HackerNews

HackerNews 编译，转载请注明出处： 在微软的 Visual Studio Code 市场中有九个 VSCode 扩展伪装成合法开发工具，同时感染用户设备，植入 XMRig 加密货币矿工以挖掘以太坊和门罗币。 Microsoft VSCode 是一款流行的代码编辑器，允许用户安装扩展以扩展程序的功能。这些扩展可以从微软的 VSCode 市场下载，这是一个供开发者查找和安装插件的在线中心。 ExtensionTotal 研究员 Yuval Ronen 发现了九个于 2025 年 4 月 4 日在微软门户上发布的 VSCode 扩展。 扩展名称： Discord Rich Presence for VS Code（开发者：Mark H）- 18.9 万次安装 Rojo – Roblox Studio Sync（开发者：evaera）- 11.7 万次安装 Solidity Compiler（开发者：VSCode Developer）- 1300 次安装 Claude AI（开发者：Mark H） Golang Compiler（开发者：Mark H） ChatGPT Agent for VSCode（开发者：Mark H） HTML Obfuscator（开发者：Mark H） Python Obfuscator for VSCode（开发者：Mark H） Rust Compiler for VSCode（开发者：Mark H） 市场数据显示，这些扩展自 4 月 4 日以来已累计超过 30 万次安装。这些数字可能是人为虚高的，目的是让扩展显得更合法和更受欢迎，从而吸引更多用户安装。 ExtensionTotal 表示已向微软报告了这些恶意扩展，但截至本文撰写时，它们仍可在市场上找到。 VSCode 市场上的 Discord 主题扩展 来源：BleepingComputer PowerShell 脚本安装 XMRig 矿工 当安装并激活后，恶意扩展会从外部源 ‘https://asdf11[.]xyz/’ 获取 PowerShell 脚本并执行。完成后，它还会安装其伪装的合法扩展，以避免用户产生怀疑。 下载 PowerShell 脚本的代码 来源：BleepingComputer 恶意 PowerShell 脚本执行多种功能，包括禁用防御、建立持久性、提升权限，最终加载加密货币矿工。 首先，它创建一个伪装为“OnedriveStartup”的计划任务，并在 Windows 注册表中注入脚本，以确保恶意软件（Launcher.exe）在系统启动时运行。 接下来，它关闭关键的 Windows 服务（如 Windows Update 和 Update Medic），并将工作目录添加到 Windows Defender 的排除列表中，以逃避检测。 如果恶意软件未以管理员权限执行，它会模仿系统二进制文件（ComputerDefaults.exe），并通过恶意 MLANG.dll 进行 DLL 劫持以提升权限并执行 Launcher.exe 有效载荷。 可执行文件以 base64 编码形式提供，PowerShell 脚本对其进行解码，以连接到二级服务器 myaunet[.]su 下载并运行 XMRig，这是一种门罗币加密货币矿工。 BleepingComputer 发现，威胁行为者的远程服务器上还有一个 /npm/ 文件夹，可能表明该活动也在该软件包索引上进行。然而，我们尚未在 NPM 平台上找到恶意文件。 威胁行为者服务器上的 NPM 目录 来源：BleepingComputer 如果您安装了 ExtensionTotal 报告中提到的九个扩展中的任何一个，您应立即卸载它们，然后手动定位并删除加密货币矿工、计划任务、注册表键和恶意软件目录。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在 2025 年 4 月的 Android 安全更新中发布了针对 62 个漏洞的补丁，其中包括两个在针对性攻击中被利用的零日漏洞。 其中一个零日漏洞是 Linux 内核 ALSA 设备 USB 音频驱动中的高严重性权限提升安全漏洞（CVE-2024-53197），据报道，塞尔维亚当局利用了这一漏洞来解锁扣押的 Android 设备，这是以色列数字取证公司 Cellebrite 开发的零日漏洞利用链的一部分。 这一漏洞利用链还包括一个 USB 视频类零日漏洞（CVE-2024-53104，已于 2 月修复）和一个人机接口设备零日漏洞（CVE-2024-50302，上个月修复），该链由大赦国际的安全实验室于 2024 年中期发现，当时他们正在分析塞尔维亚警方解锁设备上的日志。 谷歌在 2 月告诉 BleepingComputer，这些修复程序已于 1 月与原始设备制造商（OEM）合作伙伴共享。 “我们在这些报告之前就已知晓这些漏洞及利用风险，并迅速为 Android 开发了修复程序。修复程序已于 1 月 18 日通过合作伙伴咨询共享，”谷歌发言人告诉 BleepingComputer。 本月修复的第二个零日漏洞（CVE-2024-53150）是 Android 内核信息泄露漏洞，由越界读取弱点引起，使本地攻击者无需用户交互即可访问易受攻击设备上的敏感信息。 2025 年 3 月的 Android 安全更新还修复了另外 60 个安全漏洞，其中大多数是高严重性的权限提升漏洞。 谷歌发布了两组安全补丁，分别是 2025-04-01 和 2025-04-05 安全补丁级别。后者提供了第一批的所有修复程序以及针对封闭源第三方和内核子组件的安全补丁，这些补丁不一定适用于所有 Android 设备。 谷歌 Pixel 设备立即接收这些更新，而其他厂商通常需要更长时间来测试和优化安全补丁，以适应其特定的硬件配置。 2024 年 11 月，谷歌还修复了另一个 Android 零日漏洞（CVE-2024-43047），该漏洞最初于 2024 年 10 月被谷歌 Project Zero 标记为已被利用，并被塞尔维亚政府在 NoviSpy 间谍软件攻击中用于针对活动人士、记者和抗议者的 Android 设备。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Everest 勒索软件团伙的暗网泄露网站显然在周末被一名未知攻击者黑掉，现已下线。 未知攻击者将网站内容替换为以下讽刺性信息：“不要犯罪，犯罪很糟糕 xoxo 来自布拉格。” Everest 团伙已将其泄露网站下线，该网站现已无法加载，显示“洋葱网站未找到”错误。 Everest 的被黑泄露网站（Tammy H.） 虽然目前尚不清楚攻击者是如何获得对 Everest 网站的访问权限的，或者该网站是否真的被黑，但一些安全专家，如 Flare 高级威胁情报研究员 Tammy Harper，指出可能是利用了 WordPress 漏洞来篡改勒索软件团伙的泄露网站。 “值得一提的是，Everest 使用了 WordPress 模板来制作他们的博客。我不会对此感到惊讶，”Harper 表示。 自 2020 年首次出现以来，Everest 勒索软件团伙已从仅通过数据窃取进行企业勒索的策略转变为在攻击中加入勒索软件以加密受害者的受损系统。 Everest 的运营者还以作为其他网络犯罪团伙和威胁行为者的初始访问代理而闻名，出售对被攻陷企业网络的访问权限。 在过去的五年中，Everest 已在其暗网泄露网站上添加了超过 230 名受害者，该网站是双倍勒索攻击的一部分，勒索软件团伙试图通过威胁发布包含敏感信息的文件来迫使受害者支付赎金。 其最近的一名受害者是 STIIIZY，这是一家总部位于加利福尼亚州的知名大麻品牌，Everest 在 2024 年 11 月声称对其发起了攻击。今年 1 月，STIIIZY 透露，未知攻击者攻陷了其销售点（POS）供应商，窃取了客户信息，包括购买信息和政府身份证件。 2024 年 8 月，美国卫生与公众服务部还警告称，Everest 勒索软件团伙正越来越多地针对美国各地的医疗机构。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙警方逮捕了六名利用人工智能工具进行大规模加密货币投资诈骗的个人，该诈骗利用深度伪造广告展示知名公众人物，以吸引人们参与。 该诈骗非常成功，从全球 208 名受害者那里骗取了 1900 万欧元（约合 2090 万美元）。 代号为“COINBLACK – WENDMINE”的警方行动始于两年前，当时一名受害者提交了投诉。行动导致在格拉纳达和阿利坎特地区逮捕了六名年龄在 34 至 57 岁之间的个人。 此外，在警方突袭中还查获了 10 万欧元、手机、电脑、硬盘、枪支和文件。 警方的公告强调了行动的复杂性，解释说犯罪分子创建了多个空壳公司来洗钱。同时，该团伙的头目使用了超过 50 个不同的化名。 该诈骗有多个阶段，从典型的“浪漫诱饵诈骗”或威胁行为者冒充“财务顾问”开始，最后以假的资金回收索赔告终。 受害者是通过算法选择的，这些算法挑选出符合网络犯罪分子目标要求的个人，然后通过人工智能生成的深度伪造广告进行针对性攻击。 “在人工智能的帮助下，诈骗者创建了假广告，展示知名国家人物似乎在推荐投资这些产品，”西班牙国家警察的公告解释道。 “这显著增加了受害者对投资安全性和盈利性的信任。” 受害者最初在本质上是假平台的大型投资回报上看到了虚假数字。 在某个时候，冒充财务顾问甚至模拟与受害者建立浪漫关系的诈骗者告知他们，他们的投资已被冻结，只有在他们支付一大笔款项后才能取回资金。 在最后阶段，受害者再次被诈骗者联系，这些诈骗者现在冒充欧洲刑警组织的特工或英国律师，声称他们的资金已被追回，只需支付当地税费即可取回资金。 警方提醒公众警惕保证回报的承诺，并在存入任何资金之前始终验证投资平台的合法性和可信度。 其他警示信号包括投资压力、无法提款、意外的余额“冻结”以及关于额外“费用/税费”的说法，这些费用/税费据称是取款所需的。 如今，创建逼真的 AI 生成深度伪造视频变得轻而易举，因此用户不应受据称推广投资平台的名人影响。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软今天宣布，基于客户反馈，将无限期推迟移除 Windows Server Update Services (WSUS) 中的驱动同步功能。 “看到你们中有多少人已经开始转向可用的基于云的驱动服务，我们最初提议移除 WSUS 驱动同步。感谢你们的反馈，尤其是在离线设备场景中，我们现在修订了这一计划，”高级项目经理 Paul Reed 表示。 “基于您宝贵的反馈，我们推迟了原定于 2025 年 4 月 18 日移除 WSUS 驱动同步的计划。请继续关注，我们将努力制定修订后的时间线，以便为您优化我们的服务，”微软在周一的消息中心更新中补充道。 这一公告是在过去一年发布的三次警告之后发布的，微软原计划于 2025 年 4 月 18 日移除 WSUS 驱动同步。微软最初于 2024 年 6 月宣布弃用 WSUS 驱动同步，并在 2025 年 1 月鼓励 IT 管理员采用其更新的基于云的驱动服务。 一个月后，微软提醒管理员为 WSUS 驱动同步的弃用做好准备，并鼓励他们采用基于云的解决方案来管理客户端和服务器更新，例如 Windows Autopatch、Microsoft Intune 和 Azure Update Manager。 2024 年 9 月，微软还宣布 WSUS 已被弃用，但补充说，它计划维护所有现有功能，并继续通过该渠道发布更新。这一公告是在 2024 年 8 月 13 日将 WSUS 列为“从 Windows Server 2025 开始移除或不再开发的功能”之后发布的。 近二十年前作为 Software Update Services (SUS) 推出的 WSUS，帮助 IT 管理员通过单个服务器管理并分发微软产品的更新，覆盖大型企业网络中的许多 Windows 设备，而不是依赖每个终端从微软的服务器进行更新。 2024 年 6 月，微软还宣布正式弃用 Windows NTLM 身份验证协议，敦促开发人员转向 Kerberos 或协商身份验证，以避免未来的问题。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个被称为 PoisonSeed 的恶意活动正在利用与客户关系管理（CRM）工具和批量邮件服务相关的泄露凭据，发送包含加密货币种子短语的垃圾邮件，试图清空受害者的数字钱包。 “批量垃圾邮件的接收者成为了加密货币种子短语投毒攻击的目标，”Silent Push 在分析中表示。“作为攻击的一部分，PoisonSeed 提供安全种子短语，诱使潜在受害者将其复制粘贴到新的加密货币钱包中，以便日后进行攻击。” PoisonSeed 的目标包括企业组织和加密货币行业外的个人。像 Coinbase 和 Ledger 这样的加密货币公司，以及 Mailchimp、SendGrid、Hubspot、Mailgun 和 Zoho 等批量邮件服务提供商均在目标之列。 该活动被认为与两个 loosely aligned 的威胁行为者 Scattered Spider 和 CryptoChameleon 不同，两者都是更广泛的网络犯罪生态系统“Com”的一部分。该活动的一些方面之前由安全研究员 Troy Hunt 和 Bleeping Computer 于上个月披露。 这些攻击涉及威胁行为者为知名的 CRM 和批量邮件公司设置假冒的网络钓鱼页面，目的是诱骗高价值目标提供他们的凭据。一旦获得凭据，对手就会创建一个 API 密钥，以确保即使被盗密码被所有者重置，也能保持持久访问。 在下一阶段，操作者可能会使用自动化工具导出邮件列表，并从这些被攻陷的账户发送垃圾邮件。CRM 被攻陷后的供应链垃圾邮件通知用户，他们需要使用嵌入在电子邮件中的种子短语设置新的 Coinbase 钱包。 攻击的最终目标是使用相同的恢复短语劫持账户并从这些钱包中转移资金。与 Scattered Spider 和 CryptoChameleon 的关联源于使用了一个之前被识别为前者使用的域名（“mailchimp-sso[.]com”），以及 CryptoChameleon 历史上针对 Coinbase 和 Ledger 的攻击。 尽管如此，PoisonSeed 使用的网络钓鱼工具包与这两个威胁集群使用的没有任何相似之处，这表明它要么是 CryptoChameleon 的一个全新的网络钓鱼工具包，要么是一个不同的威胁行为者，只是碰巧使用了类似的战术。 这一进展发生在一个俄语系威胁行为者被观察到使用托管在 Cloudflare Pages.Dev 和 Workers.Dev 上的网络钓鱼页面来分发可以远程控制受感染 Windows 主机的恶意软件之后。该活动的早期版本也被发现分发了 StealC 信息窃取器。 “这一最新活动利用了围绕 DMCA（数字千年版权法案）下架通知的 Cloudflare 品牌网络钓鱼页面，这些通知跨越多个域名，”Hunt.io 表示。 “诱饵滥用 ms-search 协议通过双扩展名下载一个伪装成 PDF 的恶意 LNK 文件。一旦执行，恶意软件会与攻击者操作的 Telegram 机器人检查，发送受害者的 IP 地址，然后过渡到 Pyramid C2 来控制受感染的主机。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚、加拿大、新西兰和美国的网络安全机构联合发布了一份关于Fast Flux技术风险的咨询报告，该技术已被威胁行为者采用，以掩盖命令与控制（C2）通道的位置。 “Fast Flux是一种通过快速更改与单个域名相关的域名系统（DNS）记录来掩盖恶意服务器位置的技术，”这些机构表示。“这种威胁利用了网络防御中常见的漏洞，使得追踪和阻止恶意Fast Flux活动变得困难。”   这份咨询报告由美国网络安全与基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）、澳大利亚信号局的澳大利亚网络安全中心、加拿大网络安全中心以及新西兰国家网络安全中心联合发布。   近年来，Fast Flux技术已被许多黑客组织采用，包括与 Gamaredon、CryptoChameleon 和 Raspberry Robin 相关的威胁行为者，以使其恶意基础设施能够逃避检测和执法部门的打击。   这种方法本质上涉及使用多种 IP 地址，并在快速 succession 中轮换，同时指向一个恶意域名。它最初于 2007 年在 Honeynet 项目中被发现。   它可以是单通量（Single Flux），即一个域名与多个 IP 地址相关联，也可以是双通量（Double Flux），即除了更改 IP 地址外，负责解析域名的 DNS 名称服务器也会频繁更改，为恶意域名提供额外的冗余和匿名性。   “Fast Flux网络之所以‘快速’，是因为通过 DNS，它会快速轮换多个僵尸程序，每个僵尸程序只使用很短的时间，从而使得基于 IP 的拒绝列表和打击工作变得困难，”Palo Alto Networks Unit 42 在 2021 年发布的一份报告中表示。   将Fast Flux描述为国家安全威胁，这些机构表示，威胁行为者正在利用这种技术来掩盖恶意服务器的位置，并建立能够抵御打击的弹性 C2 基础设施。   不仅如此，Fast Flux在 C2 通信之外也发挥着重要作用，帮助对手托管网络钓鱼网站，以及部署和分发恶意软件。   为了防范Fast Flux，建议组织采取以下措施：阻止 IP 地址、将恶意域名重定向到黑洞服务器、过滤与声誉不佳的域名或 IP 地址之间的流量、实施增强的监控，并强制执行网络钓鱼意识和培训。   “Fast Flux代表了对网络安全的持续威胁，利用快速变化的基础设施来掩盖恶意活动，”这些机构表示。“通过实施强大的检测和缓解策略，组织可以显著降低因Fast Flux支持的威胁而被攻破的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西雅图港口管理局（Port of Seattle）近日向约9万人发出通知，告知他们的个人信息在2024年8月的一次勒索软件攻击中遭到泄露。 西雅图港口管理局在2024年8月24日披露了此次攻击，称由此引发的IT故障扰乱了多项服务和系统，包括预订检查系统、乘客显示屏、西雅图港口网站、flySEA应用程序，并导致西雅图-塔科马国际机场的航班延误。 三周后，港口管理局确认此次攻击是由名为Rhysida的勒索软件操作发起的。 勒索软件攻击 在事件发生后，港口管理局决定不屈服于网络犯罪分子的要求，即使他们威胁要在暗网泄露网站上发布窃取的数据。 “我们拒绝支付所要求的赎金，因此，攻击者可能会在他们的暗网网站上发布他们声称窃取的数据，”西雅图港口管理局在2024年9月13日表示。 “我们对攻击者窃取的数据的调查仍在进行中，但似乎攻击者确实在8月中旬至下旬获取了一些港口数据。评估被窃数据的过程复杂且耗时。” 数据泄露影响 2025年4月3日，港口管理局宣布，他们现在正在向受影响的个人发送约9万封通知信。据该机构称，此次数据泄露中约有7.1万人来自华盛顿州。 根据泄露通知信的副本，攻击者窃取了员工、承包商和停车数据的多种组合，包括姓名、出生日期、社会安全号码（或社会安全号码的最后四位数字）、驾驶执照或其他政府身份证号码，以及一些医疗信息。 港口还表示，他们存储的“机场或海运乘客信息非常少”，并且其支付处理系统未受攻击影响。 “在任何时候，此次事件都没有影响到安全前往或离开西雅图机场或使用港口海运设施的能力，”港口管理局本周补充道。“主要航空公司和邮轮合作伙伴的专有系统未受影响，联邦合作伙伴（如联邦航空管理局、运输安全管理局和美国海关与边境保护局）的系统也未受影响。” Rhysida勒索软件 Rhysida是此次西雅图港口攻击背后的勒索软件即服务（RaaS）操作，于2023年5月浮出水面，并在入侵大英图书馆、智利军队（Ejército de Chile）、俄亥俄州哥伦布市、索尼子公司Insomniac Games和全球最大的休闲船只及游艇零售商MarineMax后迅速声名狼藉。 其附属机构还入侵了Singing River Health System，该系统警告近90万人，他们的个人和健康信息在2023年8月的一次Rhysida勒索软件攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年4月5日，Ionut Ilascu报道，WinRAR文件压缩解决方案中的一个漏洞可能被利用来绕过Windows的“网络标记”（Mark of the Web，MotW）安全警告，并在Windows机器上执行任意代码。 该安全问题被追踪为CVE-2025-31334，影响所有WinRAR版本，除了最新的7.11版本。 Windows的“网络标记”是一种安全功能，它通过一个元数据值（一个名为“区域标识符”的备用数据流）来标记从互联网下载的文件，以标识这些文件可能不安全。 当打开带有MotW标记的可执行文件时，Windows会警告用户该文件是从互联网下载的，可能有害，并提供继续执行或终止的选项。 CVE-2025-31334漏洞允许威胁行为者在打开指向可执行文件的符号链接（symlink）时绕过MotW安全警告，该符号链接在任何7.11版本之前的WinRAR中都存在。攻击者可以利用特制的符号链接执行任意代码。需要注意的是，在Windows上创建符号链接通常需要管理员权限。 该安全问题获得了6.8的中等严重性评分，并已在WinRAR的最新版本中修复，如WinRAR的应用程序变更日志中所指出的： “如果从WinRAR shell启动指向可执行文件的符号链接，则忽略可执行文件的MotW数据” – WinRAR 该漏洞由三井物产Secure Directions的Shimamine Taihei通过日本的信息技术促进机构（IPA）报告。日本的计算机安全事件响应小组协调了与WinRAR开发者的负责任披露。 从7.10版本开始，WinRAR提供了从MotW备用数据流中移除信息的可能性（例如位置、IP地址），这些信息可能被视为隐私风险。 包括国家支持的威胁行为者在内的攻击者过去曾利用MotW绕过漏洞来投放各种恶意软件，而无需触发安全警告。 最近，俄罗斯黑客利用了7-Zip压缩工具中的类似漏洞，该漏洞在双重压缩（在一个文件内压缩另一个文件）时不会传播MotW，以运行Smokeloader恶意软件投放器。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“disgrasya”的恶意PyPI包被发现，该包滥用合法的WooCommerce商店来验证被盗信用卡，并已在开源软件包平台上被下载超过34,000次。 该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证信用卡，这是卡农行为者评估从暗网转储和泄露数据库中获取的数千张被盗卡的价值和潜在利用的关键步骤。 尽管该包已被从PyPI中移除，但其高下载量显示了此类恶意操作的滥用规模。 “与依赖欺骗或拼写错误的典型供应链攻击不同，disgrasya没有试图显得合法，”Socket研究人员的一份报告解释道。 “它公然恶意，滥用PyPI作为分发渠道，以接触更广泛的欺诈者受众。” 特别值得注意的是，disgrasya公然滥用PyPI托管一个包，其创建者在描述中明确指出该包用于恶意活动。 “一个利用多线程和代理通过多个网关检查信用卡的工具，”disgrasya包的描述中写道。 Socket指出，该包的恶意功能从7.36.9版本开始引入，可能是为了逃避安全检查，因为初始提交的安全检查可能比后续更新更严格。 恶意包包含一个Python脚本，该脚本访问合法的WooCommerce网站，收集产品ID，然后通过调用商店的后端将商品添加到购物车。 接下来，它导航到网站的结账页面，在那里窃取CSRF令牌和捕获上下文，这是CyberSource用户用于安全处理卡数据的代码片段。 Socket表示，这两个信息通常在页面上是隐藏的，并且很快过期，但脚本会立即抓取它们，同时用虚构的客户信息填充结账表单。 在下一步中，而不是将窃取的卡直接发送到支付网关，它将卡发送到攻击者控制的服务器（railgunmisaka.com），该服务器假装是CyberSource并返回一个假令牌。 POST请求将卡数据发送到外部   最后，带有令牌化卡的订单在网店中提交，如果订单通过，则验证卡是有效的。如果失败，则记录错误并尝试下一张卡。 打印的交易结果   使用这样的工具，威胁行为者能够以自动化的方式验证大量被盗信用卡。 这些经过验证的卡随后可能被用于进行金融欺诈或在网络犯罪市场上出售。 Socket评论说，这种端到端的结账模拟过程特别难以被目标网站上的欺诈检测系统检测到。 “从收集产品ID和结账令牌，到将窃取的卡数据发送给恶意第三方，以及模拟完整的结账流程，整个工作流程都是高度针对性和有条理的，”Socket表示。 “它旨在融入正常的流量模式，使传统欺诈检测系统极难检测。” 尽管如此，Socket表示有一些方法可以缓解这个问题，比如阻止低于5美元的非常低价值订单，这些订单通常用于卡农攻击，监控具有异常高失败率的多个小额订单，或与单一IP地址或地区相关的高结账量。 Socket还建议在结账流程中添加CAPTCHA步骤，这可能会中断卡农脚本的操作，并在结账和支付端点上应用速率限制。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Parquet的Java库中存在一个严重安全漏洞，成功利用该漏洞的远程攻击者可在易受攻击的实例上执行任意代码。 Apache Parquet是一种免费开源的列式数据文件格式，专为高效的数据处理和检索而设计，支持复杂数据、高性能压缩和编码方案，最初于2013年推出。 该漏洞编号为CVE-2025-30065，CVSS评分为10.0，是最高 severity 级别。 “Apache Parquet 1.15.0及更早版本的parquet-avro模块中的架构解析存在漏洞，允许恶意行为者执行任意代码，”项目维护者在一份公告中表示。 据Endor Labs称，成功利用该漏洞需要诱骗易受攻击的系统读取特制的Parquet文件以获得代码执行权限。 “该漏洞可能影响导入Parquet文件的数据管道和分析系统，特别是当这些文件来自外部或不可信来源时，”该公司表示。“如果攻击者能够篡改文件，就可能触发该漏洞。” 该缺陷影响所有版本的软件，包括1.15.0版本。该问题已在1.15.1版本中得到解决。亚马逊的Keyi Li被授予发现并报告该漏洞的荣誉。 虽然目前没有证据表明该漏洞已在野外被利用，但Apache项目中的漏洞已成为威胁行为者寻找机会入侵系统和部署恶意软件的焦点。 上个月，Apache Tomcat中的一个严重安全漏洞（CVE-2025-24813，CVSS评分：9.8）在公开披露后30小时内遭到积极利用。 网络安全公司Aqua在本周发布的一项分析中表示，其发现了一项新的攻击活动，针对使用容易猜到的凭据的Apache Tomcat服务器，部署加密的有效载荷，旨在窃取用于横向移动的SSH凭据，并最终劫持系统资源用于非法加密货币挖掘。 这些有效载荷还能够建立持久性，并充当基于Java的Web shell，使攻击者能够在服务器上执行任意Java代码，Aqua的威胁情报总监Assaf Morag表示。 “此外，该脚本旨在检查用户是否具有root权限，如果是，则执行两个函数，以优化CPU消耗以获得更好的加密货币挖掘效果。” 该活动影响Windows和Linux系统，很可能被认为是中国讲威胁行为者所为，因为源代码中存在中文语言注释。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位新手网络犯罪分子被发现利用俄罗斯的“防弹”托管（BPH）服务提供商Proton66来协助其操作。 这些发现来自DomainTools，该公司在发现一个名为cybersecureprotect[.]com的虚假网站后检测到了这一活动，该网站托管在Proton66上，伪装成一个杀毒服务。 这家威胁情报公司表示，他们在该域名中发现了一个操作安全（OPSEC）失误，导致其恶意基础设施暴露，从而揭示了服务器上托管的恶意负载。 “这一发现引导我们深入了解了一个新兴威胁行为者Coquettte的操作——一个利用Proton66的防弹托管服务来分发恶意软件并从事其他非法活动的业余网络犯罪分子，”该公司在与《黑客新闻》分享的一份报告中表示。 Proton66还与另一个名为PROSPERO的BPH服务相关联，该服务已被归因于多个分发桌面和Android恶意软件的活动，如GootLoader、Matanbuchus、SpyNote、Coper（又名Octo）和SocGholish。托管在该服务上的网络钓鱼页面已通过短信传播，以诱骗用户输入他们的银行凭证和信用卡信息。 Coquettte就是这样一个利用Proton66生态系统优势的威胁行为者，以分发伪装成合法杀毒工具的恶意软件。 这表现为一个ZIP存档（“CyberSecure Pro.zip”），其中包含一个Windows安装程序，然后从远程服务器下载第二阶段的恶意软件，该服务器负责从命令和控制（C2）服务器（“cia[.]tf”）分发后续负载。 第二阶段是一个被分类为Rugmi（又名Penguish）的加载程序，过去曾用于部署诸如Lumma、Vidar和Raccoon等信息窃取器。 对Coquettte的数字足迹的进一步分析发现了一个个人网站，其中他们声称自己是“一名19岁的软件工程师，正在攻读软件开发学位”。 此外，cia[.]tf域名已使用电子邮件地址“root@coquettte[.]com”注册，确认威胁行为者控制了C2服务器，并将虚假的网络安全网站作为恶意软件分发中心。 “这表明Coquettte是一个年轻的个体，可能是一名学生，这与他们在网络犯罪活动中犯下的业余错误（如开放目录）相一致，”DomainTools表示。 该威胁行为者的活动不仅限于恶意软件，因为他们还运营着其他出售制造非法物质和武器指南的网站。据信Coquettte与一个名为Horrid的更广泛的黑客组织有松散的联系。 “基础设施重叠的模式表明，这些网站背后的人可能自称为‘Horrid’，Coquettte是其中一名成员的别名，而不是一个独立的行动者，”该公司表示。 “该组织与多个与网络犯罪和非法内容相关的域名的关联表明，它作为一个孵化器，激励或业余的网络犯罪分子，为那些希望在地下黑客圈中崭露头角的人提供资源和基础设施。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti披露了一个已修补的关键安全漏洞，该漏洞影响其Connect Secure，且已被积极利用。 该漏洞编号为CVE-2025-22457（CVSS评分：9.0），是一个堆栈缓冲区溢出漏洞，可被利用来在受影响系统上执行任意代码。 “Ivanti Connect Secure在22.7R2.6版本之前、Ivanti Policy Secure在22.7R1.4版本之前以及Ivanti ZTA Gateways在22.8R2.2版本之前存在堆栈缓冲区溢出漏洞，允许远程未认证攻击者实现远程代码执行，”Ivanti在周四发布的一份警报中表示。 受影响的产品和版本如下： – Ivanti Connect Secure（22.7R2.5及更早版本）- 在22.7R2.6版本中修复（补丁于2025年2月11日发布） – Pulse Connect Secure（9.1R18.9及更早版本）- 在22.7R2.6版本中修复（由于该设备已于2024年12月31日达到支持结束，需联系Ivanti进行迁移） – Ivanti Policy Secure（22.7R1.3及更早版本）- 在22.7R1.4版本中修复（将于4月21日发布） – ZTA Gateways（22.8R2及更早版本）- 在22.8R2.2版本中修复（将于4月19日发布） Ivanti表示，已知有“少量客户”的Connect Secure和已停止支持的Pulse Connect Secure设备遭到利用。没有证据表明Policy Secure或ZTA网关在野外遭到滥用。 Ivanti指出：“客户应监控其外部ICT，寻找Web服务器崩溃的迹象。如果您的ICT结果显示有被入侵的迹象，您应对设备执行出厂重置，然后使用22.7R2.6版本将设备重新投入生产。” 值得一提的是，Connect Secure 22.7R2.6版本还解决了多个关键漏洞（CVE-2024-38657、CVE-2025-22467和CVE-2024-10644），这些漏洞可能允许远程认证攻击者写入任意文件和执行任意代码。 谷歌旗下的Mandiant在其自己的公告中表示，其在2025年3月中旬观察到CVE-2025-22457被利用的证据，使威胁行为者能够部署一个名为TRAILBLAZE的内存中dropper、一个被动后门BRUSHFIRE以及SPAWN恶意软件套件。 攻击链本质上涉及使用多阶段shell脚本dropper来执行TRAILBLAZE，然后TRAILBLAZE直接将BRUSHFIRE注入到运行中的Web进程的内存中，试图绕过检测。这种利用活动旨在在受入侵的设备上建立持久的后门访问，可能实现凭据窃取、进一步的网络入侵和数据窃取。 SPAWN恶意软件生态系统包括以下组件： – SPAWNSLOTH，一个日志篡改工具，可在SPAWNSNAIL后门运行时禁用日志记录和将日志转发到外部syslog服务器 – SPAWNSNARE，一个基于C的程序，用于将未压缩的Linux内核映像（vmlinux）提取到文件中，并使用AES进行加密 – SPAWNWAVE，SPAWNANT的改进版本，结合了SPAWN的各个元素（与SPAWNCHIMERA和RESURGE重叠） SPAWN的使用被归因于一个与中国有关的对手UNC5221，该对手有利用Ivanti Connect Secure（ICS）设备中的零日漏洞的历史，以及其他集群如UNC5266、UNC5291、UNC5325、UNC5330、UNC5337和UNC3886。 根据美国政府的说法，UNC5221也被评估为与威胁组织如APT27、Silk Typhoon和UTA0178有重叠。然而，威胁情报公司告诉《黑客新闻》，其没有足够的证据来确认这一联系。 “Mandiant将UNC5221追踪为一个活动集群，该集群反复利用边缘设备的零日漏洞，”谷歌威胁情报团队的中国任务技术负责人Dan Perez告诉该出版物。 “政府所称的这个集群与APT27之间的联系是合理的，但我们没有独立证据来确认。Silk Typhoon是微软对这一活动的命名，我们无法对他们的归因发表评论。” 除了利用影响Citrix NetScaler设备的CVE-2023-4966的零日漏洞外，UNC5221还利用了一个由受损Cyberoam设备、QNAP设备和ASUS路由器组成的混淆网络，在入侵操作期间掩盖其真实来源，这一方面也得到了微软早在上个月的强调，详细描述了Silk Typhoon的最新战术。 该公司进一步推测，威胁行为者可能分析了Ivanti在2月发布的补丁，并找到了一种方法来利用旧版本，以针对未修补的系统实现远程代码执行。这一发展标志着UNC5221首次被归因于Ivanti设备中安全漏洞的N-day利用。 “UNC5221的最新活动强调了与中国有关的间谍集团对全球边缘设备的持续攻击，”Mandiant咨询CTO Charles Carmakal表示。 “这些行为者将继续研究安全漏洞，并为企业系统开发定制恶意软件，这些系统不支持EDR解决方案。中国相关间谍行为者的网络入侵活动速度继续增加，这些行为者比以往任何时候都更出色。” 更新： 美国网络安全和基础设施安全局（CISA）于2025年4月4日将CVE-2025-22457添加到其已知被利用漏洞（KEV）目录中，要求联邦机构在2025年4月11日之前应用修复措施，以防范积极的利用努力。 该机构还建议客户对设备进行出厂重置，“以获得最高级别的信心”，在发生入侵的情况下将受影响的实例隔离并断开与网络的连接，并轮换密码。 “组织进行自己的分析至关重要，行业在做出风险决策时继续独立审查漏洞及其可利用性和影响，”watchTowr首席执行官Benjamin Harris表示。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客组织正在通过发布恶意npm包来传播BeaverTail恶意软件，以及一个新的远程访问木马（RAT）加载器，这是他们正在进行的“Contagious Interview”活动的一部分。 “这些最新的样本使用十六进制字符串编码来逃避自动化检测系统和手动代码审计，这表明威胁行为者在混淆技术上的变化，”Socket安全研究员Kirill Boychenko在一份报告中表示。 这些恶意包在被移除前总共被下载了5600多次，包括： – empty-array-validator – twitterapis – dev-debugger-vite – snore-log – core-pino – events-utils – icloud-cod – cln-logger – node-clog – consolidate-log – consolidate-logger 这一发现是在一个月前发现一系列npm包分发BeaverTail之后，BeaverTail是一种JavaScript窃取器，还能分发基于Python的后门，名为InvisibleFerret。 该活动的最终目标是以求职面试过程为幌子，渗透开发者的系统，窃取敏感数据，转移金融资产，并维持对受感染系统的长期访问。 新发现的npm库伪装成实用工具和调试器，其中dev-debugger-vite使用了SecurityScorecard在2024年12月名为“Phantom Circuit”的活动中标记为Lazarus Group使用的C2地址。 这些包的突出之处在于，其中一些，如events-utils和icloud-cod，与Bitbucket仓库相关联，而不是GitHub。此外，icloud-cod包被发现在一个名为“eiwork_hire”的目录中托管，再次强调了威胁行为者使用与面试相关的主题来激活感染。 对cln-logger、node-clog、consolidate-log和consolidate-logger包的分析还发现了一些代码级别的细微变化，表明攻击者正在发布多个恶意软件变体，以提高活动的成功率。 尽管有所变化，这四个包中嵌入的恶意代码作为一个远程访问木马（RAT）加载器，能够从远程服务器传播下一阶段的有效载荷。 由于C2端点不再提供有效载荷，目前尚不清楚通过加载器传播的恶意软件的确切性质。然而，Boychenko表示，该代码作为一个活跃的恶意软件加载器，具有远程访问木马（RAT）功能，能够动态获取并执行远程JavaScript，使朝鲜攻击者能够在受感染的系统上运行任意代码。这种行为使他们能够部署任何他们选择的后续恶意软件，使加载器本身成为一个重大威胁。 这些发现表明了“Contagious Interview”的持续性，它不仅对软件供应链构成持续威胁，还采用了臭名昭著的ClickFix社会工程战术来分发恶意软件。 “Contagious Interview威胁行为者继续创建新的npm账户，并在npm注册表、GitHub和Bitbucket等平台上部署恶意代码，展示了他们的持续性，并且没有放缓的迹象，”Boychenko说。 “这个高级持续性威胁（APT）组织正在多样化其战术——在新的别名下发布新的恶意软件，在GitHub和Bitbucket仓库中托管有效载荷，并重用BeaverTail和InvisibleFerret等核心组件，以及新观察到的RAT/加载器变体。” BeaverTail部署Tropidoor# 新npm包的发现正值韩国网络安全公司AhnLab详细描述了一项以招聘为主题的网络钓鱼活动，该活动分发了BeaverTail，然后用于部署一个以前未记录的Windows后门，代号为Tropidoor。该公司的分析显示，BeaverTail正在积极针对韩国的开发者。 该电子邮件声称来自一家名为AutoSquare的公司，包含一个指向Bitbucket上托管项目的链接，敦促收件人在本地克隆项目以审查他们对程序的理解。 该应用程序实际上是一个包含BeaverTail（“tailwind.config.js”）和一个DLL下载器恶意软件（“car.dll”）的npm库，后者由JavaScript窃取器和加载器启动。 Tropidoor是一个通过下载器在内存中运行的后门，能够联系C2服务器以接收指令，从而可以窃取文件、收集驱动器和文件信息、运行和终止进程、截取屏幕截图，以及通过用NULL或垃圾数据覆盖来删除或擦除文件。 该植入程序的一个重要方面是，它直接实现了Windows命令，如schtasks、ping和reg，这一功能之前也在Lazarus Group的另一种名为LightlessCan的恶意软件中观察到，LightlessCan是BLINDINGCAN（又名AIRDRY或ZetaNile）的后续产品。 AhnLab表示：“用户不仅要警惕电子邮件附件，还要警惕来自未知来源的可执行文件。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软认可了一个以EncryptHub身份活动的独狼黑客，他发现了Windows中的两个安全漏洞，并于上个月报告了这些漏洞。这位黑客被描述为一个“矛盾”的个体，他在网络安全领域有着合法的职业生涯，同时也涉足网络犯罪。 瑞典安全公司Outpost24 KrakenLabs发布了一项新的深入分析，揭露了这位新兴网络犯罪分子的身份。大约十年前，这位黑客离开了他在乌克兰哈尔科夫的家乡，搬到了罗马尼亚海岸附近的一个新地方。 微软将这两个漏洞归功于一个名为“SkorikARI with SkorikARI”的用户，据评估这是EncryptHub的另一个用户名。这两个漏洞已在上个月的Patch Tuesday更新中被修复，具体如下： – CVE-2025-24061（CVSS评分：7.8）- 微软Windows Mark-of-the-Web（MotW）安全功能绕过漏洞 – CVE-2025-24071（CVSS评分：6.5）- 微软Windows文件资源管理器欺骗漏洞 EncryptHub还被追踪为LARVA-208和Water Gamayun，他在2024年中期因利用一个虚假的WinRAR网站分发各种恶意软件而受到关注，这些恶意软件托管在一个名为“encrypthub”的GitHub存储库中。 最近几周，这位威胁行为者被归因于微软管理控制台（CVE-2025-26633，CVSS评分：7.0，也称为MSC EvilTwin）的零日漏洞利用，以交付信息窃取器和以前未记录的后门，名为SilentPrism和DarkWisp。 据PRODAFT估计，在过去九个月的运营中，EncryptHub已经攻陷了超过618个高价值目标，涵盖多个行业。 “我们调查过程中分析的所有数据都指向一个单独的个体的行为，”Outpost24的高级威胁情报分析师Lidia Lopez告诉《黑客新闻》。 “然而，我们不能排除与其他威胁行为者合作的可能性。在一个用于监控感染统计数据的Telegram频道中，还有另一个拥有管理权限的Telegram用户，这表明可能有其他没有明确组织隶属关系的人提供合作或帮助。” Outpost24表示，他们能够从“由于糟糕的操作安全实践导致的演员自我感染”中拼凑出EncryptHub的在线足迹，从而揭示了其基础设施和工具的新方面。 这位个体被认为在搬到罗马尼亚附近的一个未指明地点后保持低调，通过在线课程自学计算机科学，同时在业余时间寻找与计算机相关的工作。 然而，这位威胁行为者的所有活动在2022年初突然停止，这与俄乌战争的开始相吻合。Outpost24表示，他们发现的证据表明，他当时被监禁。 “释放后，他恢复了求职，这次提供自由职业的网络和应用程序开发服务，这获得了一些关注，”该公司在报告中表示。“但薪酬可能不够，短暂尝试漏洞赏金计划后未获成功，我们相信他在2024年上半年转向了网络犯罪。” EncryptHub在网络犯罪领域的早期尝试之一是Fickle Stealer，这是Fortinet FortiGuard Labs在2024年6月首次记录的一种基于Rust的信息窃取恶意软件，通过多个渠道分发。 在最近与安全研究员g0njxa的一次采访中，这位威胁行为者声称Fickle“在StealC或Rhadamantys（拼写错误）永远无法工作的系统上提供结果”，并且它“通过高质量的企业防病毒系统”。他们还表示，这个窃取器不仅被私下共享，而且还是他们另一个名为EncryptRAT的产品的“核心”部分。 “我们能够将Fickle Stealer与之前与EncryptHub相关的别名联系起来，”Lopez说。“此外，与该活动相关的其中一个域名与他合法自由职业工作的基础设施相匹配。从我们的分析来看，我们估计EncryptHub的网络犯罪活动始于2024年3月左右。Fortinet在6月的报告可能标志着这些行动的首次公开记录。” EncryptHub还被发现广泛依赖OpenAI的ChatGPT来协助恶意软件开发，甚至利用它来帮助翻译电子邮件和消息，并作为一种忏悔工具。 “EncryptHub的案例突显了糟糕的操作安全仍然是网络犯罪分子最严重的弱点之一，”Lopez指出。“尽管技术复杂，但基本错误——如密码重复使用、暴露的基础设施以及将个人活动与犯罪活动混为一谈——最终导致了他的曝光。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国拥有数百年历史的邮政机构皇家邮政集团（Royal Mail Group）疑似遭遇重大数据泄露，144GB的内部文件、客户信息和营销数据被曝光。此次泄露事件由网络犯罪论坛Breach Forum的用户“GHNA”首次披露。 144GB敏感数据泄露 据Hackread.com研究团队观察，GHNA于2025年3月31日（星期一）在Breach Forum发帖称：“今天，我上传了144GB的皇家邮政集团数据供大家下载（再次感谢Spectos的‘协助’）。感谢阅读，尽情享用！” 帖子中包含一张疑似皇家邮政集团与Spectos举行Zoom会议的截图。Spectos是一家总部位于德国的数据分析和绩效管理公司，曾多次与其他泄露事件扯上关系。这引发了外界对此次攻击究竟是直接入侵皇家邮政集团的基础设施，还是通过拥有深度系统访问权限的供应商Spectos进行的第三方攻击的猜测。 泄露的144GB档案包含293个文件夹和16,549个文件，涉及范围广泛： 客户个人身份信息（PII）：包括姓名、完整地址、邮编、寄送详情，以及寄件方的企业名称和服务使用情况。 内部通信：视频会议记录，尤其是Spectos与皇家邮政集团员工之间的Zoom通话。 运营数据：配送路线数据、邮局位置信息和后端SQL数据库。 营销基础设施数据：Mailchimp邮件列表导出，包含订阅者元数据、活动标签和详细的同意信息。 黑客GHNA是谁？ 深入调查发现，GHNA自2024年底以来便活跃于Breach Forum，通过泄露或出售多个高知名度企业的数据逐渐积累声誉。其发布的帖子涉及多个行业，包括： 多家市值数十亿美元的软件公司和太阳能行业企业； 三星电子（德国）——泄露了客户满意度工单数据； Touchworld Technology LLC和Liberty Latin America——源代码库； 涉及美国和欧洲软件公司（包括CRM和Staking平台）的访问权限； 针对加密货币公司的攻击，如Staking公司和赌场（均被论坛标记为“已验证”，其中一个已被售出）。 皇家邮政集团的数据泄露事件是GHNA发布的体量最大的攻击之一。但从其过往行为来看，这很可能只是一个更广泛的“访问即服务”（Access-as-a-Service）运营的一部分。 第三方供应商Spectos卷入 Spectos的名字多次出现在泄露的数据中，包括内部文件和会议视频。虽然目前尚不清楚Spectos是攻击入口还是仅被动涉及，黑客发帖时提到“再次感谢Spectos的‘协助’”，暗示Spectos的系统可能是此次泄露的切入点。考虑到泄露数据的规模和类型，攻击者或许通过共享系统、集成点或Spectos自身基础设施实现了入侵。 皇家邮政集团在发给Hackread.com的邮件中表示：“我们了解到此次事件疑似影响了皇家邮政的供应商Spectos。我们正与该公司合作调查事件，并评估是否存在数据影响。”截至目前，Spectos尚未就此事公开回应。 皇家邮政集团的安全挑战 此次事件是皇家邮政集团面临的一系列网络安全挑战中的最新一次。早在2023年年初，皇家邮政就曾遭受LockBit勒索软件团伙攻击，导致国际包裹寄递系统中断数周，被迫启用紧急预案。 当时的攻击由勒索软件团伙发起，主要目的是勒索赎金。而这次事件虽然没有勒索要求，但或许反映出黑客对皇家邮政集团数据的兴趣愈发浓厚，尤其是针对其供应商网络中的薄弱环节。 影响与持续调查 尽管皇家邮政集团尚未正式确认数据真实性，但已通过Spectos承认事件的存在。如果泄露数据属实，受影响客户的信息可能面临诈骗、垃圾邮件甚至身份盗窃的风险。 对于皇家邮政集团而言，这一事件加剧了其在数据保护和供应商管理上的压力。对于监管机构而言，事件或将引发关于皇家邮政集团是否采取了充分措施保护用户信息的质疑。 截至发稿时，事件调查仍在进行中，皇家邮政集团和Spectos均未作进一步回应。   消息来源：Hacker read； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司警告管理员立即修补Cisco Smart Licensing Utility（CSLU）中的严重漏洞，该漏洞暴露了一个内置的后门管理员账户，目前已被攻击者利用。 CSLU是一款Windows应用程序，用于在本地管理许可证和关联产品，而无需连接至思科云端的Smart Software Manager解决方案。   思科于2024年9月修补了该安全漏洞（CVE-2024-20439），并将其描述为“未公开的静态用户凭证”，攻击者可通过CSLU应用程序的API远程登录未修补的系统，获取管理员权限。   CVE-2024-20439仅影响运行受漏洞影响版本的CSLU系统，但只有在用户手动启动CSLU应用程序时才会被利用（默认情况下不会在后台运行）。   Aruba威胁研究员Nicholas Starke在思科发布补丁两周后，逆向分析了该漏洞，并发布了包含详细技术信息的报告，其中包括解码后的硬编码静态密码。   思科在周二更新的安全公告中表示：“2025年3月，思科产品安全事件响应团队（PSIRT）发现该漏洞在野外环境中已被尝试利用。思科继续强烈建议客户尽快升级至修复后的软件版本。”   与第二个漏洞联动利用   尽管思科未公开这些攻击的具体细节，但SANS技术研究院研究主任Johannes Ullrich上月发现，有攻击者利用后门管理员账户攻击暴露在互联网上的CSLU实例。   Ullrich指出，威胁行为者正将CVE-2024-20439漏洞与另一个严重的信息泄露漏洞（CVE-2024-20440）结合使用。未经身份验证的攻击者可通过发送精心构造的HTTP请求，访问易受攻击设备中的日志文件，获取API凭证等敏感数据。   “虽然当时的快速搜索未发现任何活跃的攻击行为，但Nicholas Starke在思科发布公告后不久就在博客中公开了后门凭证，因此现在看到部分攻击活动并不意外。”Ullrich表示。   本周一，美国网络安全与基础设施安全局（CISA）将CVE-2024-20439的静态凭证漏洞加入其“已知被利用漏洞目录”，并要求美国联邦机构在三周内（即4月21日前）保护系统免受该漏洞的主动利用。   近年来，这并非思科产品中首次发现并移除后门账户。在此之前，思科的IOS XE、广域网应用服务（WAAS）、数字网络架构（DNA）中心和应急响应软件中也曾发现硬编码凭证漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基研究人员发现，数千部新安卓设备被预装了 Triada 木马的新变种。一旦用户设置设备，攻击者即可立即开始窃取数据。 此次恶意软件活动主要影响俄罗斯用户。根据卡巴斯基移动防护工具的监测数据，2025年3月13日至27日期间已确认至少有2600起感染事件。这些被感染的设备是假冒的热门智能手机型号，通过在线商店以折扣价销售，吸引不明真相的消费者购买。 Triada 是一种模块化的安卓恶意软件，最早于2016年被发现。它通过在设备内存中运行来逃避检测，多年来已多次被发现在通过非正规渠道销售的低价安卓手机的固件中隐藏。一旦安装，Triada 就会变得非常难以清除，除非重新刷机。 卡巴斯基的最新报告显示，Triada 的最新变种更具隐蔽性，它隐藏在安卓系统框架中，并复制到智能手机上的每个进程中。该恶意软件在被感染设备上执行以下操作： – 窃取即时通讯和社交媒体账号； – 通过 WhatsApp 和 Telegram 发送和删除消息，冒充用户； – 通过修改钱包地址劫持加密货币交易； – 监控浏览活动并替换链接； – 在通话过程中伪造电话号码以重新路由对话； – 拦截、发送和删除短信； – 开启高级短信服务以收取付费服务费用； – 远程下载和运行额外应用程序； – 阻断网络连接以逃避检测或破坏防御。 交易分析显示，新 Triada 木马已窃取至少价值27万美元的加密货币，但由于还涉及难以追踪的门罗币（Monero），实际被盗金额可能更高。 卡巴斯基尚不确定设备是如何感染 Triada 的，但推测这可能是由于供应链攻击所致。卡巴斯基研究人员德米特里·卡利宁表示：“Triada 的新版本在设备到达用户之前就被嵌入到智能手机的固件中。供应链可能在某个环节被攻破，甚至商店可能都不知道它们销售的手机带有 Triada”。 为降低风险，建议用户仅从授权经销商处购买智能手机。如有疑问，可以使用谷歌提供的干净系统镜像，或可信的第三方 ROM（如 LineageOS 或 GrapheneOS）重新刷机。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 基因数据共享平台 openSNP 将于 2025 年 4 月 30 日关闭，并删除所有用户提交的数据。该平台的联合创始人巴斯蒂安·格雷沙克·茨沃拉拉斯本周早些时候宣布了这一决定，他指出，个人基因组数据如今容易遭到滥用，且在过去 14 年间，相关环境已发生根本性变化。 openSNP 是一个免费且开源的平台，用户可以在此上传和分享基因及表型数据，用于研究和教育目的。其最初目标是打破商业 DNA 检测公司的垄断，让研究人员和普通民众能够免费且无障碍地探索人类基因数据。多年来，openSNP 已成为此类数据存储库中的佼佼者，广泛应用于研究、教育，甚至社区主导的调查，例如驳斥有缺陷的慢性疲劳综合征基因研究。 尽管与 23andMe 没有直接关联，但 openSNP 收到的大部分数据都来自 23andMe 的用户。随着 23andMe 申请破产保护，提交至 openSNP 的新数据几乎停滞，且预计短期内难以恢复。此外，茨沃拉拉斯还担心，保留这些数据可能会被滥用，尤其是私人法医公司、执法机构和政府以伪科学为由，愈发积极地寻求获取此类信息。 “2025 年，提供个人基因数据免费且开放访问的风险与收益比，与 14 年前相比已大不相同。”茨沃拉拉斯解释道，“因此，关闭 openSNP 并删除其中存储的数据，是如今对这些数据最负责任的管理方式。”openSNP 曾多次拒绝企业收购其数据控制权的提议，是开源项目在低预算下成功运营的罕见范例。然而，鉴于当前伦理、政治和社会环境的变化，该组织认为继续运营风险过高。 该平台将在本月底关闭，所有用户提交的数据都将被清除。公告并未要求用户采取任何手动操作，如删除数据，因此无需用户自行处理。不过，那些希望保留个人或他人数据副本以供个人使用的人，可在 4 月 30 日之前下载。需要注意的是，虽然已下载数据的用户将永久保留副本，但移除公共、集中的数据源将降低其被发现和未来通过网络爬虫获取的可能性。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Hijack Loader”的恶意软件加载器的更新版本，该版本增加了新功能以逃避检测并在受感染系统中建立持久性。 Zscaler ThreatLabz 研究员穆罕默德·伊尔凡·瓦表示：“Hijack Loader 推出了一种新模块，通过调用栈伪造来隐藏函数调用（例如API调用和系统调用）的来源。”此外，“Hijack Loader 增加了一个新模块，用于执行反虚拟机检查，以检测恶意软件分析环境和沙箱。” Hijack Loader 最初于2023年被发现，能够传递第二阶段的有效载荷，例如信息窃取恶意软件。它还配备了多种模块，用于绕过安全软件和注入恶意代码。Hijack Loader 在网络安全社区中还被称为DOILoader、GHOSTPULSE、IDAT Loader 和 SHADOWLADDER。 2024年10月，HarfangLab 和 Elastic Security Labs 详细描述了利用合法代码签名证书以及臭名昭著的 ClickFix 策略传播恶意软件的 Hijack Loader 活动。 与前代产品相比，Hijack Loader 的最新版本增加了调用栈伪造作为逃避检测的手段，以隐藏API和系统调用的来源。这种方法最近也被另一种名为 CoffeeLoader 的恶意软件加载器采用。 “该技术利用 EBP 指针链遍历堆栈，并通过用伪造的堆栈帧替换实际堆栈帧来隐藏恶意调用的存在。”Zscaler 表示。 与之前的版本一样，Hijack Loader 利用 Heaven’s Gate 技术执行64位直接系统调用以进行进程注入。其他更改包括更新黑名单进程列表，新增“avastsvc.exe”（Avast 防病毒软件的一个组件），延迟执行时间五秒。 该恶意软件还增加了两个新模块，分别是 ANTIVM（用于检测虚拟机）和 modTask（通过计划任务设置持久性）。研究结果表明，Hijack Loader 仍在被其运营者积极维护，目的是增加分析和检测的难度。 SHELBY 恶意软件利用 GitHub 进行命令与控制 与此同时，Elastic Security Labs 揭示了一个名为 SHELBY 的新型恶意软件家族，该家族利用 GitHub 进行命令与控制（C2）、数据外泄和远程控制。相关活动被追踪为 REF8685。 攻击链始于一封网络钓鱼邮件，邮件中包含一个 ZIP 压缩包，其中包含一个 .NET 二进制文件，用于通过 DLL 侧加载执行一个名为 SHELBYLOADER（“HTTPService.dll”）的 DLL 加载器。这些邮件通过目标组织内部发送，投递给了伊拉克一家电信公司。 随后，加载器与 GitHub 建立通信，从攻击者控制的存储库中名为“License.txt”的文件中提取一个特定的48字节值。该值用于生成 AES 解密密钥，解密主后门有效载荷（“HTTPApi.dll”）并将其加载到内存中，而不会在磁盘上留下可检测的痕迹。 “SHELBYLOADER 利用沙箱检测技术来识别虚拟化或监控环境。”Elastic 表示，“一旦执行，它会将结果发送回 C2。这些结果被封装在日志文件中，详细说明每种检测方法是否成功识别出沙箱环境。” SHELBYC2 后门则解析另一个名为“Command.txt”的文件中列出的命令，以从 GitHub 存储库下载/上传文件、反射加载 .NET 二进制文件以及运行 PowerShell 命令。值得注意的是，C2 通信通过使用个人访问令牌（PAT）提交到私有存储库来实现。 “恶意软件的设置方式意味着，任何拥有 PAT（个人访问令牌）的人都可以理论上获取攻击者发送的命令，并访问任何受害机器上的命令输出。”该公司表示，“这是因为 PAT 令牌嵌入在二进制文件中，任何获得它的人均可使用。” Emmenhtal 通过 7-Zip 文件传播 SmokeLoader 此外，以支付为主题的网络钓鱼邮件还被观察到用于传播名为 Emmenhtal Loader（也称 PEAKLIGHT）的恶意软件加载器家族，该家族充当部署另一种名为 SmokeLoader 的恶意软件的渠道。 GDATA 表示：“在这一 SmokeLoader 样本中，一个值得注意的技术是使用了 .NET Reactor，这是一种用于混淆和打包的商业 .NET 保护工具。” “尽管 SmokeLoader 历史上曾使用过 Themida、Enigma Protector 和自定义加密器等打包器，但使用 .NET Reactor 符合其他恶意软件家族（尤其是窃密器和加载器）的趋势，因为其具有强大的反分析机制。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文