HackerNews

HackerNews 编译，转载请注明出处： Broadcom 发布了安全更新，以解决 VMware ESXi、Workstation 和 Fusion 产品中的三个被积极利用的安全漏洞，这些漏洞可能导致代码执行和信息泄露。 漏洞详情 CVE-2025-22224（CVSS 评分：9.3）：这是一个 TOCTOU（Time-of-Check Time-of-Use）漏洞，导致越界写入。具有虚拟机本地管理权限的恶意行为者可利用此漏洞在主机上以虚拟机的 VMX 进程身份执行代码。 CVE-2025-22225（CVSS 评分：8.2）：这是一个任意写入漏洞。具有 VMX 进程权限的恶意行为者可利用此漏洞实现沙盒逃逸。 CVE-2025-22226（CVSS 评分：7.1）：这是一个信息泄露漏洞，源于 HGFS 中的越界读取。具有虚拟机管理权限的恶意行为者可利用此漏洞泄露 vmx 进程的内存内容。 受影响版本及修复情况 VMware ESXi 8.0：修复版本为 ESXi80U3d-24585383 和 ESXi80U2d-24585300。 VMware ESXi 7.0：修复版本为 ESXi70U3s-24585291。 VMware Workstation 17.x：修复版本为 17.6.3。 VMware Fusion 13.x：修复版本为 13.6.3。 VMware Cloud Foundation 5.x：异步修复至 ESXi80U3d-24585383。 VMware Cloud Foundation 4.x：异步修复至 ESXi70U3s-24585291。 VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x：修复版本为 ESXi 7.0U3s、ESXi 8.0U2d 和 ESXi 8.0U3d。 VMware Telco Cloud Infrastructure 3.x, 2.x：修复版本为 ESXi 7.0U3s。 Broadcom 在一份 FAQ 中承认，有信息表明这些漏洞在野外已被利用，但未详细说明攻击的性质或利用这些漏洞的威胁行为者的身份。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 部署 Black Basta 和 CACTUS 勒索软件家族的威胁行为者被发现依赖相同的 BackConnect（BC）模块来维持对受感染主机的持续控制，这表明以前与 Black Basta 有关联的附属机构可能已经转向 CACTUS。 “一旦渗透，它就授予攻击者广泛的远程控制功能，允许他们在受感染的机器上执行命令，”Trend Micro 在周一的分析中表示，“这使他们能够窃取敏感数据，如登录凭据、财务信息和个人文件。” 值得注意的是，BC 模块的细节，由于其与 QakBot 加载程序的重叠，被网络安全公司跟踪为 QBACKCONNECT，首次于 2025 年 1 月下旬由沃尔玛的网络情报团队和 Sophos 文档，后者将该集群命名为 STAC5777。 在过去的 2024 年，Black Basta 攻击链越来越多地利用电子邮件炸弹战术来诱使潜在目标在联系后安装 Quick Assist，这些威胁行为者以 IT 支持或帮助台人员的身份出现。 访问然后作为渠道，通过 OneDriveStandaloneUpdater.exe 侧载恶意 DLL 加载程序（“winhttp.dll”），这是一个负责更新 Microsoft OneDrive 的合法可执行文件。加载程序最终解密并运行 BC 模块。 CACTUS 勒索软件 Trend Micro 观察到一次 CACTUS 勒索软件攻击，该攻击使用了相同的植入 BackConnect 的方式，但还超越了这一点，进行了各种后期利用操作，如横向移动和数据泄露。然而，加密受害者网络的努力以失败告终。 这种战术的汇聚在最近的 Black Basta 聊天记录泄露的背景下显得尤为重要，这些记录揭示了网络犯罪团伙的内部运作和组织结构。 具体来说，已经发现该团伙的成员共享了有效的凭据，其中一些来自信息窃取日志。其他一些突出的初始访问点是远程桌面协议（RDP）门户和 VPN 端点。 “威胁行为者正在使用这些战术、技术和程序（TTP）—— 电话钓鱼、Quick Assist 作为远程工具，以及 BackConnect—— 来部署 Black Basta 勒索软件，”Trend Micro 表示。 “具体来说，有证据表明，成员已经从 Black Basta 勒索软件团伙转向了 CACTUS 勒索软件团伙。这一结论是通过对 CACTUS 团伙使用的类似战术、技术和程序（TTP）的分析得出的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 Wazuh 服务器中发现了一个关键的远程代码执行（RCE）漏洞，Wazuh 是一个用于威胁检测和合规监控的流行开源安全平台。 该漏洞被标识为 CVE-2025-24016，允许具有 API 访问权限的攻击者在服务器上执行任意 Python 代码，对受影响的系统构成重大威胁。该漏洞的 CVSS 评分为 9.9，反映了其严重性。 问题源于 Wazuh API 的 DistributedAPI 组件中的不安全反序列化。具体来说，参数被序列化为 JSON，并在 framework/wazuh/core/cluster/common.py 文件中使用 as_wazuh_object 函数进行反序列化。 攻击者可以通过在 DistributedAPI（DAPI）请求或响应中注入未经过滤的字典来利用这一点，从而执行任意代码。 一个值得注意的攻击向量涉及 run_as 端点，攻击者可以操纵 auth_context 参数来构建恶意请求。 这些请求可能导致在主服务器上执行任意代码。此外，在某些配置下，被攻陷的 Wazuh 代理可以通过在 API 请求中注入恶意负载来利用此漏洞。 受影响的版本 易受攻击的版本：Wazuh Manager 4.4.0 至 4.9.0 版本。 已修复的版本：4.9.1 及更高版本。 该漏洞允许攻击者： 远程执行任意 Python 代码。 关闭或控制 Wazuh 服务器。 利用被攻陷的代理在集群内传播攻击。 此类攻击可能破坏系统的完整性、可用性和机密性，对于依赖 Wazuh 进行安全监控的组织来说，这是一个关键问题。 一个公开的 PoC（概念验证）演示了攻击者如何通过 API 请求发送精心制作的 JSON 负载来利用此漏洞。例如，对 run_as 端点的恶意请求可以注入一个未经过滤的异常（unhandled_exc），从而触发任意代码执行。 为了解决此漏洞： 立即升级：更新到 Wazuh 4.9.1 或更高版本，该问题已在这些版本中得到修复。 限制 API 访问：将 API 访问限制在受信任的网络，并强制执行严格的认证措施。 监控日志：定期审查日志，留意可疑活动，如异常的 API 调用或未授权的访问尝试。 加强代理配置：确保 Wazuh 代理的安全，防止通过被攻陷的端点进行利用。 强烈建议各组织尽快实施这些措施，以降低潜在的利用风险，保护其基础设施免受利用 CVE-2025-24016 的攻击者侵害。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Netskope 威胁实验室发现了一起广泛的钓鱼活动，该活动利用嵌入 PDF 文档中的伪造 CAPTCHA 图像来窃取信用卡信息和分发恶意软件。自 2024 年下半年以来，这场活动已经影响了超过 1150 个组织和 7000 名用户。 攻击者利用搜索引擎优化（SEO）技术，引诱受害者访问托管钓鱼 PDF 的恶意网站。这些 PDF 通常伪装成用户指南、手册、模板和表格，使用 “pdf”、“免费”、“下载” 和 “可打印” 等关键词。当受害者打开 PDF 时，会看到一个伪造的 CAPTCHA 图像，并被指示在运行窗口中复制和粘贴一个命令。该命令执行一个恶意的 PowerShell 脚本，下载并安装 Lumma Stealer 恶意软件。 这场钓鱼活动针对各个行业的组织，其中技术、金融服务和制造业受影响尤为严重。 该恶意软件使攻击者能够： 窃取存储的浏览器凭证 盗取加密货币钱包 截获银行凭证 捕获屏幕截图和键盘输入 鉴于其广泛的传播和隐蔽的感染链，Lumma Stealer 对个人用户和企业网络都构成了重大风险。 该活动已被观察到在 260 个独特的域名上进行，包括 Webflow、GoDaddy、Strikingly、Wix 和 Fastly 等热门内容交付网络。一些钓鱼 PDF 还被上传到在线库和 PDF 存储库，进一步扩大了攻击面。 Netskope 威胁实验室强调，从互联网下载 PDF 文件时，即使来自看似可信的来源，也应保持谨慎。用户应避免点击未知发件人的链接或打开附件，并在输入个人信息前始终仔细检查网站 URL。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络安全威胁显示，至少 320 万用户受到伪装成合法工具的恶意浏览器扩展的影响。16 个扩展（从屏幕截图工具到广告拦截器和表情键盘）被发现向用户的浏览器注入恶意代码。根据 GitLab 威胁情报，这些扩展促进了广告欺诈和搜索引擎优化（SEO）操纵，同时对数据泄露和进一步网络入侵的潜在初始访问构成了重大风险。 威胁行为者采用的攻击链是多阶段且高度复杂的，旨在规避检测的同时破坏浏览器安全。GitLab 的报告指出：“威胁行为者使用复杂的多阶段攻击来降低用户浏览器的安全性，然后注入内容，穿越浏览器安全边界并将恶意代码隐藏在扩展之外。” 攻击似乎始于 2024 年 7 月，威胁行为者获取了合法扩展的访问权限，而不是直接破坏它们。报告暗示，原始开发者可能在不知情的情况下将扩展的所有权转让给了攻击者，为恶意更新提供了直接路径。 到 2024 年 12 月，攻击升级为供应链入侵，涉及对开发者账户的网络钓鱼攻击，允许攻击者通过 Chrome 网上应用店推送恶意更新。这些更新引入了窃取 HTTP 头数据和 DOM 内容的脚本，利用远程存储的动态配置。 虽然这些扩展提供了其宣传的功能，但它们嵌入了一个通用的恶意框架。GitLab 的调查发现了服务工作线程功能的一致性，包括： 安装时进行配置检查，将扩展版本和唯一 ID 传输到远程服务器。 修改浏览器安全策略，特别是从每个会话访问的前 2000 个网站中删除内容安全策略（CSP）头。 持续的心跳信号以刷新配置数据并保持与攻击者命令与控制（C2）基础设施的连接。 GitLab 警告称，删除 CSP 会显著削弱浏览器安全，使用户容易受到跨站脚本（XSS）攻击和其他注入式利用。 “这一例程完全删除了恶意扩展用户的 Content Security Policy 保护。Content Security Policy 在防止 Cross Site Scripting 攻击方面发挥着重要作用，扩展在未经用户同意的情况下降低这种保护，明显违反了 Chrome 网上应用店程序政策，”报告警告说。 对恶意扩展基础设施的分析显示了一个专用配置服务器网络，每个服务器都与特定扩展相关联。例如： 扩展名称 配置服务器 Blipshot blipshotextension[.]com Emojis Keyboard emojikeyboardextension[.]com Nimble Capture api.nimblecapture[.]com Adblocker for Chrome abfc-extension[.]com KProxy kproxyservers[.]site 这些配置服务器利用了 BunnyCDN 和 DigitalOcean 的 Apps Platform，并使用一致的 x-do-app-origin 头，表明攻击者通过单一基于云的应用程序部署了所有配置。 此外，与攻击相关的脚本也被发现在针对组织的网络钓鱼工具包中嵌入，这表明攻击者与参与凭证盗窃活动的网络入侵行为者之间可能存在联系。 攻击者通过动态脚本注入确保了长期持久性。rcx-cd-v3.js 有效载荷使用了高级 JavaScript 混淆技术在浏览器中执行代码。这一有效载荷使得网络请求的修改成为可能，包括： 通过在服务工作线程中执行请求来绕过 CORS 限制。 修改广告拦截规则，允许广告域的同时阻止微软的跟踪服务。 向访问欧洲地区亚马逊产品页面的受害者注入带有恶意内容的 iframe 和后台标签。 GitLab 的研究人员怀疑，这些活动支持点击欺诈活动、SEO 操纵，甚至可能涉及敏感数据盗窃。 谷歌在 2025 年 1 月接到通知，并已从 Chrome 网上应用店中移除了所有已识别的恶意扩展。然而，从应用店中移除并不会触发自动卸载。之前安装了这些扩展的用户必须手动从浏览器中删除它们。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rubrik 上个月披露，其一台托管日志文件的服务器遭到入侵，导致公司更换了可能泄露的认证密钥。 该公司已向 BleepingComputer 确认，此次入侵并非勒索软件事件，且公司未收到任何来自威胁行为者的通信。 Rubrik 是一家专注于数据保护、备份和恢复的网络安全公司，在全球 22 个办公室拥有超过 3000 名员工。该公司在全球拥有超过 6000 名客户，包括 AMD、Adobe、Pepsico、Home Depot、Allstate、Sephora、GSK、Honda、Harvard University 和 TrelliX 等知名企业。 在 2 月 2 日发布的一份安全公告中，Rubrik 表示检测到其托管日志文件的服务器上存在异常活动，Kevin Beaumont 首先发现了这一公告。 “Rubrik 信息安全团队最近发现一台包含日志文件的服务器上存在异常活动。我们立即将该服务器下线以降低风险，” Rubrik 的安全公告中写道。 “在第三方法医合作伙伴支持下进行的调查确认，此次事件仅限于这一台服务器，我们未发现任何未经授权访问我们代表客户保护的数据或我们内部代码的证据。” 然而，Rubrik 表示，少量日志文件中包含访问信息，出于谨慎考虑，公司决定更换认证密钥。 该公司表示，没有迹象表明这些信息被滥用。 此外，Rubrik 表示，他们的调查未发现威胁行为者获取客户数据或内部源代码的证据。 Rubrik 此前曾在 2023 年遭受数据泄露，当时公司的数据在 Clop 勒索软件团伙发起的大规模 Fortra GoAnywhere 数据盗窃攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在利用 Paragon 分区管理器的 BioNTdrv.sys 驱动程序中的安全漏洞发动勒索软件攻击，以提升权限并执行任意代码。 这一零日漏洞（CVE-2025-0289）是微软发现的五个漏洞之一，据CERT协调中心（CERT/CC）表示。 “这些漏洞包括任意内核内存映射和写入漏洞、空指针解引用、不安全的内核资源访问以及任意内存移动漏洞。”CERT/CC 说道。 在一种假设的攻击场景中，本地访问 Windows 机器的攻击者可以利用这些漏洞提升权限或通过利用 ‘BioNTdrv.sys’ 由微软签名的事实来引发拒绝服务（DoS）状况。 这还为所谓的自带漏洞驱动程序（BYOVD）攻击铺平了道路，在这些攻击中，驱动程序未安装的系统会受到攻击，从而使威胁行为者能够获得提升的权限并执行恶意代码。 影响 BioNTdrv.sys 1.3.0 和 1.5.1 版本的漏洞列表如下： CVE-2025-0285：由于未验证用户提供的数据长度，7.9.1 版本中存在任意内核内存映射漏洞。攻击者可以利用此漏洞提升权限。 CVE-2025-0286：由于对用户提供的数据长度验证不当，7.9.1 版本中存在任意内核内存写入漏洞。此漏洞允许攻击者在受害者的机器上执行任意代码。 CVE-2025-0287：由于输入缓冲区中缺少有效的 MasterLrp 结构，7.9.1 版本中存在空指针解引用漏洞。这允许攻击者执行任意内核代码，从而提升权限。 CVE-2025-0288：由于 memmove 函数未能净化用户控制的输入，7.9.1 版本中存在任意内核内存漏洞。这允许攻击者写入任意内核内存并实现权限提升。 CVE-2025-0289：由于在将 MappedSystemVa 指针传递给 HalReturnToFirmware 之前未进行验证，17 版本中存在不安全的内核资源访问漏洞。这允许攻击者破坏受影响的服务。 Paragon 软件公司已经通过 2.0.0 版本的驱动程序解决了这些漏洞，易受攻击的驱动程序版本已被添加到微软的驱动程序阻止列表中。 这一事件发生在 Check Point 揭示了一起大规模恶意软件活动的几天后，该活动利用了与 Adlice 产品套件相关的另一个易受攻击的 Windows 驱动程序（“truesight.sys”）来绕过检测并部署 Gh0st RAT 恶意软件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日指出，一种新的网络钓鱼活动正在利用 ClickFix 技巧来传递一个名为 Havoc 的开源命令与控制（C2）框架。 “威胁行为者将每个恶意软件阶段隐藏在 SharePoint 站点之后，并使用修改版的 Havoc Demon 与 Microsoft Graph API 结合，以在受信任的知名服务中隐藏 C2 通信，”Fortinet ForEGuard Labs 在一份与《黑客新闻》共享的技术报告中表示。 此次攻击的起点是一封包含 HTML 附件（“Documents.html”）的网络钓鱼邮件，当用户打开该附件时，会显示一条错误消息，该消息利用 ClickFix 技巧诱骗用户将恶意 PowerShell 命令复制并粘贴到终端或 PowerShell 中执行，从而触发下一阶段的攻击。 该命令旨在下载并执行托管在攻击者控制的 SharePoint 服务器上的 PowerShell 脚本。新下载的 PowerShell 会检查其是否在沙盒环境中运行，然后才会继续下载 Python 解释器（“pythonw.exe”），如果系统中尚未存在该解释器的话。 通过 SharePoint 站点部署 Havoc C2 接下来的步骤是从同一个 SharePoint 位置获取并执行一个 Python 脚本，该脚本作为 KaynLdr 的 shellcode 加载器，KaynLdr 是一个用 C 和 ASM 编写的反射加载器，能够启动嵌入的 DLL，即在此情况下在受感染主机上启动 Havoc Demon 代理。 “威胁行为者使用 Havoc 与 Microsoft Graph API 结合，以在知名服务中隐藏 C2 通信，”Fortinet 表示，并补充说该框架支持收集信息、执行文件操作、命令和有效载荷执行、令牌操作以及 Kerberos 攻击等功能。 与此同时，Malwarebytes 揭示了威胁行为者继续利用 Google Ads 政策中的已知漏洞，通过可能已被攻陷的广告商账户投放针对 PayPal 客户的虚假广告。 这些广告旨在诱骗那些搜索与账户问题或支付问题相关的帮助的受害者拨打一个欺诈电话，最终可能导致他们交出个人和财务信息。 “Google 登陆页面（也称为最终 URL）政策中的一个弱点，允许任何人只要登陆页面和显示 URL（广告中显示的网页）属于同一域名，就可以冒充热门网站，”Malwarebytes 研究高级总监 Jérôme Segura 说道。 “黑客们就像秃鹫一样，盘旋在最热门的 Google 搜索词之上，尤其是在涉及任何在线帮助或客户服务时。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Palo Alto Networks Unit 42 的调查发现，网络犯罪分子正将目标对准亚马逊网络服务（AWS）环境，向毫无戒心的目标推送网络钓鱼活动。 这家网络安全公司正在追踪一个名为 TGR-UNK-0011（代表动机不明的威胁组织）的活动集群，该公司表示，该集群与一个名为 JavaGhost 的组织有重叠。据悉，TGR-UNK-0011 自 2019 年以来一直活跃。 “该组织历史上一直专注于网站篡改，”安全研究员玛格丽特・凯利（Margaret Kelley）表示。“2022 年，他们转向发送网络钓鱼电子邮件以谋取经济利益。” 值得注意的是，这些攻击并未利用 AWS 的任何漏洞。相反，威胁行为者利用受害者环境中暴露的 AWS 访问密钥的配置错误，通过滥用亚马逊简单电子邮件服务（SES）和 WorkMail 服务发送网络钓鱼消息。 这样一来，其作案手法的好处是无需托管或支付自己的基础设施来开展恶意活动。 更重要的是，这使得威胁行为者的网络钓鱼消息能够绕过电子邮件保护，因为这些数字信件源自目标组织之前接收过电子邮件的已知实体。 “JavaGhost 获得了与身份和访问管理（IAM）用户相关的暴露的长期访问密钥，这使他们能够通过命令行界面（CLI）获得对 AWS 环境的初始访问权限，”凯利解释道。 “在 2022 年至 2024 年期间，该组织演变了他们的战术，采用了更高级的防御规避技术，试图在 CloudTrail 日志中隐藏身份。这种战术历史上曾被 Scattered Spider 利用。” 一旦确认获得对组织 AWS 账户的访问权限，攻击者就会生成临时凭证和登录 URL 以允许控制台访问。Unit 42 指出，这使他们能够隐藏自己的身份并查看 AWS 账户内的资源。 随后，该组织被观察到利用 SES 和 WorkMail 建立网络钓鱼基础设施，创建新的 SES 和 WorkMail 用户，并设置新的 SMTP 凭证以发送电子邮件消息。 “在攻击的时间范围内，JavaGhost 创建了各种 IAM 用户，其中一些他们在攻击期间使用，而另一些他们从未使用，”凯利说道。“未使用的 IAM 用户似乎充当长期持久性机制。” 威胁行为者作案手法的另一个显著特点是创建了一个带有信任策略的新 IAM 角色，从而允许他们从其控制的另一个 AWS 账户访问组织的 AWS 账户。 “该组织继续在攻击过程中留下相同的标记，通过创建名为 Java_Ghost 的新亚马逊弹性云计算（EC2）安全组，其组描述为‘我们存在但不可见’，”Unit 42 总结道。“这些安全组不包含任何安全规则，该组织通常不会尝试将这些安全组附加到任何资源。安全组的创建出现在 CloudTrail 日志的 CreateSecurityGroup 事件中。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新分析发现，在公开爬取的网络数据中，DeepSeek 的 11,908 条 API 密钥、密码及身份验证令牌遭到曝光。 据网络安全公司 Truffle Security 披露，这一研究凸显了 AI 模型在未经筛选的互联网数据训练下，可能会内化并复现不安全的编码模式。 此前已有研究表明，大型语言模型（LLM）常建议在代码中硬编码凭据，这引发了关于训练数据如何影响开发实践的讨论。 Truffle Security 通过扫描 Common Crawl 2024 年 12 月的数据集（约 400TB 数据，覆盖 47.5 万个网站、26.7 亿个网页），利用其开源工具 TruffleHog 发现： 11,908 条有效凭据，可用于访问 AWS、Slack、Mailchimp 等服务； 276 万个网页 含有暴露的凭据，其中 63% 的密钥 被多个域名重复使用； WalkScore API 密钥 在 1,871 个子域 上重复 57,029 次，暴露范围极广。 特别值得注意的是，部分数据集涉及高风险暴露，例如： AWS 根密钥 直接嵌入前端 HTML 代码； 同一网页的聊天功能中 硬编码了 17 个独特的 Slack webhook。 Mailchimp API 密钥泄露尤为严重，超 1,500 例，且大多直接嵌入客户端 JavaScript 代码，这种做法不仅助长了网络钓鱼攻击，也增加了数据泄露风险。 Common Crawl 的数据集包含 90,000 份 WARC 文件，存储了网站爬取的 HTML、JavaScript 及服务器响应数据。 Truffle Security 使用 20 节点 AWS 集群 处理这些存档，借助 awk 拆分文件，并通过 TruffleHog 逐一验证密钥是否仍然有效。该工具能区分有效凭据（可用于服务认证）和无效字符串——这是 LLM 训练时无法做到的关键步骤。 研究团队在分析过程中面临基础设施挑战：WARC 数据流式处理效率低，初期严重拖慢分析进度，而 AWS 优化后下载速度提升了 5-6 倍。 尽管面临技术难题，研究团队仍秉持负责任的披露原则，与 Mailchimp 等供应商合作，撤销了数千条泄露的密钥，避免了逐个联系网站所有者的低效通知方式。 这一研究揭示了一项重大安全隐患：基于公开数据训练的 LLM 可能继承其中的不安全模式。尽管 DeepSeek 采用额外的安全防护措施（如微调、对齐技术和提示限制），但硬编码凭据的广泛存在，使得不安全实践易于被模型学习并传播。 此外，非功能性凭据（如占位符令牌）也加剧了问题，因为 LLM 在代码生成时无法识别其有效性。 Truffle Security 警告，在多个客户端项目中重复使用 API 密钥 会带来极大风险。例如，一家软件公司因在多个客户域名间共享 Mailchimp 密钥，导致所有关联账户均面临攻击风险。 为减少 AI 生成代码中的安全漏洞，Truffle Security 建议： 在 AI 编码工具中引入安全防护措施，如 GitHub Copilot 的自定义指令，以强制执行禁止硬编码密钥的政策； 扩展密钥扫描范围，涵盖存档的网络数据，以减少历史泄露数据进入 LLM 训练集的风险； 采用“宪法 AI”技术，使 LLM 生成代码时更符合安全最佳实践，降低敏感信息的无意泄露。 随着 LLM 在软件开发中的影响力持续上升，确保训练数据的安全性已不再是可选项，而是构建安全数字未来的基础。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 Better Auth 库中发现了一个关键的安全漏洞，Better Auth 是一个流行的 TypeScript 身份验证框架。该漏洞可能允许攻击者绕过安全措施并潜在地接管用户账户。 该漏洞存在于 trustedOrigins 保护功能中，该功能旨在将重定向限制为受信任的网站。然而，发现了一种绕过方法，允许攻击者利用此功能将用户重定向到恶意网站。 根据安全公告：“发现了一种绕过 trustedOrigins 安全功能的方法。这适用于通配符或绝对 URL 的 trustedOrigins 配置，使受害者的网站面临开放重定向漏洞，攻击者可以通过更改 ‘callbackURL’ 参数值为攻击者拥有的网站来窃取受害者的重置密码令牌。” 攻击者可以通过开放重定向利用此漏洞，攻击者制作恶意链接并将其发送给受害者。当受害者点击链接时，他们将被重定向到攻击者控制的网站，可能允许攻击者窃取受害者的重置密码令牌并接管其账户。 该漏洞源于处理 trustedOrigins 的中间件中对回调 URL 的验证不当。攻击者可以制作恶意负载，例如： https://demo.better-auth.com/api/auth/reset-password/x?callbackURL=/ /example.com 这利用了 URL 解析的方式，允许攻击者将受害者重定向到外部域名。一旦受害者点击链接，他们的密码重置令牌将被发送到攻击者的网站，导致账户完全被攻陷。 另一种利用方法涉及库中 trustedOrigins 处理中使用的弱正则表达式模式：[^/\\]*?\.example\.com[/\\]*? 攻击者可以使用如下负载：http:attacker.com?.example.com/ 由于 : 和 ? 是 URL 中的特殊字符，浏览器将 http: 解释为 URL 方案的一部分，而不是纯文本，导致意外重定向到攻击者的网站。 Better Auth 项目已发布 1.1.21 版本来解决此漏洞。强烈建议所有 Better Auth 库的用户尽快更新到最新版本，以保护自己免受潜在攻击。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国当局追回了 2021 年对铀金融（Uranium Finance）网络攻击中被盗的 3100 万美元加密货币，铀金融是一个基于币安智能链（Binance Smart Chain）的去中心化金融（DeFi）协议。 铀金融是一个建立在币安 BNB 链上的去中心化金融（DeFi）协议，作为自动化做市商（AMM），类似于 Uniswap。 该平台于 2021 年 4 月推出，但黑客迅速利用其智能合约中的漏洞窃取资产，导致其过早死亡，造成数百万美元的投资者损失。 区块链情报公司 TRM 实验室今天报告称，已协助纽约南区（SDNY）和国土安全调查局（HSI）圣地亚哥追踪并追回被盗资产，这是近年来最重要的追回行动之一。 “2023 年 2 月，TRM 与执法部门密切合作，仔细追踪被盗资产在多个区块链上的流动，识别关键的洗钱模式，并为执法部门提供可操作的情报，” TRM 实验室的报告中写道。 “到 2023 年 3 月，该团队已经绘制出攻击者试图模糊资金的企图，将其与 Tornado Cash 交易和跨链交换联系起来。” “因此，执法部门能够在 2025 年 2 月成功扣押 3100 万美元的未追回资金。” 被盗资金在 2021 年 4 月的两次攻击中被盗，导致超过 5370 万美元的损失。 第一次攻击发生在 2021 年 4 月 6 日，利用奖励分配系统中的漏洞，导致 140 万美元的盗窃。 黑客后来归还了 100 万美元，保留了 385,500 美元，这些资金通过 Tornado Cash 洗钱。 第二次攻击发生在 2021 年 4 月 28 日，利用铀金融交易逻辑中的单字符编码错误，使攻击者能够通过操纵余额窃取 5200 万美元。 被盗资金通过去中心化交易所洗钱，转换为各种加密货币，并在休眠钱包中存储多年。 如今，超过一半的金额已被追回，美国纽约南区要求受害者通过电子邮件 [email protected] 联系，以领取部分追回的加密货币。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发现了 Paragon 分区管理器的五个 BioNTdrv.sys 驱动程序漏洞，其中一个被勒索软件团伙利用进行零日攻击，以在 Windows 系统中获取 SYSTEM 权限。 这些易受攻击的驱动程序被用于 “自带易受攻击驱动程序”（BYOVD）攻击，威胁行为者将内核驱动程序放到目标系统上以提升权限。 “具有本地访问权限的攻击者可以利用这些漏洞提升权限或在受害者的机器上造成拒绝服务（DoS）场景，”CERT/CC 的警告中解释道。 “此外，由于攻击涉及一个微软签名的驱动程序，攻击者可以利用自带易受攻击驱动程序（BYOVD）技术来利用系统，即使未安装 Paragon 分区管理器。” 由于 BioNTdrv.sys 是内核级驱动程序，威胁行为者可以利用漏洞以与驱动程序相同的权限执行命令，绕过保护和安全软件。 微软研究人员发现了所有五个漏洞，并指出其中一个是 CVE-2025-0289，被勒索软件团伙利用进行攻击。然而，研究人员并未披露哪些勒索软件团伙将此漏洞作为零日漏洞利用。 “微软观察到威胁行为者（TAs）在 BYOVD 勒索软件攻击中利用这一弱点，特别是使用 CVE-2025-0289 来实现 SYSTEM 级权限提升，然后执行进一步的恶意代码，”CERT/CC 的公告中写道。 “Paragon Software 已经修复了这些漏洞，并且易受攻击的 BioNTdrv.sys 版本已被微软的易受攻击驱动程序阻止列表阻止。” 微软发现的 Paragon 分区管理器漏洞如下： CVE-2025-0288：由于 ‘memmove’ 函数处理不当导致的任意内核内存写入，允许攻击者写入内核内存并提升权限。 CVE-2025-0287：由于输入缓冲区中缺少对 ‘MasterLrp’ 结构的验证，导致空指针解引用，启用任意内核代码执行。 CVE-2025-0286：由于用户提供的数据长度验证不当导致的任意内核内存写入，允许攻击者执行任意代码。 CVE-2025-0285：由于未验证用户提供的数据，导致任意内核内存映射，通过操纵内核内存映射实现权限提升。 CVE-2025-0289：由于在传递给 ‘HalReturnToFirmware’ 之前未验证 ‘MappedSystemVa’ 指针，导致不安全的内核资源访问，可能会导致系统资源被攻陷。 前四个漏洞影响 Paragon 分区管理器 7.9.1 及更早版本，而 CVE-2025-0298（正在被积极利用的漏洞）影响 17 及更早版本。 建议该软件的用户升级到最新版本，其中包含 BioNTdrv.sys 版本 2.0.0，解决了上述所有漏洞。 然而，需要注意的是，即使未安装 Paragon 分区管理器的用户也并非安全无虞。BYOVD 战术并不依赖于软件在目标机器上存在。 相反，威胁行为者将易受攻击的驱动程序包含在他们自己的工具中，允许他们将其加载到 Windows 中并提升权限。 微软已更新其 “易受攻击驱动程序阻止列表”，以阻止该驱动程序在 Windows 中加载，因此用户和组织应确认保护系统已激活。 您可以通过进入 “设置”→“隐私和安全”→“Windows 安全”→“设备安全”→“核心隔离”→“微软易受攻击驱动程序阻止列表”，并确保该设置已启用，来检查阻止列表是否已启用。 Windows 易受攻击驱动程序阻止列表设置 来源：BleepingComputer Paragon Software 网站上的一则警告也指出，用户必须在今天之前升级 Paragon 硬盘管理器，因为它使用了相同的驱动程序，而该驱动程序将在今天被微软阻止。 虽然目前尚不清楚哪些勒索软件团伙正在利用 Paragon 漏洞，但 BYOVD 攻击在网络犯罪分子中越来越受欢迎，因为它允许他们轻松获得 Windows 设备的 SYSTEM 权限。 已知利用 BYOVD 攻击的威胁行为者包括 Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等。 因此，启用微软易受攻击驱动程序阻止列表功能非常重要，以防止易受攻击的驱动程序在您的 Windows 设备上被利用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据国际特赦组织的一份新报告，一名 23 岁的塞尔维亚青年活动人士的安卓手机成为 Cellebrite 开发的零日漏洞的目标，该漏洞被用于解锁其设备。 “一名学生抗议者的安卓手机被一个针对安卓 USB 驱动程序的复杂零日漏洞链利用并解锁，该漏洞链由 Cellebrite 开发，” 这家国际非政府组织表示，并补充说该漏洞的痕迹是在 2024 年年中的一起单独案件中发现的。 此次漏洞事件涉及的漏洞是 CVE-2024-53104（CVSS 评分：7.8），这是一个名为 USB 视频类（UVC）驱动程序的内核组件中的提权漏洞。2024 年 12 月，Linux 内核发布了该漏洞的补丁，并于本月早些时候在安卓系统中得到修复。 据悉，CVE-2024-53104 被与其他两个漏洞结合使用——CVE-2024-53197 和 CVE-2024-50302，这两个漏洞已在 Linux 内核中得到解决，但尚未包含在安卓安全公告中。 CVE-2024-53197（CVSS 评分：暂无）：Extigy 和 Mbox 设备的越界访问漏洞 CVE-2024-50302（CVSS 评分：5.5）：一个未初始化资源使用漏洞，可用于泄露内核内存 “该针对 Linux 内核 USB 驱动程序的漏洞利用使 Cellebrite 的客户能够在拥有物理访问权限的情况下，绕过安卓手机的锁屏并获得设备的特权访问权限，” 国际特赦组织表示。 “此案例突显了现实世界中的攻击者如何利用安卓的 USB 攻击面，利用 Linux 内核中支持的广泛传统 USB 内核驱动程序。” 这名活动人士化名为 “Vedran”，以保护其隐私。2024 年 12 月 25 日，他参加了一场在贝尔格莱德的学生抗议活动后，被带往警察局，手机被没收。 国际特赦组织的分析发现，该漏洞被用于解锁他的三星 Galaxy A32 手机，当局试图安装一个未知的安卓应用程序。尽管该安卓应用程序的确切性质尚不清楚，但其操作方式与 2024 年 12 月中旬报告的 NoviSpy 间谍软件感染一致。 本周早些时候，Cellebrite 表示，其工具并非旨在促进任何类型的进攻性网络活动，并且公司积极遏制其技术的滥用。 这家以色列公司还表示，将不再允许塞尔维亚使用其软件，称 “我们认为此时停止相关客户使用我们的产品是合适的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Firefox 浏览器制造商 Mozilla 在上周五一周内第二次更新其使用条款，此前因条款中出现的宽泛语言似乎赋予该公司对用户上传所有信息的权利而受到批评。 修订后的使用条款现声明： 您授予 Mozilla 运行 Firefox 所需的权利。这包括按照 Firefox 隐私声明中所述处理您的数据。这也包括为了按照您在 Firefox 中输入内容的请求而授予的非独占、免版税、全球范围的许可。但这并不授予 Mozilla 对该内容的所有权。 此前，该条款于 2 月 26 日生效的版本声明： 当您通过 Firefox 上传或输入信息时，您在此授予我们非独占、免版税、全球范围的许可，以使用该信息帮助您按照您使用 Firefox 的方式浏览、体验和互动在线内容。 此举发生在该公司首次推出 Firefox 使用条款以及更新隐私声明几天之后，后者旨在让用户更清楚地了解其数据处理方式。 Mozilla 产品副总裁阿吉特・瓦尔马在一份声明中表示：“我们一直在倾听我们社区对使用条款某些部分的担忧，特别是关于许可的问题。我们的初衷只是尽可能清楚地说明我们如何让 Firefox 正常运行，但在这样做的过程中，我们也造成了一些困惑和担忧。” Mozilla 强调，它不会出售或购买用户数据，并且之所以做出这些更改，是因为某些司法管辖区对 “出售” 一词的定义比其他地区更广泛，涵盖了消费者个人信息与另一方交换金钱或其他利益的各种方式。 此外，Mozilla 指出，它已经收集并与合作伙伴共享一些数据，这些数据来自新标签页上的可选广告以及搜索栏中的赞助建议，以此保持 “商业可行性”。 Mozilla 还指出，虽然它不会访问用户通过侧边栏（以及通过快捷方式）启用的第三方人工智能（AI）聊天机器人的对话，但它确实收集有关此功能使用情况的技术和互动数据，以帮助改进 Firefox 浏览器。 这包括每个第三方聊天机器人提供商被选择的频率、建议提示被使用的频率以及所选文本的长度。 “每当我们与合作伙伴共享数据时，我们会投入大量精力确保我们共享的数据被剥离了潜在的识别信息，或者仅以汇总形式共享，或者通过我们的隐私保护技术（如 OHTTP）进行处理，” 瓦尔马说道。 对 Mozilla 使用条款的反对紧随谷歌新的广告跟踪政策之后，该政策引起了监管机构和监督机构的审查，他们表示这引发了隐私担忧。 于 2025 年 2 月 16 日生效的广告平台计划政策允许使用 IP 地址对用户进行指纹识别，并在无需重新识别的情况下跨平台追踪用户。英国信息专员办公室（ICO）称其为 “不负责任” 的改变。 ICO 在一份声明中表示：“寻求部署指纹识别技术用于广告的组织需要证明他们如何遵守数据保护法的要求。这些要求包括向用户提供透明度、确保自由给予的同意、确保公平处理以及维护诸如擦除权之类的信息权利。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）将 Bybit 平台的黑客攻击归咎于朝鲜黑客组织 TraderTraitor，随着更多技术细节的曝光，这一事件的来龙去脉逐渐清晰。 Bybit 平台在 2 月 21 日遭受攻击，导致近 15 亿美元的以太坊加密货币被盗。此次攻击迅速被指向朝鲜黑客，尤其是臭名昭著的 Lazarus 组织。 FBI 在周三发布的一份警报中表示，他们自 2022 年以来一直在监控的 TraderTraitor 是此次攻击的幕后黑手。FBI 过去曾指出，TraderTraitor 是 Lazarus 组织的另一个名称，但网络安全行业的部分成员将其描述为专门针对加密货币攻击的 Lazarus 行动。Lazarus 组织还以从事网络间谍活动和破坏性行动而闻名。 FBI 表示：“TraderTraitor 的行动者迅速行动，将部分被盗资产转换为比特币和其他虚拟资产，并分散到多个区块链上的数千个地址。预计这些资产将进一步被清洗，并最终转换为法定货币。” FBI 此前还曾将 TraderTraitor 与从 Bitcoin.DMM.com 盗取 3.08 亿美元加密货币的事件联系起来。该机构已公布了一份朝鲜威胁行为者已知使用的加密货币地址列表。 Bybit 声称自己是全球第二大加密货币交易所（按交易量计算），已启动漏洞赏金计划，以努力追回被盗资金，向成功冻结资金的实体提供追回金额的 5%，并向帮助追踪资金的实体提供 5%。 然而，截至目前，只有 3%（4200 万美元）的被盗加密货币被冻结，这是在黑客攻击曝光后不久被阻止的金额——此后似乎没有其他资金被追回。目前近 9500 万美元被标记为“等待回应”。 Bybit 表示，已向帮助追踪和冻结资金的实体支付了超过 400 万美元的赏金。该公司指出，一些加密货币服务拒绝合作。 Bybit 联合创始人兼首席执行官 Ben Zhou 表示：“我们已指派一个团队来维护和更新这个网站，我们将不会停止，直到 Lazarus 或行业中的恶意行为者被消除。未来，我们还将向其他 Lazarus 的受害者开放这个漏洞赏金平台。” 该加密货币交易所已向客户保证，即使被盗资金无法追回，他们的资产也是有保障的，公司依然具有偿付能力。 Bybit 已聘请 Sygnia 和 Verichains 对此次事件进行调查，这些公司声称已确定了根本原因——攻击涉及来自 Safe{Wallet} 基础设施（特别是 AWS S3 存储桶）的恶意代码，没有迹象表明 Bybit 自己的基础设施被攻破。 Safe{Wallet} 是一个去中心化托管协议和集体资产管理平台，发表声明确认其成为 Lazarus 黑客的目标，黑客攻破了一名 Safe{Wallet} 开发者的机器。该公司指出，其智能合约未受影响，前端及其服务的源代码也未受影响。 根据目前掌握的信息，攻击者似乎在 2 月 19 日将一个恶意的 Safe{Wallet} JavaScript 文件替换为恶意代码，该代码针对 Bybit 的以太坊冷钱包，设计在下一次交易期间激活，这次交易发生在 2 月 21 日。 恶意代码在签名过程中操纵了交易内容，使其看起来像是将资金转移到正确的地址，而实际上资金却转入了黑客控制的地址。 攻击者随后迅速从 Safe{Wallet} JavaScript 文件中移除了恶意代码。 Chainalysis 于周三发布的《2025 年加密货币犯罪报告》显示，根据目前收集到的数据，2024 年用于非法活动的加密货币地址收到了大约 400 亿美元，但预计一旦所有数据被分析，这一金额将增加到 510 亿美元。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英伟达（NVIDIA）发布了一项安全更新，以解决影响其 Jetson AGX Orin 系列和 IGX Orin 设备的高严重性漏洞，该漏洞编号为 CVE-2024-0148，可能允许具有物理访问权限的攻击者执行恶意代码。 安全公告指出，该漏洞存在于 UEFI 固件的 RCM 启动模式中，可能允许具有物理访问权限的未授权攻击者加载不受信任的代码。如果被利用，这可能导致代码执行、权限提升、数据篡改、拒绝服务和信息泄露。 “英伟达 Jetson Linux 和 IGX OS 映像在 UEFI 固件 RCM 启动模式中存在漏洞，具有物理访问权限的未授权攻击者可以加载不受信任的代码，”英伟达在安全公告中表示。 该漏洞的 CVSS 基础评分为 7.6，被归类为高严重性威胁。 英伟达已为受影响的平台发布了补丁： CVE ID 受影响产品 平台/操作系统 受影响版本 更新版本 CVE-2024-0148 NVIDIA IGX Orin IGX OS 所有 IGX 1.1 之前的版本 IGX 1.1 CVE-2024-0148 Jetson AGX Orin 系列 Jetson Linux 所有 36.4.3 之前的版本 36.4.3 英伟达建议所有用户立即升级其软件，以降低被利用的风险。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，多个行业和国家共有 49,000 个配置不当且暴露的访问管理系统（AMS），这可能会危及关键领域的隐私和物理安全。 访问管理系统是通过生物识别、身份证或车牌控制员工进入建筑物、设施和限制区域的安全系统。 Modat 的安全研究人员在 2025 年初进行了全面调查，发现了数万个暴露在互联网上的 AMS，这些系统未正确配置安全认证，任何人都可以访问。 这些暴露的 AMS 包含未加密的敏感员工数据，包括： 个人身份信息（姓名、电子邮件地址、电话号码） 生物识别数据，如指纹和面部识别 照片 工作时间表 访问日志，显示谁进出以及何时进出 在某些情况下，Modat 可以编辑员工记录、添加假员工、更改访问凭证，或操纵建筑入口系统，限制合法员工的访问或允许恶意行为者未经授权的物理访问。 对于政府建筑和关键基础设施（如发电站和水处理单位）的暴露 AMS，物理安全风险尤其令人担忧。 除了物理安全风险外，这些暴露的信息还可能被利用，对暴露的组织进行鱼叉式网络钓鱼和社会工程攻击。 暴露的车牌识别 AMS 在全球总共 49,000 个暴露的 AMS 设备中，大多数（16,678 个）位于意大利，其次是墨西哥（5,940 个）和越南（5,035 个）。在美国，Modat 发现了 1,966 个暴露的 AMS 系统。 缓解问题 研究人员直接联系了所有系统所有者，告知他们 AMS 暴露及其对组织的风险。然而，他们告诉 BleepingComputer，目前尚未收到回复，因此不清楚有多少人采取了措施来保护他们的系统。 供应商也收到了通知，一些供应商表示他们正在与受影响的客户合作解决暴露问题。 Modat 为 AMS 用户提供了几项安全建议，包括将系统离线以防止未经授权的远程访问，或将它们置于防火墙和 VPN 后，以限制只有授权人员的访问。 还建议更改默认的管理员凭据，因为这些凭据很容易被暴力破解，如果可能，应实施多因素身份验证（MFA）。 AMS 管理员应应用供应商的最新软件和固件更新，并减少不必要的网络服务，以降低攻击面。 生物识别数据和个人身份信息（PII）应始终以加密形式存储，并且应清除过去员工的数据，以避免通过未在其他系统上禁用的旧账户进行未经授权的访问。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于隐私的电子邮件提供商 Tuta（原名 Tutanota）和 VPN 信任倡议（VTI）对法国拟议的法律表示担忧，这些法律可能会在加密消息系统中设置后门，并限制互联网访问。 第一个案例涉及法国“毒品贩运法”的一项拟议修正案，该修正案将迫使加密通信服务提供商设置后门，使执法部门能够在 72 小时内访问疑似犯罪分子的解密消息。不遵守规定可能会导致巨额罚款：个人最高可达 150 万欧元，公司最高可达其全球年营业额的 2%。 该法律尚未生效，但修正案已通过法国参议院，正在提交国民议会，因此增加反对意见至关重要。 在一份新声明中，Tuta 呼吁法国国民议会拒绝这一修正案，倡导保护强大的加密技术，以维护个人隐私和安全。他们再次强调，强制在软件中设置后门会破坏所有用户的安全和隐私，而不仅仅是犯罪分子，因为这会制造出可能被恶意行为者利用的漏洞。 “为好人设置后门只是一个危险的幻觉，”Tuta 邮件的首席执行官 Matthias Pfau 告诉 BleepingComputer。“为了执法而削弱加密技术，必然会制造出可能被网络犯罪分子和敌对外国行为者利用的漏洞。这项法律不仅会针对犯罪分子，还会破坏每个人的安全。” Tuta 进一步指出，拟议的修正案引发了法律复杂性，因为它据称与欧洲的 GDPR 和德国的 IT 安全法相冲突。 VPN 反对访问限制 本周早些时候，VTI 就法国一项由版权方 Canal+ 和法国足球联赛（LFP）推动的法律修正案发表了强烈声明，他们已采取法律行动，迫使 VPN 提供商阻止对盗版网站和服务的访问。 VTI 的成员包括 AWS、Google、Cloudflare、Namecheap、OVH、IPVanish VPN、Ivacy VPN、NordVPN、PureVPN 和 ExpressVPN，认为这是对 VPN 服务的错误 targeting，并敦促法国当局重新考虑他们的方法。 “将重点放在内容中立的工具如 VPN 上，而不是解决非法内容的来源，不仅无法打击盗版，还会对网络安全和隐私造成附带损害，使用户面临风险，”VTI 表示。 政府压力不断增加 关于法国全面法律提案的最新消息证实了政府行动呈上升趋势，旨在对互联网上的数据流施加更严格的控制和监控。 上周，苹果决定从英国撤下其 iCloud 端到端加密功能“高级数据保护”（ADP），此前政府秘密要求创建一个后门以访问用户数据。 瑞典提出的一项类似法律将允许执法机构访问用户在 Signal 等应用上的消息历史。然而，Signal 的总裁 Meredith Whittaker 在最近的一次采访中表示，这项法律将迫使他们将服务撤出该国。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Xlab 调查，Vo1d 恶意软件僵尸网络的新变种已感染全球 226 个国家的 1,590,299 台 Android TV 设备，将其招募为匿名代理服务器网络的一部分。 Xlab 自去年 11 月以来一直在跟踪这场新的活动，并报告称该僵尸网络在 2025 年 1 月 14 日达到峰值，目前有 800,000 台活跃的僵尸设备。 2024 年 9 月，Dr.Web 杀毒研究人员发现，通过未知感染途径，Vo1d 恶意软件已在全球 200 个国家感染了 130 万台设备。 Xlab 的最新报告表明，Vo1d 僵尸网络的新版本继续在更大规模上运作，不受之前曝光的影响。 此外，研究人员强调，该僵尸网络已进化出高级加密（RSA + 自定义 XXTEA）、具有弹性的 DGA（域名生成算法）驱动的基础设施，以及增强的隐蔽能力。 Vo1d 僵尸网络的规模令人瞩目，使用的 32 个 DGA 种子可生成超过 21,000 个 C2（命令与控制）域名。C2 通信受到 2048 位 RSA 密钥的保护，即使研究人员识别并注册了 C2 域名，也无法向僵尸设备发出命令。 截至 2025 年 2 月，近 25% 的感染设备位于巴西，其次是南非（13.6%）、印度尼西亚（10.5%）、阿根廷（5.3%）、泰国（3.4%）和中国（3.1%）。 研究人员报告称，该僵尸网络出现了显著的感染激增情况，例如在印度，感染设备数量在短短三天内从 3,900 台激增至 217,000 台。 最大的波动表明，僵尸网络运营商可能在“出租”特定区域的设备作为代理服务器，这些服务器通常用于进行进一步的非法活动或自动化攻击。 “我们推测，‘快速激增后急剧下降’的现象可能是由于 Vo1d 将其僵尸网络基础设施出租给其他团体。以下是这种‘出租-归还’周期的工作原理： 出租阶段：在出租开始时，僵尸设备从主 Vo1d 网络转移到承租人的操作中。这种转移导致 Vo1d 的感染数量突然下降，因为僵尸设备暂时从其活跃池中移除。 归还阶段：一旦出租期结束，僵尸设备重新加入 Vo1d 网络。这种重新整合导致感染数量迅速激增，因为僵尸设备在 Vo1d 的控制下再次变得活跃。 这种‘出租和归还’的循环机制可以解释 Vo1d 在特定时间点的规模波动。” Vo1d 僵尸网络是一个多用途的网络犯罪工具，将受感染设备变成代理服务器，以促进非法活动。 受感染设备为网络犯罪分子中转恶意流量，隐藏其活动来源，并融入住宅网络流量中。这还帮助威胁行为者绕过区域限制、安全过滤和其他保护措施。 Vo1d 的另一个功能是广告欺诈，通过模拟广告点击或视频平台上的观看行为来为欺诈广告商生成收入。 该恶意软件具有特定的插件，可自动化广告互动并模拟类似人类的浏览行为，以及 Mzmess SDK，该 SDK 将欺诈任务分配给不同的僵尸设备。 由于感染链仍未知，建议 Android TV 用户采取全面的安全措施来应对 Vo1d 威胁。 首先，从信誉良好的供应商和可信的经销商处购买设备，以尽量减少从工厂或运输途中预装恶意软件的可能性。 其次，安装固件和安全更新至关重要，这些更新可以关闭可能被利用进行远程感染的漏洞。 第三，用户应避免下载 Google Play 以外的第三方应用程序或承诺扩展和“解锁”功能的第三方固件镜像。 如果不需要远程访问功能，应禁用 Android TV 设备的远程访问功能，而在不使用时将其断网也是一种有效的策略。 最终，物联网设备应在网络层面与存储敏感数据的贵重设备隔离。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文