HackerNews

HackerNews 编译，转载请注明出处： 黑客“Lovely”宣称攻破康泰纳仕系统，泄露 230 万《WIRED》订阅者数据，并威胁将曝光旗下其他品牌多达 4000 万用户的信息。 据称，这批数据于 2025 年 12 月 20 日被发布在新兴黑客论坛 Breach Stars 上，附带下载链接与文件哈希值。黑客指责《WIRED》母公司康泰纳仕在收到多次安全警告后仍置之不理。 Lovely 在论坛留言中写道： “康泰纳仕根本不在乎用户数据安全。我们花了一个月时间才说服他们修复网站漏洞。接下来几周，我们会陆续泄露超过 4000 万用户的数据，敬请期待！” 起初，Lovely 假扮安全研究员，声称希望协助康泰纳仕进行负责任的漏洞披露；但随后承认已下载完整数据库并威胁公开，误导了 DataBreaches.net。 黑客声称已侵入康泰纳仕的集中式账户体系，覆盖旗下《纽约客》《WIRED》《Vogue》《GQ》等主要品牌，总计逾 4000 万用户，并扬言将分批公开这些用户的个人资料。 Hackread 报道称，泄露文件中还包含近 950 万条标记为“NIL”的记录以及若干国际小型子集，进一步佐证了“统一身份基础设施”的存在。 被泄信息包括：姓名、邮箱地址、用户 ID、显示昵称、账户创建与更新时间戳，部分记录还含最后登录时间。 数据集中既有系统生成的测试邮箱，也有真实个人邮箱，确认最早可追溯到 2011 年的真实用户账户；创建时间跨度为 2011–2022 年，登录活跃度不一。 未涉及密码或支付信息。 Hudson Rock 联合创始人 Alon Gal 通过将泄露记录与窃密木马日志比对，验证了数据真实性。 “Hudson Rock 利用窃密木马感染数据，确认这 230 万条《WIRED》记录属实。更令人担忧的是，黑客声称即将公开一份包含 4000 万行的康泰纳仕更大规模数据库，预计波及《Vogue》《纽约客》《名利场》等知名刊物。”公司官网 Infostealers 发布的报告指出。 “我们验证发现，当前数据真实且新鲜，最新条目截至 2025 年 9 月 8 日。” Gal 强调，超 10.2 万条家庭地址的泄露已带来严重风险，若更大规模数据发布，可能引发人肉搜索、报假警（swatting）以及利用康泰纳仕品牌背景实施精准鱼叉式钓鱼攻击。 目前，该数据集已被收录进“Have I Been Pwned”泄露查询库。   消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 披露了一个高危安全漏洞，可能允许未认证用户读取未初始化的堆内存。 该漏洞编号为 CVE-2025-14847（CVSS 评分：8.7），被描述为“长度参数不一致处理不当”的问题。当程序未能正确处理长度字段与实际数据长度不一致的情况时，就会触发该漏洞。 根据 CVE.org 的描述：“Zlib 压缩协议头中的长度字段不匹配，可能允许未认证客户端读取未初始化的堆内存。” 受影响的数据库版本包括： MongoDB 8.2.0 至 8.2.3 MongoDB 8.0.0 至 8.0.16 MongoDB 7.0.0 至 7.0.26 MongoDB 6.0.0 至 6.0.26 MongoDB 5.0.0 至 5.0.31 MongoDB 4.4.0 至 4.4.29 所有 MongoDB Server v4.2 版本 所有 MongoDB Server v4.0 版本 所有 MongoDB Server v3.6 版本 该问题已在以下 MongoDB 版本中得到修复： 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 MongoDB 官方表示：“攻击者可在未认证的情况下，通过客户端利用服务器的 zlib 实现，返回未初始化的堆内存。我们强烈建议尽快升级至已修复版本。” 如果无法立即更新，建议通过启动 mongod 或 mongos 时设置 networkMessageCompressors 或 net.compression.compressors 参数，显式排除 zlib 来禁用 MongoDB 服务器的 zlib 压缩。MongoDB 支持的替代压缩算法包括 snappy 和 zstd。 安全公司 OP Innovate 指出：“CVE-2025-14847 允许远程、未认证的攻击者触发 MongoDB 服务器返回其堆中的未初始化内存。这可能导致敏感内存数据泄露，包括内部状态信息、指针或其他有助于进一步攻击的数据。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 又名 Bronze Highland、Daggerfly、StormBamboo 的 Evasive Panda APT 组织自 2022 年 11 月起持续发动定向攻击，通过“中间人（AitM）+ DNS 投毒”组合手法，向土耳其、中国、印度等多国目标植入 MgBot 后门，行动至少延续至 2024 年 11 月。 攻击者将恶意程序伪装成搜狐影音、爱奇艺、IObit Smart Defrag、腾讯 QQ 等主流应用的“升级包”。当用户点击更新时，DNS 响应被篡改，域名解析指向攻击者服务器，例如 p2p.hd.sohu.com[.]cn 被解析为恶意 IP，下载到的 sohuva_update_10.2.29.1-lup-s-tp.exe 实为木马。 Securelist 分析指出，黑客先通过 DNS 投毒劫持合法更新请求，再把加密后的恶意组件存放在自己服务器，并借特定域名解析返回，加大溯源难度。 初始加载器使用单字节 XOR 解密配置，若当前用户为 SYSTEM，则复制自身并追加 ext.exe 后缀。随后解密 9556 字节 shellcode，因 .data 段默认不可执行，调用 VirtualProtect 改权限以隐蔽运行。 多阶段感染与混合加密 1. 第一段 shellcode 在安装目录寻找指定 DAT 文件，存在则调用 CryptUnprotectData 本地解密，用完即删； 2. 若无 DAT，则通过被 DNS 投毒的 dictionary[.]com（按受害者地理位置返回不同恶意 IP）下载加密数据； 3. 第二段载荷伪装成 PNG，采用 DPAPI+RC5 混合加密：RC5 密钥先被 DPAPI 加密并存放于 perf.dat 前 16 字节，剩余部分为 RC5 加密内容； 4. 次级加载器 libpython2.4.dll 借助合法签名程序 evteng.exe 进行 DLL 侧载，进一步隐蔽； 5. 最终解密出的 MgBot 被注入 svchost.exe，实现长期驻留。配置内含战役名、硬编码 C2 地址及加密密钥，部分服务器已活跃多年。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为巩固美国在人工智能领域的领先地位，美国国家标准与技术研究院（NIST）宣布投入 2000 万美元启动一项大型 AI 安全计划，用于新建两大研发中心——“美国制造业生产力 AI 经济安全中心”和“保护美国关键基础设施免受网络威胁 AI 经济安全中心”。两家机构均由非营利组织 MITRE 运营。 NIST 在 12 月 22 日的公开声明中表示，这些中心将开发必要的技术评估与进步，“有效保护美国在 AI 创新中的主导地位，应对对手利用 AI 带来的威胁，并降低对不安全 AI 依赖的风险”。该院期望借此实现应用科学与先进技术的突破，为国家最紧迫的挑战提供颠覆性创新解决方案。 美国商务部副部长保罗·达巴尔称，这笔投资将“推动美国制造业复兴”，提升制造商竞争力并吸引国内外资本。兼任商务部标准与技术代理副部长、NIST 代理院长的克雷格·伯克哈特亦指出：“与 MITRE 的新协议将聚焦提升美国企业高效生产高价值产品的能力，满足国内外市场需求，并催化新技术、新设备的发现与商业化。” 该投资是 NIST《21 世纪美国技术领先战略》的一部分，旨在加速关键与新兴技术从研发到落地的进程，并与白宫 2025 年 7 月发布的《美国人工智能行动计划》中“加速 AI 创新”和“建设美国 AI 基础设施”两大支柱相契合。 两大中心将承接 NIST 主导的一系列 AI 与安全项目，包括前身为“美国 AI 安全研究所”的“AI 标准与创新中心”（CAISI）。此外，NIST 即将公布 Manufacturing USA 项目下的“韧性制造 AI 研究院”，拟投入 7000 万美元联邦资金并撬动私人投资，强化 AI 驱动的供应链与制造韧性。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 本周三表示，在特定配置下，已观察到五年前披露的一个 FortiOS SSL VPN 安全缺陷（CVE-2020-12812）被“近期滥用”。该漏洞评分 5.2，属于认证不当：若登录时改变用户名大小写，可在启用 2FA 的情况下跳过第二因素验证。 Fortinet 早在 2020 年 7 月就解释过：当用户本地启用 2FA，且认证类型指向远程 LDAP 时，本地与远程对大小写敏感度不一致，即可触发绕过。该漏洞随后被多家威胁组织利用，美国政府也在 2021 年将其列入“边界设备被武器化漏洞”清单。 2025 年 12 月 24 日，Fortinet 更新公告，给出精确触发条件： 1. FortiGate 上存在引用 LDAP 并启用 2FA 的本地用户条目； 2. 这些用户同时是 LDAP 服务器某组成员； 3. FortiGate 配置了对应 LDAP 组，并把它用在管理、SSL 或 IPsec VPN 等认证策略中。 一旦满足，LDAP 用户即可绕过 2FA，直接走 LDAP 完成登录。原因在于 FortiGate 把用户名当大小写敏感，而 LDAP 不区分。若用户用 “Jsmith”“jSmith” 等非完全匹配的大小写形式登录，FortiGate 找不到本地条目，就会按其他策略继续匹配，最终落到 LDAP 组，凭正确密码即可成功，无视本地 2FA 或禁用状态。 Fortinet 已在 2020 年 7 月发布 6.0.10、6.2.4、6.4.1 修复。若无法升级，可为所有本地账户执行： set username-case-sensitivity disable 对于 6.0.13、6.2.10、6.4.7、7.0.1 及更高版本，应使用： set username-sensitivity disable 关闭后，FortiGate 会把所有大小写形式视为同一用户，避免回落到错误配置的 LDAP 组。进一步缓解可删除不必要的 LDAP 组，彻底阻断攻击路径。 新公告未透露攻击细节或是否得手，仅建议客户如发现管理员或 VPN 用户未经 2FA 成功登录，立即联系支持并重置全部凭据。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 区块链情报公司 TRM Labs 最新调查显示，2022 年 LastPass 数据泄露事件中被窃的加密备份文件，因部分用户主密码强度不足，至今仍在被黑客离线破解，导致加密货币资产持续失窃，最近一次盗币发生在 2025 年 10 月。 链上证据显示，俄罗斯网络犯罪集团深度参与：相关资金多次与俄罗斯关联基础设施交互，混币前后控制权一致，且持续使用高风险俄系交易所套现。TRM Labs 指出，评估结论“基于完整的链上证据链”。 2022 年，LastPass 遭重大入侵，攻击者获取大量客户加密密码库，内含加密货币私钥、助记词等敏感信息。英国信息专员办公室（ICO）本月早些时候以“未采取足够技术和安全措施”为由，对 LastPass 处以 160 万美元罚款。事发后 LastPass 曾警告，黑客可能用暴力破解手段还原主密码；TRM Labs 证实这一预言已成现实。 “任何主密码薄弱的密码库都可能被离线爆破，2022 年的一次入侵为攻击者打开了持续数年的盗窃窗口。由于用户未更换密码或加固库文件，黑客在数年后仍能破解并转走资产，最晚一批盗币发生在 2025 年底。” 资金流向凸显俄罗斯背景：混币后主要通过 Cryptomixer.io 洗白，再经 Cryptex、Audia6 两家俄系交易所套现。其中 Cryptex 已于 2024 年 9 月被美国财政部制裁，理由是其接收逾 5120 万美元勒索软件赃款。TRM Labs 目前已追踪到 3500 万美元被盗数字资产：2800 万美元在 2024 年末至 2025 年初通过 Wasabi Wallet 混币并换成比特币；另 700 万美元于 2025 年 9 月的新一轮盗币中被发现。 尽管攻击者采用 CoinJoin 混币技术，TRM Labs 仍通过聚类提款与“剥皮链”手法还原资金路径，将混合后的比特币锁定至上述两家交易所。 TRM Labs 全球政策主管 Ari Redbord 表示：“这是单一泄露演变为多年盗窃的典型案例。即便使用混币器，操作习惯、基础设施复用及套现行为仍会暴露幕后黑手。高风险俄系交易所仍是全球网络犯罪的核心出口，此案再次证明‘去混币’与生态级分析对追踪和执法至关重要。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将影响 Digiever DS-2105 Pro 网络硬盘录像机（NVR）的安全漏洞（CVE-2023-52163，CVSS 8.8）列入“已知被利用漏洞”目录，并指出已有活跃攻击证据。 该漏洞属于命令注入类，可在认证后实现远程代码执行。CISA 公告称：“Digiever DS-2105 Pro 存在缺失授权漏洞，攻击者可通过 time_tzsetup.cgi 注入命令。” Akamai 与 Fortinet 的多份报告显示，该漏洞已被用于投递 Mirai、ShadowV2 等僵尸网络。TXOne Research 安全研究员颜达伦指出，由于设备已进入生命周期终止（EoL）状态，CVE-2023-52163 及其伴随的任意文件读取漏洞（CVE-2023-52164，CVSS 5.1）均未获得官方补丁。 成功利用需先登录设备并发送特制请求。在补丁缺失的情况下，用户应避免将设备暴露于互联网，并立即修改默认口令。 CISA 同时要求联邦文职行政机构（FCEB）在 2025 年 1 月 12 日前采取缓解措施或停用该产品，以抵御持续威胁。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 官方警告 IT 管理员立即修复一个严重漏洞（CVE-2025-14847），该漏洞可被攻击者远程利用，直接执行任意代码并控制服务器。 漏洞成因在于长度参数处理不一致，无需认证、无需用户交互即可发动低复杂度攻击。受影响版本覆盖 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29，以及所有 4.2、4.0、3.6 系列。 官方给出的安全版本为：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暂时无法升级，应立即关闭 zlib 压缩功能，即在启动 mongod/mongos 时通过 networkMessageCompressors 或 net.compression.compressors 参数显式排除 zlib。 MongoDB 安全团队周五公告称：“攻击者可在无需认证的情况下，利用服务端 zlib 实现缺陷返回未初始化的堆内存。强烈建议尽快升级。” MongoDB 是全球主流的非关系型数据库，数据以 BSON（二进制 JSON）文档形式存储，客户超 6.25 万家，包括数十家《财富》500 强企业。此前，美国网络安全与基础设施安全局（CISA）曾将 MongoDB 组件 mongo-express 的远程代码执行漏洞（CVE-2019-10758）列入“已知被利用漏洞”清单，并要求联邦机构限期修复。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非洲 19 个国家的执法机构联手打击网络犯罪，取得重大胜利。在为期一个月的 Operation Sentinel中，警方于 11 月 27 日行动结束时，共逮捕 574 名嫌疑人，并成功捣毁 6 种勒索软件变种。 该行动于 10 月 27 日启动，11 月 27 日结束，重点打击三大日益猖獗的网络威胁：企业邮箱入侵诈骗（BEC）、数字勒索和勒索软件攻击。执法部门已禁用 6000 多个恶意链接，追回约 300 万美元非法资金，而此次行动调查的案件相关损失估计超过 2100 万美元。“哨兵行动” 充分展现了快速国际合作在防范重大经济损失方面的巨大成效。 典型案例 塞内加尔：一家大型石油企业遭遇精密的企业邮箱入侵诈骗，诈骗分子入侵企业内部邮件系统，伪装成高管批准了一笔 790 万美元的电汇。塞内加尔当局在数小时内冻结了收款账户，成功阻止了转账。 加纳：一家金融机构遭到勒索软件攻击，100 太字节数据被加密，约 12 万美元被盗。加纳当局通过先进的恶意软件分析，锁定了勒索软件类型，开发出解密工具，成功恢复近 30 太字节数据，并逮捕多名嫌疑人。行动还捣毁了一个横跨加纳与尼日利亚的网络诈骗团伙，该团伙通过仿冒知名快餐品牌的专业网站和移动应用，骗取 200 多名受害者共 40 万美元。加纳警方逮捕 10 名嫌疑人，缴获 100 多台电子设备，关闭 30 台诈骗服务器。 贝宁：执法部门关闭 43 个恶意域名，禁用 4318 个与勒索相关的社交媒体账户，逮捕 106 人。 喀麦隆：警方迅速阻止了一场针对汽车销售平台的钓鱼攻击，并在数小时内紧急冻结相关银行账户。 国际刑警组织网络犯罪部主任尼尔・杰顿表示：“非洲地区网络攻击的规模和复杂程度正不断升级。‘哨兵行动’体现了非洲执法部门保护民众生计与关键基础设施安全的坚定决心。” 此次行动的成功离不开行业领军企业的协作支持，包括西姆鲁团队（Team Cymru）、影子服务器基金会（The Shadowserver Foundation）、趋势科技（Trend Micro）、TRM 实验室（TRM Labs）和乌普萨拉安全公司（Uppsala Security），这些机构为追踪攻击源头和冻结非法资产提供了关键技术支持。“哨兵行动” 有 19 个国家参与，并得到英国外交、联邦和发展办公室通过非洲联合打击网络犯罪计划（AFJOC）提供的支持。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Seqrite Labs的安全研究人员发现了一场代号为Operation IconCat的网络攻击活动，攻击者利用伪装成合法安全工具的恶意文档，专门针对以色列各类机构发起攻击。 该攻击活动始于 2025 年 11 月，已致使以色列信息技术、人力资源服务及软件开发等多个行业的多家企业遭受入侵。 此次攻击的核心手段是心理诱导：攻击者伪造酷似 Check Point、SentinelOne 等知名杀毒软件厂商的文档，用户打开这些伪装文件后，会在不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。这一案例充分体现了社会工程学与复杂技术手段相结合，足以绕过传统安全防护体系。 两大攻击链路 图标猫行动包含两条独立的攻击链路，二者战术相似，但投放的恶意软件变种不同。第一条链路以 PDF 文档为传播载体，第二条则借助隐藏了程序代码的 Word 文档发起攻击。赛格瑞特的分析师通过分析 2025 年 11 月 16-17 日来自以色列的可疑文件上传记录，成功识别出这些恶意软件。 链路一：PDF 文档传播 PYTRIC 恶意软件 第一轮攻击中，攻击者使用名为help.pdf的文件，伪装成 Check Point 安全扫描器说明书。文档诱导用户从 Dropbox 下载一款名为 “安全扫描器” 的工具，该文件的解压密码为 “cloudstar”。文档中还附有看似真实的截图和详细的安全扫描操作指南。 这份 PDF 文件是传播 PYTRIC 恶意软件的入口，该恶意软件基于 Python 开发，通过 PyInstaller 打包生成可执行程序。 PYTRIC 具备远超普通恶意软件的危害能力。分析显示，它可扫描整个系统文件、检查管理员权限，并能执行删除系统数据、清除备份文件等破坏性操作。该恶意软件通过名为 “Backup2040” 的 Telegram 机器人进行通信，使攻击者能够远程控制受感染的设备，其目的不仅是窃取信息，更在于彻底销毁数据。 链路二：Word 文档传播 RUSTRIC 植入程序 第二条攻击链路流程类似，但使用了名为 RUSTRIC 的 Rust 语言植入程序。攻击者通过仿冒的以色列人力资源公司 L.M. 集团的邮箱（伪造域名 l-m.co.il）发送钓鱼邮件，邮件附件是一个被篡改的 Word 文档，文档中的隐藏宏会提取并执行最终的恶意载荷。 RUSTRIC 拥有先进的侦察能力，可检测 28 款主流杀毒软件的存在，包括 Quick Heal、CrowdStrike 和卡巴斯基等。该程序通过 Windows 管理规范（WMI）执行后，会运行系统命令识别受感染计算机，并与攻击者控制的服务器建立连接。 安全团队应将此类攻击活动列为最高优先级威胁，需立即开展调查并采取补救措施。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯洛伐克网络安全公司 ESET 发布数据显示，名为 “诺曼尼（Nomani）” 的投资诈骗活动增幅达 62%，其传播范围也已从脸书扩展至YouTube等其他社交媒体平台。 该公司透露，今年已拦截超 6.4 万个与该诈骗相关的独立恶意链接，检测到的诈骗活动主要集中在捷克、日本、斯洛伐克、西班牙和波兰等国。 诺曼尼诈骗最早于 2024 年 12 月由 ESET 首次披露，诈骗分子通过社交媒体恶意广告、仿冒企业官方帖文以及人工智能生成的视频推荐，诱导用户投资不存在的虚假项目，并以高额回报为诱饵实施诈骗。 当受害者申请提取承诺收益时，诈骗分子会以各种理由要求其支付额外费用，或提供身份证、信用卡信息等更多个人资料。与这类投资诈骗的常见套路一致，其最终目的都是造成受害者的经济损失。 更严重的是，诈骗分子还会在社交媒体上以欧洲刑警组织和国际刑警组织相关名义设下二次陷阱，谎称可协助受害者追回被骗资金，诱导受害者再次遭受财产损失。 ESET 指出，该诈骗活动近期又有显著升级，其中包括优化 AI 生成视频的逼真度，降低潜在受害者识别诈骗的概率。 该公司称：“用于诱导用户填写钓鱼表单或访问钓鱼网站的名人换脸视频，如今分辨率更高，人物动作与呼吸的不自然感大幅减少，音视频同步效果也显著提升。” 诈骗分子制作的虚假内容还常常借助热点事件或公众熟知的人物来增加可信度。例如在捷克发现的一起案例中，一篇虚假新闻称政府正通过该诈骗团伙运营的某加密货币平台进行投资并获利丰厚。 为避免恶意广告被平台系统拦截，诈骗分子仅在短时间内投放广告，通常仅持续数小时。另一关键手段是，当用户不符合定向投放条件时，会将其重定向至正常的伪装页面，而非直接跳转到外部钓鱼表单。 ESET 表示：“为进一步降低被发现的风险，诈骗分子越来越多地滥用社交媒体广告系统提供的合法工具，如用表单和问卷替代外部网页来收集受害者信息。” 研究人员还发现，钓鱼页面模板也有明显改进，代码注释中的复选框等特征表明诈骗分子很可能使用 AI 工具编写 HTML 代码。此外，托管这类投资诈骗模板的 GitHub 代码库，其开发者多为俄罗斯或乌克兰用户。 尽管诈骗手段不断翻新，但 2025 年下半年诺曼尼诈骗的检测量有所下降，这表明在执法部门加大打击力度的情况下，诈骗分子可能被迫调整作案策略。 ESET 称：“值得欣慰的是，尽管与 2024 年相比，今年的总检测量有所上升，但 2025 年下半年的检测量较上半年下降了 37%，这是一个积极信号。” 该报告发布之际，路透社的一项新调查显示，元宇宙公司去年在中国的 180 亿美元广告收入中，有 19% 来自诈骗、非法赌博、色情等违禁内容广告，这些广告由该公司在中国的广告代理合作伙伴投放，部分代理商甚至允许商家发布违禁广告。报道发布后，元宇宙公司已宣布对相关合作项目展开审查。 此前路透社的另一篇报道也曾披露，该公司曾预计 2024 年来自此类广告的收入将占其全球总收入的 10%，约 160 亿美元，其中包括诺曼尼诈骗团伙投放的广告，这一数据凸显了此类问题的严重性。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款名为MacSync的新型 macOS 窃密木马变种，该木马通过一款经过数字签名与公证的 Swift 应用传播，此应用伪装成即时通讯软件安装程序，以此绕过苹果的 Gatekeeper 安全验证机制。 “不同于早期主要依赖‘拖拽至终端’或‘一键修复’类技术的 MacSync 窃密木马变种，该样本采用了更具欺骗性、无需用户手动操作的攻击手段。”Jamf 公司安全研究员泰斯・哈夫莱尔表示。 这家苹果设备管理与安全企业指出，该最新变种以经过代码签名和公证的 Swift 应用形式，封装在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像文件中，文件托管于恶意域名zkcall[.]net/download。 由于这款应用经过签名和公证，它可以在苹果设备上运行，且不会被 Gatekeeper、XProtect 等系统内置安全工具拦截或标记。即便如此，研究人员发现该安装程序仍会显示引导用户右键打开应用的说明 —— 这是一种绕开系统安全防护的常用手段。目前苹果已吊销了该程序对应的代码签名证书。 这款基于 Swift 语言开发的释放器，在通过辅助组件下载并执行编码脚本前，会执行一系列前置检查操作，包括验证网络连接状态、设置约 3600 秒的最小执行间隔以限制运行频率、移除文件的隔离属性，以及在执行前对文件进行有效性验证。 “值得注意的是，该变种用于获取载荷的 curl 命令，与早期版本存在明显差异。” 哈夫莱尔解释道，“它没有使用常见的-fsSL参数组合，而是拆分为-fL和-sS两个参数，同时新增了--noproxy等额外选项。” “这些改动，再加上动态填充变量的使用，表明攻击者在载荷的获取与验证方式上进行了刻意调整，其目的很可能是提升攻击可靠性或规避检测。” 该攻击活动还采用了另一种规避手段：制作异常大容量的磁盘镜像文件。通过嵌入无关的 PDF 文档，将镜像文件的大小扩充至 25.5MB。 经解析，这款经 Base64 编码的恶意载荷正是 MacSync 窃密木马，它是 2025 年 4 月首次出现的 Mac.c 木马的更名版本。据 MacPaw 公司月锁实验室分析，MacSync 内置了功能完备的 Go 语言代理程序，其功能已不局限于简单的数据窃取，还可实现远程控制操作。 值得一提的是，研究人员还发现攻击者曾使用伪装成谷歌会议（Google Meet）、带代码签名的恶意磁盘镜像文件，传播奥德赛（Odyssey）等其他 macOS 窃密木马。不过就在上个月，威胁攻击者仍在通过未签名的磁盘镜像文件传播数字窃密木马（DigitStealer）。 Jamf 公司指出：“这种传播方式的转变，折射出 macOS 恶意软件领域的一个普遍趋势 —— 攻击者正越来越多地尝试将恶意程序植入经过签名和公证的可执行文件中，使其外观更接近合法应用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对中东和北非地区多国的协同性虚假网络招聘广告骗局被揭露，诈骗分子借该地区远程办公模式的持续普及伺机作恶。 这类骗局依托制作精良的社交媒体广告，以 “轻松完成简单线上任务即可赚取收入” 为诱饵，背后实则暗藏窃取钱财与个人信息的有组织诈骗活动。 国际网络安全公司 Group-IB 于今日发布调查报告，详细披露了这一诈骗活动。报告指出，诈骗分子正是利用了新冠疫情后远程办公普及所引发的用工行为转变，伺机实施诈骗。 研究中引用的一份 Rcademy 报告显示，中东地区超 60% 的劳动者如今更倾向于全职远程工作，这一趋势为诈骗行为提供了可乘之机。 此类诈骗并非零散作案，而是规模化运作。Group-IB 的研究人员发现，2025 年全年共出现 1500 余条诈骗招聘广告，其中埃及、海湾地区国家、阿尔及利亚、突尼斯、摩洛哥、伊拉克和约旦成为主要目标区域。 每一轮诈骗攻势都经过精心的本地化适配：诈骗分子使用地区方言、本地货币单位，并植入受众熟悉的品牌元素，以此提高广告可信度，增强用户参与度。 骗局运作流程 虚假招聘广告通常出现在脸书、照片墙和抖音等社交平台，且往往冒用知名电商平台、银行或政府机构的名义发布。一旦有用户作出回应，诈骗分子会迅速将沟通转移至 WhatsApp 或 Telegram 等私人即时通讯软件，并在这些平台上实施核心诈骗行为。 诈骗分子会以 “入职审核” 为借口，要求受害者提供个人信息及财务信息。在许多案例中，他们还会要求受害者缴纳押金，声称缴纳后可获取报酬更高的 “任务”。初期，诈骗分子会返还小额返利以骗取受害者信任，随后便会彻底失联。 研究显示，这些诈骗活动由有组织犯罪团伙操控。团伙在多个国家重复使用相同的诈骗脚本、品牌伪装模板、虚假网站以及 Telegram 群组架构。 这种高度协同的作案模式不仅让骗局得以快速规模化扩散，相比传统的单次诈骗行为，其追踪难度也大幅提升。 对用户及平台造成的影响 诈骗分子利用用户对知名机构的信任，以及社交媒体广告的低成本特性实施诈骗。广告宣称 “仅需几分钟完成任务，日薪可达 10 至 170 美元”，所承诺的收入水平普遍高于当地平均薪资，以此诱骗经济状况较为脆弱的群体入局。 Group-IB 警示称：“总体而言，这类骗局绝非零散广告的简单堆砌，而是一场协同运作、分步骤实施的犯罪活动，拥有统一的基础设施、重复使用的钓鱼手段以及固定的作案模式。” “防御方可通过整合广告关键词、平台传播路径、品牌冒用特征、网站识别指标及诈骗分子身份信息等多维度数据，更高效地在多国范围内追踪、拦截并瓦解此类诈骗活动。” 为防范此类威胁，该公司建议用户提高警惕，同时呼吁平台方加强安全防护措施。 个人层面，应避免向未经验证的招聘方泄露个人及财务信息；对不切实际的高薪承诺保持质疑；通过官方网站或可信招聘平台核实招聘方资质；发现可疑广告及时举报。 企业及社交平台层面，则需加强招聘类广告的审核力度，密切监测品牌或政府部门名义被冒用的情况，并开展多语言反诈宣传活动，提醒高危用户群体提高防范意识。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威科法律信息库旗下法律人工智能助手文森特，存在文档隐藏式提示注入攻击漏洞，攻击者可通过在用户浏览器生成虚假登录页面实施凭证窃取。攻击者在案件文件中植入白底白字的隐形代码，触发恶意超文本标记语言程序运行。文森特人工智能漏洞波及全球超 20 万家律所及威科法律信息库用户。 上述漏洞由 “提示防护” 公司的研究人员发现，他们已于本周一发布博客文章披露相关情况。 研究人员表示，这款专为律师打造的人工智能助手文森特，可能被黑客钻空子。黑客会在文档中植入隐藏文本，律所法务团队在不知情的情况下将文档上传至威科法律信息库平台，就会触发人工智能输出恶意超文本标记语言代码，随后该代码会在用户浏览器中加载运行。 这种间接提示注入攻击存在远程代码执行风险，最终会对毫无防备的威科法律信息库用户发起 “屏幕覆盖式” 钓鱼攻击。 屏幕覆盖式攻击是一种 “复杂攻击手段”，指在合法应用或网站界面上覆盖一层虚假界面 —— 本事件中具体表现为虚假登录页面，以此诱骗用户泄露敏感信息。 威科法律信息库官方称，这是一个综合性法律智能平台，旨在帮助法律从业者完成 “各类工作中的研究、分析及法律实务操作”。 该人工智能平台已被全球排名前十的八家律所采用。就在上月，全球领先的法律科技解决方案供应商克利欧公司以 10 亿美元的里程碑式交易收购威科法律信息库，使得使用该平台的律所、律师协会及政府机构数量突破 20 万家。 “我们已通过负责任的方式向威科法律信息库披露了这一漏洞。” 提示防护公司联合创始人兼董事总经理尚卡尔・克里希南表示，威科法律信息库 “迅速采取了有效行动，并依照我们的修复建议完成了系统更新”。 恶意弹窗可窃取登录信息 提示防护公司指出，这一新型远程代码执行漏洞可能被黑客操控，以未经授权的方式访问律所内部系统，进而可能导致大量敏感客户文件外泄。 研究人员将攻击流程拆解为 “三步攻击链”：首先通过提示注入手段，在网络来源的文档中植入 “白底白字” 的隐藏文本；随后，法务团队在案件研究过程中上传这些文档。 在本次研究案例中，隐藏文本以伪造证人证言的形式植入，且研究人员预先设定文森特人工智能需解析文档中的所有直接引语。 而当 “文森特人工智能读取文档并解析‘直接引语’—— 包括攻击者用白底白字植入的伪造证言时”，隐藏的恶意超文本标记语言代码会在受害者的浏览器中自动执行。 “当这段代码在聊天界面输出时，用户浏览器会将其当作文森特人工智能网页的一部分进行处理。” 克里希南表示，“恶意代码会加载攻击者的网站，并将其覆盖在用户的聊天界面之上。” 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库的登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 强化威科法律信息库安全防护的建议 研究还指出，文森特人工智能模型还可能被诱导输出 “存储在标记语言超链接或超文本标记语言元素中的恶意脚本程序”。 克里希南称，这一漏洞可支持攻击者通过 “零点击数据窃取” 方式盗取信息、劫持用户会话、强制用户下载文件或进行加密货币挖矿，且 “每次打开聊天界面，攻击程序都会自动运行”。 会话令牌也存在被盗风险，一旦失窃，攻击者便可 “代表用户在威科法律信息库平台执行操作”，包括访问平台内存储的数据。 配图：提示防护公司 文森特人工智能钓鱼漏洞示意图 之四 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 提示防护公司建议相关机构采取以下防护措施： 确保在威科法律信息库的 “文件集” 功能中，所有来源不可信的文档均被清晰标记； 将不可信文档的可见权限设置为 “仅授权人员可见”，而非 “全组织可见”； 明令禁止用户上传来源未经核实的网络文档。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本汽车制造商日产公司披露了一起数据泄露事件，该事件与Red Hat公司使用的自托管 GitLab 实例存在关联。威胁行为者获得了该GitLab实例的访问权限，窃取了2.1万名客户的数据。 Red Hat系统遭入侵 今年 10 月，黑客组织Crimson Collective宣称，已从Red Hat私有GitHub代码仓库中窃取了570GB的数据，其中包含2.8万个项目文件，以及约800份带有敏感网络数据的客户互动报告CER。这类报告通常包含基础设施细节、系统配置信息和各类令牌等敏感内容，攻击者可利用这些信息对客户网络发起针对性攻击。 Red Hat确认发生数据泄露，但并未证实Crimson Collective黑客组织的相关说法。 9月24日，该黑客组织在一个Telegram频道上，公布了完整的文件目录、客户互动报告清单及相关截图，以此作为入侵成功的证据。 “顺带提一句，我们还获取了部分客户的基础设施访问权限，虽然已经向他们发出警告，但他们选择无视我们。” Crimson Collective在Telegram上写道。 该文件目录中包含数千个代码仓库的相关信息，涉及多家大型银行、电信运营商、航空公司及公共部门机构，例如花旗集团、威瑞森通信、西门子、博世、摩根大通、汇丰银行、梅里克银行、澳大利亚电信、西班牙电信，甚至还提及了美国参议院。 此外，Crimson Collective还公布了其试图联系Red Hat的相关证据。 Red Hat方面表示，保护系统与数据安全是公司的首要任务，并补充称，此次事件未对公司其他服务或产品造成影响，供应链也依旧保持安全稳定。 日产数据泄露 日产此次的数据泄露，源于其一个存储着示例代码、内部通信记录及项目技术规格的GitLab实例遭到未授权访问。 日产发布的一份数据泄露通知中写道：“日产汽车株式会社收到合作方Red Hat的报告，称该公司的数据服务器遭到非法访问，数据已泄露。经后续核实，此次泄露的数据中包含日产福冈销售公司的部分客户信息。” 日产表示，从遭入侵的Red Hat GitLab实例中被盗的数据，涵盖日产福冈销售公司约2.1万名客户的个人信息，包括姓名、住址、电话号码、部分电子邮箱地址以及与销售相关的信息。 日产指出，此次事件未涉及客户财务数据，也未造成其他客户记录泄露。红帽于事件发生约一周后的 2025 年 10 月 3 日，将数据泄露情况告知日产。 “日产于10月3日收到Red Hat的报告后，立即向个人信息保护委员会进行了报备。同时，日产正直接联系那些个人信息可能已遭泄露的客户。” 截至目前，尚无证据表明泄露的数据已被不法分子滥用，但日产仍敦促客户提高警惕，留意可疑来电与邮件。 通知最后强调：“日产高度重视此次事件，未来将加强对分包商的监督力度，并进一步采取措施强化信息安全防护。对于此次事件给客户带来的不便，我们再次致以最诚挚的歉意。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 凤凰城大学披露，该校于今年夏季遭遇黑客未授权入侵系统事件，近 350 万人的信息因此泄露。 此次事件导致在校学生、往届校友、教职工及供应商的敏感个人信息与财务信息遭窃取。 凤凰城大学是一所总部位于亚利桑那州凤凰城的私立营利性院校，该校表示，此次信息泄露源于其甲骨文电子商务套件（Oracle E-Business Suite，简称 EBS）财务应用程序遭到攻击。 调查人员确认，黑客入侵行为发生在 2025 年 8 月 13 日至 22 日期间，但校方直至 11 月 21 日才检测到这一事件 —— 而在前一天，该校刚被克洛普（Clop）勒索软件团伙列入其数据泄露网站的攻击名单。 12 月初，凤凰城大学在其官网发布相关公告，其母公司凤凰教育伙伴公司则向美国证券交易委员会提交了一份 8-K 文件（上市公司重大事项报告）。 校方于本周一向缅因州总检察长办公室及受影响人员提交的通知函证实，此次事件的受害者共计3489274 人，其中包括 9131 名缅因州居民。 遭泄露的数据具体包含以下内容： 姓名及联系方式 出生日期 社保号码 银行账户号码及路由号码 凤凰城大学称，上述信息均被黑客非法访问，但同时指出，黑客获取的银行账户信息 “不具备实际使用权限”。 大规模系列攻击事件 据悉，此次攻击是克洛普勒索软件团伙发起的系列攻击的一部分。该团伙利用了甲骨文电子商务套件中一个编号为CVE-2025-61882的零日漏洞实施攻击。这一系列攻击于今年 10 月初被公开曝光，已波及多个行业的超 100 家机构。 “根据我们的数据统计，这是今年全球范围内波及人数第四多的勒索软件攻击事件。” 数据研究机构 Comparitech 的数据研究主管丽贝卡・穆迪表示。 “这一事件凸显出企业持续面临的勒索软件威胁 —— 这种威胁不仅源于针对企业自身系统的攻击，像甲骨文这类第三方平台遭遇攻击时，黑客往往能通过这一集中式入口，获取多家企业的访问权限及数据。” 尽管克洛普团伙已宣称对此次事件负责，但部分安全研究人员仍不愿将攻击方完全归咎于 FIN11 威胁组织。 经证实，同样因甲骨文电子商务套件漏洞遭攻击的美国高校还包括哈佛大学、宾夕法尼亚大学及达特茅斯学院。 值得注意的是，尽管此次事件波及范围甚广，但截至本文撰写时，攻击者虽已公布据称从其他受害者处窃取的大量文件，凤凰城大学的相关数据却未被公开泄露。 教育行业仍是攻击重灾区 凤凰城大学表示，将为受影响人员提供免费的身份信息保护服务，具体包括为期 12 个月的信用监控、身份盗用恢复协助、暗网监测，以及一份保额达 100 万美元的欺诈赔偿保险。 “我强烈建议所有受此次泄露事件影响的人员，充分利用校方提供的免费身份保护服务。” 隐私保护机构 Pixel Privacy 的消费者隐私维权专员克里斯・豪克说。 “这项服务能帮助他们及时察觉不法分子是否正利用泄露的数据实施恶意行为。” 安全领域负责人指出，此次事件暴露出高等教育行业普遍存在的系统性安全漏洞。 “这起信息泄露事件，凸显了我们在 2025 年全年观察到的一个令人担忧的趋势。” 网络安全公司 SOCRadar 的首席信息安全官恩萨尔・塞克尔解释道。 “像克洛普这样的威胁组织，持续将零日漏洞和大规模数据窃取攻击作为武器，针对大型集中式教育平台发起攻击。” 此次事件跻身 2025 年已披露的最严重教育行业信息泄露事件之列，同时也表明，高校作为海量个人及财务数据的存储库，对网络犯罪分子的吸引力有增无减。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美亚保险（Aflac）发布的最新声明显示，该公司今年 6 月发生的一起数据泄露事件，已导致超 2200 万客户的个人信息遭泄露。 这家总部位于美国佐治亚州的保险巨头于上周五发布声明，公布了针对今年年初披露的一起网络安全事件展开的、历时数月的调查结果。 美亚保险此前曾向美国证券交易委员会预警称，尽管公司在 “数小时内” 就成功阻止了黑客入侵，但部分文件仍已被网络犯罪分子窃取。 该公司重申，此次事件未受到勒索软件的影响。目前，美亚保险已着手向各州监管机构通报这起攻击事件，并向受害者发送数据泄露通知函。 得克萨斯州相关部门表示，该州超 200 万居民受此次事件波及；经统计，本次信息泄露事件的受害者总数约达2270 万人。 此次网络攻击未对美亚保险的日常运营造成影响，但被盗文件中包含其美国业务涉及的客户、受益人、员工、代理人及其他相关人员的保险索赔信息、健康数据、社保号码以及其他个人详细信息。 事发后，美亚保险已向联邦执法部门报案，并聘请网络安全专家处理此次事件。 通知函指出，相关调查已于 12 月 4 日结束，受害者可免费享受为期两年的身份信息保护服务，而该服务的注册截止日期为 2026 年 4 月 18 日。 此次数据泄露事件，发生于黑客组织 Scattered Spider针对保险业发起的一系列攻击行动期间。该组织由一群松散结盟的英语系网络犯罪分子组成，其惯用手法是伪装成信息技术人员，以此侵入大型企业网络。同期，伊利保险、费城保险公司以及斯堪尼亚金融服务公司均曾报告遭受网络攻击。 自这些攻击事件发生以来，执法部门已关停该黑客组织用于泄露数据的网站，且两名组织成员在英国被逮捕并提起诉讼。美国司法部于今年 9 月公开的一份起诉书显示，过去三年内，“分散蜘蛛” 这一网络犯罪团伙通过勒索，已从数十名受害者处榨取至少 1.15 亿美元的赎金。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 工作流自动化平台 n8n 被曝存在一处高危安全漏洞，该漏洞若被成功利用，在特定条件下可导致攻击者执行任意代码。 该漏洞编号为CVE-2025-68613，通用漏洞评分系统（CVSS）评分为 9.9 分。据 npm 平台统计数据显示，该软件包周下载量约达 5.7 万次。 该 npm 软件包维护团队指出：“在特定条件下，已完成身份验证的用户在配置工作流时提交的表达式，可能会在未与底层运行环境充分隔离的执行上下文中被解析执行。” 漏洞危害与影响范围 “已通过身份验证的攻击者可利用这一漏洞，以 n8n 进程的权限执行任意代码。漏洞一旦被成功利用，可能导致受影响的平台实例被完全攻陷，包括敏感数据遭未授权访问、工作流被篡改，以及系统级操作被恶意执行等后果。” 该漏洞影响所有版本号≥0.211.0 且≤1.120.4的 n8n 程序，目前官方已在 1.120.4、1.121.1 和 1.122.0 三个版本中完成漏洞修复。据攻击面管理平台 Censys 监测数据，截至 2025 年 12 月 22 日，全球范围内存在潜在漏洞风险的 n8n 实例多达 103476 个，其中大部分分布于美国、德国、法国、巴西及新加坡等国家。 鉴于该漏洞的高危等级，相关部门建议用户尽快为 n8n 程序安装更新补丁。若暂时无法立即完成补丁部署，建议将工作流的创建与编辑权限仅开放给可信用户，同时在权限受限的操作系统环境中部署 n8n，并限制其网络访问范围，以此降低漏洞被利用的风险。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部于本周一宣布，查获一个用于实施银行账户盗用诈骗的网络域名及相关数据库，该犯罪活动专门针对美国民众并实施诈骗。 涉案域名为web3adspanels[.]org，其功能为后端网络控制面板，用于存储和操控非法获取的银行账户登录凭据。目前，访问该网站的用户会看到查扣公告，公告显示该域名已在一场由美国与爱沙尼亚执法机构牵头的国际执法行动中被依法关停。 美国司法部指出：“该银行账户盗用诈骗团伙通过谷歌、必应等搜索引擎投放欺诈广告，这些广告模仿合法金融机构的搜索引擎赞助广告样式，以此混淆视听。” 这些欺诈广告会将毫无防备的用户重定向至由诈骗分子操控的虚假银行网站。该网站内置了一款未公开具体信息的恶意软件，专门窃取受害者输入的登录凭据。随后，犯罪分子利用这些被盗取的凭据登录合法银行网站，接管受害者账户并转走资金。 涉案规模与危害 据统计，该诈骗案目前已造成全美范围内 19 名受害者，其中包括佐治亚州北区的两家企业，未遂损失金额约达 2800 万美元，实际损失金额则高达 1460 万美元。 美国司法部表示，此次查获的域名不仅存储了数千名受害者的被盗登录凭据，其搭载的后端服务器直至上月仍在为账户盗用诈骗活动提供支持。 美国联邦调查局（FBI）公布的数据显示，自 2025 年 1 月以来，互联网犯罪投诉中心已收到超过 5100 起与银行账户盗用诈骗相关的投诉，涉案上报损失金额累计超 2.62 亿美元。 相关部门建议用户，在网络或社交媒体上分享个人信息时务必谨慎；定期检查账户是否存在异常资金交易；为各类账户设置独一无二且复杂度高的密码；登录银行网站前，务必核对网址的正确性；同时提高警惕，防范钓鱼攻击与可疑来电。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现两款名称相同、开发者一致的恶意谷歌浏览器扩展程序，这两款程序具备拦截网络流量和窃取用户凭据的功能。 这两款扩展程序对外宣传为面向开发者与外贸从业者的 “多地区网络测速插件”。截至本文撰写时，它们仍可被下载获取。两款扩展程序的具体信息如下： 幻影穿梭（ID：fbfldogmkadejddihifklefknmikncaj）：用户量 2000 人，于 2017 年 11 月 26 日发布 幻影穿梭（ID：ocpcmfmiidofonkbodpdhgddhlcmcofd）：用户量 180 人，于 2023 年 4 月 27 日发布 “用户需支付 9.9 元至 95.9 元人民币（折合 1.40 至 13.50 美元）的订阅费用，以为自己购买的是合法 VPN 服务，但这两款变体程序执行的恶意操作完全相同。”Socket 安全研究员库什・潘迪亚表示。 “在订阅服务的伪装之下，这两款扩展程序通过注入身份验证凭据实现流量的全面拦截，充当中间人代理，并持续将用户数据窃取至威胁发起者的命令与控制服务器。” 毫无防备的用户完成付款后，会获得 VIP 权限，扩展程序随即自动开启 “智能” 代理模式，将来自超 170 个目标域名的流量路由至 C2 基础设施。 技术原理与窃取手段 这两款扩展程序会按宣传内容执行基础功能，以此营造出 “产品可用” 的假象。它们会对代理服务器进行真实的延迟测试，并展示连接状态，但对其核心目的 —— 拦截网络流量、窃取用户凭据 —— 则对用户完全隐瞒。 其恶意功能的实现，是通过对扩展程序内置的两个 JavaScript 库（即 jquery-1.12.2.min.js 和 scripts.js）进行前置恶意修改。相关代码被设计为：通过监听chrome.webRequest.onAuthRequired事件，在所有网站的每次 HTTP 身份验证请求中，自动注入硬编码的代理凭据（用户名：topfany / 密码：963852wei）。 “当任意网站或服务发起 HTTP 身份验证请求（包括基本身份验证、摘要式身份验证或代理身份验证）时，该监听器会在浏览器弹出凭据输入提示框之前触发，” 潘迪亚解释道，“它会立即返回硬编码的代理凭据，整个过程对用户完全透明。异步阻塞模式可确保凭据注入的同步执行，从而避免用户进行任何手动操作。” 用户完成代理服务器身份验证后，扩展程序会利用代理自动配置（PAC）脚本修改谷歌浏览器的代理设置，实现三种运行模式： 关闭模式：禁用代理功能 全局模式：将所有网络流量路由至代理服务器 智能模式：仅将硬编码列表中 170 余个高价值域名的流量路由至代理服务器 该目标域名列表涵盖开发者平台（GitHub、Stack Overflow、Docker）、云服务提供商（亚马逊云科技、DigitalOcean、微软 Azure）、企业级解决方案供应商（思科、IBM、威睿）、社交媒体平台（脸书、照片墙、推特），以及成人内容网站。Socket 推测，将成人网站纳入目标，可能是为了对受害者实施敲诈勒索。 这一系列操作带来的最终后果是：用户的网络流量会被路由至威胁发起者控制的代理服务器，同时扩展程序会以 60 秒为间隔，向其位于phantomshuttle[.]space的 C2 服务器发送心跳包，目前该域名仍处于运行状态。这一机制让攻击者获得中间人（MitM）攻击位置，进而实现流量捕获、响应篡改和任意有效载荷注入。 更值得警惕的是，心跳数据包会通过 HTTP GET 请求，每五分钟向外部服务器传输一次 VIP 用户的电子邮箱、明文密码及程序版本号，以此实现用户凭据的持续窃取和会话监控。 Socket 指出：“心跳机制的数据窃取（涵盖凭据与元数据），再加上代理中间人攻击（实时流量捕获），让这款扩展程序在运行期间具备持续、全面的数据窃取能力。” 简言之，当用户开启 VIP 模式访问目标域名时，该扩展程序可窃取其密码、信用卡号、身份验证 Cookie、浏览历史、表单数据、应用程序编程接口（API）密钥和访问令牌。此外，开发者相关机密信息的泄露，还可能为供应链攻击埋下隐患。 攻击团伙溯源线索 目前，这一已持续八年的恶意操作的幕后黑手身份仍不明确，但多项线索指向其为中国境内的操作团伙：扩展程序的描述文本使用中文；支付环节集成了支付宝与微信支付渠道；其 C2 服务器搭建于阿里云平台。 Socket 评价称：“订阅模式既实现了受害者留存，又能产生收益；再加上整合支付功能的专业化基础设施，共同构建起‘合法产品’的虚假外衣。用户以为自己购买的是 VPN 服务，却在毫不知情的情况下，任由自身网络流量被完全操控。” 安全建议 该研究发现凸显出，浏览器扩展程序正成为企业网络中一个缺乏管控的风险点。安全研究人员建议，已安装这两款扩展程序的用户应立即卸载；企业安全团队则需采取以下防护措施：部署扩展程序白名单机制、密切监控带有订阅付费功能且具备代理权限的扩展程序、对可疑的代理身份验证尝试开展网络监测。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文