规避检测，并随着赛事临近提高成功率。我们甚至发现了为2030年和2034年国际足联赛事注册的域名。” 在PreCrime的报告中，他们分析了一套包含498个域名的样本，这些域名均含有FIFA、足球（英式足球）和世界杯相关品牌术语（例如“worldcup”、“fifa”、“football”）。这些域名混杂着明显的商标抢注变体（typosquats）、投机性注册、通用的粉丝、商品和博彩名称，以及社区或业余足球网站。 在一个例子中，研究人员发现一个域名，其页面标题显示为“FIFA世界杯赛程”，以诱骗搜索官方比赛信息的用户。当用户访问该站点时，看到的却是一个博彩页面。这是在大型体育赛事期间观察到的常见趋势，对手会滥用热门关键词以最大化搜索可见性和社交媒体传播。 该页面内容为简体中文，但国际足联和官方广播公司实际上并不使用此类渠道进行推广。页面上显著使用名人图片和“官方合作伙伴”等关键词来建立 legitimacy（可信度），但这无法与国际足联的实际赞助商名单核实。诸如“巴西圣保罗官方合作伙伴”等声明被用来增强可信度，但同样使用的是中文。 另一个网页推广所谓的“2026年世界杯电动汽车地图”，声称帮助旅行球迷找到带有电动汽车充电站的酒店和餐厅。实际上，该活动显然旨在通过一种B2B网络钓鱼手段收集个人身份信息。 毫不意外的是，与大型体育赛事相关的最典型骗局是那些带有醒目“购买门票”行动号召按钮的网站，这是金融欺诈的经典高风险诱饵。在这种情况下，虚假的品牌元素，特别是支付合作伙伴（如VISA）的标识、旗帜以及模仿国际足联标志的图案，被策略性地添加到这些域名中。 大型体育赛事，如全球足球盛会或大型巡回演唱会，可预见地会引发欺诈基础设施的激增：包括虚假票务、假冒商品、非法流媒体、博彩诱饵以及用作潜在客户生成或网络钓鱼跳板的通用“粉丝指南”页面。而国际足联世界杯无疑是其中规模最大的赛事。国际足联称，2022年卡塔尔世界杯期间，通过各种媒体参与赛事的球迷达到了五十亿。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙正在调整策略，窃取存储在云中的数据并锁定公司自有系统。 微软周三发布警告，称其近期发现一个自2021年以来一直发动勒索软件攻击的威胁行为者参与的活动。据这家科技公司称，该威胁行为者能够快速泄露大量数据，同时销毁备份并索要赎金。事件响应人员表示：“虽然该威胁行为者已知针对混合云环境，但他们的主要目标已从部署本地端点勒索软件转向使用基于云的勒索软件策略。” 尽管勒索软件团伙传统上依靠部署恶意软件来加密文件，但该威胁行为者近期的策略表明，他们在攻击过程中不再需要这样做。 微软将该黑客称为Storm-0501，其最初在2021年针对美国学区的攻击中使用了Sabbath勒索软件，此后在针对医疗保健领域时持续使用多种勒索软件变种。在2024年的攻击中，其最近使用了Embargo勒索软件。 随着云系统采用率的提高，该黑客改变了方法，开始瞄准能提供全局管理员权限的账户信息。 在微软追踪的最近一次活动中，该黑客成功访问了一个由多家安全成熟度不一的子公司组成的匿名“大型企业”。该黑客检查了哪些子公司和办公室未启用微软安全工具，试图在横向移动网络之前避免被检测到。经过多次移动，他们找到了一个未启用多因素认证的账户，从而能够重置该账户的密码并注册自己的MFA方法。 一旦获得公司云网络的完全访问权限，他们便创建了一个后门，使其能够以几乎任何用户身份登录。他们使用多种工具来定位组织的关键资产，然后窃取大量敏感数据并销毁信息。 该黑客还花时间删除了备份，然后索要赎金。 微软表示：“完成数据泄露阶段后，Storm-0501开始大规模删除包含受害组织数据的Azure资源，通过恢复数据阻止受害者采取补救和缓解措施。”“在该威胁行为者尝试大规模删除数据存储/托管资源的过程中，由于环境中现有的保护措施，他们遇到错误并未能删除部分资源。” 对于无法删除的数据，该黑客尝试使用基于云的加密方式来锁定公司自有数据。由于在该威胁行为者删除密钥后，公司得以恢复密钥来解锁数据，此举未能成功。 微软称，在完成所有这一切后，该黑客通过Microsoft Teams联系了受害公司，“使用先前被入侵的一个用户，要求支付赎金”。 多家安全公司警告，过去使用勒索软件的精密黑客现已转向针对公司存储在云中的数据。过去一年中，已发生多起涉及从Snowflake和Salesforce等存储巨头窃取数据的高调活动。 谷歌周一表示，发现一项活动中黑客利用第三方服务窃取Salesforce数据——其主要目标似乎是窃取登录凭证，这可能“允许他们进一步危害受害者和客户环境，并转向受害者的客户或合作伙伴环境”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国检方已对一名30岁男子提起诉讼，指控其对俄罗斯国有石油巨头旗下德国子公司Rosneft Deutschland实施网络攻击。此次攻击发生在莫斯科全面入侵乌克兰后的数周内，导致公司运营瘫痪并造成千万欧元损失。 柏林检察官办公室于周三表示，该嫌疑人面临两项数据间谍罪指控，其中一项包括特别严重的电脑破坏罪。联邦刑事警察局（BKA）调查人员此前指控其在2022年3月的入侵过程中窃取了约20太字节数据，并删除了关键系统中的信息。黑客身份尚未公开。 失窃数据后来在一个由被告与“匿名者”黑客组织另外两名成员共同运营的网站上公布。该网站包含部分文件列表，已于2023年中期停止运营。 自称“德国匿名者”的黑客组织于2022年3月披露了此次入侵，声称已清除了数十台设备的信息（包括59台苹果系统），并将“荣耀归于乌克兰”的标语嵌入Rosneft的基础设施中。网上发布的截图显示他们已获取管理员权限。 检方表示，此次攻击迫使Rosneft Deutschland关闭其IT系统并启动取证调查，产生后续成本约976万欧元（约1139万美元）。内部通信和运营连续数日严重中断，物流交付受阻，导致额外经济损失约260万欧元（超过300万美元）。 当时，德国联邦信息安全局（BSI）警告称，该事件限制了公司提供关键服务的能力。 “匿名者”声称其动机是Rosneft与俄罗斯总统普京的密切关系，以及该公司逃避制裁的行为。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球首款AI驱动勒索软件PromptLock已被发现。该恶意软件由ESET安全团队识别，目前仅处于概念验证阶段，但已具备传统勒索软件的全部功能框架。 PromptLock采用Golang编写，基于OpenAI的开放权重模型GPT-OSS:20b构建，可在无专有限制的环境下运行。ESET通过社交媒体公告解释：该威胁通过硬编码提示词动态生成Lua脚本，利用这些脚本执行文件系统扫描、文件检测、数据窃取及加密操作。 已观察到Windows和Linux双平台变种，其生成的Lua脚本具备跨平台兼容性。该勒索软件采用SPECK 128位算法实施文件加密。ESET特别指出：“恶意软件可能根据检测到的用户文件实施数据窃取、加密或潜在销毁。虽然文件销毁功能目前尚未激活。” 尽管AI驱动勒索软件的概念令人担忧，但PromptLock攻击需满足多项非常规条件：首先，它通过Ollama API在本地调用GPT-OSS:20b模型，要求受害者系统预先运行Ollama——这对普通计算机的资源配置而言极不现实。 ESET监测到PromptLock在局域网内发送请求，推测其可能连接本地Ollama服务，或通过内部代理转向外部服务器。安全研究人员强调，此类攻击成功的前提是受害者存在网络隔离缺陷、未部署提示词防护机制，且允许LLM相关端口协议的外联流量。 ESET明确表示该恶意软件目前仅为概念验证版本，尚未具备完整功能且未在野检测到实际攻击案例。“我们坚信有必要提升网络安全界对此类新兴风险的认知……AI驱动恶意软件标志着网络安全的新战场。公开这些发现旨在推动行业讨论、防御准备与深度研究。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 消费者信用报告巨头TransUnion警告称，其遭遇数据泄露，导致超过440万美国人的个人信息暴露。BleepingComputer获悉，数据是从其Salesforce账户中被窃取的。 TransUnion是美国三大信用机构之一，另外两家是Equifax和Experian。其在30个国家开展业务，拥有13,000名员工，年收入达30亿美元。 该公司收集并维护全球超过10亿消费者的信用信息，其中约2亿在美国。这些信息与65,000家企业共享，包括贷款机构、保险公司和雇主。 根据提交给缅因州总检察长办公室的文件，泄露事件发生在2025年7月28日，并于两天后被发现。 本周初分发给受影响客户的通知样本表明，该事件涉及服务于公司消费者支持运营的第三方应用程序。 数据泄露通知中写道：“我们最近遭遇了一起网络安全事件，涉及一个服务于我们美国消费者支持运营的第三方应用程序。未经授权的访问包含了一些属于您的有限个人信息。” 公司称在此事件中暴露的数据是“有限的”，尽管通知样本中未具体说明可能包含哪些内容。但信件强调，此次事件中未暴露任何信用报告或核心信用信息。 TransUnion现向受影响者提供24个月的免费信用监控和身份盗窃保护服务。 今年一波Salesforce数据窃取攻击已影响到众多公司，包括Google、Farmers Insurance、Allianz Life、Workday、Pandora、Cisco、Chanel和Qantas。 这些攻击由Shiny Hunters勒索团伙实施，近期还有一个被称为UNC6395的组织也参与其中。 在发布此报道后，BleepingComputer从两个消息来源（包括ShinyHunters）证实，TransUnion的数据泄露与这些Salesforce攻击有关。 该威胁行为者声称，被盗数据包含超过1300万条记录，其中440万条与美国人员有关。 BleepingComputer获得的一份被盗数据样本包含大量敏感个人信息，包括TransUnion客户的姓名、账单地址、电话号码、电子邮件地址、出生日期和未涂黑的社保号码。数据还包含了客户交易的原因，例如免费信用报告的申请。 除客户数据外，威胁行为者还声称窃取了存储在Salesforce中的客户支持工单和消息。 BleepingComputer已就此次泄露事件向TransUnion提出更多问题，若收到回复将更新本文。 两年前，曾有威胁行为者声称对TransUnion进行了数据泄露，但该公司予以否认，表示数据是从第三方窃取的。此前几年，该公司的南非和加拿大分支机构也曾遭遇网络安全漏洞，导致客户信息暴露。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙警方逮捕一名涉嫌入侵地方政府教育管理系统的大学生，该嫌疑人被控篡改成绩并侵入教授电子邮箱。据警方通报，这名21岁的男子在塞维利亚被捕，涉嫌入侵安达卢西亚地区教育平台Séneca。该平台覆盖西班牙人口最密集区域，被当地学校及大学广泛使用。警方称其不仅篡改本人中学及大学入学考试成绩，还修改了同学的分数。 调查发现，哈恩、科尔多瓦、塞维利亚、韦尔瓦、加的斯和阿尔梅里亚六地至少13名教授的工作邮箱遭入侵，其中包括负责编写2025年大学入学试题的教师。案件于今年3月曝光，当时哈恩圣胡安·博斯科高中的工作人员向警方举报Séneca系统异常。警方随后搜查嫌疑人在塞维利亚的住所，查获作案电脑设备及记录篡改成绩细节的笔记本。 该男子面临非法访问计算机系统、身份盗用及文件伪造三项指控。警方未公开其身份，但当地媒体披露其与哈恩学校无关，且有类似犯罪前科。Séneca平台是安达卢西亚地区管理成绩、考勤及学籍的核心系统，供教师、行政人员、学生及家庭日常使用。 全球教育系统近期频繁遭黑客攻击：今年1月，美国马萨诸塞州学生因入侵存储超6000万师生数据的PowerSchool平台被起诉；6月，哥伦比亚大学披露数据泄露事件，超86万人个人信息外泄。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，黑客正通过滥用企业官网“联系我们”表单，向美国工业及科技公司投递伪装成保密协议文件的恶意软件。与传统钓鱼攻击不同，黑客首先通过企业官网表单联系受害者，使后续通信更具可信度。 黑客假扮潜在商业伙伴，与目标企业进行长达两周的沟通，要求受害者签署保密协议。最终发送的合同文件托管在合法云平台Heroku上，实际为包含定制化恶意软件MixShell的ZIP压缩包。研究人员指出：“这种长期互动表明攻击者愿意投入时间，可能根据目标价值或入侵难度调整策略”。 约80%的受害者位于美国，主要为工业机械、金属加工及零部件制造商。半导体、生物技术、制药、航空航天、能源及消费品行业企业同样遭袭，新加坡、日本和瑞士亦有企业受害。 值得注意的是，并非所有ZIP文件均含恶意代码——部分仅包含无害文档。这表明黑客可能根据受害者IP地址、浏览器特征等条件，在Heroku平台选择性投放真实恶意负载。 为增强可信度，攻击者使用注册于美国的真实企业域名（部分可追溯至2015年）。这些域名对应的网站实为统一模板生成的虚假页面，“关于我们”栏目均使用同一张白宫管家照片冒充公司创始人。凭借长期存在的域名信誉，攻击者成功绕过安全过滤系统。 尽管尚未锁定具体攻击组织，但Check Point发现某台服务器与黑客组织UNK_GreenSec的基础设施存在重叠。该组织此前曾显现与俄罗斯背景黑客的关联迹象，研究人员判断此次攻击主要出于经济利益驱动。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 瑞典软件供应商Miljödata遭遇疑似勒索软件攻击，该公司负责管理病假等人力资源报告系统，事件预计影响该国约200个市级政府机构。 公司首席执行官Erik Hallén表示，攻击于上周六被发现。警方向当地媒体《BLT》证实，攻击者正试图对Miljödata实施勒索。 瑞典民事防御部长卡尔·奥斯卡·博林（Carl-Oskar Bohlin）在社交媒体简短声明中称：“事件影响范围尚未明确，实际后果仍难判定。” Hallén向瑞典通讯社TT透露，约200个市级和地区政府受此事件影响。瑞典全国共有290个市级行政区和21个地区政府。 哥特兰岛地方政府等多家机构证实使用Miljödata系统处理员工数据，包括“医疗证明、康复计划、工伤报告等资料”。 Hallén表示，Miljödata正“与外部专家紧密协作，全力调查事件经过、受影响对象及范围，并努力恢复系统功能”。 民事防御部长博林强调：“政府持续接收事件进展通报，并与相关机构保持密切沟通。瑞典计算机应急小组（CERT-SE）已向涉事公司及受影响客户提供建议与支持，该机构职责是协助社会应对和预防网络安全事件。国家网络安全中心正协调各部门行动方案，警方也已启动调查。” 博林指出，此次事件凸显全社会亟需提升网络安全防护等级。瑞典政府计划近期向议会提交新网络安全法案，“该法案将对众多行为主体提出更严格的合规要求”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 医疗保健服务集团（Healthcare Services Group）2024年数据泄露事件导致超过624,000人的个人信息暴露。受影响人群目前正陆续收到通知。 根据向缅因州总检察长办公室提交的通报，2024年医疗保健服务集团发生的数据泄露事件影响624,496人。该美国公司主要为养老院、辅助生活中心和医院等医疗机构提供家政、洗衣、餐饮及营养服务。 该集团1976年成立于宾夕法尼亚州本萨勒姆，为全美数千家长期护理和医疗机构提供支持。其核心业务是外包非临床服务，使医疗机构能专注于病患护理。 发现安全漏洞后，该集团立即启动调查并通报执法部门，同时宣布正在实施新的安全措施并加强员工培训。 黑客在2024年9月27日至10月3日期间侵入公司系统，窃取含个人数据的文件。事件于10月7日被发现。 数据泄露通知声明：“2024年10月7日，HSGI发现其特定计算机系统可能存在未授权访问。获悉该情况后，HSGI迅速采取措施保护系统安全，并启动调查以确定事件性质与范围。调查确认未授权行为人在2024年9月27日至10月3日期间可能访问并复制了HSGI计算机系统中的特定文件。为此我们全面审查了相关文件，以确认是否包含敏感信息及涉及对象。” 泄露数据包括姓名、社会安全号码、驾照号码、州身份证号码、金融账户信息及完整访问凭证。 公司已通知州监管机构和主要信用机构，但未透露攻击具体细节。 受影响人群将获得12个月的免费Experian信用监测服务，以及关于欺诈警报、信用冻结、免费信用报告和身份盗窃举报的指导。 该集团表示目前未发现欺诈行为证据，但仍敦促相关人员保持警惕。截至公告时，尚无已知勒索软件组织声称对此事件负责。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过28200台Citrix NetScaler ADC/Gateway设备仍暴露于高危漏洞CVE-2025-7775威胁之下。该漏洞已被确认遭在野利用，可导致远程代码执行（RCE）及服务拒绝（DoS）。 暗影服务器基金会（Shadowserver Foundation）专家警告，目前仍有超过28200台Citrix设备易受CVE-2025-7775漏洞攻击。该漏洞CVSS评分达9.2分，属于内存溢出漏洞，攻击者可借此执行远程代码或瘫痪服务。 本周Citrix修复了NetScaler ADC及NetScaler Gateway中的三个安全漏洞（CVE-2025-7775、CVE-2025-7776、CVE-2025-8424），其中CVE-2025-7775已遭实际攻击。公告明确表示：“我们已观察到未修复设备遭CVE-2025-7775漏洞利用的案例”。 美国网络安全与基础设施安全局（CISA）已将Citrix NetScaler漏洞列入“已知遭利用漏洞（KEV）目录”，要求联邦机构在2025年8月28日前完成修复。 据暗影服务器基金会监测，受影响设备主要分布在美国（10100台）、德国（4300台）、英国（1400台）、荷兰（1300台）及瑞士（1300台）。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cybernews研究人员发现腾讯云两个站点存在严重配置错误，导致敏感凭证和内部源代码暴露。这些关键漏洞可能使攻击者获得腾讯云内部服务及后端基础设施的完全访问权限。 核心要点： 腾讯云两个站点存在严重配置错误，暴露了敏感凭证与内部源代码。 含有硬编码管理员控制台凭证的环境文件及.git目录已公开数月，危及数百万腾讯云用户。 腾讯承认这是“已知问题”并已关闭访问权限。 2025年7月23日，Cybernews研究团队发现腾讯云官方域名的两个子域名意外暴露了配置文件。 暴露文件包含硬编码的明文密码、敏感的.git内部目录及其他可能被外部攻击者滥用的信息。 其中一个受影响服务涉及腾讯内部负载均衡器，另一子域名则是腾讯云推广的开源开发平台JEECG的部署实例。 硬编码凭证似乎可直接访问腾讯云管理控制台。 “若被恶意攻击者发现，这些凭证可能使其获得腾讯云后端基础设施或内部服务的完全控制权。”Cybernews研究人员表示。 此外，暴露的.git文件夹（用于存储项目历史记录和文件变更追踪）允许下载并重构腾讯云基础设施内部部署的源代码。控制台的根凭证也在此被发现。 暴露的密码强度薄弱且易受字典攻击，其组合方式仅包含公司名称、年份及简单符号。 历史数据调查显示，这些敏感文件至少从2025年4月起已暴露数月。 Cybernews已向腾讯云负责任地披露该发现。腾讯承认这是此前报告过的“已知问题”。漏洞现已修复，但截至发稿腾讯未回应置评请求。 黑客的敞开后门 若黑客获取这些公开配置文件，潜在后果可能极其严重，或引发针对腾讯全球用户的破坏性网络攻击。 “这为攻击者开辟了多种利用途径，”研究人员指出，“长期暴露引发严重担忧：多少爬虫机器人已获取数据？是否已被用于恶意目的？” 攻击者利用错误配置可能实现以下行为： 获取生产系统完全管理权限 篡改内部API服务 在可信前端代码中植入恶意负载 进一步渗透腾讯内部云基础设施 滥用可信腾讯域名进行钓鱼攻击 “当涉及云控制台、源代码和根权限时，没有所谓的小漏洞。腾讯云作为知名技术平台，仍难避免基础运维疏忽。”研究人员解释称。 尽管未尝试访问密码保护服务或克隆内部仓库，但可见暴露数据表明其涉及预发布和生产环境，意味着双重环境均受影响。 “当今开发者被鼓励盲目信任云服务。此次事件证明微小错误可升级为高风险故障，在供应链中引发连锁漏洞，”研究人员强调，“腾讯等巨头承载着用户对品牌的信任，攻击者对此心知肚明。” 腾讯云作为全球主要云服务商，隶属中国科技巨头腾讯控股，服务超1000万用户。其基础设施支撑着游戏、金融、通信及企业应用领域服务，每日触达全球数百万用户。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名危机公关公司Singer Associates遭勒索软件组织Qilin宣称入侵。该团伙在其暗网泄露博客公布该公司为最新受害者，并发布据称从该公司窃取的数据片段。 Qilin团伙在公告中附长篇声明，指控Singer Associates存在“操纵选民与客户的方案、伪造与虚假信息的事实、谎言与造假、欺骗与欺诈”等行为，声称已获取“包含Singer Associates全部内部工作的档案”。该公关公司曾为雪佛龙、拜耳、爱彼迎、维萨、福特等众多知名企业提供服务。 （麒麟暗网泄露网站截图  图片来源：Cybernews） 此举可能是Qilin胁迫Singer支付赎金的策略。勒索组织常采用类似手段，威胁不付款即泄露信息。 攻击者也可能试图塑造“揭露不道德公司”的形象。但Qilin是公认的牟利型组织，其道德立场难以取信。 由于未提供实际数据样本，无法验证其窃取数据的真实性。但团伙发布了据称与Singer相关的法律文件截图。 Cybernews研究团队分析认为，Qilin至少试图将此伪装成黑客行动主义。截图显示该公关公司监控活动人士、调查资助方并为客户操控舆论的方案。研究人员指出：“泄露文件详细记录了Singer为雪佛龙等客户制定的战略，包括应对厄瓜多尔污染诉讼案中环保组织的策略”。 Qilin勒索团伙背景 该组织自2022年活跃，采用勒索软件即服务（RaaS）模式：核心开发者出售恶意软件访问权限，由附属团伙实施攻击。 Qilin通过感染系统窃取数据，根据目标价值选择加密系统或公开数据。 据Cybernews暗网监控工具显示，Qilin已成为最活跃的勒索组织之一，过去12个月攻击至少503家机构，数量仅次于RansomHub（508家）。已知受害者包括制药公司Inotiv、能源巨头SK集团、休斯顿交响乐团、底特律PBS电视台、北美汽车零部件供应商延锋，以及日本宇都宫癌症治疗中心。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Group-IB披露名为ShadowSilk的新型威胁组织在中亚及亚太地区（APAC）针对政府机构发起攻击。该组织已渗透超过30个目标，主要动机为数据窃取，其工具集和基础设施与已知黑客团体YoroTrooper、SturgeonPhisher及Silent Lynx存在重叠。 受害者分布于乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦及土库曼斯坦，以政府机构为主，能源、制造、零售和运输业实体亦受波及。研究人员尼基塔·罗斯托夫采夫（Nikita Rostovcev）和谢尔盖·特纳（Sergei Turner）指出：“该组织由双语团队运作——俄语开发者负责维护YoroTrooper遗留代码，中文操作者主导入侵行动，形成灵活的多区域威胁模式。但两组人员的具体合作深度及性质仍不明确。” 攻击手法演进 ShadowSilk延续了YoroTrooper的技术脉络（该组织最早由思科Talos于2023年3月披露，以欧洲政府、能源及国际组织为目标）。其初始攻击载体为鱼叉式钓鱼邮件，投递受密码保护的压缩文件，释放自定义加载器。该加载器将命令控制（C2）流量隐藏在Telegram机器人通信中以规避检测，并投递后续恶意载荷。攻击者通过修改Windows注册表实现持久化驻留。 多元化攻击工具 除利用Drupal（CVE-2018-7600、CVE-2018-7602）和WP-Automatic插件漏洞（CVE-2024-27956）外，ShadowSilk还整合了侦察与渗透工具： 网络扫描工具：FOFA、Fscan、Gobuster、Dirsearch 漏洞利用框架：Metasploit、Cobalt Strike 地下市场资源：从暗网获取JRAT和Morf Project控制面板管理受控设备 数据窃取工具：定制化工具窃取Chrome密码存储文件及解密密钥 内网渗透与数据窃取 入侵得逞后，攻击者部署WebShell（如ANTSWORD、Behinder、Godzilla、FinalShell）和基于Sharp语言的利用工具，结合隧道工具Resocks和Chisel横向移动、提权并窃取数据。其专属Python远程木马（RAT）通过Telegram机器人接收指令并回传数据，将恶意流量伪装成合法通讯。Cobalt Strike和Metasploit模块用于截取屏幕及摄像头画面，定制PowerShell脚本则扫描特定扩展名文件并压缩回传至外部服务器。 语言证据与活动特征 Group-IB分析表明，YoroTrooper核心成员精通俄语，专注恶意软件开发与初始入侵。但攻击者工作站截图显示：键盘布局为中文、吉尔吉斯斯坦政府网站被自动翻译为中文、漏洞扫描器界面为中文，表明中文操作者深度参与行动。该组织近期仍高度活跃，7月仍有新受害者出现，持续聚焦中亚及亚太政府领域，需严密监控其基础设施以防长期潜伏与数据泄露。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌推出名为“开发者验证”（Developer Verification）的安卓新防护机制，旨在阻止从官方Google Play商店外通过侧载方式安装的恶意应用。此前，谷歌已在2023年8月31日要求Play商店上架应用的发布者提供D-U-N-S（全球数据通用编码系统）编号，该措施显著降低了平台内的恶意软件比例，但未覆盖应用商店外的大量开发者生态。 “我们发现恶意行为者常利用匿名身份伪装开发者，盗用品牌形象制作高仿应用来侵害用户，”谷歌在公告中指出，“此类威胁规模巨大：最新分析显示，通过互联网侧载渠道传播的恶意软件数量是Google Play应用的50倍以上。” 尽管外部威胁更为普遍，新规要求同时适用于Google Play及第三方应用商店托管的应用。自2026年起，所有安装于“认证安卓设备”的应用必须来自已完成谷歌身份验证的开发者。 开发者验证计划将于2025年10月开放早期测试，2026年3月全面开放注册。2026年9月，巴西、印度尼西亚、新加坡和泰国将率先强制执行身份验证要求，2027年起全球推广。届时，未通过验证的侧载应用在认证设备上将被系统拦截并显示安全警告。 “认证安卓设备”指通过谷歌兼容性测试套件（CTS）认证、预装Google Play服务、Play商店及Play Protect的设备，涵盖三星、小米、摩托罗拉、一加、OPPO、vivo及谷歌Pixel等主流品牌。而华为设备、亚马逊Fire平板，以及采用深度定制系统、组件来源存疑的山寨电视盒或手机等“非认证设备”不受新规约束，用户仍可自由侧载未经验证的匿名开发者应用。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文