HackerNews

HackerNews 编译，转载请注明出处： 俄罗斯酒类零售连锁品牌WineLab的2000余家门店因母公司遭勒索软件攻击，已停业三天。作为俄罗斯最大酒类生产商之一的诺瓦贝夫集团（Novabev Group）旗下门店张贴告示称，关店系“技术问题”所致。 此次攻击瘫痪了诺瓦贝夫集团部分基础设施，导致WineLab收银系统及在线服务中断。公司确认攻击者索要赎金，但明确拒绝谈判。 “公司坚持拒绝与网络犯罪分子进行任何接触的立场，不会满足其要求。”诺瓦贝夫集团周三声明中表示。该公司补充称，目前尚无客户数据泄露迹象，调查仍在进行中。 攻击者身份尚未明确。尚无勒索组织宣称对事件负责，诺瓦贝夫集团也未公开归因攻击来源。该集团是俄罗斯主要烈酒生产分销商，旗下拥有白鲸（Beluga）和白伦卡亚（Belenkaya）等伏特加品牌。 据俄媒《生意人报》（Vedomosti）援引当地零售商消息，此次网络攻击已导致诺瓦贝夫集团产品发货中断至少两天。消费者报告称无法从门店或自助提货柜提取订单，客服表示将延长线上订单存储期限。 根据Yandex地图位置数据，WineLab在莫斯科、圣彼得堡及周边地区的主要门店目前处于关闭状态。诺瓦贝夫官网及移动应用仍处于离线状态。 《福布斯》俄罗斯版估算，每日停业可能造成2亿至3亿卢布（约260万至380万美元）收入损失。受访网络安全专家表示，俄罗斯大型零售连锁因网络攻击全面停运的情况“前所未见”。 诺瓦贝夫集团称，其内部IT团队正与外聘专家全天候协作恢复系统，并加强防御以应对未来威胁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件组织Stormous宣称窃取了亚利桑那州北部医疗提供商North Country HealthCare的60万名患者数据。 非营利机构North Country HealthCare是联邦认证的医疗中心（FQHC），在亚利桑那州北部11个社区运营14个站点，提供全年龄段基础医疗服务，包括家庭医学、儿科、产前护理、行为健康、牙科、远程医疗及物理治疗等。该机构接受多数保险计划，并为无保险患者提供基于收入的浮动折扣。 2025年7月13日，Stormous在其数据泄露网站列出North Country HealthCare，宣称窃取了60万名患者的敏感信息，包括： 完整的个人身份信息（PII）与医疗健康数据（PHI） 诊断代码（ICD）、诊所数据及医疗服务商详情 具体涵盖姓名、出生日期、性别、电话号码、诊所名称、就诊日期/地点、保险公司、ICD诊断代码及病情描述。该组织声称将出售其中10万患者的数据，并免费公开剩余50万条记录。 HIPAA Journal报道称：“Stormous宣称已获得患者数据，并于7月15日公开了文件。” Stormous是亲俄勒索团伙，自2022年初活跃，采用双重勒索模式（窃取数据+加密文件）。该组织至少攻击过150家机构，重点针对医疗、酒店、科技、商业服务及政府领域，受害者主要分布在西班牙、美国、阿联酋、法国和巴西。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子已被发现采用AI驱动的伪装工具，以绕过传统安全措施，并隐藏其钓鱼网站和恶意软件站点，使其难以被检测。 SlashNext的最新研究显示，诸如Hoax Tech和JS Click Cloaker等平台正在提供“伪装即服务”（CaaS），使威胁行为者能够将恶意内容隐藏在看似无害的网站背后。 这些工具利用先进的指纹识别、机器学习和行为定向技术，选择性地仅向真实用户展示诈骗页面，同时向自动化扫描程序提供安全内容。 “我认为这是技术和工具被恶意使用的明显例子，”Apollo Information Systems的首席信息安全官（CISO）安迪·贝内特（Andy Bennett）表示。“就像威胁行为者使用加密一样，他们采用这种原本旨在帮助机会主义营销人员的技术，并将其用于针对特定受害者或逃避检测，这并不令人惊讶。” 这种被称为“伪装”的技术并非新事物，但其对AI的应用代表了一次重大演进。Hoax Tech利用基于指纹的分析和自学习AI引擎，实时分析数百个访问者数据点。可疑流量会被重定向到无害页面，而真实用户则会看到预设的诈骗内容。 复杂的伪装服务商业化 JS Click Cloaker提供类似功能，通过评估每次点击的900多项特征来判断访问的合法性。尽管自称是基于JavaScript的工具，但据报道它避免依赖JavaScript，以应对Google等搜索引擎的检测。 两项服务都宣传提供诸如A/B测试、地理过滤和实时重定向等功能。 “这项研究揭示了网络威胁格局的关键性演进，”Qualys的安全研究经理马尤雷什·丹尼（Mayuresh Dani）先生表示。“像Hoax Tech和JS Click Cloaker这样的平台暴露了威胁行为者能力的显著升级。” 为了应对这些系统，丹尼建议： 实施行为和运行时分析工具 使用多视角和差异扫描 投资于自适应的、AI驱动的防御技术 在网络中全面采用零信任框架 制定针对基于AI威胁的事件响应计划 贝内特警告说，其风险远不止于逃避检测。“利用AI来区分一个检查电子邮件链接是否恶意的工具，和一个因为未检测到恶意活动而通过邮件过滤器、点击了链接的真实用户，这无疑是更高级别的操作，”贝内特说。他补充道，攻击者可能会越来越多地实时为每位访问者个性化定制内容，这进一步增加了检测难度。 安全专家敦促采取更广泛的防御措施 Bugcrowd的CISO特雷·福特（Trey Ford）指出了一些历史相似之处。“这是一个由来已久的问题。二十年前，攻击者使用FastFlux DNS来分析目标的风险并进行漏洞测绘——如今AI驱动的伪装服务就是该能力的现代化版本，”福特解释说。“检测与响应的军备竞赛不能只依赖单一的工具或层面。端点补丁管理、系统加固和浏览器保护仍然是关键的控制和监测点。” 随着伪装技术的演进，安全团队面临着日益增长的压力去适应。没有多层、行为感知的防御措施，恶意网站可能会继续逃避检测，毫无阻碍地触达用户。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软强调了Scattered Spider攻击组织不断演变的战术，并确认已观察到该组织使用新的手法来获取云环境访问权限。 通常，该被微软追踪为Octo Tempest的组织会利用云身份权限来获取本地访问权。但微软表示，最近的攻击活动在入侵初始阶段就涉及同时针对本地账户和基础设施，之后才转向云访问。该组织还被观察到部署DragonForce勒索软件。这家科技巨头的分析报告强调，此次勒索软件部署特别针对VMWare ESX虚拟机管理程序环境。 该组织继续使用激进的社工手段（如操控服务台支持人员）来获取初始访问权限，还部署了利用模仿合法组织的中间人(AiTM)域名的短信钓鱼(SMS) 攻击。 最近，该组织一直在积极针对航空公司实施勒索软件和数据勒索攻击。在2025年4月至7月间，其活动还针对了零售、餐饮服务、酒店组织和保险行业。 微软表示，随着Scattered Spider战术的不断演变，其安全产品将持续更新防护措施。 该公司特别强调了其Microsoft Defender和Microsoft Sentinel安全生态系统。 微软列举了Microsoft Defender中的广泛检测功能，可用于识别与Scattered Spider相关的活动。这些功能覆盖其安全组合的各个方面，包括端点、身份、软件即服务(SaaS)应用、电子邮件与协作工具、云工作负载等，以提供全面的防护覆盖。 攻击可通过利用Microsoft Defender内置的自防御能力（攻击中断）来阻断。攻击中断利用多个指标和行为，并在Microsoft Defender的各工作负载中将其关联为一个高保真事件。 微软表示，基于以往对常见Octo Tempest技术的研究，攻击中断将自动禁用Octo Tempest所使用的用户账户，并撤销该受损用户所有现有活跃会话。 然而，安全运营中心(SOC)团队仍需进行事件响应和事后分析，以确保在成功中断攻击后，威胁被完全遏制和清除。 微软强调了安全团队可通过其安全暴露管理(Security Exposure Management)解决方案采用的若干主动防护战术，以应对Scattered Spider。若部署得当，主动防御战术可以减少暴露面并减轻攻击者混合攻击战术的影响。这些战术包括关键资产防护、威胁行为者计划和攻击路径分析。 微软建议组织应通过（包括但不限于）多重身份验证(MFA)、基于风险的登录策略、用户和设备的最小特权访问等措施，来增强其身份、端点和云安全防护。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊旗下Whole Foods（全食超市）的主要供应商——联合天然食品公司（United Natural Foods, Inc.，NYSE：UNFI）表示，2025年6月发生的导致业务运营中断的网络攻击，预计将使2025财年净销售额减少约3.5亿至4亿美元。 这家总部位于罗得岛州的天然食品巨头在周三的更新公告中表示，“预期保险赔款”将大幅抵消这些损失。该公司在7月16日的业务更新中称：“公司预估此次网络事件将使2025财年净销售额减少约3.5亿至4亿美元，净亏损扩大5000万至6000万美元（含预估税费影响），调整后EBITDA（息税折旧摊销前利润）减少约4000万至5000万美元。这些预估数据未反映预期保险赔款的收益，公司预计相关赔款足以覆盖事件损失。除保险理赔外，公司目前预计该事件不会对2025财年第四季度之后产生显著的运营或财务影响。” 该公司曾于6月9日向美国证券交易委员会（SEC）提交文件披露，其于6月5日检测到部分IT系统存在未经授权的活动。为应对入侵，公司关闭了部分系统，导致其履行和配送客户订单的能力受到影响。 UNFI自称是北美最大的全服务杂货供应商，为超过3万个地点配送商品，包括天然产品大型超市、传统连锁超市、电商平台和独立零售商。公司年收入超300亿美元，通过50多个配送中心提供逾25万种天然、有机及传统商品。 UNFI首席执行官桑迪·道格拉斯（Sandy Douglas）表示：“在共渡这段充满挑战的时期期间，我们感谢客户、供应商和员工的抗压能力与配合度。随着运营逐步恢复常态，我们继续专注于为客户和供应商创造附加值，努力成为更高效、更具协作价值的合作伙伴。” 公司更新了全年业绩展望，以反映其在2025财年前三季度的强劲表现，以及6月网络事件相关的预估成本和费用。公告未就该事件提供更多细节，亦未说明攻击是否涉及勒索软件。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商Co-op已确认，在4月的大规模网络攻击中，其650万会员的个人数据被盗。此次攻击导致系统关闭，并造成其杂货店出现食品短缺。 Co-op（Co-operative Group的简称）是英国最大的消费者合作社之一，经营食品商店、殡葬服务、保险和法律服务。它由数百万会员共同拥有，会员可享受服务折扣并参与公司治理。 Co-op首席执行官Shirine Khoury-Haq今日在BBC《早餐》节目中致歉，证实攻击者成功窃取了其全部650万会员的数据。 “他们的数据被复制了，犯罪分子确实能够访问这些数据，就像他们入侵其他组织时一样。这无疑是事件中最恶劣的部分。”Khoury-Haq表示。 尽管攻击中未泄露财务或交易信息，但会员的联系信息已被盗取。首席执行官称，此次泄露对她个人而言更像是一场针对Co-op会员和受影响员工的攻击。“这与我个人无关，而是关乎我的同事们。之所以对我而言是个人打击，是因为它伤害了他们——伤害了我的会员。他们窃取了会员数据，也伤害了我们的顾客，这点我确实感同身受。”她在采访中解释道。 此次网络攻击发生于4月，迫使Co-op关闭了多个IT系统，以防止威胁行为者进一步扩散到其他设备并最终部署DragonForce勒索软件加密器。该公司最初将此事件轻描淡写为对其网络的未遂入侵，但后来承认攻击期间“大量”数据被访问和窃取。 消息人士当时向BleepingComputer透露，入侵最初发生在4月22日，攻击者通过社会工程攻击重置了某员工的密码。获得网络访问权限后，他们扩散到其他设备，最终窃取了Windows域的Windows NTDS.dit文件。该文件是Windows Active Directory服务的数据库，包含Windows账户的密码哈希值。攻击者通常通过窃取此文件脱机破解密码，以便进一步渗透网络。 BleepingComputer获悉，此次攻击与Scattered Spider相关威胁行为者有关联，该组织亦被指涉及玛莎百货（M&S）网络攻击事件（该事件中部署了DragonForce勒索软件）。BBC报道称，他们曾与DragonForce勒索软件运营者就Co-op事件对话，对方确认其一名附属成员策划了此次攻击。他们还向BBC分享了数据样本，声称攻击中窃取了Co-op的企业和客户数据。 上周，英国国家犯罪调查局（NCA）逮捕了四名涉嫌参与针对Co-op、玛莎百货的攻击及未遂哈罗德百货（Harrods）攻击的人员。被捕者为两名19岁男性、一名17岁男性和一名20岁女性，他们已在伦敦和西米德兰兹郡被拘留。据报道，其中一名嫌疑人被指与2023年美高梅度假村（MGM Resorts）遭袭事件有关，该事件导致逾100台VMware ESXi虚拟机被加密。美高梅攻击事件同样归因于Scattered Spider，当时该组织正与BlackCat勒索软件团伙合作。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 泰国警方于周二突袭了七处据称与柬埔寨知名参议员兼大亨高安（Kok An）有关的房产，此人被指控参与网络诈骗产业。这些突袭行动是针对这位与政界关系密切商人的最新举措，而泰柬两国因边境争端引发的外交纠纷正持续加深，并已导致泰国总理贝东丹·西那瓦（Paetongtarn Shinawatra）遭停职。 据《曼谷邮报》报道，警方突袭了沙缴府（Sa Kaeo）的两处房屋，其所有者是两名女子。当局称，这两人协助管理位于柬埔寨边境城市波贝（Poipet）的一栋高层诈骗园区。当局指控该园区由高安的一个女儿朱瑞·克隆基乍恭（Juree Khlongkijjakol）运营。 警方还突袭了据称与朱瑞有关的两处曼谷办公室和一处住宅，以及其姐妹普·车林（Phu Chelin）的一处办公室和住所。周一，警方以涉嫌参与跨国犯罪为由，对高安的女儿们及其儿子基蒂萨克（Kittisak）发出了逮捕令。 警方已于7月初对高安发出了逮捕令——他是波贝一系列物业（包括皇冠赌场度假村）的所有者——并宣布将要求国际刑警组织对其发出红色通缉令。据《曼谷邮报》报道，7月8日，泰国警方突袭了据称与高安诈骗网络有关的19处房产，并查获了价值超过3380万美元的资产。 自5月底两国因争议边境地区局势升级以来，泰国政府加大了对柬埔寨网络诈骗产业的批评力度，并以保护国家免受跨国犯罪侵害为由关闭了边境。 周日，柬埔寨参议院主席兼前首相洪森（Hun Sen）对这些指控进行了反击。他在社交媒体上表示：“我敦促泰国政客停止毫无根据地指责柬埔寨，同时对自己国家已成为诈骗集团、毒贩和洗钱网络庇护所的事实视而不见。” 国际特赦组织（Amnesty International）近期发布了一份关于柬埔寨诈骗问题的严厉报告，确认该国境内有50多个此类园区在运作，并采访了被贩运至园区内被迫实施诈骗的幸存者。与执政的柬埔寨人民党（Cambodian People’s Party）关系密切的商界重量级人物被牵涉其中，包括一名柬埔寨首相顾问，此人因涉及侵犯人权行为已于去年9月遭到美国财政部制裁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 入侵企业网络的黑客可以将管理员的生物识别数据替换为自己的面部信息，从而解锁敏感的Windows系统。研究人员警告称，面部识别模板所受到的安全保护，比它们要解锁的系统更为薄弱。 ERNW研究人员声称，Windows Hello企业版（该系统通过面部识别或其他生物特征验证用户身份）存在固有的架构缺陷。黑客能够操纵并替换Windows中存储的生物识别模板，随后用自己的面部解锁本应由这些模板保护的系统与数据。 攻击者需先获得已入侵到组织内部网络（通常连接到公司域）计算机的访问权限，同时还需将自身权限提升至本地管理员级别。满足这些条件后，攻击者即可篡改Windows Hello用于用户登录时识别人脸的生物识别模板。 黑客可借此阻止合法用户访问系统，或进行“换脸”操作——用自己的面部登录IT人员甚至域管理员的账户。 研究人员在insinuator.net的博客文章中解释：“此架构存在一些挑战。首先，生物特征识别与身份验证之间仅有松散的耦合关系。此外，系统在任何环节均未引入外部熵来生成加密密钥。” 尽管Windows对生物识别模板进行了加密，但解密所需的所有信息都存储在计算机本地。研究人员声称：“拥有管理员权限的攻击者可解密此文件头，访问其中存储的所有信息，并加以篡改。” 这也意味着，能物理接触机器的攻击者可能解锁敏感数据（如电子邮件、文件和内部系统）。黑客可滥用此权限在网络中横向移动，攻击其他计算机。 该威胁并非理论假设：研究人员已发布概念验证，仅依赖Windows内置工具即可实现攻击，以此证明攻击的简易性。“两名用户已注册Windows Hello企业版。其中至少一名是域用户，另一名是本地管理员，”报告描述道，“我们的概念验证程序交换了各自WINBIO_IDENTITY结构中的安全标识符。现在，本地管理员的面部可解锁域用户账户，反之亦然。” 研究人员已向微软报告此漏洞，但他们预计这家科技巨头不会修复问题，因为“过去类似问题均未解决”，且修复“需要对系统架构进行大规模重构”。 为何攻击者能解锁Windows生物识别模板并实施“换脸”？ Windows将生物识别数据存储在包含三部分的数据库中：通过CryptProtectData加密的文件头（内含生物识别模板密钥）、未加密的文件头版本信息，以及加密的模板本体。 虽然CryptProtectData使用用户密码生成密钥，但Windows生物识别服务以系统账户NT AUTHORITY\SYSTEM运行，这意味着派生密钥所需数据均存储于系统本地。拥有管理员权限的攻击者可解密数据库，访问并篡改其中所有信息。 研究人员指出，防范此类“换脸”攻击的唯一解决方案是“将用户的生物特征用作熵源”，但这需要对系统进行彻底重构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 你是否曾在工作时点击过钓鱼链接？如果有，那么你可能会犯下更多网络安全错误，而你的雇主应当采取“正确干预措施”。最新数据显示，仅一小部分员工造成了绝大多数的网络安全风险行为。 根据人力风险管理平台Living Security的报告，仅10%的员工将导致近四分之三（73%）的网络安全风险。该公司的数据来源于100多家企业和数亿用户事件。 Living Security首席执行官兼联合创始人阿什利·罗斯（Ashley Rose）在新闻稿中表示：“安全团队始终清楚人为因素在安全漏洞中的关键作用，但过去缺乏采取行动的可视化依据。网络安全已不仅是技术问题，更是行为问题。”世界经济论坛此前估计，95%的网络安全问题可追溯至人为失误。 Living Security详细说明，采用“正确干预措施”的企业可将高风险用户数量减少50%，并将高风险行为的持续时间缩短60%。该公司将其平台定位为风险评估和针对性培训工具，聚焦于教育与行为改进。报告中指出：“显然，2025年保护企业的关键在于管理人而不仅是系统。”建议通过数据驱动的行动计划来削减高风险用户群体。 关键发现： 极少数员工（超过1%）触发了其所在组织的大部分安全警报，这意味着不存在“通过改造或解雇单个人就能解决”人为风险问题的可能。 10%的员工将导致： 超过75%的数据丢失事件 超过65%的恶意软件威胁 超过50%的钓鱼邮件、身份验证及访问相关事件 由Cyentia Institute进行的该研究还发现，与普遍认知相反，远程和兼职员工的实际风险低于办公室员工。报告指出：“承包商和远程员工常被视为安全隐患，但其实际风险低于整体平均水平（灰色菱形标识）。就承包商而言，他们更警惕的表现可能源于诸如强制要求所有访问启用多因素认证（MFA），以及必须完成培训以维持有效状态等政策。”此外，五分之四的员工实际上对风险防控的贡献大于其引发的风险。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fitify公开可访问的谷歌云存储桶暴露了数十万个文件。其中部分文件是用户上传的进度照片，用于追踪身体随时间的变化。在Cybernews联系该公司后，未受保护的实例被关闭。 5月初，Cybernews研究团队发现了一个Fitify拥有且公开可访问的谷歌云存储桶。虽然该未受保护实例中暴露的大部分文件是锻炼计划和指导视频，但研究人员也注意到用户与应用的“AI教练”分享的照片以及他们的身体扫描图。 该应用的目标用户是希望减肥、塑形或以其他方式改善体态的人群。身体扫描允许用户根据健身计划锻炼或节食后追踪身体随时间的变化。Fitify在Google应用商店的描述中明确声明“数据在传输中加密”，向用户保证他们的私人照片不会被泄露。 然而，Cybernews团队或任何其他人，无需任何密码或安全密钥即可访问该云存储。 “值得注意的是，‘进度照片’和‘身体扫描’通常穿着较少的衣物拍摄，以便更好地展示减肥和增肌的进展。因此，大多数泄露的图像可能是用户通常希望保持私密、不与互联网上任何人分享的类型。”研究团队表示。 Fitify Workouts（该应用背后的公司）在收到Cybernews研究人员的联系后作出回应，关闭了暴露的实例，将其从公开访问中移除。 Fitify数据泄露的范围有多大？ 现已关闭的谷歌云存储桶总共包含37.3万个文件。其中20.6万是用户个人资料照片，另有13.8万被标记为进度照片。1.3万个文件是通过应用AI教练消息附件共享的，还有6000个被标记为“身体扫描”数据，包括图片和AI元数据。 身体扫描功能允许用户进行身体的3D扫描，应用会提供其瘦体重、体脂、姿势及其他他们可能希望改善或追踪方面的详细分析。 “此次泄露表明，应用实施的数据访问控制不足以保护用户数据，而该数据无需任何密码或密钥即可被访问的事实，证明用户数据在静态时未加密。”研究团队解释道。 在发现暴露的实例后，研究人员交叉核对了Fitify的名称是否包含在他们用来调查苹果应用商店应用实际安全性的随机选取数据集中。 Cybernews研究人员下载了15.6万个iOS应用（约占苹果应用商店所有应用的8%），发现开发者经常在应用代码中留下任何人都可访问的明文凭证。 调查结果显示，71%的被分析应用至少泄露一个机密凭证，平均每个应用代码暴露5.2个机密凭证。事实证明，Fitify也不例外。 “在调查了暴露的凭证后，我们发现了可能用于访问更多客户数据和应用后端基础设施的凭证。”该团队解释道。 “这也表明，配置错误的云存储桶访问控制并非应用开发者的唯一失误，因为许多API密钥和敏感端点位置也被硬编码在应用前端中。” Fitify应用暴露了哪些硬编码机密凭证？ 开发者硬编码机密凭证有多种原因。虽然有时是应用正常运行所必需的，但某些凭证和密钥不应保持可访问状态，因为它们会让攻击者深入应用内部，并可能访问私人用户数据。 研究团队注意到开发环境和生产环境之间存在不同类型的机密凭证。Fitify的开发环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) 攻击者可以利用ID和密钥访问谷歌和Firebase基础设施组件，收集信息，然后深入挖掘应用，可能获取敏感用户数据。 例如，暴露谷歌客户端ID和安卓客户端ID可能使恶意行为者能够冒充合法的应用实例，从而可能获得用户账户的访问权限。同时，存储桶可能使攻击者能够注入恶意文件或修改现有内容。 与此同时，Fitify的生产环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) Facebook应用ID (Facebook App ID) Facebook客户端令牌 (Facebook Client Token) Firebase动态自定义域名 (Firebase Dynamic Custom Domains) Algolia API密钥 (Algolia API Key) 结合先前泄露的信息，硬编码的凭证可能使攻击者能够通过Fitify访问用户的社交媒体数据。与谷歌凭证结合使用，这为影响健身数据和社交媒体档案的多种攻击场景创造了多个攻击途径。 该团队声称，虽然Fitify在解释他们使用的第三方供应商及其用途方面比大多数应用做得更好，但其隐私政策并未提及使用Algolia。 “Algolia仅以软件即服务（SaaS）模式提供，没有自托管选项，这意味着数据库中的数据由Algolia或其第三方供应商托管。”研究人员表示。 如何修复易泄露的应用？ 我们的研究人员认为，要有效缓解此问题，最好分别处理暴露的实例和硬编码的凭证。为了解决云存储桶相关问题，团队建议： 配置云存储桶内置的身份验证功能，将访问权限限制在仅限应访问存储数据的员工和系统。 同时，为防止应用机密凭证落入错误的人手中，团队建议采取以下措施： 泄露的凭证需要撤销，新凭证应在公司控制的服务器内安全地生成和存储，需要对暴露端点的访问控制设置进行审查，并建议执行审计以确定这些漏洞和错误配置是否已被恶意行为者利用。应用需要更新以兼容新的、更安全的基础设施。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由欧洲刑警组织和欧洲司法组织协调的一项国际行动，打击了名为 “NoName057(16)” 的亲俄网络犯罪团伙。这项名为 “Eastwood” 的行动，捣毁了由全球 100 多个计算机系统组成的攻击基础设施，该团伙的主要服务器基础设施也被下线。 行动于 2025 年 7 月 14 日至 17 日期间开展。此次行动的成果还包括在法国和西班牙实施逮捕，签发 7 份逮捕令，进行 24 次住宅搜查，讯问 13 人。另有 5 人被列入欧盟 “头号通缉犯” 名单。 其中两名居住在俄罗斯联邦的人员被指控为 “NoName057(16)” 活动的主要煽动者。德国当局已对这两人及另外四人签发逮捕令。 行动期间，欧洲刑警组织在其总部设立了协调中心，有法国、德国、西班牙、荷兰和欧洲司法组织的代表参与，并启用虚拟指挥站，将其他参与国与协调中心相连。 欧洲司法组织则协助有关部门协调司法活动，并在行动日期间规划各自的措施。 “NoName057(16)” 的参与者主要是讲俄语的支持者，他们使用自动化工具实施分布式拒绝服务（DDoS）攻击。 欧洲刑警组织称，该团伙没有正式的领导架构，技术水平也不高，其行动动机源于意识形态和报酬。该团伙与多起 DDoS 攻击有关联，还构建了自己的僵尸网络，由数百台服务器组成，能够增强攻击强度。 欧洲刑警组织表示，该团伙估计有 4000 名支持者，这些人通过亲俄渠道、论坛以及社交媒体和即时通讯应用上的小众聊天群组招募而来。 该团伙还通过这些渠道分享行动信息、教程和最新动态。像 “DDoSia” 这样的平台被用来简化技术流程并提供指导，让新成员能快速投入行动。 “NoName057(16)” 的攻击者以加密货币获取报酬，志愿者还会收到类似游戏的参与通知，比如排行榜、定期点名和徽章等。 欧洲刑警组织称，这种游戏化的操控手段常针对年轻违法者，其背后的叙事 —— 如保卫俄罗斯或报复政治事件 —— 进一步强化了这种情感驱动。 该网络犯罪团伙最初主要以乌克兰为攻击目标。但欧洲刑警组织指出，他们后来也开始攻击那些在俄乌冲突中支持乌克兰的国家。 2023 年至 2024 年，该犯罪团伙参与了对瑞典当局和银行网站的攻击。 自 2023 年 11 月欧洲刑警组织启动调查以来，德国遭遇了 14 波攻击，波及 250 多家企业和机构。 2023 年 6 月，乌克兰向瑞士联合议会发表视频讲话期间，以及 2024 年 6 月在比尔根山举行乌克兰和平峰会期间，瑞士都遭到了多起来自该团伙的攻击。 荷兰当局也证实，2025 年 6 月在荷兰举行的北约峰会期间，发生了一起与该网络有关的攻击。这些攻击均被成功化解，未造成重大中断。 2025 年 7 月的这次行动，有捷克、法国、德国、意大利、立陶宛、波兰、西班牙、瑞典、瑞士、荷兰和美国的执法及司法部门参与。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 安全研究人员近日发现针对香港金融机构的新型恶意软件攻击浪潮，其核心是名为 SquidLoader 的加载器。该隐蔽加载器会部署 Cobalt Strike Beacon，并拥有先进的抗分析策略。 Trellix 的安全研究人员在周一发布的最新报告中指出，该恶意软件被发现能规避几乎所有检测手段，对目标受害者构成极大威胁。 高度规避的多阶段攻击链 SquidLoader 攻击活动始于鱼叉式钓鱼邮件。这些用普通话编写的邮件冒充金融机构，内含伪装成发票的带密码保护的 RAR 压缩包。 用户打开压缩包后，会发现一个伪装成 Microsoft Word 文档的恶意 PE 二进制文件。该文件在视觉上具有欺骗性，同时模仿合法的 “AMDRSServ.exe” 程序以增强社会工程效果。 一旦被执行，SquidLoader 便会嵌入系统并启动多阶段感染过程： 自我解包以解密其内部负载 通过混淆代码动态解析关键的 Windows API 初始化一个基于堆栈的自定义结构来存储操作数据 执行各种规避例程，旨在绕过沙箱、调试器和防病毒工具 联系远程命令控制 (C2) 服务器并下载 Cobalt Strike Beacon 广泛的抗分析与规避特性 SquidLoader 的一个显著特点是其广泛的抗分析策略。它利用环境检查、字符串混淆、控制流混淆和未公开的 Windows 系统调用来隐藏自身。如果检测到任何已知的分析工具或防病毒进程（包括 “windbg.exe”、“ida64.exe” 和 “MsMpEng.exe”），该恶意软件会自行终止。 为了绕过模拟器和自动化沙箱，SquidLoader 启动具有长时间睡眠的线程，并采用异步过程调用来监控异常行为。如果任何检查失败或系统显示调试迹象，恶意软件将退出。 另一种策略是显示一条中文假错误信息：“文件损坏无法打开”，这需要用户交互，进一步阻碍自动化分析。 通过这些检查后，SquidLoader 会使用模仿 Kubernetes 服务路径的 URL 联系 C2 服务器，可能是为了混入正常的企业流量中。随后，它会收集并传输主机数据，包括用户名、IP 地址、操作系统版本和管理员状态。 最后，它从一个次级 IP 地址下载 Cobalt Strike Beacon，为攻击者提供持久的远程访问权限。 该攻击活动在地域上集中于香港的机构。然而，类似样本表明相关攻击可能也在新加坡和澳大利亚进行。 为防御诸如 SquidLoader 等威胁，组织应考虑加强电子邮件过滤、端点监控和行为分析能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发出警告，一种名为Matanbuchus的知名恶意软件加载器出现新变种，其新增多项功能显著增强隐蔽性以规避检测。 Matanbuchus是一种恶意软件即服务（MaaS），可作为传递后续攻击载荷的渠道，包括Cobalt Strike信标和勒索软件。该恶意软件自2021年2月起在俄语网络犯罪论坛以2500美元租用价格公开推广，曾被用于类似ClickFix的诱导攻击——通过诱骗用户访问遭入侵的合法网站触发恶意行为。 该加载器的独特之处在于其传播方式：通常不通过垃圾邮件或路过式下载扩散，而是采用直接交互式社会工程学手段，由攻击者直接欺骗用户执行。某些情况下，它被初始访问经纪人用于向勒索团伙出售企业网络入口，这种针对性部署使其比普通商业化加载器更具威胁。 据Morphisec分析，新版加载器（追踪为Matanbuchus 3.0）具备多项新特性： 改进的通信协议技术 内存操作能力增强 混淆技术升级 支持CMD与PowerShell反向Shell 可运行DLL、EXE及Shellcode等后续载荷 本月初观察到一起攻击案例：某企业员工收到伪装成IT服务台的微软Teams外部通话，攻击者诱骗其启动Quick Assist获取远程访问权限，最终通过PowerShell脚本部署Matanbuchus。值得注意的是，类似社工手段曾被Black Basta勒索组织使用。 “受害者被精准定位并诱骗执行脚本，该脚本触发下载含恶意载荷的压缩包”Morphisec首席技术官Michael Gorelik解释，“压缩包内包含重命名的Notepad++更新程序(GUP)、篡改的XML配置文件及用于侧加载的Matanbuchus恶意DLL”。 Matanbuchus 3.0当前公开租用价格为：HTTPS版本每月1万美元，DNS版本每月1.5万美元。恶意软件启动后执行以下操作： 收集系统信息并扫描运行进程以识别安全工具 检测进程权限状态（是否以管理员身份运行） 将信息发送至C2服务器获取MSI安装包或可执行文件等后续载荷 通过创建计划任务实现持久化驻留 “开发者采用高阶技术实现任务调度：通过COM组件交互注入Shellcode”Gorelik进一步说明，“该Shellcode实现了基础的API解析（字符串比对）及操纵ITaskService的复杂COM执行流程”。 C2服务器还可远程触发加载器功能以： 收集所有运行中的进程和服务列表 获取已安装应用程序清单 “Matanbuchus 3.0已进化为高度复杂的威胁”Gorelik总结道，“新版具备先进的通信协议、内存隐身技术、强化混淆能力，并支持WQL查询及CMD/PowerShell反向Shell。其通过regsvr32、rundll32、msiexec或进程镂空执行命令的多功能特性，大幅提升被入侵系统的风险等级”。 随着恶意软件即服务模式的演进，Matanbuchus 3.0体现了当前加载器的发展趋势：优先采用无文件攻击（LOLBins）、COM对象劫持和PowerShell分阶段加载等隐身技术规避检测。威胁研究人员正加紧将这些加载器纳入攻击面管理策略，并追踪其通过Microsoft Teams、Zoom等企业协作工具实施的滥用行为。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州债务清偿公司Next Level Finance Partners（以Century Support Services名义运营）披露了一起影响大量用户的数据泄露事件。 该公司已开始向受影响个人发送数据安全事件通知，告知其系统在2024年11月遭到黑客入侵。事件响应调查于5月下旬确认，黑客可能访问或窃取了存储个人信息的文件。 泄露信息包括：姓名、社会安全号码、出生日期、驾照号码、州身份证号码、护照号码、医疗及健康保险信息，以及金融账户信息与数字签名。 Century Support Services本周向缅因州总检察长办公室报告称，此次数据泄露影响逾16万人。根据公司官网信息，其累计服务客户近30万。 受影响个人将获赠12个月的免费身份盗用保护及信用监控服务。截至目前，尚无任何已知勒索组织宣称对本次攻击负责。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 安卓恶意软件Konfety的新变种近期出现，其通过构造畸形的ZIP文件结构及其他混淆技术逃避分析与检测。 Konfety伪装成合法应用，模仿Google Play上的无害产品，但完全不提供宣称的功能。该恶意软件的功能包括：将用户重定向至恶意网站、强制安装不需要的应用以及推送虚假浏览器通知。 其核心行为是通过CaramelAds SDK获取并展示隐藏广告，同时窃取设备信息（如已安装应用列表、网络配置及系统信息）。 尽管Konfety不属于间谍软件或远程访问工具（RAT），但其APK内包含加密的次级DEX文件。该文件在运行时解密并加载，内含AndroidManifest文件中声明的隐藏服务。这种机制为动态安装附加模块留下后门，使当前感染设备可能被植入更危险的恶意功能。 规避技术分析 移动安全平台Zimperium的研究人员发现并分析了最新Konfety变种，确认其采用多重技术混淆真实行为： 1、“邪恶双胞胎”分发策略：复制Google Play正版应用的名称与标识，通过第三方应用商店分发。该策略被Human公司研究人员命名为“诱饵双胞胎”。 2、动态代码加载：恶意逻辑隐藏在加密的DEX文件中，仅在运行时加载，使常规扫描无法检测。 3、APK文件结构操控： 虚假加密标志：将通用标志位（General Purpose Bit Flag）的00位设为“1”，误导分析工具识别为加密文件并索要密码（实际未加密），阻碍APK内容访问。 声明非常规压缩格式：关键文件声明采用BZIP压缩算法（0x000C），导致APKTool、JADX等工具因不支持此格式而解析失败。 注：Android系统会忽略这些异常声明，自动启用默认处理机制确保安装运行。 4、隐蔽执行：安装后隐藏应用图标与名称，并利用地理围栏技术根据受害者区域动态调整行为。 历史关联技术 压缩混淆技术在安卓恶意软件中早有先例。2024年4月卡巴斯基报告的SoumniBot恶意软件即采用类似手法：在AndroidManifest.xml声明无效压缩方法、伪造文件大小和数据覆盖，并通过超长命名空间字符串干扰分析工具。 防护建议 用户应避免从第三方安卓应用商店安装APK文件，仅信任已知开发者的软件。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌表示，其开发用于查找漏洞的大型语言模型近期发现了一个黑客正准备利用的程序错误。 去年年底，谷歌宣布了一款名为 Big Sleep 的AI代理——该项目源于谷歌 Project Zero 和 Google DeepMind 在大型语言模型辅助漏洞研究方面的工作。该工具能主动搜索和发现软件中未知的安全漏洞。 本周二（报道时间），谷歌表示 Big Sleep 成功发现了 CVE-2025-6965——一个谷歌称之为“仅威胁行为者知晓并面临被利用风险”的关键安全漏洞。 该漏洞影响 SQLite，一个深受开发者欢迎的开源数据库引擎。谷歌声称它“实际上预测到了一个漏洞即将被利用”，并成功在事发前将其阻断。 该公司表示：“我们相信这是AI代理首次被用于直接挫败在野漏洞利用企图。” 一位谷歌发言人告诉 Recorded Future News，该公司的威胁情报小组“当时能够识别出表明威胁行为者正在部署零日漏洞攻击的痕迹，但未能立即确定具体的漏洞。” “这些有限的线索被传递给零日计划（zero day initiative）的其他谷歌团队成员，他们利用 Big Sleep 找出了对手在其行动中准备利用的漏洞，”该发言人表示。 该公司拒绝详细说明威胁行为者的身份或所发现的具体痕迹。 在一篇宣传多项AI进展的博客文章中，谷歌表示，自 Big Sleep 于去年11月推出以来，它已发现多个真实世界的漏洞，“超出”了公司的预期。 谷歌表示，他们现在正使用 Big Sleep 来帮助保护开源项目，并称AI代理是“颠覆性因素”，因为它们“可以解放安全团队，让他们专注于高复杂性威胁，显著扩大其影响范围和覆盖范围”。 这家科技巨头发布了一份白皮书，阐述了他们如何构建自己的AI代理，据称该方式能保障隐私、限制潜在的“恶意行为”并以透明方式运作。 目前，数十家公司和美国政府机构正在努力开发旨在快速搜索和发现代码漏洞的AI工具。 下个月，美国国防部将宣布一项持续数年的竞赛的获胜者，该竞赛旨在利用AI创建能自动保护支撑全球关键系统所用基础重要代码的系统。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国知名百货连锁店 Belk 据称已成为 DragonForce 黑客组织的攻击目标。该组织此前曾对英国零售商玛莎百货发动网络攻击，给该公司造成数亿美元损失。 Belk 被发布在了 DarkForce 的暗网博客上 —— 该博客是其用于展示最新受害者的平台。攻击者声称，他们获取了超过 156 千兆字节的公司数据，范围从备份资料到员工档案不等。 与此同时，Cybernews 研究团队对 DragonForce 的说法展开了调查。研究人员表示，此次数据泄露似乎属实，且包含大量敏感信息。该团队称，若得到证实，这次黑客攻击可能会 “产生重大影响”。 泄露的数据似乎包括所有可用的商店优惠券、员工及注册客户数据（如姓名、出生日期、地址、电话号码、电子邮件地址），以及客户订单（包括所购商品）。此外，部分信息似乎来自 Belk 的移动应用基础设施。 研究人员称：由于受影响人数众多且泄露数据范围广泛，这次泄露的规模相当大。订单详情和所购商品等数据可能会被恶意分子或灰色市场组织（如数据经纪人或医疗保险企业）利用，用于分析个人行为和风险因素。 该团队表示，很难确定此次攻击中暴露的具体人数，但参考过往类似事件，泄露数据中可能涉及百万用户。不过研究人员指出，部分暴露的用户可能是测试账户。 DragonForce 分享了一张截图，其中包含超过 20 个据称被这些网络罪犯访问过的目录。攻击者可能访问的数据范围广泛，从商店数据到 Belk 的在线用户信息都有涉及。 Belk 成立于 1888 年，是美国最古老的百货连锁店之一。该公司在美国 16 个州运营着近 300 家门店，据《福布斯》报道，其去年的收入为 40 亿美元。 Belk 之前是否遭过黑客攻击？ 6 月初，Belk 向新罕布什尔州总检察长办公室提交了一份数据泄露通知，称公司 “遭遇了网络事件，未经授权的第三方访问了某些公司系统和数据”。 截至发稿时，尚不清楚这两起事件是否相关。 与此同时，DragonForce 在其暗网博客上发表了一些大胆言论，称其本意并非 “摧毁你的业务”。但在该公司拒绝支付赎金后，该团伙采取了破坏性行动。 DragonForce 正迅速成为目前最臭名昭著的勒索软件集团之一。该团伙最近因对英国大型零售商玛莎百货发动破坏性攻击而登上新闻头条。 那次攻击导致玛莎百货的在线服装业务下线，部分食品货架空置，并使其股市市值蒸发超过 10 亿英镑。暂停在线购物的决定严重影响了该部门的在线销售额和交易利润。 总体而言，预计这次攻击将使该公司损失约 3 亿英镑（4.03 亿美元）的运营利润。 该团伙于 2023 年首次被发现，此后也一直在给其竞争对手制造麻烦。该集团声称攻击了 BlackLock 和 Mamona（两个相关的勒索软件组织）的数据泄露网站。 DragonForce 还表示，他们入侵了 RansomHub—— 另一个知名的勒索软件集团，也是去年最活跃的团伙之一。DragonForce 以加入其阵营为诱饵吸引竞争对手，并声称已接管了 RansomHub 的基础设施。 根据 Cybernews 的暗网监控工具 Ransomlooker 的数据，过去 12 个月里，DragonForce 已攻击了 104 家机构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 你觉得自己的密码很安全，因为它有 8 个字符长，还混了一两个数字？根据 Specops 的新分析，近 99% 的泄露密码都弱到几分钟就能被破解。 要是你觉得把狗的名字和末尾加个 “1234” 的巧妙组合无懈可击，那可得再想想了。Specops 的最新研究显示，98.5% 的现实世界泄露密码客观上都是弱密码。没错，这可能包括你的密码。 Specops 的网络安全团队分析了 1000 万个真实密码，这些密码来自一个包含超过 10 亿个泄露凭证的庞大数据库。随后，团队将这 1000 万个密码绘制在了一张长度与复杂度的热图上。 只有 1.5% 的密码能进入 “强” 密码区域，其定义为至少 15 个字符长，且使用两种或更多字符类型。样本中只有 3.3% 的密码长度超过 15 个字符。这意味着，绝大多数密码用一台便宜的 GPU 设备就能瞬间破解。 在泄露的密码中，最常见的是 8 个字符长、仅包含两种字符类型的密码，比如 “Summer22” 或 “Office99”。 约 8% 的密码都属于这种极度基础的危险区域。紧随其后的是 8 个字符长、仅包含一种字符类型的密码（比如全是小写字母），这部分又占了 7.6%。 为什么弱密码是个问题？ 它们是易受攻击的目标：弱密码往往是攻击者的首个入口。一旦侵入，黑客就能在网络中游走、提升权限、提取敏感数据，而且往往不会触发安全警报。 密码重用会放大风险：大多数员工要管理几十个登录账号，密码重用很常见。一个系统的泄露可能导致内部工具、数据库甚至关键管理员控制台被访问。 它们违反法规：像 GDPR、HIPAA 和 PCI DSS 这样的数据保护法要求安全的认证实践。弱密码或重用密码达不到这些标准，可能会导致罚款、审计和法律后果。 暴力破解工具比以往更快：如今的硬件每秒能尝试数十亿次猜测。以前需要几天的事，现在几分钟就能完成，尤其是对于 10 个字符以下的密码。 加密不能解决所有问题：哈希和加盐能提高密码安全性，但无法弥补糟糕的选择。弱密码即使加密了，仍然容易被破解。 大规模攻击很常见：黑客经常使用僵尸网络发起分布式攻击，绕过速率限制等安全措施。这些方法能对跨服务的密码进行大量测试，增加成功破解的几率。 为什么 15 个字符以上成了新的最低要求？ 尽管进行了十年的安全意识培训、发布了钓鱼警告，还有关于俄罗斯僵尸网络的报道，人们和组织仍然允许弱密码进入他们的系统。 “很多用户仍然选择弱的、容易被猜到的组合，网络罪犯几秒就能破解。”Specops 的高级产品经理达伦・詹姆斯说。 有了 GPU 驱动的设备和云破解服务，对于在破解过程中计算密码可能性的攻击者来说，12 个字符以下的密码都是唾手可得的目标。 增加复杂度，比如使用符号或大小写混合，能提高熵值，减缓暴力破解攻击。不过，更新后的 NIST 指南现在更强调长度。这意味着，使用 16 到 20 个字符的密码，远比依赖特殊符号或随机大写字母要好。 15 个字符或更长，且至少包含两种不同字符类型（字母、数字、符号），能将可能的组合数提升到数万亿甚至更多。这些数字会让即使是高端的破解设备也倍感吃力，将预期的破解时间从几小时延长到几年甚至几个世纪。 要创建强密码，可以使用密码生成器和密码管理器来安全管理不同平台的访问权限。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MITRE 推出了一个新的网络安全框架，旨在解决加密货币等数字金融系统中的漏洞。 该框架名为 “数字资产支付技术中的对抗性行动（AADAPT）框架”，为开发者、政策制定者和金融机构提供了一种结构化方法，用于识别、分析和缓解与数字资产支付相关的潜在风险。 MITRE 表示，7 月 14 日发布的 AADAPT 框架借鉴了来自现实世界攻击的见解，这些见解引自 150 多个来源，包括政府、行业和学术界。 AADAPT 框架明确了与数字资产支付技术相关的对抗性策略、技术和流程，包括共识算法和智能合约。与加密货币相关的网络威胁包括双花攻击、钓鱼骗局和勒索软件事件，这些威胁影响企业、政府和个人用户。 MITRE 指出，小型组织、地方政府和市政当局尤其脆弱，它们往往缺乏资源来加强自身的网络安全措施。AADAPT 框架旨在通过提供符合这一金融市场领域独特需求的实用指导和工具，来解决这些差距。 MITRE 网络技术副总裁温・马斯特斯表示，加密货币等数字支付资产注定会改变全球金融的未来，但其安全挑战不容忽视。借助 AADAPT，MITRE 正助力相关利益方采取强有力的安全措施，不仅保护其资产，还能建立整个生态系统的信任。 AADAPT 以 MITRE 的 ATT&CK 框架为蓝本，其策略和技术与 ATT&CK 框架相辅相成。 2025 年 7 月，网络安全公司 CertiK 发现，2025 年上半年，约 24.7 亿美元的加密货币通过诈骗、黑客攻击和漏洞利用被盗。这一激增源于 2 月针对加密货币交易所 Bybit 的一次黑客攻击，导致 14 亿美元的加密货币被盗。此次 Bybit 黑客攻击与朝鲜国家支持的 APT 组织 Lazarus 有关。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与 “Contagious Interview” 活动相关的朝鲜威胁行为者，近期在 npm 注册表中又发布了 67 个恶意软件包。这凸显了他们持续通过软件供应链攻击，对开源生态系统进行破坏的企图。 据 Socket 透露，这些恶意包的下载量已超过 17000 次，其中包含一个此前未被记录的恶意软件加载器，代号为 XORIndex。此次活动是上个月攻击浪潮的扩展，当时攻击者已分发了 35 个 npm 包，这些包中部署了另一个名为 HexEval 的加载器。 “Contagious Interview” 行动呈现出一种 “打地鼠” 式的动态：防御者检测并上报恶意包后，朝鲜威胁行为者会迅速上传新的变种，采用相同、类似或稍作改进的策略。 “Contagious Interview” 是一项长期活动，其目的是诱骗开发者下载并执行某个开源项目，谎称这是一项编码任务。该威胁集群于 2023 年底首次公开披露，也被追踪为 DeceptiveDevelopment、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342 和 Void Dokkaebi。 利用恶意 npm 包的攻击链相当直接：这些包充当已知的 JavaScript 加载器兼窃取器 BeaverTail 的传播渠道。BeaverTail 随后被用于从网页浏览器和加密货币钱包中提取数据，还会部署一个名为 InvisibleFerret 的 Python 后门。 这两个攻击活动目前并行开展。XORIndex 在短时间内（2025 年 6 月至 7 月）的下载量已超过 9000 次，而 HexEval 则稳步推进，新发现的相关包又获得了超过 8000 次下载。 对这些包的进一步分析显示，加载器在不断演变，从基础原型发展为复杂且更隐蔽的恶意软件。早期版本缺乏混淆和侦察能力，但核心功能保持完好；第二、三代版本则增加了基本的系统侦察功能。 “Contagious Interview” 的威胁行为者将继续丰富其恶意软件组合，轮换新的 npm 维护者别名，重用 HexEval 加载器以及 BeaverTail、InvisibleFerret 等恶意软件家族，并积极部署包括 XORIndex 加载器在内的新变种。 与此同时，Safety 披露，与俄罗斯有关联的网络犯罪分子发布了 10 个 npm 包，这些包旨在通过从远程服务器获取的 PowerShell 有效载荷入侵 Windows 系统，进而交付一种能够从网页浏览器窃取数据、且可能启动加密货币挖矿程序的窃取器。 更令人担忧的是，他们还操纵 npm 的下载量指标，让这些包看似有百万次下载，为其恶意代码赋予虚假的合法性。         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文