黑鸟

本研究通过分析一名网络工程师Oscar Molnar的实践案例，探讨了如何在家庭网络环境中构建一个透明的代理系

在美国能源部的各类设施中，有一种自动化提醒装置被广泛使用。

“Scattered Lapsus$ Hunters”（SLSH）是一个活跃的网络犯罪组织，今年通过从多家大型

黑鸟研读了一份关于聚焦暗网就业与招聘生态报告，大受启发，所以分享一二。

Gamaredon 是自 2013 年起活跃的俄高级持续性威胁（APT）组织图1，核心聚焦网络间谍活动，相关报告可见乌克兰披露俄罗斯APT组织人员信息与通话录音 Lazarus 是 2009 年起活跃的朝鲜全方面威胁行为体图2，初期以网络间谍活动和破坏性攻击为主，后转向经济利益导向攻击以筹措资金。 Gamaredon 以窃密为业，Lazarus 则专事窃取，二者最终均服务于各自政府的战略利益。 就在莫斯科与平壤宣布开通新直飞航线的次日，安全团队发现了 Gamaredon 与 Lazarus 两大 APT 组织可能存在协作的迹象。 2025 年 7 月 24 日，团队通过已知 Telegram（电报）和 Telegraph（电报文稿平台）渠道追踪 Gamaredon 命令与控制（C2）服务器的系统，成功拦截了一个 IP 地址： 144[.]172[.]112[.]106 四天后，在例行检查中，团队发现该服务器正托管着一个经过混淆处理的 “InvisibleFerret” 恶意软件样本（SHA256 哈希值：128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d）—— 这款恶意软件正是 Lazarus 组织的标志性工具。 该载荷与 Lazarus 的工具集完全匹配，且通过与 “ContagiousInterview” 行动相同的服务器结构（URL 地址：http[://]144[.]172[.]112[.]106/payload/99/81）进行分发。而 “ContagiousInterview” 正是 Lazarus 此前针对求职者发起的钓鱼攻击行动，通过伪造招聘信息实施入侵。 尽管该 IP 地址有可能是代理服务器或 VPN 节点，但两大组织活动的时间关联性，再加上服务器托管模式的高度重合，表明他们存在基础设施复用的极大可能，且有中等置信度显示二者存在运营层面的协作。 目前尚不清楚是 Lazarus 借用了 Gamaredon 控制的服务器，还是双方共用同一客户实例，但这一高度重合的数字足迹，显然绝非偶然。 图3为其他APT组织合作情况 报告链接： https://www.gendigital.com/blog/insights/research/apt-cyber-alliances-2025

该平台利用浏览器推送通知功能作为命令与控制通道，该功能原本用于合法消息提醒。 攻击者首先通过社会工程学诱导用户在恶意或被入侵的网站上授权推送通知。 一旦用户订阅，攻击者即可通过浏览器与受害者的桌面或移动设备建立直接连接。 随后，攻击者可随时发送伪造的错误消息或安全警报，这些消息外观类似于操作系统或合法软件的通知，包含逼真的标题和图标 黑鸟温馨提示，浏览网站时候，忽然出现弹窗，切勿点击，也许进去之后就是一连串的针对性钓鱼攻击了 图1 用户点击虚假通知后，将被重定向至攻击者指定的站点，通常为钓鱼页面或恶意下载源。 例如，警报可能显示“请立即更新Google Chrome，否则数据将丢失”，点击按钮后将从攻击者控制的服务器下载伪装成扫描器的恶意软件。 图2 由于整个过程依赖浏览器通知系统，无需传统恶意文件，因此属于无文件攻击。用户仅看到类似于系统弹窗的内容，并可能无意中执行操作，而未察觉风险。 攻击者的控制界面Matrix Push C2的网页仪表盘用于调度攻击活动。 从攻击者视角，该界面类似于营销自动化工具，但专为恶意操作设计。 图3 C2客户端面板会提供实时受害者信息反馈，一旦浏览器订阅推送，即向C2服务器回传数据。 攻击者并非依赖随机钓鱼，而是通过与受害者浏览器的活跃连接获取反馈，从而进行下一步活动。 图4 平台可收集客户端细节，无需植入持久性恶意负载。一旦用户授权通知，攻击者即可获取浏览器会话的遥测数据流。伪造通知的信任伪装攻击的核心依赖社会工程学，Matrix Push C2内置多种可自定义模板，用于提升虚假消息的可信度。 攻击者可将钓鱼通知和落地页面伪装成知名公司或服务。 图5 图6 这些通知出现在设备官方通知区域，用户可能误认为其源于系统或应用。这是利用浏览器通知系统将钓鱼负载直接推送到用户屏幕的有效方法。 图7 攻击者可生成简短、无害外观的链接，重定向至恶意站点。所有链接点击均被追踪，并反馈至仪表盘。图8

以下为第一人称叙事。

网址：https://jmail.world/ 这是什么？ 一个把 Jeffrey Epstein 公开邮件做成 Gmail 界面的网站。所有邮件来自美国众议院监督委员会2025年11月正式公布的档案（几千封，从90年代到2019年）。 以前这些邮件只有PDF散在 Google Drive 里，翻起来很麻烦。Jmail 把它们原样放进一个几乎一模一样的 Gmail 壳子里，方便大家搜索、阅读和标记。 主要特点 - 直接点开网站就能用，不用注册 - 默认登录账号就是 [email protected]（Epstein 本人邮箱） - 界面高度模仿 Gmail：收件箱、发件箱、星标、搜索、线程全有 - 支持关键词搜索，点开就能看原邮件和附件 - 星标功能全站共享，大家标得最多的邮件会排在最上面 - 数据100%来自官方公开文件，部分名字已打码 有些关键词和内容谨慎搜索查阅，如果内容有不适，黑鸟不负责任。 #开源情报网站分享计划

防弹主机介绍以及应对措施

2025年11月，Forbes文章《Has Samsung Installed Unremovable Isr

美国政府一直在与一家名为 Twenty 的隐形初创公司签订合同，该公司致力于研发人工智能代理，并大规模自动化入侵外国目标。图1 根据联邦合同记录，一家位于弗吉尼亚州阿灵顿、处于隐身状态的初创公司“Twenty”（或称XX）今年夏天与美国网络司令部（U.S. Cyber Command）签署了一份最高金额达1260万美元的合同。此外，该公司还从美国海军获得了一份24万美元的研究合同。该公司获得了由中情局（CIA）创立的非营利风投机构In-Q-Tel，以及Caffeinated Capital和General Catalyst的风险投资支持。 Twenty的合同属于极为罕见的案例：一家拥有风投背景、专注于AI进攻性网络能力的公司拿到网络司令部的业务。通常此类合同要么给极小型定制公司，要么给波音、洛克希德·马丁之类的传统国防巨头（如Booz Allen Hamilton或L3Harris）。 尽管该公司尚未公开推出，但其官网宣称其核心是“将原本需要数周人工的操作，转变为自动化、持续运行、可同时覆盖数百个目标的操作”。Twenty声称自己正在“从根本上重塑美国及其盟友进行网络冲突的方式”。 其招聘广告透露了更多信息，见图2 这让黑鸟联想起AI巨头Anthropic前些天给东大泼脏水的事。 其他有关美国在网络攻击领域应用ai的情况，见图3 参考链接： https://www.forbes.com/sites/thomasbrewster/2025/11/15/pentagon-spends-millions-on-ai-hackers/ #网络战人工智能agent

近期，LLM-Red-Team关联的开源仓库及多个GitHub项目遭遇针对性供应链攻击，引发了开发者社区对代码安全的集中警惕。图1 事件最初由开发者社区用户披露——在LLM-Red-Team旗下的1k star 的qwen-free-api，同帐号下的接近5k star的kimi-free-api等几个工程，仓库中，存在一段高度隐蔽的恶意代码：图2 这段代码被藏在chat.ts文件的最后一行，前置了大量空白字符以降低被察觉的概率，且即便删除该代码，项目仍能正常运行。图5图6 针对此情况，该仓库的主要维护者表示：其本地代码、IDE历史记录，以及同步至Gitee平台的代码版本中均无此恶意代码，目前正调查GitHub仓库提交记录被篡改的具体原因，初步认为是rand-user-agent导致，和下文参考链接提及的手法有一致性，用过相关账号下的所有工程的一定要自查电脑。图3图4 随着调查推进，安全研究者发现此次攻击并非个例——同一威胁者已攻陷至少19个GitHub仓库，目前已公开的9个仓库信息 图9 经安全团队溯源，此次攻击的威胁者，与此前向rand-user-agent等npm包投毒的是同一团伙。其攻击路径为：图7 借助已被投毒的依赖包作为“跳板”，通过篡改仓库提交历史的方式，将远程访问木马（RAT）等恶意代码隐蔽植入仓库分支——比如qwen-free-api中藏在文件末尾的代码，正是这种“伪装合法提交”手法的体现。 由于恶意代码被伪装成正常的仓库提交记录，克隆、使用这些受影响仓库的用户，会在不知情的情况下同步安装恶意程序，最终导致设备被远程控制、个人敏感信息或系统数据被窃取。 为降低安全风险，开发者社区及相关用户需采取以下行动： 1. 立即停止使用上述受影响仓库的代码与服务，直接删除本地、服务器上的相关仓库文件； 2. 核对自身使用的仓库提交记录，若包含对应恶意哈希，需彻底清理相关代码、依赖包及本地包管理缓存； 3. 后续避免使用长期未维护的开源仓库，并开启GitHub仓库的“提交签名验证”功能，防范提交记录被篡改； 4. 定期扫描本地系统进程与文件，清理已知恶意路径。 参考链接:图8 https://thenimblenerd.com/article/npm-supply-chain-attack-gluestack-packages-infected-with-sneaky-rat-malware/ #供应链攻击

国外研究员近期披露了一款全新IOS系统沙箱逃逸漏洞，该漏洞针对 itunesstored 与 bookasse

11月12日，一名因涉嫌黑客攻击而被美国通缉的俄罗斯公民在泰国被捕。

当Sora 2被曝用于生成违规内容后，国外团队开始研究：能否提取它的内部系统提示？

GlobalTenders[.]com 是一个成立于2002年的全球采购和招标平台，被誉为最大的招标和商业情报来源之一。图1 它致力于简化信息获取，帮助各种规模的企业发现新商机，通过从数千个网站和报纸收集并分类数据，每天发布超过50,000个招标通知。 主要功能与工具该网站的核心功能包括高级搜索工具，用户可根据关键词、行业、地区、通知类型、CPV（通用采购词汇）、截止日期和预计成本进行过滤，并支持保存收藏的搜索和通知。图9 黑鸟推荐：通过这个url可以直接筛选国家地区: 图2 globaltenders[.]com/index-country-tenders 点击右边的国家或地区按钮，就可以进到相关领域的投标项目 图3 再点一下下方全部按钮，就可以看到所有领域的投标项目 图4 点击感兴趣的领域，就可以看见对应内容，比方说点国防 图5 注册成员可访问个性化仪表板，查看推荐通知、收藏夹和邮件分享选项。 此外，电子邮件警报系统在工作日发送匹配关键词、目标地区和公司概况的新通知，确保用户及时获取相关信息。 首页还突出免费精选招标图6，并提供仪表板、分析工具和市场报告等功能。图7 全球覆盖与服务GlobalTenders.com 覆盖190多个国家，追踪超过500,000个机构，数据库包含90百万条以上记录，服务于投标者和采购方图8。 针对投标者，它提供过去趋势分析、比较研究、历史数据回溯和未来预测；针对采购方，则有基于关键词和CPV匹配的产品市场报告，帮助分析趋势和增长潜力。#开源情报网站分享计划

看似轻松的额外收入机会，可能暗藏跨国欺诈陷阱。

最近关于谷歌Chrome浏览器追踪能力的披露引发了新一轮辩论，Chrome浏览器使用一种称为数字指纹识别的复杂

近期，国外安全公司披露一起新型 APT 攻击事件，朝鲜黑客组织通过精准定位与钓鱼诈骗结合的方式，远程操控并重置