HackerNews

HackerNews 编译，转载请注明出处： GreyNoise 在发布的报告中称：“2025 年圣诞假期期间，GreyNoise 监测到一场针对 Adobe ColdFusion 服务器的协同漏洞利用攻击活动。此次攻击似乎由单一威胁行为者发起，其使用的基础设施位于日本（归属 CTG Server Limited 公司）。该攻击源贡献了约 98% 的攻击流量，系统性地利用了 2023 – 2024 年间披露的 10 余个 ColdFusion 相关 CVE 漏洞。” 这名单一威胁行为者借助日本的基础设施，产生了约 98% 的攻击流量，且利用了 2023 – 2024 年间的 10 余个 ColdFusion CVE 漏洞。攻击采用 ProjectDiscovery Interactsh 工具进行带外验证，主要攻击向量为 JNDI/LDAP 注入。大部分攻击活动发生在圣诞节当天，这一刻意选择的时间点，显然是为了利用假期期间安全监控力度减弱的漏洞。 研究人员共监测到 5940 条利用 2023 – 2024 年间 ColdFusion 漏洞的恶意请求，攻击峰值出现在 12 月 25 日。 这些请求的攻击目标主要集中在美国（4044 次）、西班牙（753 次）和印度（128 次）的服务器。 GreyNoise 已锁定该主导威胁行为者所使用的两个 IP 地址（134.122.136 [.] 119、134.122.136 [.] 96），这两个 IP 均由 CTG Server Limited 公司（自治系统编号 AS152194）托管，几乎所有已监测到的 ColdFusion 漏洞利用流量都来自这两个 IP。它们占总请求量的 98% 以上，在多数情况下同步运作，共享 Interactsh 会话，展现出自动化、协同化的行为特征，会循环使用多种攻击类型。少量攻击活动来自加拿大、印度、美国及 Cloudflare 网络中的其他几个次要 IP。CTG Server Limited 是一家在香港注册的服务商，其 IP 地址资源近期增长迅速，且此前就与钓鱼攻击、垃圾邮件、伪造路由以及薄弱的滥用行为管控存在关联，这使其作为 “纵容性托管环境” 的角色引发担忧。 以下是此次攻击所针对的 ColdFusion 漏洞清单： 分析表明，此次 ColdFusion 相关攻击活动，仅占这两个 IP 所发起的大规模漏洞扫描活动的约 0.2%。总体而言，该操作共产生超过 250 万条请求，针对 2001 – 2025 年间披露的 767 个 CVE 漏洞，涉及 1200 余种攻击特征码，以及数千个独特指纹和带外应用安全测试（OAST）域名。 该攻击活动以侦察为主要目的，随后开展漏洞利用、本地文件包含（LFI）及远程代码执行（RCE）尝试。攻击目标涵盖 47 余种技术栈，包括 Java 应用服务器、Web 框架、内容管理系统（CMS）平台、网络设备及企业级软件。从活动规模、覆盖漏洞的广度以及自动化特征来看，这是一场系统性、基于模板的侦察行动，覆盖了全球范围内的漏洞环境。 专家已发布此次攻击活动的入侵指标（IOC），供相关方参考防御。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ShadyPanda和GhostPoster背后的威胁行为体，目前被确认与第三项攻击活动有关，该活动代号为DarkSpectre，已影响了Google Chrome、Microsoft Edge和Mozilla Firefox的220万用户。 此活动经评估系一个中国威胁行为者所为，Koi Security以代号DarkSpectre对其进行追踪。总体而言，这三项活动在超过七年的时间里，总共影响了超过880万用户。 本月初，网络安全公司Koi Security首次揭露了ShadyPanda活动，该活动针对所有三种浏览器的用户，以促进数据窃取、搜索查询劫持和联盟欺诈。据发现，它影响了560万用户，其中包括130万新发现的受害者，这些受害者源自被标记为属于同一集群的100多个扩展程序。 这还包括一个名为”New Tab – Customized Dashboard”的Edge插件，该插件包含一个逻辑炸弹，在触发其恶意行为前会等待三天。这种延时激活的企图是为了在审查期间给人以合法的印象，从而获得批准。 其中9个扩展目前处于活跃状态，另有85个是”休眠潜伏者”，它们目前是良性的，旨在吸引用户基础，然后通过恶意更新将其武器化。Koi表示，在某些情况下，恶意更新是在扩展存在超过五年后才引入的。 第二项活动GhostPoster主要针对Firefox用户，通过看似无害的实用工具和VPN工具向他们投放恶意JavaScript代码，旨在劫持联盟链接、注入跟踪代码以及实施点击和广告欺诈。对此活动的进一步调查发现了更多浏览器插件，包括一个用于Opera的Google Translate扩展（开发者”charliesmithbons”），其安装量接近一百万。 最近的发现，”The Zoom Stealer”（Zoom窃取者），是DarkSpectre发起的第三次此类活动，其使用一组横跨Chrome、Edge和Firefox的18个扩展程序，通过收集在线会议相关数据（如包含密码的会议URL、会议ID、主题、描述、预定时间、注册状态等）来协助企业情报搜集。 已识别的扩展及其对应ID列表如下： Google Chrome: Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp) ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep) X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha) Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga) Zoom.us Always Show “Join From Web” (aedgpiecagcpmehhelbibfbgpfiafdkm) Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf) CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo) GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme) Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai) Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn) Mute All on Meet (adjoknoacleghaejlggocbakidkoifle) Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj) Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn) Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl) Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi) Microsoft Edge: Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj) Mozilla Firefox: Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, 发布者：”invaliddejavu”) x-video-downloader ([email protected], 发布者：”invaliddejavu”) 正如扩展名称所示，其中大多数被设计成模仿面向企业的视频会议应用工具（如Google Meet、Zoom和GoTo Webinar），通过WebSocket连接实时外泄会议链接、凭据和参与者列表。 每当用户通过安装了这些扩展之一的浏览器访问网络研讨会注册页面时，它还能收集关于网络研讨会演讲者和主持人的详细信息，例如姓名、职位、简介、个人资料照片、公司关联信息，以及徽标、宣传图片和会话元数据。 研究发现，这些插件会请求访问超过28个视频会议平台，包括Cisco WebEx、Google Meet、GoTo Webinar、Microsoft Teams、Zoom等，无论它们是否真的需要这些访问权限。 研究人员Tuval Admoni和Gal Hachamov表示：”这不是消费者欺诈——这是企业间谍基础设施。’Zoom窃取者’代表着更具针对性的东西：对企业会议情报的系统性收集。用户得到了广告宣传的功能。这些扩展赢得了信任和正面评价。与此同时，监控在后台悄然运行。” 网络安全公司表示，收集到的信息可能被用来推动企业间谍活动（将数据出售给其他不良行为者），并支持社会工程和大规模冒充行动。 此活动与中国相关联的线索基于以下几点：持续使用托管在阿里云上的命令与控制（C2）服务器；与中国省份（如湖北）相关的互联网内容提供商（ICP）备案；包含中文字符串和注释的代码工件；以及专门针对京东、淘宝等中国电子商务平台的欺诈计划。 Koi表示：”DarkSpectre现在很可能部署了更多的基础设施——那些看起来完全合法的扩展，因为它们目前确实是合法的。它们仍处于建立信任的阶段，积累用户、获得徽章、等待时机。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Transparent Tribe的威胁行为体近期发起了一系列新的攻击，针对印度政府、学术和战略实体部署远程访问木马，以获取对受感染主机的持久控制权。 网络安全公司CYFIRMA在一份技术报告中表示：“该攻击活动采用欺骗性投递技术，包括一个伪装成合法PDF文档的武器化Windows快捷方式文件，其中嵌入了完整的PDF内容以规避用户怀疑。” Transparent Tribe是一个已知对印度组织实施网络间谍活动的黑客组织。据评估，这个具有国家背景的对手源自巴基斯坦，至少自2013年以来一直活跃。 该威胁行为体拥有不断演进的RAT武器库以实现其目标。Transparent Tribe近年来使用的木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT。 最近的攻击始于一封鱼叉式钓鱼邮件，内含一个包含伪装成PDF的LNK文件的ZIP压缩包。打开该文件会触发使用”mshta.exe”执行远程HTML应用程序（HTA）脚本，该脚本会解密并将最终的RAT载荷直接加载到内存中。同时，HTA会下载并打开一个诱饵PDF文档，以免引起用户怀疑。 CYFIRMA指出：“建立解码逻辑后，HTA利用ActiveX对象与Windows环境交互。这种行为展示了环境分析和运行时操纵，确保了与目标系统的兼容性，并提高了执行可靠性——这些是滥用’mshta.exe’的恶意软件中常见的技术。” 该恶意软件的一个显著特点是能够根据受感染机器上安装的防病毒软件调整其持久化方法： 如果检测到卡巴斯基（Kapsersky），它会在”C:\Users\Public\core”下创建工作目录，将经过混淆的HTA有效载荷写入磁盘，并通过在Windows启动文件夹中投放一个LNK文件来建立持久性，该LNK文件进而使用”mshta.exe”启动HTA脚本。 如果检测到Quick Heal，它通过创建批处理文件和恶意LNK文件在Windows启动文件夹中建立持久性，将HTA有效载荷写入磁盘，然后使用批处理脚本调用它。 如果检测到Avast、AVG或Avira，它通过直接将有效载荷复制到启动目录并执行来工作。 如果未检测到可识别的防病毒解决方案，则回退到结合使用批处理文件执行、基于注册表的持久化以及载荷部署，然后再启动批处理脚本。 第二个HTA文件包含一个名为”iinneldc.dll”的DLL，该DLL充当功能齐全的RAT，支持远程系统控制、文件管理、数据窃取、屏幕截图捕获、剪贴板操纵和进程控制。 该网络安全公司表示：“Transparent Tribe仍然是一个高度持久且战略驱动的网络间谍威胁，持续专注于针对印度政府实体、教育机构和其他具有战略意义的部门进行情报收集。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球仍有超过10,000台Fortinet防火墙存在CVE-2020-12812漏洞，这是一个在五年半前披露的多因素身份认证绕过漏洞. Shadowserver近期将该问题纳入其每日”易受攻击HTTP服务报告”，表明该漏洞仍遭活跃利用，相关设备的暴露风险持续存在。 CVE-2020-12812源于FortiOS SSL VPN门户中的身份验证不当问题，影响版本6.4.0、6.2.0至6.2.3以及6.0.9及更早版本。攻击者只需在登录时更改合法用户名的大小写（例如将”user”改为”User”），即可绕过第二重身份验证因子（通常是FortiToken）。 这一漏洞的成因是大小写敏感性不匹配：FortiGate将本地用户名视为大小写敏感，而轻型目录访问协议服务器通常忽略大小写，使得攻击者可通过群组成员身份完成认证，无需触发多因素认证。 该漏洞的 CVSS v3.1 基础评分为 7.5（高危），具备网络可访问性、低攻击复杂度特点，可能对数据机密性、完整性和系统可用性造成影响。2021 年，勒索软件攻击者利用该漏洞实施攻击后，其被纳入美国网络安全与基础设施安全局的已知被利用漏洞目录。 近期攻击活动 2025年12月，Fortinet发布产品安全事件响应团队公告，详细说明该漏洞在野外的 “近期滥用情况”，且与特定配置相关：启用了MFA的本地FortiGate用户，关联到LDAP，并且属于映射到SSL VPN、IPsec或管理员访问身份验证策略的LDAP组。威胁行为者利用此漏洞获得未经授权的内部网络访问权限，促使Fortinet敦促立即进行检查和修补。 Shadowserver的扫描证实了该漏洞的持续性，其针对暴露端口上的易受攻击HTTP服务进行扫描。 Shadowserver的仪表盘显示，截至 2026 年 1 月初，存在该漏洞的设备数量超 10,000 台。世界地图可视化数据显示，漏洞暴露密集区域集中在北美、东亚和欧洲，非洲及南美洲部分地区的暴露程度相对较低。 Fortinet建议用户升级至修复后的 FortiOS 版本（6.0.10 及以上、6.2.4 及以上、6.4.1 及以上），并验证配置以避免本地 – LDAP 混合多因素认证部署模式。 同时，应禁用非必要的 SSL VPN 暴露面，执行最小权限原则，并监控日志中是否存在大小写变体登录尝试。企业应订阅影子服务器基金会的报告以获取定制化警报，并及时运行其易受攻击HTTP扫描。 这种持续存在的威胁凸显了企业防火墙中遗留漏洞带来的风险，这些漏洞可能为勒索软件攻击提供便利，或在被入侵的网络内实现横向移动。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场规模空前的网络侧录攻击席卷全球网络，专门针对网购用户及账户注册用户发起攻击。安全研究人员发现，这场全球性攻击行动动用了 50 多个恶意脚本，在用户支付结账与账户注册环节拦截敏感信息，标志着网络犯罪分子攻击电商平台的手段已大幅升级 —— 从单纯窃取信用卡信息，演变为窃取用户完整身份信息。 一、攻击核心特征与技术手段 模块化定制负载：攻击者针对 Stripe、Mollie、PagSeguro、OnePay、PayPal 等主流支付网关开发专属恶意程序模块，使恶意代码能与合法支付界面完美融合，大幅降低安全团队与用户的检测难度。 伪装域名与传播网络：Source Defense Research查明攻击者搭建了复杂的域名网络用于分发和控制攻击，如googlemanageranalytic.com、gtm-analyticsdn.com、jquery-stupify.com等域名均伪装成常用分析工具或脚本库，以规避怀疑。 多元攻击向量与反取证 注入虚假支付表单，构建逼真钓鱼界面；采用静默侧录技术，在用户输入时秘密记录信息。 内置隐藏表单输入、生成符合卢恩算法的无效信用卡号等反取证手段，阻碍事件响应与分析。 攻击目标全面升级：不再局限于信用卡信息，还主动窃取用户登录凭证、个人身份信息与邮箱地址，进而发起账户劫持攻击，通过创建恶意管理员账户获取长期控制权，实现从单纯盗刷到全面身份盗用的转变。 二、攻击影响与持久化机制 该攻击已发展为成熟的长期驻留攻击模式：攻击者窃取凭证并获取管理员权限后，可长期控制受影响网站，持续从各类交易流程中窃取数据。对电商企业而言，此类攻击不仅会造成用户数据泄露，还可能因长期数据窃取导致巨额经济损失与声誉崩塌。 三、防御建议 电商平台运营方需强化客户端安全防护，具体措施包括： 部署内容安全策略（CSP），限制脚本执行权限。 实施实时支付表单监控，提前拦截恶意注入代码。 加强第三方脚本审计，采用子资源完整性（SRI）验证机制，确保外部脚本来源可信。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 30 日消息，节日期间两所法国高校遭遇网络攻击，数千名学生的数据据称已被窃取。里尔大学与格勒诺布尔高等管理学院本周成为攻击目标，其校名于 12 月 29 日出现在某臭名昭著的黑客论坛上，或致数千名学生信息面临泄露风险。这波攻击使本就遭遇内政部网络攻击、正处于网络安全修复期的法国雪上加霜，同时也呼应了美国多所顶尖高校今年频发的网络安全事件。 一、两所院校数据泄露详情 格勒诺布尔高等管理学院 网名为 CZX 的攻击者称于 11 月入侵该校系统，窃取 1.35GB 数据，波及超 40 万人（该校实际在校学生 7000 余人，数据含学生及外部订阅者信息）。 泄露数据包括姓名、邮箱、电话、住址、学术与职业背景、活动参与情况、订阅偏好、IP 地址等，来源疑似学校客户关系管理或营销系统。该攻击者此前也曾宣称入侵过其他法国企业与机构。 里尔大学 知名黑客组织 “LAPSUS$ 团伙” 宣称入侵这所拥有 8 万余名学生的法国顶尖高校，窃取近 2000 名学生数据。 泄露信息包含学生校内身份标识（NIP）、姓名、出生日期、住址、个人及工作邮箱、电话与行政数据等。研究人员指出，出生日期与其他个人信息一同泄露，大幅提升了身份被盗用的风险。 二、黑客组织背景与攻击关联 **LAPSUS\(团伙**：今年与Scattered Spider、Shiny Hunters合并为Scattered LAPSUS$ Hunters。6 月被谷歌威胁研究人员锁定，涉嫌攻击 Salesforce 及帕洛阿尔托网络、Cloudflare 等多家知名网络安全企业，还宣称入侵过戴尔、威瑞森等公司，之后虽宣称 “达成目标” 停止活动，但研究人员认为这是其在成员被捕后进行重组的策略。 近期法国其他网络攻击事件：两周前法国内政部遭网络攻击，已确认并逮捕一名嫌疑人；11 月欧洲光纤通信公司法国分部的工单管理平台被入侵，部分客户信息被盗。 三、欧美高校网络安全态势 美国哥伦比亚大学、耶鲁大学、哈佛大学今年均遭网络攻击。10 月，黑客组织 Cl0p 利用甲骨文电子商务套件的零日漏洞入侵哈佛大学，泄露 1.4TB 数据，含校内支付系统日志、内部工具源代码等；8 月哥伦比亚大学数据泄露，波及近 90 万人；4 月耶鲁大学合作酒店集团遭勒索软件攻击，私密数据被窃。 研究人员指出，此类高校攻击多以核心个人联系信息泄露为特征，而里尔大学因泄露出生日期，其风险等级更高，学生面临身份盗窃等威胁。目前相关高校暂未回应媒体问询。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  2025 年 12 月 30 日消息，黑客已污染数百万开发者常用的 Open VSX 插件市场，植入一款可窃取加密货币、凭证及各类敏感数据的恶意软件，最新一波恶意插件仅针对 macOS 用户发起攻击。 一、恶意攻击浪潮与伪装手段 Koi Security研究人员发出警告，这已是 GlassWorm这款危险的自复制恶意软件出现的第四波攻击，其活跃时长仅两个半月。该恶意软件伪装成实用开发工具潜入 Open VSX 市场，此平台是 Visual Studio Code 及 Cursor 等多款衍生代码编辑器的开源插件市场。 攻击演进：该恶意软件于 10 月首次被发现时，主要针对 Windows 系统，而此次新变种则专门锁定苹果 macOS 用户。 伪装插件：锦鲤安全在 Open VSX 平台检测到三款恶意插件，下载量已达 5 万次，其中一款伪装成智能代码格式化插件 “Prettier Pro”，另外两款则冒充提升开发效率的工具。 攻击动机：研究人员称，黑客专挑 “有鱼的地方下钩”，macOS 是加密货币、Web3 领域及初创企业开发者的常用系统，正是该恶意软件的核心攻击目标群体。 二、玻璃蠕虫 3.0 核心特性与攻击流程 技术升级与隐匿设计 采用 AES – 256 – CBC 强加密算法，将恶意程序嵌入插件附带的 JavaScript 文件中，区别于前三个针对 Windows 版本依赖不可见 Unicode 字符和 Rust 编译二进制文件的方式。 插件安装后，恶意程序会等待 15 分钟再执行恶意代码，以此规避多数 5 分钟后就会超时的自动化沙箱环境检测。 借助索拉纳区块链发布含 Base64 编码 URL 的交易备注来控制恶意软件，这种方式难以被摧毁，无域名可供拉黑。 窃币与窃密手段 检测 Ledger Live、Trezor Suite 等硬件钱包应用，用植入木马的版本替换它们；同时可攻击 MetaMask、Phantom 等 50 多种浏览器插件与桌面钱包。 窃取 GitHub 令牌、Git 凭证等以实现自我复制；还会窃取 macOS 钥匙串密码、数据库文件、VPN 配置等敏感数据。 顽固攻击特征：第四波攻击沿用此前的基础设施（主控制服务器 IP 为 45.32.151.157），且所有恶意功能均正常运行，研究人员预测第五波攻击大概率会接踵而至。 三、安全警示与应对建议 研究人员指出，攻击者会快速借鉴安全研究成果并更新攻击手段，基于区块链的控制基础设施让传统特征码检测与域名拉黑策略失效。开发者可通过以下方式降低风险： 仅从可信来源安装 Open VSX 插件，安装前核查插件开发者背景与用户评价。 及时轮换 GitHub、NPM 等平台的令牌，定期备份 SSH 密钥并限制其权限。 启用硬件钱包二次验证，定期清理浏览器扩展与桌面钱包中的敏感数据。 若发现恶意或存在漏洞的插件，可通过邮箱 openvsx@eclipse – foundation.org向 Open VSX 平台举报。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  2025 年 12 月 30 日消息，两款经谷歌 “精选” 认证的 Chrome 浏览器插件被爆出暗中窃取用户在 ChatGPT 与DeepSeek平台的对话记录，目前累计安装量已超 90 万。 该恶意软件攻击活动潜藏于 Chrome 网上应用店，涉事插件伪装成 AITOPIA 公司开发的合法侧边栏工具，宣称可在任意网站添加侧边栏以实现大语言模型对话功能。网络安全公司 OX Security 研究人员发现，这些插件虽功能正常，却内置间谍程序。 涉事插件与窃取行为 Chat GPT for Chrome with GPT – 5, Claude Sonnet & DeepSeek AI：安装量超 60 万，带有谷歌 “精选” 标识。 AI Sidebar with Deepseek, ChatGPT, Claude, and more：安装量超 30 万。 插件安装后，每 30 分钟就会窃取一次用户与 ChatGPT、深度求索的对话记录及浏览行为数据，并向外传输。研究人员指出，AI 对话常包含专有代码、个人信息等敏感内容，这些数据可能被用于企业间谍活动、身份盗窃、定向钓鱼攻击，或在暗网交易，企业员工安装后可能泄露知识产权与商业机密。 处置进展与安全提醒 OX 团队已向谷歌通报情况，但截至 12 月 30 日，谷歌响应团队仍在审查，涉事插件尚未下架。研究人员呼吁用户立即卸载相关插件，并提醒安装插件时需谨慎，即便带有 “精选” 标识，非可信来源插件也存在风险。 这并非 Chrome 商店首次出现功能性插件窃取数据事件，此前曾有一款安装量超 600 万、评分 4.7 星且获 “精选” 认证的插件被发现窃取 AI 对话内容。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一、变种发现与溯源 Aikido 恶意软件研究员查理・埃里克森于发现 30 分钟后发布报告称，该变种虽与前两版差异明显，但可确定攻击者掌握原始蠕虫源代码，且对代码重新混淆处理，排除模仿攻击可能。沙虫攻击始于 8 月针对 nx 包的 S1ngularity 行动，首波攻击 9 月 16 日爆发，11 月 24 日出现 2.0 版本 “再临” 攻击。 二、攻击机制与危害 沙虫区别于传统恶意包，直接嵌入开发者工作流，目标窃取开发环境敏感凭证： 安装时执行，扫描开发机与 CI/CD 环境密钥； 将被盗凭证上传至公开 GitHub 仓库； 利用凭证进一步入侵更多 npm 包。 首波攻击曾影响超 500 个常用 npm 包与数万个 GitHub 仓库，促使 GitHub 收紧包发布认证机制。第二波则利用漏洞披露至强制可信发布迁移的窗口期发动。 三、3.0 变种新特征与漏洞 结构与隐匿升级 重构文件结构，重命名安装器与载荷组件； 改用新 GitHub 仓库描述防字符串检测； 新增 5 类泄露文件名，聚焦环境变量、云凭证等； 移除 “失效开关”，优化错误处理，适配 Windows 系统，调整数据收集顺序。 致命漏洞 代码存在文件名错误，本应读取c0nt3nts.json，却错误保存为c9nt3nts.json，导致功能异常。 四、行业警示与防护建议 漏洞管理公司 Mondoo 首席安全官帕特里克・芒奇指出，沙虫 3.0 是 “无差别攻击武器”，其快速迭代凸显供应链仍是攻击重灾区，类似高影响攻击将增多。美国网络安全与基础设施安全局等机构已发布预警。 防护建议： 排查受影响包，轮换环境密钥； 监控 GitHub 新描述仓库，限制 npm 安装生命周期脚本； 启用发布流程多因素认证与范围令牌。 埃里克森强调，事件仍在进展中，需持续关注动态。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国电商巨头Coupang宣布，将出资约 11.7 亿美元（约合 1.685 万亿韩元），以购物代金券形式补偿 3370 万名受近期数据泄露事件影响的用户。 Coupang在新闻稿中表示：“公司计划于明年 1 月 15 日起，向 11 月末接到个人信息泄露通知的 3370 万账户用户发放总价值 1.685 万亿韩元的购物代金券。Coupang会员与普通会员将获得同等补偿，此前接获通知后注销账户的用户也包含在内。公司将通过短信逐步通知所有 3370 万账户用户代金券兑换流程。” Coupang素有 “韩国亚马逊” 之称，是韩国头部电商及物流平台。该公司 2024 年营收约 303 亿美元，2025 年第三季度净收入达 93 亿美元，同比增长 18%；全球员工约 6 万 – 6.5 万人，活跃用户约 2470 万。 12 月初，Coupang披露这起大规模数据泄露事件，影响持续超 5 个月。公司 11 月 18 日最初监测到 4500 个账户遭未授权访问，后续调查确认韩国地区约 3370 万个用户账户受影响，泄露信息包括姓名、邮箱、手机号、配送地址及部分订单记录，但支付数据、信用卡号、登录凭证等敏感信息未遭泄露。 Coupang称，此次泄露始于 2025 年 6 月 24 日，攻击者通过境外服务器非法入侵。事发后，公司阻断了攻击路径、强化内部监控，并聘请顶级独立安全机构专家协助调查。韩国副总理兼科学技术信息通信部长官裴京勋在首尔紧急召集政府核心官员召开会议。 Coupang已向美国证券交易委员会通报其涉案情况。Coupang创始人兼董事长金范锡宣布，所有被盗数据已全部追回，嫌疑人的存储设备也已被缴获。 Coupang韩国临时首席执行官哈罗德・罗杰斯表示：“每位受影响用户将获得四张总价值 5 万韩元的代金券，可在全平台通用。用户自 1 月 15 日起可在Coupang App 中查询领取资格。” 他还称：“此次事件将成为Coupang践行‘以客户为中心’理念、切实履行责任的契机，助力公司转型为用户信赖的企业。我再次向所有用户致以诚挚歉意。” 此次数据泄露是韩国近期多起网络安全事件之一。Coupang此前也曾多次遭遇安全事故，包括 2020-2021 年期间用户及配送员信息泄露，以及 2023 年 12 月发生的影响超 2.2 万名用户的数据泄露事件。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名立陶宛籍男子因涉嫌传播一款基于 KMSAuto 的剪贴板窃密恶意软件被捕，该恶意程序已感染全球约 280 万台 Windows 及 Office 系统设备。 这名 29 岁男子在国际刑警组织协调下，由格鲁吉亚引渡至韩国。韩方当局表示，该男子对盗版激活工具 KMSAuto 进行木马化改造，植入剪贴板窃密恶意程序。这款恶意软件会暗中监控受害者剪贴板中的加密货币钱包地址，并将其替换为攻击者控制的钱包地址，在用户毫无察觉的情况下劫持加密货币转账交易。 韩国警察厅指出，嫌疑人将恶意程序捆绑在 KMSAuto 工具中，诱导用户下载运行。这类专门窃取剪贴板中加密货币地址的恶意程序被称为剪贴板窃密器。 警方发布的新闻稿显示：“2020 年 4 月至 2023 年 1 月期间，嫌疑人以盗版 Windows 激活工具 KMSAuto 为伪装，在全球范围内传播该恶意软件，下载量累计约达 280 万次，韩国境内也出现感染案例。” 调查数据显示，共有 3100 个加密货币钱包地址遭到篡改，涉及 8400 笔交易，被盗虚拟资产价值约合 17 亿韩元；韩国境内已确认 8 名受害者，累计损失约 1600 万韩元。 案件的调查始于 2020 年 8 月。当时一名受害者在进行加密货币转账时，恶意软件自动将目标钱包地址替换为黑客地址，导致其价值约 1200 万韩元的 1 枚比特币被盗，而该用户的感染源正是从网上下载的盗版激活工具 KMSAuto。经深入侦查，警方发现这是一起针对 6 个国家的交易所及企业发起的大规模跨国网络犯罪，随即追踪非法加密货币资金流向，最终锁定这名立陶宛籍嫌疑人。在国际合作伙伴协助下，警方查获嫌疑人相关设备，通过国际刑警组织发布红色通缉令，并于格鲁吉亚将其抓获。 韩国警察厅网络调查局局长朴宇铉表示：“为防范恶意程序造成各类危害，民众需警惕来源不明的软件程序。未来，警方将与全球各国执法机构开展合作，通过引渡等手段，对这类无国界网络犯罪进行严厉打击。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两名网络安全从业人员上周认罪，他们此前受业已解散的 “阿尔法 HV / 黑猫” 网络犯罪组织指使，发起多起勒索软件攻击，相关行为已构成犯罪。 瑞安・戈德堡与凯文・马丁均承认一项 “合谋以勒索手段妨碍商业活动” 罪名，最高可面临 20 年监禁，二人的量刑听证会定于 3 月 12 日举行。 40 岁的戈德堡来自佐治亚州，曾任职于网络安全事件响应公司西格尼亚；36 岁的马丁来自得克萨斯州，曾是数字铸币公司的勒索软件谈判专家。两人于三个月前被提起公诉，戈德堡于 9 月 22 日被捕，马丁则在 10 月 14 日落网。 法庭文件显示，2023 年 4 月至 12 月期间，二人与另一名未公开身份的同伙联手，借助 “阿尔法 HV / 黑猫” 勒索软件对多家机构发动攻击 —— 他们利用自身在网络安全事件响应领域的职务便利，向多名受害者实施勒索。 检察官透露，受害者包括佛罗里达州一家医疗企业、马里兰州一家制药公司、加利福尼亚州一家诊所、弗吉尼亚州一家无人机企业以及加利福尼亚州一家工程公司。 起诉书指出，三人发起的攻击导致诊所的患者照片被窃取，并被发布在该勒索软件团伙的泄密网站上。 两人从佛罗里达州那家医疗企业勒索得约 120 万美元，并将其中 20% 上交 “阿尔法 HV” 组织管理人员，其余攻击均未得逞。据悉，戈德堡在接受联邦调查局问话 10 天后，便于 6 月与其妻子购买了飞往巴黎的单程机票。 美国司法部助理部长泰森・杜瓦表示：“这两人利用自身精湛的网络安全专业能力实施勒索软件攻击，而这类犯罪本应是他们职责所在、全力阻止的行为。” 美国联邦检察官贾森・雷丁・基尼奥内斯补充道：“戈德堡与马丁利用受信任的权限和技术能力，对美国受害者实施勒索，从数字胁迫行为中牟利。” 数字铸币公司发表声明称，对马丁的行为予以强烈谴责，其行为均是 “在公司毫不知情、未获许可且未参与的情况下擅自实施”。 声明指出：“他的行为严重违背公司价值观与道德准则。调查期间，我们全程配合美国司法部的工作，并支持这一判决结果，认为这是追究责任的关键一步。” 西格尼亚公司此前向Recorded Future News透露，公司得知相关情况后，立即解雇了戈德堡。 该公司于 11 月表示：“尽管西格尼亚并非本次调查对象，但我们正与联邦调查局保持密切合作。” 由于案件属于正在进行的联邦调查，公司暂无法提供更多信息。 “阿尔法 HV / 黑猫” 曾是业内极为猖獗的勒索软件团伙，2024 年遭执法部门打击后宣告解散。该团伙曾对拉斯维加斯最大酒店、某市值数十亿美元的房地产巨头发动破坏性攻击，后续又通过勒索软件摧毁了联合健康集团的核心系统，最终选择关闭运营。 美国司法部称，该团伙通过 “勒索软件即服务” 模式，在全球范围内攻击了超 1000 名受害者。联邦调查局为此研发了解密工具，据称帮助受害者避免了 9900 万美元的赎金损失。 戈德堡与马丁的案件，让网络保险及勒索软件谈判行业再次陷入舆论焦点。该行业长期以来饱受诟病，其与网络犯罪团伙的复杂互动关系以及在网络安全事件中的应对策略，一直存在较大争议。 联邦调查局特工负责人布雷特・斯基尔斯提醒：“机构在委托第三方处理勒索软件事件响应时，应开展尽职调查；发现可疑或违规行为需及时举报；一旦遭遇勒索软件攻击，应立即向联邦调查局及其他执法伙伴报告，以保障自身的安全与隐私。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 绰号为银狐的威胁行为者将攻击目标转向印度，在钓鱼攻击活动中利用个人所得税相关诱饵，分发一款名为谷鼠远程控制木马（又名 “温诺斯 4.0”）的模块化远程控制木马。 CloudSEK研究员普拉杰沃尔・阿瓦斯 thi 与库希克・帕尔在上周发布的分析报告中指出：“此次精密攻击采用了包含动态链接库劫持与模块化谷鼠远程控制木马在内的复杂攻击链，以此确保恶意程序能够长期驻留目标设备。” 银狐黑客组织另有 “游蛇”“山谷大盗”“UTG-Q-1000”“虚空蜘蛛” 等多个追踪代号，该组织是一个源自中国的激进网络犯罪团伙，自 2022 年起便持续活跃。 该组织实施的攻击活动类型多样，动机涵盖间谍活动、情报搜集、经济牟利、虚拟货币挖矿以及业务运营干扰等多个方面，是少数采用多元化攻击手段开展入侵行动的黑客团伙之一。 银狐的攻击目标最初以中文用户及相关机构为主，如今已拓展至公共、金融、医疗、科技等多个行业的机构。该组织主要借助搜索引擎优化投毒与钓鱼攻击两种方式，投放谷鼠远程控制木马、幽灵变种木马、牵手木马（又名 “幽灵文件木马”）等多款幽灵远程控制木马变种。 云安科梳理的攻击感染链条显示，攻击者会发送伪装成印度所得税部门的钓鱼邮件，邮件附件为诱饵 PDF 文件。用户一旦打开该 PDF，就会被引导至 “ggwk [.] cc” 恶意域名，进而下载一个名为 “税务事宜.zip” 的压缩包。 该压缩包内包含一个同名的 Nullsoft 脚本安装程序（“税务事宜.exe”），该程序会借助迅雷公司开发的 Windows 下载管理器 “迅雷.exe” 这一合法可执行文件，以及一个被恶意植入的动态链接库文件 “libexpat.dll” 实现加载运行。 这款恶意动态链接库文件会先执行多种反分析与反沙箱检测操作，确保恶意软件能在受感染主机上不受阻碍地运行，随后会关闭 Windows 更新服务，并充当 “甜甜圈加载器” 的载体，最终将谷鼠远程控制木马的最终有效载荷注入被掏空的 “资源管理器.exe” 进程中。 谷鼠远程控制木马可与外部控制服务器建立通信并等待后续指令，其采用插件化架构，能够灵活扩展功能，支持攻击者实施键盘记录、凭据窃取以及防御规避等操作。 云安科表示：“常驻于注册表的插件与延迟信标机制，使这款远程控制木马在设备重启后仍能存活，同时保持较低的隐蔽性特征。按需模块投递功能则允许攻击者根据受害者的身份与价值，开展针对性的凭据窃取与监视活动。” 与此同时，英国国家计算机应急响应小组指出，他们发现了银狐黑客组织用于追踪恶意安装程序下载活动的暴露链接管理面板（“ssl3 [.] space”）。该面板针对多款常用软件（包括微软团队办公软件）的恶意安装程序进行下载量统计，具体包含以下信息： 托管后门安装程序的恶意网页 钓鱼网站下载按钮的日点击量 下载按钮自上线以来的累计点击量 调查发现，银狐搭建的虚假网站仿冒了云聊、飞连 VPN、微软团队、开源 VPN、切切、三条、信号、西瓜视频、截图工具、搜狗、电报、远程桌面工具、金山办公、有道云笔记等多款知名应用。对下载链接来源 IP 地址的分析显示，至少有 217 次点击来自中国，其次为美国（39 次）、中国香港（29 次）、中国台湾（11 次）以及澳大利亚（7 次）。 该机构研究员狄龙・阿什莫尔与阿舍・格鲁表示：“银狐借助搜索引擎优化投毒手段，分发了至少 20 款常用应用的后门安装程序，涵盖通讯工具、虚拟专用网络以及办公生产力软件等类别。这些恶意程序主要针对中国境内的中文用户及机构，攻击最早可追溯至 2025 年 7 月，同时在亚太、欧洲、北美等地区也造成了额外的受害案例。” 通过这些虚假网站分发的压缩包内，包含一个基于 Nullsoft 脚本的安装程序。该程序会将微软防御杀毒软件加入排除列表，通过计划任务实现恶意程序持久化，随后连接远程服务器获取谷鼠远程控制木马的有效载荷。 值得注意的是，瑞利奎斯特公司近期发布的一份报告指出，银狐黑客组织在针对中国境内机构发起攻击时，曾仿冒俄罗斯威胁行为者的攻击特征，并使用与微软团队相关的钓鱼诱饵网站，试图混淆攻击溯源方向。 英国国家计算机应急响应小组强调：“该管理面板的数据显示，来自中国内地的点击量达数百次，且受害者遍布亚太、欧洲、北美等多个地区，这印证了此次攻击活动的波及范围之广，以及其针对中文用户的精准战略定位。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 欧洲航天局在周二发布的官方声明中披露：“近期，我局察觉到一起网络安全事件，涉事服务器均位于本机构企业外网。我们已启动安全取证分析工作，目前工作正在进行中，同时已采取相关措施，对所有可能受影响的设备进行安全加固。” 欧洲航天局强调，此次事件影响范围有限。“截至目前的分析结果显示，仅有极少数外网服务器可能受到波及。这些服务器主要用于支撑科学界非涉密合作工程项目的开展。所有相关利益相关方均已收到通知，后续一旦掌握更多信息，我们将第一时间发布更新公告。” 关于此次攻击的入侵路径、实施主体以及被窃取的数据，相关细节目前仍十分匮乏。欧洲航天局明确表示，涉事服务器均处于其核心企业防御体系之外，这类服务器很可能由第三方合作机构托管，主要用于对地观测、行星探测等航天任务的联合研究工作。 尽管这些服务器存储的均为非涉密数据，但平台内往往包含工程设计图纸、仿真模拟数据以及遥测数据等内容。这些信息虽不涉密，却可能间接帮助敌对势力锁定航天基础设施的攻击目标。 安全警醒 网络安全专家认为，此次事件为航天领域敲响了警钟。“国家级黑客组织经常针对航天机构展开侦察，以窃取知识产权。” CyberSpace Watch的威胁情报分析师埃琳娜・瓦斯奎兹博士表示，“即便是‘非涉密’数据，也可能成为供应链攻击的助力，2023 年俄乌冲突期间发生的Viasat黑客攻击事件就是典型例证。” 欧洲航天局表示，此次事件未对核心业务造成干扰，阿丽亚娜 6 型火箭发射任务、欧几里得望远镜数据处理工作等均正常推进。不过，其科学界合作伙伴，包括各大高校以及空中客车公司等私营企业，可能需要就终端安全问题接受严格审查。 随着安全取证工作的持续推进，欧洲航天局此番公开透明的应对态度或有助于提升公众信任，但同时也凸显出，在拓展型网络中构建零信任安全架构的必要性已迫在眉睫。当前，欧盟层面出台航天网络安全强制规范的呼声日益高涨，欧洲航天局承诺将尽快发布后续进展。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一组影响多款主流蓝牙耳机及耳塞设备的高危漏洞。黑客利用这些漏洞，可窃听用户通话、盗取敏感数据，甚至直接劫持与之配对的智能手机。 这组漏洞的编号分别为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702，主要影响搭载络达（Airoha）蓝牙系统级芯片 的设备。索尼、Bose、JBL、Marshall、Jabra等多家主流音频设备厂商的产品均采用该芯片。 漏洞编号 漏洞名称 通用漏洞评分系统（CVSS）评分 CVE-2025-20700 低功耗蓝牙（BLE）认证缺失漏洞 8.8 CVE-2025-20701 传统蓝牙认证缺失漏洞 8.8 CVE-2025-20702 RACE 协议远程代码执行 / 任意读取漏洞 9.6 研究人员最初于 2025 年 6 月披露了这些漏洞，为设备厂商留出了开发安全补丁的时间。 然而时隔半年，仍有大量设备未完成补丁推送。为此，研究人员公开发布了漏洞完整技术细节，同时配套发布了一份白皮书及RACE 工具包—— 用户和安全专业人员可借助该工具检测自身设备是否存在漏洞风险。 络达是蓝牙系统级芯片领域的核心供应商，其产品尤其广泛应用于真无线立体声（TWS）耳塞设备。该公司向各大厂商提供芯片参考设计方案及软件开发工具包（SDK），厂商基于此进行产品集成与功能开发。 ERNW 安全研究团队发现，搭载络达芯片的设备会通过低功耗蓝牙、传统蓝牙、通用串行总线人机接口设备等多种接口，开放一款名为RACE 的自定义协议。 RACE 协议最初设计用途为工厂调试与固件更新，具备强大的底层操作能力，支持对设备闪存和随机存取存储器的任意地址进行读写操作。 CVE-2025-20700 漏洞：存在于低功耗蓝牙的通用属性配置文件（GATT）服务中，核心问题是认证机制缺失。黑客无需与耳机配对，即可在蓝牙信号覆盖范围内发现并连接存在漏洞的设备，静默获取 RACE 协议的访问权限。这类连接通常不会向用户推送任何通知，攻击过程具备完全隐蔽性。 CVE-2025-20701 漏洞：针对传统蓝牙连接的认证机制缺陷。尽管这类连接有时更容易被用户察觉，甚至可能造成音频播放中断，但黑客可利用未授权访问权限建立双向音频连接，借助耳机的免提配置文件（HFP），通过设备麦克风实现窃听。 CVE-2025-20702 漏洞：聚焦于 RACE 协议本身暴露的高危功能。 通过该漏洞，黑客可发送特定指令获取设备信息、读取闪存页面、对 RAM 执行任意读写操作，还能提取设备的传统蓝牙地址。这些操作足以让黑客对设备进行永久性篡改，并窃取其中的敏感配置数据。 从耳机蔓延至智能手机 这组漏洞最严重的危害在于，黑客可通过漏洞链攻击，实现对配对智能手机的入侵。攻击流程如下：首先，黑客通过低功耗蓝牙或传统蓝牙连接附近存在漏洞的耳机；随后利用 RACE 协议导出设备闪存中的数据。 闪存中存储着设备的配对列表，包含所有曾配对设备的信息，其中就有耳机与智能手机之间用于双向认证的加密链路密钥（Link Key）。 一旦获取该链路密钥，黑客即可伪装成受信任的耳机设备，以特权身份连接受害者的智能手机。 ERNW 研究团队指出，这种攻击方式可衍生多种攻击路径：提取受害者的手机号码与通讯录信息；唤醒苹果智能语音助手（Siri）或谷歌智能语音助手，发送信息或拨打电话；劫持来电通话；甚至利用手机内置麦克风建立窃听连接。 研究人员通过概念验证攻击，成功入侵了受害者的 WhatsApp 及亚马逊账户，直观印证了这些漏洞的真实危害程度。 目前，研究人员已确认多款热门设备存在漏洞，但受影响产品的完整清单尚未完全明确。 已核实存在漏洞的设备包括：索尼 WH 系列与 WF 系列多款耳机（含旗舰型号 WH-1000XM5 和 WF-1000XM5）、博士消噪耳塞、杰宝 LIVE Buds 3、马歇尔 MAJOR V 与 MINOR IV，以及拜雅（Beyerdynamic）、捷波朗、德斐尔（Teufel）等品牌的多款机型。 部分厂商已发布修复漏洞的固件更新。其中捷波朗的信息披露最为透明，不仅在其安全中心公开列出受影响设备型号，还在固件更新说明中标注了对应的漏洞编号。马歇尔和拜雅也已推送相关更新，但不同厂商的信息公开程度差异显著。 安全建议 用户层面：应立即通过设备厂商官方应用或官网，为蓝牙耳机安装最新固件更新。记者、外交官、政界人士等高危目标人群，建议暂时改用有线耳机，彻底规避蓝牙攻击风险；同时需定期查看手机蓝牙配对列表，移除不常用的配对设备，减少链路密钥泄露的潜在风险。 厂商层面：必须立即应用络达提供的软件开发工具包安全补丁，并在产品上市前开展全面的安全评估。遵循成熟的蓝牙安全测试方法论，可有效避免同类漏洞在后续产品中复现。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年圣诞节期间，一场协同攻击行动爆发，黑客针对 Adobe ColdFusion 服务器及其他 47 种以上技术平台发起了超 250 万次恶意请求。 经调查，此次攻击由单一威胁攻击者发起，其攻击基础设施位于日本境内。这表明攻击者正开展大规模漏洞扫描行动，目标既包括最新暴露的漏洞，也涵盖了近 20 年间的遗留漏洞。 在针对 ColdFusion 服务器的专项攻击阶段，攻击者利用了 2023-2024 年间披露的 10 余个高危漏洞（CVE 编号），其中圣诞节当天的攻击流量峰值占比高达 68%。攻击者特意选择节假日发起攻击，此时企业安全团队人手不足、防护能力下降，显然是有意利用这一监控空档期。 此次攻击共波及全球 20 个国家的 ColdFusion 服务器，相关恶意请求约 5940 次，其中美国地区的攻击会话占比达 68%。 攻击流量主要来自 CTG 服务器有限公司托管的两个核心 IP 地址，分别是 134.122.136.119 与 134.122.136.96。 攻击技术细节 该威胁攻击者借助 ProjectDiscovery Interactsh这一带外测试平台，验证攻击是否成功生效，并在 oast.pro、oast.site 及 oast.me 等服务上部署了近 1 万个独立的带外测试域名，用于接收攻击回调信息。 攻击者采用的核心攻击路径为WDDX 反序列化漏洞，进而触发Java 命名和目录接口 / 轻量级目录访问协议注入（JNDI/LDAP 注入） 攻击，攻击目标直指 com.sun.rowset.JdbcRowSetImpl 这一 Java 组件调用链。值得注意的是，针对 ColdFusion 服务器的攻击仅占此次大规模行动的 0.2%。 对整个攻击行动的全面分析显示，攻击者对 Java 应用服务器、Web 框架、内容管理系统平台及企业级应用中的 767 个不同漏洞展开了系统性侦察。其中，攻击频率最高的两个漏洞分别是 Confluence 的 OGNL 注入漏洞（CVE-2022-26134），遭 12481 次攻击；以及 “破壳” 漏洞（Shellshock，CVE-2014-6271），遭 8527 次攻击。 网络指纹分析结果显示，此次攻击共出现 4118 个独立的 JA4H HTTP 签名，这意味着攻击者很可能使用了 “Nuclei” 等框架开展模板化扫描。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的勒索软件团伙宣称，已从马萨诸塞州一家拥有 75 年历史的会计事务所窃取了纳税申报数据和社保号码，目前正静待受害者支付赎金。 随着报税季日益临近，网络犯罪分子正加紧对纳税人和会计事务所发起攻击。 此次遭到攻击的是马萨诸塞州老牌会计事务所CSA 税务咨询公司，该公司主营税务相关服务，而发起攻击的正是Lynx勒索软件团伙。 12 月 26 日，该团伙在暗网的数据泄露网站发布公告，声称已窃取这家公司及其客户的相关数据。这种公开窃取数据的行为，是勒索软件团伙逼迫受害者支付赎金的惯用手段，此次Lynx团伙显然也是故技重施。该团伙在其网站上声称，他们的行事宗旨是避免对目标机构造成不必要的损害。 其公告中写道：“我们的运作模式倡导通过沟通协商解决问题，而非制造混乱与破坏。” 截至目前，CSA 税务咨询公司尚未公开证实此次数据泄露事件。cybernews已就此联系该公司寻求置评，目前仍在等待回应。 据称遭窃取的数据包含哪些内容？ 为证实攻击属实，该团伙公布了据称是这家公司的数据截图。cybernews对这些数据样本进行核查后发现，被盗数据可能包含以下信息： 完整姓名 社会保障号码 实际居住地址 配偶医疗保险承保协议 服务发票 个人所得税申报数据 美国国税局电子申报签名授权表 企业内部通信记录 若这些数据被证实真实有效，CSA 税务咨询公司的客户将面临钓鱼攻击和身份盗用的风险。 cybernews研究团队表示：“这类数据会让钓鱼攻击极具迷惑性。试想一下，当有人打电话给你，不仅知道你的住址、配偶姓名，还掌握你近期报税的具体细节，你很容易就会相信对方。” 山猫勒索软件团伙是什么来头？ 该团伙于 2024 年年中首次进入公众视野，采用勒索软件即服务 的运营模式，主攻金融、建筑和制造行业的机构。 据cybernews自主研发的监控工具 Ransomlooker监测数据显示，自 2024 年以来，该团伙已将 294 家机构列为攻击目标，是勒索软件领域的主要作恶势力之一。 此前，该团伙曾宣称入侵了医疗巨头亨利・谢恩公司旗下的 TriMed 医疗子公司，并在暗网上泄露了其敏感数据，这一事件后续得到了 TriMed 公司的证实。 该团伙还宣称，英国知名建筑企业多德集团是其近期的攻击目标之一。 今年 9 月，Lynx团伙声称从美国最大的寿司及海鲜供应商真世界集团有限责任公司窃取了数据。 除此之外，据称遭到该团伙攻击的目标还包括达乐公司、美国第二大鸡蛋生产商玫瑰园农场，以及哥伦比亚广播公司旗下的主要附属电视台WDEF 电视台。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 大韩航空的机上配餐及免税品供应商 —— 大韩航空配餐免税服务公司（KC&D）遭遇黑客攻击，导致约 3 万名大韩航空员工的个人信息泄露，大韩航空因此陷入数据安全危机。 大韩航空是韩国的国家航空公司，同时也是亚洲规模最大的航空公司之一，运营着覆盖全球的客运与货运航线。该航企在全球范围内拥有约 1.8 万至 2 万名员工，航线网络连通各大洲多个目的地。2024 年，大韩航空承运旅客超 2300 万人次；截至 2025 年，其旅客运输量已突破 1600 万人次。大韩航空拥有一支现代化的庞大机队，以首尔主要机场为枢纽，搭建起密集的国际、国内航线网络。 据《韩国中央日报》援引消息人士报道，大韩航空已发布内部通知称，KC&D 公司已就其员工个人信息相关的安全漏洞事件进行通报。 大韩航空强调，此次网络安全事件未涉及任何客户数据泄露。 通知中指出：“2020 年从本公司拆分独立运营的机上配餐及机上零售企业 ——KC&D 服务公司，近期遭到境外黑客组织攻击。经核实，存储在该公司企业资源规划服务器中的本公司员工个人信息（姓名、银行账号）已发生泄露。本公司近期收到 KC&D 服务公司的相关通报后，方才获悉此事。尽管该事件发生于已拆分出售的外部合作企业的管理范围内，但鉴于涉及本公司员工信息，公司对此高度重视。” 大韩航空表示，在获悉数据泄露事件后，已立即启动应急安全措施，向有关部门进行报案，并正全力排查事件影响范围及受波及员工名单。该航企确认目前无更多员工数据泄露，但同时提醒全体员工警惕可疑信息。后续公司将为员工提供进一步指导与支持，并全面审查与合作方的安全协议，杜绝类似事件再次发生。 大韩航空副会长禹基洪在致员工的公开信中表示：“即便此次事件源于已剥离的第三方合作商，但鉴于涉及员工数据，大韩航空对此高度重视。目前，公司正集中全部力量，排查数据泄露的完整范围及具体受影响人员。” 大韩航空已向相关主管部门进行通报，同时正开展调查工作，以明确数据泄露的具体范围及泄露信息的针对性目标。 大韩航空并未指明发起此次攻击的具体黑客组织，但早在今年 11 月，Clop勒索软件团伙就已宣称对 KC&D 公司的攻击负责。该团伙不仅将 KC&D 公司列入其洋葱网络数据泄露网站，还公开了据称是窃取所得的数据。 自今年 8 月初以来，Clop勒索软件团伙一直利用甲骨文  EBS的高危零日漏洞CVE-2025-61882实施攻击，从全球多家机构窃取敏感数据，受影响对象包括美国特使航空、哈佛大学、《华盛顿邮报》、罗技公司、宾夕法尼亚大学以及凤凰城大学等。  Cl0p是一个活跃的俄语勒索软件即服务（RaaS）团伙，专攻 “大鱼狩猎” 式攻击，惯用 “双重勒索” 手段牟利。 该团伙于 2019 年 2 月左右首次出现在网络威胁视野中，脱胎于 TA505 网络犯罪集团 —— 这是一个至少自 2014 年起便活跃在网络空间的、以牟利为目的的黑客组织。 与其他俄罗斯背景的黑客组织类似， Cl0p团伙不会将前苏联国家列为攻击目标，且其恶意软件无法在主要使用俄语的计算机系统上激活运行。 该团伙的操作员及附属人员会锁定高价值目标，窃取敏感数据、加密目标网络，随后在数据泄露网站上公布窃取的文件，以此向受害者施压，迫使其支付赎金。克洛普团伙擅长利用零日漏洞及存在安全隐患的第三方软件（如 MOVEit 文件传输工具、GoAnywhere 安全文件传输软件、甲骨文企业业务套件等）发起攻击，同时借助 “初始访问中间人” 及自动化工具，并运用复杂的规避检测与横向移动技术，最大限度扩大攻击影响、提升勒索收益。 克洛普团伙的攻击目标遍布全球，其中包括壳牌公司、英国航空公司、庞巴迪公司、科罗拉多大学、普华永道会计师事务所及英国广播公司（BBC）等知名机构。 该团伙曾策划多起大规模攻击行动，包括： 2020-2021 年 安讯奔（Accellion）文件传输应用攻击事件：利用这款文件传输设备中的零日漏洞，窃取了约 100 家机构的数据。 2023 年 GoAnywhere 安全文件传输软件攻击事件：针对该软件存在的漏洞（CVE-2023-0669）发起攻击，致使超 130 家机构的系统遭到入侵。 2023 年 MOVEit 文件传输工具攻击事件：这是历史上规模最大的勒索软件攻击事件之一，该团伙利用 SQL 注入零日漏洞（CVE-2023-34362）发动攻击，影响了全球数百家企业，其中不乏美国与欧洲的知名公司。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 26 日，罗马尼亚最大燃煤电力生产商 —— 奥尔特尼亚能源综合体遭受勒索软件攻击，其信息技术系统陷入瘫痪。 奥尔特尼亚能源综合体（简称奥能综合体）是罗马尼亚主要的国有褐煤开采及燃煤发电企业，在罗维纳里、图尔切尼、克拉约瓦三地运营着 12 座发电机组，总装机容量达 3570 兆瓦；同时下辖 15 座露天矿，年褐煤产量约 1500 万至 1800 万吨。该企业现有员工约 1 万人（较此前的 1.5 万人有所缩减），服务于数十万至数百万量级的电力批发及零售客户；2017 年营收约为 9.4 亿欧元，在业务重组后实现了近期盈利。面对欧盟绿色转型政策要求，该企业正投入 14 亿欧元发展光伏发电与天然气发电项目，以保障基础电力供应安全。 2025 年 12 月 26 日，该企业检测到 Gentlemen勒索软件攻击，此次攻击导致大量文件被加密，企业资源规划系统（ERP）、电子邮箱及官方网站等核心信息技术系统均受干扰。尽管公司部分业务运转受到波及，但这家罗马尼亚能源供应商强调，全国能源供应未受影响。奥尔特尼亚能源综合体已对受影响系统进行隔离，并向罗马尼亚国家网络安全局、能源部等相关部门通报情况。 信息技术团队已着手在新的基础设施上，通过备份数据恢复各项服务，而此次事件的影响范围以及是否存在数据泄露问题，目前仍在调查之中。 该企业发布的声明称：“2025 年 12 月 26 日凌晨 1 时 40 分左右，我方检测到一起名为 Gentlemen勒索软件网络攻击，此次攻击对奥尔特尼亚能源综合体的业务信息技术基础设施造成影响。” 声明还指出：“攻击发生后，部分文档和文件被加密，多个计算机应用程序暂时无法使用，其中包括企业资源规划系统、文件管理应用、电子邮件服务及公司官网。公司业务运营受到部分影响，但未对国家能源系统的稳定运行构成威胁。” 目前，该企业正就此次事件展开调查，以确定安全漏洞的波及范围和具体严重程度。尚无法确认攻击者是否从奥尔特尼亚能源综合体窃取了数据。 此外，该企业已向罗马尼亚有组织犯罪与恐怖主义调查局提起刑事诉讼。 截至本文发稿时， Gentlemen勒索软件团伙尚未将这家罗马尼亚能源企业列入其洋葱网络数据泄露网站，这一情况或表明双方正处于赎金谈判阶段。 近期，罗马尼亚国家水利管理局同样遭遇了勒索软件攻击。 据罗马尼亚国家网络安全局通报，此次攻击影响了该局总部及 11 个地区分局中的 10 个分局，波及约 1000 台计算机系统。地理信息系统服务器、数据库、电子邮件、网络服务、Windows 工作站以及域名服务器等多项信息技术资产均受干扰。 有关部门强调，负责水利基础设施管控的运营技术系统未受攻击影响，水利业务运转一切正常。 参与事件调查的政府专家证实，攻击者使用Windows BitLocker 加密功能对系统实施加密，并发布勒索通知，要求受害者在 7 日内与其取得联系。不过，目前此次攻击的传播途径尚未查明。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国两家银行近日相继发声，提醒客户其信息受到了今年 8 月一起针对知名金融软件公司的勒索软件攻击影响。 工匠银行与维拉银行上周向缅因州监管机构通报，近期发生的数据泄露事件，源头正是Marquis Software遭遇的网络攻击。这家软件公司此前曾披露，约在 8 月 14 日遭受勒索软件攻击，导致数十家企业客户及数千名下游用户受到波及。 维拉银行在致受害者的信函中说明，Marquis Software是该行 “客户沟通与数据分析服务商”。 这家总部位于得克萨斯州的银行表示：“该服务商有权访问你的相关数据，一方面用于向你推送重要的必要信息更新，另一方面也用于分析何种银行产品与服务最契合你的需求。我们是在服务商签订数据安全保护相关合同后，才向其开放数据访问权限的。” 此次事件共导致 37318 人的信息被盗，但信函中并未提及具体失窃的信息内容。 总部位于特拉华州的工匠银行透露，该行于 10 月收到Marquis Software的事件通知，经核查发现，有 32344 人的姓名及社会保障号码因这次网络攻击泄露。 两家银行均强调，黑客并未入侵银行自身系统，被盗信息均为 “由Marquis Software负责维护的数据”。 Marquis Software为美国数百家信用社及银行提供数据分析、合规解决方案与数字营销工具，维拉银行和工匠银行是最新一批披露受该公司攻击事件波及的下游金融机构。 Marquis Software在其发布的事件公告中表示，公司于 8 月发现攻击后，已第一时间向联邦执法部门报案。 经调查，此次入侵的根源是其梭子鱼防火墙设备存在安全漏洞。该公司称，被盗的个人信息包括姓名、住址、电话号码、社会保障号码、纳税人识别号、不含安全码或访问码的金融账户信息，以及出生日期。 10 月 27 日至 11 月 25 日期间，Marquis Software已通知至少 74 家银行、信用社及金融机构，告知其信息涉及本次数据泄露。除了向缅因州、南卡罗来纳州、华盛顿州、艾奥瓦州等多地监管机构提交自身的事件报告外，该公司还代多家金融机构发布了数据泄露通知。 对于受影响金融机构数量是否持续增加、以及受害者总人数等问题，马奎斯软件未回应置评请求。 多家律所及网络安全研究人员通过汇总多州数据泄露登记系统的受害者统计数据推算，此次事件的受害者人数或在 78.8 万至 135 万之间。 网络安全公司 “比较科技” 还获取到了一封已被删除的泄露通知函，该函件来自艾奥瓦州的第一社区信用社，其中提到Marquis Software已向发起此次攻击的黑客组织支付了赎金。 针对赎金支付相关问题，Marquis Software同样未予置评。目前，尚无任何勒索软件团伙公开宣称对此次攻击负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文