HackerNews

HackerNews 编译，转载请注明出处： 自 1 月下旬起，“联锁”（Interlock）勒索软件团伙就在零日攻击中，利用思科安全防火墙管理中心（FMC）软件中一个极其严重的远程代码执行（RCE）漏洞。 “联锁” 勒索软件活动于 2024 年 9 月浮出水面，与 ClickFix 以及多起恶意软件攻击有关，在这些攻击中，他们在英国多所大学的网络中部署了一款名为 “NodeSnake” 的远程访问木马。 “联锁” 团伙还宣称对针对达维塔（DaVita）、凯特林健康（Kettering Health）、德克萨斯理工大学系统以及明尼苏达州圣保罗市的攻击负责。最近，IBM X – Force 研究人员报告称，“联锁” 团伙的操作者部署了一种名为 “Slopoly” 的新恶意软件变种，很可能是利用生成式人工智能工具创建的。 思科于 3 月 4 日修复了这个安全漏洞（CVE – 2026 – 20131），并警告称，该漏洞可能让未经身份验证的攻击者在未打补丁的设备上以 root 权限远程执行任意 Java 代码。 亚马逊威胁情报团队周三报告称，在该漏洞被修复前，“联锁” 勒索软件团伙已针对企业防火墙，利用这个安全防火墙管理中心的漏洞发动攻击长达一个多月。 亚马逊综合安全首席信息安全官 CJ・摩西表示：“在查找该漏洞当前或过往的利用情况时，我们的研究发现，‘联锁’团伙从 2026 年 1 月 26 日起就开始利用这个漏洞，比其公开披露时间早了 36 天。这可不是普通的漏洞利用，‘联锁’团伙掌握了一个零日漏洞，这让他们在防御者察觉之前，就有一周时间抢先入侵各机构。” 思科在 3 月 4 日发布了一份安全公告，披露了思科安全防火墙管理中心软件 Web 界面的一个漏洞。周三，思科在发布公告后通过电子邮件向 BleepingComputer 表示：“我们感谢亚马逊在这件事上的合作，并且已在安全公告中更新了最新信息。我们强烈敦促客户尽快升级，并参考我们的安全公告以获取更多详细信息和指导。” 自今年年初以来，思科还修复了其他几个在实际中被当作零日漏洞利用的安全漏洞。例如，1 月，它修复了一个严重级别的思科 AsyncOS 零日漏洞，自 11 月起，该漏洞就被用于入侵安全电子邮件设备；同时，思科还修复了一个关键的统一通信远程代码执行漏洞，这个漏洞也在零日攻击中被利用。 上个月，思科修复了另一个严重级别的漏洞，该漏洞被当作零日漏洞利用，用于绕过 Catalyst SD – WAN 身份验证，攻击者借此能够攻陷控制器，并在目标网络中添加恶意的非法对等节点。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个影响 GNU InetUtils Telnet 守护进程（telnetd）的严重安全漏洞，未经认证的远程攻击者可利用此漏洞以提升的权限执行任意代码。 该漏洞编号为 CVE – 2026 – 32746，通用漏洞评分系统（CVSS）得分 9.8（满分 10 分）。它被描述为在 LINEMODE 设置本地字符（SLC）子选项处理程序中的一次越界写入，从而导致缓冲区溢出，最终为代码执行创造条件。 以色列网络安全公司 Dream 于 2026 年 3 月 11 日发现并报告了该漏洞，称其影响截至 2.7 版本的所有 Telnet 服务实现。预计该漏洞的修复程序不迟于 2026 年 4 月 1 日推出。 Dream 在一份警报中表示：“未经认证的远程攻击者可在初始连接握手期间（即任何登录提示出现之前）发送特制消息来利用此漏洞。成功利用该漏洞可导致以 root 权限执行远程代码。只需对端口 23 发起一次网络连接，就足以触发该漏洞。无需凭证、用户交互，也无需特殊网络位置。” 据 Dream 称，SLC 处理程序在 Telnet 协议握手期间处理选项协商。但鉴于该漏洞可在认证前触发，攻击者在建立连接后，能立即通过发送特制协议消息来利用此漏洞。 如果 telnetd 以 root 权限运行，成功利用该漏洞可能导致系统完全被攻陷。这反过来可能为各种后续攻击行为打开大门，包括部署持久后门、数据渗出，以及以被攻陷主机为支点进行横向移动。 Dream 安全研究员阿迪尔・索尔表示：“未经认证的攻击者通过连接到端口 23 并发送带有多个三元组的特制 SLC 子选项即可触发该漏洞。无需登录，在登录提示出现前的选项协商期间就会触发此漏洞。溢出会破坏内存，并可被转化为任意写入。实际上，这可能导致远程代码执行。由于 telnetd 通常以 root 权限运行（例如在 inetd 或 xinetd 下），成功利用该漏洞将使攻击者完全控制系统。” 在修复程序推出前，如果不必要，建议禁用该服务；在必要情况下，不以 root 权限运行 telnetd；在网络边界和基于主机的防火墙级别封锁端口 23 以限制访问，并隔离 Telnet 访问。 此次漏洞披露距离另一个影响 GNU InetUtils telnetd 的严重安全漏洞（CVE – 2026 – 24061，CVSS 得分：9.8）披露近两个月，据美国网络安全与基础设施安全局称，该漏洞已在实际环境中被主动利用。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果已发布首个 “后台安全改进” 更新，用于修复 iPhone、iPad 和 Mac 上编号为 CVE – 2026 – 20643 的 WebKit 漏洞，且无需进行完整的操作系统升级。 CVE – 2026 – 20643 漏洞可让恶意网页内容绕过浏览器的同源策略。苹果表示，该漏洞是导航 API 中的一个跨源问题，已通过改进输入验证的方式加以解决。 此漏洞由安全研究员托马斯・埃斯帕赫发现，新更新适用于 iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1 和 macOS 26.3.2 系统。 此次发布是苹果首次通过其新的 “后台安全改进” 功能推送安全修复程序。该功能用于在正常安全更新周期之外，提供小规模的非同步补丁。 苹果解释称：“‘后台安全改进’为 Safari 浏览器、WebKit 框架栈及其他系统库等组件提供轻量级安全更新，这些组件受益于软件更新之间的小型持续性安全补丁。” “在极少数兼容性问题的情况下，‘后台安全改进’更新可能会被暂时移除，然后在后续的软件更新中进行强化。” 过去，苹果的安全更新要求用户安装新的操作系统版本并重启设备。然而，借助 “后台安全改进” 功能，苹果现在可以在后台为特定组件提供小规模更新。 苹果在 iOS 26.1、iPadOS 26.1 和 macOS 26.1 中添加了这一功能，称其旨在快速修复版本发布期间的安全漏洞。 用户可通过设备设置中的 “隐私与安全” 菜单访问该功能。在 iPhone 和 iPad 上，进入 “设置”，然后点击 “隐私与安全”；在 Mac 上，从苹果菜单中选择 “系统设置”，然后点击 “隐私与安全”。 苹果警告称，卸载 “后台安全改进” 更新会移除所有先前应用的后台补丁，将设备恢复到基础操作系统版本（如 iOS 26.3.1），且不包含任何增量安全修复。这实际上会移除通过该功能提供的快速响应安全保护，使设备处于基础安全级别，直到重新应用更新或在未来的完整更新中包含这些更新。 因此，除非基础安全改进在您的设备上引发问题，否则强烈建议不要卸载。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 BitSight 报告，朗多克斯（RondoDox）僵尸网络的开发者大幅扩充了其攻击漏洞列表，且在攻击方式上更具针对性。 朗多克斯僵尸网络最早于去年下半年被详细披露，至少从 2025 年 3 月起就已活跃，当时安全研究人员观察到与之相关的首次攻击尝试。 自 2025 年 4 月起，该僵尸网络的运营者开始进行系统性的漏洞扫描，大多采用 “霰弹枪” 式的方法来入侵设备。 到 10 月时，它已针对 56 个漏洞发起攻击，其中包括一些未分配 CVE 编号的漏洞，12 月，有人发现它在攻击 React2Shell。 如今，BitSight 表示，由于其开发者密切关注漏洞披露信息，在漏洞被分配 CVE 编号之前就展开攻击，该僵尸网络的攻击漏洞列表已扩充至 174 个不同的漏洞。 此外，朗多克斯僵尸网络已将其攻击策略转变为更具针对性的方式。不再像之前观察到的 “霰弹枪” 方法那样，对同一设备发动多种攻击，而是聚焦于那些更有可能导致感染的特定漏洞。 抵御人工智能威胁 朗多克斯僵尸网络与 Mirai 有诸多相似之处，它也以瞄准弱密码和未经清理的输入来获取初始访问权限而闻名。它与 Mirai 的不同之处在于，其重点在于发动分布式拒绝服务（DDoS）攻击，而非扫描和感染更多设备。 为扩大僵尸网络规模，朗多克斯的运营者利用自身基础设施在互联网上扫描易受攻击的设备，然后部署可躲避检测的植入程序，清除其他恶意软件，找到合适的目录来放置主二进制文件并执行。 BitSight 对该僵尸网络的调查显示，它使用了二十多个 IP 地址用于设备攻击、有效载荷分发和僵尸网络管理，其中包括可能属于受感染系统的住宅 IP。 朗多克斯的运营者不断在其攻击漏洞列表中添加和删除漏洞，曾观察到他们在一天内使用多达 49 个漏洞。然而，大多数漏洞很快就被弃用。 BitSight 指出：“在研究每个漏洞的使用频率时，出现了明显的长尾趋势。虽然平均每个漏洞使用 18 天，但在已识别的 174 个漏洞中，近一半（84 个，占 48%）仅被使用一天。这表明他们尝试各种漏洞，并根据每个漏洞的成功率采取行动。” 据这家网络安全公司称，该僵尸网络的运营者似乎密切关注与漏洞相关的发布信息，至少有一次，他们在漏洞公开披露前两天就利用了该安全缺陷。 BitSight 称，尽管他们紧跟新漏洞信息，但运营者未能正确实施针对这些漏洞的可用攻击手段。 这家网络安全公司还指出，该僵尸网络似乎并未使用 “加载器即服务” 来进行分发，且之前有关朗多克斯具备 P2P 功能的报道似乎并不准确。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周五，美国机器人手术巨头直觉外科（Intuitive）称其遭遇网络攻击，导致数据泄露。直觉外科致力于研发、制造并销售用于微创手术的机器人产品，比如达芬奇手术系统和艾昂（Ion）腔内系统。 据该公司称，此次事件源于一起 “有针对性的网络安全钓鱼事件”，致使某些内部商业应用程序被未经授权访问。公司方面表示：“发现问题后，我们迅速启动了事件响应预案，并对所有受影响的应用程序进行了安全处理。” 攻击者利用被盯上的员工对内部商业管理网络的访问权限，获取了客户业务及联系信息、员工信息和公司数据。 根据直觉外科发布的事件通知，此次攻击并未影响其运营，也未影响其为客户提供支持的能力。 为人工智能代理设置防护措施 该公司还称：“我们的机器人系统拥有独立的安全协议，与内部商业网络分开运行。” 同时指出，攻击者并未进入支持其制造业务以及达芬奇和艾昂平台及数字产品的网络，这些网络与内部信息技术商业应用网络相互独立。 直觉外科表示：“医院客户网络与直觉外科网络相互独立，由客户的信息技术团队进行安全保护和管理，因此也未受影响。” 该公司称，此次事件对其业务或财务状况不应产生重大影响，目前攻击已得到全面控制，且已通知相关的数据隐私监管机构。 不过，直觉外科并未透露攻击的时间线、攻击者是谁，以及可能有多少人受到数据泄露的影响。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 负责维护英国公司公共登记册的政府机构 —— 公司注册处（Companies House）的一个网络应用程序中发现了一个严重漏洞。 据税务政策协会（Tax Policy Associates）称，该安全漏洞于 3 月 12 日由 Ghost Mail 的约翰・休伊特（John Hewitt）发现，但在推出补丁之前，它已存在了数月之久。 休伊特发现，任何已登录的用户都可以访问公司注册处平台上其他公司的账户。攻击者本可以获取 500 万家注册公司的非公开信息，包括董事的出生日期、家庭住址和电子邮件地址。 此外，攻击者还可以更改公司信息并提交未经授权的文件备案。 虽然该漏洞只能由已通过身份验证的攻击者利用，但实施攻击轻而易举，且无需技术技能。 攻击者只需选择 “为其他公司提交文件” 选项，输入目标公司的唯一编号，当系统提示输入验证码时，多次按下返回按钮。随后，攻击者将自动登录目标公司的账户。 在 RSAC 与我们会面 公司注册处在周一发布的一份声明中证实了这一安全漏洞，并表示它影响了其在线申报服务（WebFiling service）。该漏洞于 2025 年 10 月出现，在周五该服务关闭后，于周末得到修复。 该机构表示：“普通公众无法访问此漏洞。只有拥有授权码并登录该服务的用户才能执行此操作。” 公司注册处澄清，该漏洞并未暴露密码以及身份验证过程中收集的信息（如护照信息）。此外，攻击者无法对已提交的现有文件进行更改。 该机构解释称：“我们认为，此问题无法用于大量提取数据或系统地访问记录。任何访问都将仅限于单个公司记录，且每次只能由注册的在线申报用户查看一家公司记录。” 公司注册处还指出，虽然尚未发现有任何数据通过利用此漏洞被访问或更改的情况，但各公司仍应核实自身详细信息和申报历史，并报告任何可疑情况。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Sophos 研究人员称，ClickFix 攻击活动正在演变，攻击者越来越多地将目标对准 macOS 用户，并部署更高级的信息窃取程序。 ClickFix 是一种不断发展的社会工程技术，诱骗用户手动执行恶意命令，从而绕过传统防护措施。它最初主要针对 Windows 系统，如今正越来越多地影响 macOS 系统，近期的攻击活动部署了诸如 AMOS 和 MacSync 之类的信息窃取程序。研究人员指出，这种策略演变可能是防御措施以及更广泛技术趋势共同作用的结果。 Sophos 研究人员分析了三次针对 macOS 用户、使用 MacSync 信息窃取程序的 ClickFix 攻击活动。 2025 年 11 月，攻击者依赖相对 “经典” 的 ClickFix 技术。搜索与 ChatGPT 相关工具的受害者会被恶意的谷歌推广链接引诱，这些链接指向假冒的 OpenAI/ChatGPT 页面。这些页面指示用户复制并执行经过混淆的终端命令，最终下载并运行 MacSync 信息窃取程序。这种方法简单直接却很有效，主要依靠用户的信任和欺骗手段。 Sophos 发布的报告称：“请注意上述终端命令，解密后，它会从威胁行为者控制的网站下载并执行一个 Bash 脚本。该脚本会请求用户密码，然后获取并以用户级权限运行一个恶意 MachO 二进制文件（即 MacSync 信息窃取程序）。” 到 2025 年 12 月，这些攻击活动在传播和规避策略方面明显变得更加高级。攻击者不再直接将用户重定向到虚假下载站点，而是利用 ChatGPT 的合法共享对话来建立可信度。这些页面随后导向模仿 GitHub 风格的虚假界面，模拟合法的安装流程，诱使用户运行恶意命令。这种技术有助于绕过 macOS 的防护机制，如 Gatekeeper 和 XProtect。 报告继续指出：“ChatGPT 对话看似是诸如‘如何清理你的 Mac’或安装工具的实用指南，但却将受害者重定向到恶意的 GitHub 风格登录页面，这些页面又使用虚假的 GitHub 风格安装界面诱骗用户运行恶意终端命令（攻击链中的 ClickFix 部分）。这可能会绕过 macOS 的安全控制，如 Gatekeeper 和 XProtect。” 与此同时，攻击者引入了复杂的跟踪基础设施，包括基于 JavaScript 的分析、IP 和地理位置记录，以及通过 Telegram 机器人进行实时报告。这使他们能够监控攻击活动的效果，在多个域名上，用户交互达到了数万次。 到 2026 年 2 月，该攻击活动已演变成一种更为高级且隐蔽的威胁。虽然在初始阶段仍依赖用户交互，但有效载荷的交付已转变为多阶段的 “加载器即服务” 模式。恶意软件不再使用简单的二进制文件，而是采用经过混淆的 Shell 脚本、受 API 密钥保护的命令与控制基础设施，以及在内存中执行的动态 AppleScript 有效载荷。这些改进显著提高了对静态和行为检测的规避能力。 最新版本的 MacSync 会进行广泛的数据收集，目标包括浏览器数据、凭证、文件、SSH 密钥、云配置以及加密货币钱包。它还具备诸如分块数据渗出、持久化机制和反分析技术等高级功能。值得注意的是，它可以通过注入恶意代码来篡改 Ledger 钱包应用程序，从而窃取种子短语，使攻击者能够直接窃取加密货币资产。 总体而言，这些攻击活动表明，攻击者已从相对简单的社会工程攻击转向高度模块化、隐蔽且以数据为重点的操作，这既反映了对防御措施的适应，也体现了攻击者技术的日益成熟。 报告总结道：“这三次攻击活动展示了多种策略，以及对传统 ClickFix 模型的一些改变。尽管这三次攻击活动都在某种程度上利用了与生成式人工智能（GenAI）相关的诱饵，但从模仿知名合法公司的恶意网站转向 ChatGPT 共享对话，代表了社会工程学方面一个有趣的转变。在此，威胁行为者利用了两件可能对他们有利的事情：在受信任的域名上托管恶意内容（第一次攻击活动也采用了这一手段），以及利用 ChatGPT 对话相对新颖这一点。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，美国能源部负责网络安全的最高官员表示，该部门计划首次发布一项战略计划，阐述其将如何更好地保护国家电网。 网络安全、能源安全与应急响应办公室（CESER）代理主任亚历克斯・菲茨西蒙斯称，该计划旨在补充近期发布的国家网络安全战略，重点聚焦于能源部将如何增强能源行业的 “安全弹性”。 菲茨西蒙斯表示，与私营部门建立伙伴关系的重要性以及强化合作的方式，将是这份战略计划的核心内容。 “私营企业在很大程度上负责保护自身网络，我们必须与之合作，” 菲茨西蒙斯在华盛顿特区举行的麦克拉里网络峰会上说道，“我们必须能够及时向他们提供可行的信息，以便他们保障自己网络的安全。” 菲茨西蒙斯还提到，该计划将着力研究如何通过最佳方式投资人工智能，以抵御对手部署的人工智能驱动的攻击性网络武器。 菲茨西蒙斯称：“我们必须在网络防御方面对人工智能进行投资，相关信息和技术将用于保障并强化关键能源基础设施，尤其是那些可能在未来冲突中涉及的国防关键能源基础设施。” “所有这些强化措施和信息技术，有助于我们应对网络和实体安全事件，并从中吸取经验教训，为能源行业及时提供可行的信息，这就是 CESER 战略计划的核心要点。” 在小组讨论结束后，记者在走廊上询问战略计划何时发布，菲茨西蒙斯只回答了 “很快”。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文电子商务套件（Oracle E – Business Suite，简称 EBS）遭黑客攻击事件中，几家被列为受害者的全球巨头，对这一网络安全事件所造成的影响仍未作声。 Cl0p 勒索软件和敲诈团伙宣称对此次针对 EBS 用户的黑客攻击负责。此次攻击利用零日漏洞，获取企业存储在甲骨文企业管理软件中的数据，进而实施敲诈勒索。 尽管 Cl0p 是此次攻击对外公开的勒索品牌，但网络安全界认为，该行动可能是由一群威胁行为者推动的，其中最引人注目的是 FIN11。 黑客在 Cl0p 泄密网站上列出了 100 多家涉嫌在甲骨文 EBS 攻击事件中受害的企业，涉及科技、电信、软件、重工业、制造、工程、零售、消费品、能源、公用事业、媒体、金融和娱乐等多个行业。 对于大多数受害者，网络犯罪分子发布了种子文件，指向据称从其系统中窃取的信息。这表明这些受害者拒绝支付赎金。 此次攻击中的大多数大型企业已发布公开声明，确认发生数据泄露事件。许多企业称事件影响有限，但仍告知受影响人员潜在风险。 然而，仍有少数几家大型公司似乎尚未就此事发布任何公开声明，既未确认也未否认遭受攻击，甚至没有表示正在进行调查。 其中包括半导体和基础设施软件公司博通、工程建筑公司柏克德、化妆品集团雅诗兰黛公司，以及医疗设备和医疗保健解决方案提供商雅培公司。 它们均在 2025 年 11 月 20 日左右被列在 Cl0p 网站上。 企业可能需要数月甚至一年的时间来调查数据泄露事件并确定其全面影响。不过，大型企业通常至少会承认正在进行调查。 博通、柏克德、雅诗兰黛和雅培对多次置评请求均未回应。 黑客泄露的数据 SecurityWeek 并未下载任何泄露的数据，但对据称从 Cl0p 网站上提及的一些大型公司获取的数据进行了简要的元数据和文件树分析，发现这些文件确实源自甲骨文 EBS 环境。 以博通为例，网络犯罪分子公开了超过 2TB 的档案，据称这些档案存储了从该公司窃取的文件。雅诗兰黛的种子文件指向 870GB 的存档文件。 在撰写本文时，指向柏克德和雅培文件的种子文件仍然可用，但无法获取数据进行分析。然而，这并不意味着网络犯罪分子无法再访问这些文件，因为它们也可能在地下论坛私下传播。 一方面，像 Cl0p 这样的网络犯罪组织经常夸大其数据泄露的范围，促使许多公司迅速发布声明，否认或淡化相关指控，以安抚客户和利益相关者，表明任何影响都是有限的。 此外，如果没有受监管的数据（如健康信息、社会安全号码或支付细节）遭到泄露，公司没有法律义务公开披露该事件。如果数据泄露未达到重大程度，根据美国证券交易委员会（SEC）的规定，也无需向投资者报告。 另一方面，一些组织可能出于战略、公关和法律原因故意保持沉默。即使承认正在进行调查，也可能引发诉讼、卖空压力或额外的监管审查。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 警告美国政府机构，要保护其 Wing FTP 服务器，防范一个已在攻击中被积极利用的漏洞，该漏洞可能被用于远程代码执行攻击链条。 Wing FTP 服务器是一款跨平台的 FTP 服务器软件，通过其内置的 SFTP 和网络服务器，还能实现安全文件传输。开发者称，他们的文件传输软件在全球拥有超过 10000 家客户，其中包括美国空军、索尼、空客、路透社和丝芙兰。 这个被追踪为 CVE – 2025 – 47813 的安全漏洞，使得低权限的威胁行为者能够在未打补丁的服务器上获取该应用程序完整的本地安装路径。 CISA 解释称：“Wing FTP 服务器在 UID cookie 中使用长值时，存在生成包含敏感信息的错误消息漏洞。” 开发者于 2025 年 5 月在 Wing FTP 服务器 v7.4.4 版本中修复了此漏洞，同时修复的还有一个严重的远程代码执行（RCE）漏洞（CVE – 2025 – 47812）以及一个可用于窃取用户密码的信息泄露漏洞（CVE – 2025 – 27889）。 此前，在有关该 RCE 漏洞的技术细节公开一天后，攻击者就开始利用它，该漏洞也因此被标记为已在实际攻击中被利用。 发现并报告这些漏洞的安全研究员朱利安・阿伦斯（Julien Ahrens），于 6 月还分享了 CVE – 2025 – 47813 的概念验证利用代码，并表示攻击者可能将其与 CVE – 2025 – 47812 作为同一攻击链条的一部分来利用。 周二，CISA 将 CVE – 2025 – 47813 列入其被积极利用漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦民用行政部门（FCEB）机构在两周内保护好他们的系统。 虽然 BOD 22 – 01 仅针对联邦机构，但美国网络安全机构鼓励所有安全防护人员，包括私营部门的人员，尽快为其服务器打补丁，以应对正在发生的攻击。 CISA 在周一警告称：“这类漏洞是恶意网络行为者常用的攻击途径，对联邦机构构成重大风险。” “请按照供应商说明采取缓解措施，遵循 BOD 22 – 01 中关于云服务的适用指导；若无法采取缓解措施，则停止使用该产品。” 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据瑞典风险暴露管理与身份安全公司 Outpost24 的子公司 Specops Software 报告，该公司一名 C 级高管成为一场复杂网络钓鱼攻击的目标。 此次攻击很可能借助了近期发现的一款名为 “Kratos” 的钓鱼即服务工具包，依靠一个七步链条展开，利用分层基础设施和合法服务来逃避检测并欺骗收件人。 这封网络钓鱼邮件冒充金融服务提供商摩根大通，以现有邮件线程的一部分形式出现，以此增加其可信度，并邀请收件人查看并签署一份文件。 此外，攻击者使用了两个域名密钥识别邮件（DKIM）签名，以确保邮件能够通过 DMARC 身份验证，看起来值得信赖。 在邮件中，攻击者包含了一个 “查看文件” 链接，指向合法的思科域名 secure – web.cisco.com，该域名通常用于在邮件经思科验证后重写 URL。 由于该链接通过了思科安全邮件网关的验证，重定向 URL 托管在思科的基础设施上，这进一步使网络钓鱼邮件绕过了检测系统。 链条中的下一步涉及重定向到合法的电子邮件 API 平台 Nylas，这可能是为了确保网络钓鱼链接通过思科安全网络基础设施进行重定向。 Specops 指出：“通过将重定向链设置为经过思科和 Nylas 等合法服务，攻击者增加了链接通过安全过滤和信誉检查的可能性。这些域名广受信任，常见于合法流量中，这使得自动拦截变得更加困难。” 接下来，目标被重定向到一家位于印度的合法开发公司网站的子域名，然后又被重定向到一个最初于 2017 年由一家中国实体注册的域名。 该域名之前的 TLS 证书于 3 月 6 日过期，相关的 DNS 记录不久后被释放，该域名于 3 月 12 日重新注册，同一天为其颁发了几个新的 TLS 证书。 Specops 指出：“时间节点强烈表明，该域名是专门为此次攻击活动重新获取并重新利用的。” 用户再次被重定向，这次被导向部署在 Cloudflare 背后以隐藏其源服务器的网络钓鱼基础设施。在此阶段，受害者会收到一个浏览器验证检查，这可能是为了防止安全分析。 最后，受害者会看到一个极具迷惑性的网络钓鱼页面，旨在获取微软 365 的凭据。 Specops 解释道：“与攻击链条的其他部分一样，这一步也精心设计，从模仿 Outlook 的虚假加载动画，到验证用户输入是否确实为电子邮件的检查。作为最后一步，该网站尝试进行合法登录，以验证捕获的凭据是否有效。” 这家网络安全公司向 SecurityWeek 证实，此次攻击的目标是其母公司 Outpost24 的一名 C 级高管，凸显了此次攻击的复杂性。 Specops 没有将该事件归咎于特定的威胁行为者，但指出其作案手法与近期针对美国多个实体的与伊朗有关的威胁行为者的手法完全一致。 另一方面，该公司表示，也观察到其他黑客组织采用类似策略，因此很难明确归责。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，俄罗斯彼尔姆市的停车支付系统遭网络攻击，导致服务中断，停车免费数天。目前该系统已恢复正常。 周一，该市当局证实停车支付系统现已全面恢复运行，所有支付方式均可正常使用。 据当地官员称，此次系统瘫痪是由大规模分布式拒绝服务（DDoS）攻击造成的，该攻击使该市的自动停车支付基础设施不堪重负。 近年来，这至少是俄罗斯城市停车系统遭遇的第三起此类事件。去年 1 月，克拉斯诺达尔的一家电信运营商遭到 DDoS 攻击，导致相关服务中断，司机无法支付停车费用。 2024 年 10 月，特维尔市的停车支付也因一场针对当地市政府网络的破坏性网络攻击而受到影响。 后来，乌克兰网络联盟（Ukrainian Cyber Alliance）宣称对特维尔市的攻击负责。这是一个亲乌克兰的黑客激进组织，自俄罗斯入侵乌克兰以来，一直对俄罗斯政府和企业系统发动攻击。 上周彼尔姆市的这起事件迫使当局暂停全市停车收费，司机无法通过官方应用程序和网站付费。 官员表示，在 3 月 10 日至 13 日系统瘫痪期间，未支付停车费的司机不会面临处罚。彼尔姆市的付费停车区通常在周末免费。 乌克兰网络联盟在 2024 年对特维尔市的攻击中称，他们已删除了该市行政部门的 “数十台虚拟机、备份存储、网站、电子邮件以及数百台工作站”。 目前尚不清楚彼尔姆市的这起事件是否与之前的攻击有关，也没有黑客组织宣称对此负责。 此次攻击是一系列影响俄罗斯服务的网络事件中的最新一起。今年 1 月初，俄罗斯弗拉基米尔地区一家主要面包生产商遭网络攻击，导致食品配送中断。 同月，一家为家庭、企业和车辆提供报警及安全系统的俄罗斯供应商遭受攻击，引发大范围服务中断，客户投诉不断。另有一起事件还影响了俄罗斯航空公司和机场使用的预订及登机系统。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个相对较新的疑似与俄罗斯有关的黑客组织发起了一场网络间谍活动，他们将间谍软件伪装在有关星链卫星互联网终端和一家知名乌克兰慈善机构的文件中，目标直指乌克兰的各类组织。 据网络安全公司 Lab52 的一份报告显示，这场在 2 月被监测到的活动，部署了一款名为 DrillApp 的后门程序。借助该程序，攻击者能够从受感染的计算机上传和下载文件，通过麦克风录制音频，并利用网络摄像头抓拍图像。 研究人员将这场活动归咎于疑似与俄罗斯有关的黑客组织 “洗衣熊”（Laundry Bear），该组织也被追踪代号为 “虚空暴雪”（Void Blizzard）。至少从 2024 年起，该组织就十分活跃，此前曾将北约成员国和乌克兰机构列为攻击目标。 乌克兰计算机应急响应小组 CERT-UA 今年早些时候曾报告过该组织针对乌克兰武装部队的另一项行动。研究人员表示，这些行动都采用了类似的手段，包括以慈善为主题的诱饵，以及在公共文本分享服务平台上托管恶意组件。 在最近的这次行动中，攻击者使用了冒充乌克兰支持武装部队的慈善组织 “重生”（Come Back Alive）的请求文件，以及与星链卫星互联网终端验证相关的图片。2 月初，在乌克兰当局确认俄罗斯军队已开始在攻击无人机上安装星链技术后，乌克兰推出了针对星链终端的验证系统。 一旦恶意文件被打开，它就会通过微软 Edge 浏览器执行，使攻击者能够访问受害者的文件系统，并从麦克风获取音频、从摄像头获取视频以及录制设备屏幕画面。 研究人员称，攻击者可能选择通过网络浏览器来传播恶意软件，因为浏览器通常能够合法访问摄像头、麦克风和屏幕录制等敏感设备功能，这使得恶意活动更难被察觉。而且安全工具也很少将浏览器标记为可疑对象。 Lab52 表示，该间谍软件似乎仍处于早期开发阶段，这表明攻击者可能正在尝试新的方法来规避防御措施。研究人员识别出此次活动中使用的恶意软件有两个版本，主要区别在于诱骗受害者的诱饵不同。 “洗衣熊” 此前被描述为使用 “相对简单但难以察觉的技术”。该组织主要专注于网络间谍活动。微软此前曾报告称，该组织已成功渗透乌克兰多个行业的机构，包括教育、交通和国防领域。 安全研究人员还注意到，“洗衣熊” 的策略与俄罗斯军事情报威胁组织 APT28（也被称为 “奇幻熊”，Fancy Bear）的策略存在重叠之处，不过分析人士通常认为它们是不同的组织。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦情报局（BND）前副局长阿恩特・弗赖塔格・冯・洛林霍芬（Arndt Freytag von Loringhoven）成为 Signal 网络攻击的目标，这是一系列针对德国官员和政客的攻击浪潮的一部分。 一场针对 Signal 和 WhatsApp 用户的网络攻击，波及了德国高级官员，其中包括前 BND 副局长阿恩特・弗赖塔格・冯・洛林霍芬。这位官员报告称，有人冒充 Signal 客服联系他，并索要他的个人识别码（PIN）。这一事件凸显了一场针对安全机构和政治要职敏感人员的广泛网络间谍活动。 《明镜》周刊（SPIEGEL）发布的报道称：“他绝非全球针对 Signal 和 WhatsApp 用户账号攻击浪潮中唯一的知名受害者。据《明镜》周刊了解，德国高级政客已向当局报案称自己是受害者，安全机构的在职官员也遭到了攻击。” 早在 2 月，德国联邦宪法保卫局（BfV）和联邦信息安全办公室（BSI）就将此次攻击归类为 “与安全相关”，并敦促受影响人员站出来。BfV 表示，这一警告得到了 “高度响应”，且他们认为这避免了更严重的损害。 德国当局警告 Signal 用户检查可疑迹象，比如在 “已配对设备” 下列出的未知设备，或者意外收到的重新注册账号提示。 以前 BND 官员阿恩特・弗赖塔格・冯・洛林霍芬的情况为例，攻击者利用他被盗取的账号向其联系人发送恶意链接。他迅速警告联系人不要打开链接，并删除了自己的账号。调查人员认为，这起事件是与俄罗斯有关的持续混合攻击行动的一部分。鉴于洛林霍芬曾研究俄罗斯混合战争，还著有《普京对德国的攻击》一书，他很可能被视为高价值目标。 Signal 方面表示，近期的这些事件是有针对性的网络钓鱼攻击，攻击者借此劫持官员和记者的账号。该公司强调其加密技术和基础设施并未受损，仍然安全。Signal 在 X 平台（原推特）上发文称：“我们知晓近期有关针对性网络钓鱼攻击导致部分 Signal 用户（包括政府官员和记者）账号被劫持的报道。我们对此高度重视。需要明确的是：Signal 的加密技术和基础设施并未受损，依然稳固。” Signal 警告称，此类攻击依赖社会工程学手段，攻击者冒充可信联系人或假冒客服，诱骗用户分享验证码或 PIN 码。该公司强调绝不会通过消息或社交媒体索要这些信息，并敦促用户保持警惕，切勿分享登录验证码。 3 月初，荷兰情报机构（军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD）发出警告，称存在一场由与俄罗斯有关的威胁行为者发起的全球行动，目标是入侵 Signal 和 WhatsApp 账号。此次行动的目标包括政府官员、公务员和军事人员，凸显了国家安全相关人员敏感通信面临的日益增长的网络风险。 荷兰情报机构发布的警报称：“俄罗斯国家黑客正在开展一场大规模全球网络行动，试图获取政要、军事人员和公务员的 Signal 和 WhatsApp 账号。荷兰军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD 可以证实，此次行动的目标和受害者包括荷兰政府雇员。荷兰情报机构还认为，俄罗斯政府感兴趣的其他人员，如记者，也可能成为此次行动的目标。” 俄罗斯网络间谍通过诱骗用户透露验证码，从而劫持 Signal 和 WhatsApp 账号。他们冒充 Signal 客服，或利用 “关联设备” 功能，获取消息和聊天群组的访问权限，这可能导致政府和军事目标的敏感信息泄露。 荷兰情报机构警告称，俄罗斯之所以瞄准 Signal，是因其强大的端到端加密功能，俄罗斯企图借此获取敏感的政府通信内容。官员们强调，Signal 和 WhatsApp 等应用不应被用于传输机密或保密信息。 政府专家指出，攻击者并非利用应用程序漏洞，而是滥用 Signal 和 WhatsApp 的合法功能。官员们表示，只有个别账号成为攻击目标，而非平台本身。 荷兰情报机构建议 Signal 用户仔细监控群组聊天，留意账号被入侵的迹象。如果同一联系人以相同或稍有改动的名字出现两次，这可能表明账号已遭入侵，或者是受害者新创建的账号。用户应向所在组织的信息安全团队报告可疑情况，并通过电子邮件或电话等其他渠道核实账号。群组管理员应移除任何未经授权的账号，之后合法成员可重新加入。受攻击者控制的账号可能会更改显示名称，例如改为 “已删除账号”，或者通过共享群组链接加入，从而触发通知。用户应警惕不熟悉的成员和异常的账号行为。如果怀疑群组管理员账号已遭入侵，建议离开该聊天群组并创建新群组，以确保群组内通信的安全性和完整性。 2025 年 2 月，谷歌威胁情报小组（GTIG）的研究人员发出警告，称多个与俄罗斯有关的威胁行为者正瞄准俄罗斯情报部门感兴趣人员使用的 Signal Messenger 账号。专家推测，针对 Signal 所采用的策略、技术和流程在短期内仍会普遍存在，且可能会在乌克兰以外的地区实施。 俄罗斯黑客利用 Signal 的 “关联设备” 功能，通过特制的二维码将受害者账号关联到攻击者控制的设备上，进而进行监视。 GTIG 发布的报告称：“俄罗斯方面试图入侵 Signal 账号时，最新颖且广泛使用的技术是滥用该应用程序合法的 ‘关联设备’ 功能，该功能允许 Signal 在多个设备上同时使用。由于添加关联设备通常需要扫描二维码，威胁行为者便制作恶意二维码，受害者扫描后，其账号就会与攻击者控制的 Signal 实例关联。如果成功，后续消息将实时同步发送给受害者和威胁行为者，这为攻击者提供了一种持续监听受害者安全对话的方式，而无需完全入侵设备。” 研究人员还报告称，与俄罗斯和白俄罗斯有关的威胁行为者能够使用脚本、恶意软件和命令行工具，从安卓和 Windows 设备上窃取 Signal 数据库文件，以实现数据渗出。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰国家核研究中心（NCBJ）表示，其信息技术基础设施遭到黑客攻击，但在造成任何影响前就已被检测并拦截。 该机构本周在一份声明中宣布，其用于及早发现威胁的安全系统和内部流程，成功阻止了系统被入侵，并让信息技术人员迅速加固了受攻击目标。 波兰国家核研究中心称：“得益于安全系统与相关流程在此次事件中的快速高效运行，以及团队的迅速响应，攻击被成功挫败，系统完整性未受破坏。” 波兰国家核研究中心是该国主要的政府核科研机构，专注于核物理、反应堆技术、粒子物理和辐射应用领域，为波兰核电项目提供技术与科研支持。 该机构还运营着波兰唯一一座用于科研实验、中子研究及医用同位素生产的玛丽亚（MARIA）核反应堆，此反应堆不用于发电。 波兰国家核研究中心主任雅各布・库佩茨基教授表示，此次网络安全事件未影响玛丽亚反应堆的运行，反应堆仍以满功率安全稳定运转。 该机构已通报波兰相关部门并启动调查，同时内部安全团队已进入高度戒备状态，以应对任何新的威胁。 尽管该机构未将此次攻击归咎于任何特定黑客组织或国家，但路透社报道称，波兰当局发现伊朗可能是此次网络攻击的幕后方。不过调查人员仍持谨慎态度，因为这些迹象有可能是虚假旗标行动（故意嫁祸）。 本月早些时候，波兰国防部长弗拉迪斯拉夫・科希尼亚克 – 卡米什表示，波兰并未参与中东冲突。 今年 1 月有消息披露，波兰电网 —— 尤其是多个分布式能源资源站点、热电联产设施、风电与光伏调度系统 —— 曾遭到俄罗斯黑客组织 APT44（“沙虫”）的攻击。 2 月底，国际气候与环境研究中心（ICCT）的一份报告将波兰列为俄罗斯网络行动的重点目标之一：2025 年年中至 2026 年年初，已有31 起确认为俄罗斯方面发起的网络事件。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦调查局（FBI）正在向安装了含恶意软件 Steam 游戏的玩家征集信息，这是针对上传至该游戏平台的 8 款恶意游戏所开展调查的一部分。 在 FBI 西雅图分局今日发布的一则通知中，该机构表示，正在试图确认 2024 年 5 月至 2026 年 1 月期间，在 Steam 上安装了其中一款恶意游戏后受到影响的人员。 通知中写道：“FBI 西雅图分局正在寻找可能安装了嵌入恶意软件 Steam 游戏的受害者。FBI 认为，威胁行为者主要针对的是 2024 年 5 月至 2026 年 1 月这一时间段内的用户。” “在调查中，已确定多款游戏存在问题，包括《方块爆破手》（BlockBlasters）、《化学世界》（Chemia）、《达什宇宙 / 达什第一人称射击》（Dashverse/DashFPS）、《小灯神》（Lampy）、《露娜拉》（Lunara）、《海盗加密》（PirateFi）和《托肯诺瓦》（Tokenova）。” “如果您和 / 或您监护的未成年人因安装这些游戏之一而成为受害者，或者拥有与此次调查相关的信息，请填写这份简短表格。” 调查问卷显示，FBI 关注的重点是安装恶意软件后的加密货币盗窃和账户劫持情况，询问有关加密货币交易、被盗用账户及被盗资金的问题。 该表格还要求提供与推广这些游戏的人员的通信截图，这有助于调查人员追踪被盗的加密货币，并追查到传播恶意软件的人。 FBI 向 BleepingComputer 表示：“法律要求 FBI 确认其调查的联邦犯罪受害者身份。受害者可能有资格根据联邦和 / 或州法律获得某些服务、赔偿并享有相应权利。所有受害者身份都将予以保密。” “2026 年 3 月 12 日发出的大规模通知中列出的网站和电子邮件是 FBI 官方授权的。目前，FBI 无法提供超出电子邮件通知中网站所提及信息之外的具体细节。” FBI 还呼吁任何知晓可能受影响人员的人，鼓励他们向 [email protected] 提交问询。 BleepingComputer 也向 Valve 公司发送了有关此次调查的问题，但未收到回复。 Steam 游戏中隐藏的恶意软件 在过去两年里，Steam 平台上发现的多款恶意游戏传播了窃取信息的恶意软件，这些恶意软件旨在从玩家设备中获取凭证、加密货币钱包及其他敏感数据。 其中最引人注目的案例之一涉及《方块爆破手》，这是一款 2024 年 7 月至 9 月期间在 Steam 平台上提供的免费 2D 平台游戏。该游戏最初上传至 Steam 时是干净的程序，但后来被添加了加密货币窃取恶意软件。 这款 Steam 恶意游戏的情况是由视频游戏主播雷沃・普拉夫尼克斯（拉斯特兰 TV，Raivo Plavnieks/RastalandTV）在一次直播中揭露的，当时他正在为癌症治疗筹款。 这位主播下载了这款经 Steam 验证的游戏后，称其加密货币钱包损失了超过 3.2 万美元。 区块链调查员扎克 XBT（ZachXBT）后来估计，攻击者从 261 个 Steam 账户中窃取了约 15 万美元。网络安全研究员 VX-Underground 随后报告称，受害者数量高达 478 人。 在恶意生存建造游戏《化学世界》中，一个名为 EncryptHub 的威胁行为者添加了 HijackLoader 恶意软件，该软件会下载 Vidar 信息窃取器。后来发现，这款游戏还安装了 EncryptHub 定制的 Fickle Stealer 恶意软件，该软件会窃取凭证、浏览器数据、Cookie 和加密货币钱包信息。 《海盗加密》游戏也传播了 Vidar 信息窃取器，2025 年 2 月在 Steam 平台上存在了约一周时间。在该游戏从 Steam 下架前，可能有多达 1500 名用户下载了它。 Steam 随后警告启动该游戏的玩家，其电脑上可能已执行恶意文件，并建议他们运行杀毒扫描、检查已安装软件，并考虑重新安装操作系统。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Payload 勒索软件组织宣称已入侵巴林一家主要医疗机构 —— 巴林皇家医院（RBH）。 Payload 勒索软件组织声称侵入了巴林皇家医院，并窃取了 110GB 的数据。该勒索软件团伙将这家医疗机构列入其暗网数据泄露网站，并公布了疑似被攻击系统的图片，以此作为攻击证据。 该组织威胁称，如果在 3 月 23 日前未收到赎金，就会公开所窃取的数据。 巴林皇家医院成立于 2011 年，是一家拥有 70 张床位的医疗机构，提供住院和门诊服务，包括手术、产科护理和诊断等。其服务对象来自巴林及阿曼、卡塔尔、沙特阿拉伯和阿联酋等周边国家。 Payload 勒索软件是一个相对较新的网络犯罪活动，采用双重勒索模式，即结合数据窃取和文件加密手段向受害者施压。该组织主要针对新兴市场中房地产和物流等行业的大中型企业。从技术层面看，这款勒索软件使用 ChaCha20 算法进行文件加密，Curve25519 算法进行密钥交换，同时会删除卷影副本并禁用安全工具。 与许多现代犯罪团伙一样，Payload 很可能是以勒索软件即服务的模式运营，并设有一个暗网泄露网站，用于公布未支付赎金受害者的数据。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出 GlassWorm 攻击活动的新变体，称其在通过 Open VSX 注册表传播的方式上出现 “显著升级”。 Socket 公司在周五发布的一份报告中称：“威胁行为者不再要求每个恶意插件直接嵌入加载程序，而是滥用 extensionPack（扩展包）和 extensionDependencies（扩展依赖项），在后续更新中将最初看似独立的扩展转变为间接传播工具，使得一个看似良性的软件包在建立信任后，才开始引入与 GlassWorm 相关的单独扩展。” 这家软件供应链安全公司表示，自 2026 年 1 月 31 日以来，他们发现至少还有 72 个针对开发者的恶意 Open VSX 扩展。这些扩展模仿广泛使用的开发者工具，包括代码检查器和格式化工具、代码运行器，以及诸如 Clade Code 和 Google Antigravity 等人工智能驱动的代码辅助工具。 以下是部分扩展的名称。此后，Open VSX 已采取措施将它们从注册表中移除： angular-studio.ng – angular – extension crotoapp.vscode – xml – extension gvotcha.claude – code – extension mswincx.antigravity – cockpit tamokill12.foundry – pdf – extension turbobase.sql – turbo – tool vce – brendan – studio – eich.js – debuger – vscode GlassWorm 是一场持续的恶意软件攻击活动，它多次通过恶意扩展渗透微软 Visual Studio Marketplace 和 Open VSX，这些恶意扩展旨在窃取机密信息、掏空加密货币钱包，并将受感染的系统用作其他犯罪活动的代理。 网络安全方面，虽然该活动于 2025 年 10 月首次被 Koi Security 标记，但早在 2025 年 3 月就已发现使用相同策略的 npm 包，特别是使用不可见的 Unicode 字符来隐藏恶意代码。 最新变体保留了与 GlassWorm 相关的许多特征：进行检查以避免感染俄罗斯区域设置的系统，并使用 Solana 交易作为一种隐秘通信方式来获取命令与控制（C2）服务器，以提高弹性。 但这组新的扩展还具有更强的混淆性，轮换 Solana 钱包以逃避检测，并且滥用扩展关系来部署恶意有效载荷，类似于 npm 包依赖恶意依赖项以躲避检测。无论一个扩展在其 “package.json” 文件中被声明为 “extensionPack” 还是 “extensionDependencies”，编辑器都会继续安装其中列出的所有其他扩展。 通过这种方式，GlassWorm 攻击活动使用一个扩展作为另一个恶意扩展的安装程序。这也开启了新的供应链攻击场景，攻击者首先将一个完全无害的 VS Code 扩展上传到市场以绕过审核，之后更新该扩展，将与 GlassWorm 相关的软件包列为依赖项。 Socket 公司称：“结果是，一个在最初发布时看似非传递性且相对良性的扩展，随后可以在不改变其表面用途的情况下，成为一个传递 GlassWorm 的工具。” 在一份同期发布的公告中，Aikido 将 GlassWorm 威胁行为者归因于一场在开源存储库中传播的大规模攻击活动，攻击者向各种存储库注入不可见的 Unicode 字符来编码有效载荷。虽然当内容加载到代码编辑器和终端中时不可见，但解码后会得到一个加载程序，该加载程序负责获取并执行一个第二阶段脚本，以窃取令牌、凭证和机密信息。 据估计，在 2026 年 3 月 3 日至 3 月 9 日期间，作为该活动一部分，不少于 151 个 GitHub 存储库受到影响。此外，相同的 Unicode 技术已被部署在两个不同的 npm 包中，这表明这是一次有协调的多平台攻击： @aifabrix/miso – client @iflow – mcp/watercrawl – watercrawl – mcp 安全研究员伊利亚斯・马卡里（Ilyas Makari）表示：“恶意注入并非出现在明显可疑的提交中。周围的更改很真实：文档调整、版本升级、小的重构以及与每个目标项目风格一致的错误修复。这种针对特定项目的定制程度强烈表明，攻击者正在使用大语言模型来生成令人信服的掩护提交。” PhantomRaven 还是研究实验？ 与此同时，Endor Labs 表示，他们发现从 2025 年 11 月到 2026 年 2 月，分三波通过 50 个一次性账户上传了 88 个新的恶意 npm 包。这些包具备从受感染机器上窃取敏感信息的功能，包括环境变量、CI/CD 令牌和系统元数据。 该活动因使用远程动态依赖项（RDD）而引人注目，在这种情况下，“package.json” 元数据文件在自定义 HTTP URL 指定依赖项，从而使操作者能够动态修改恶意代码并绕过检查。 在网络安全领域，虽然这些包最初被认定为 PhantomRaven 攻击活动的一部分，但这家应用安全公司在一次更新中指出，它们是一名安全研究人员作为合法实验的一部分制作的 —— 但 Endor Labs 对此说法提出质疑，并列举了三个警示信号。其中包括这些库收集的信息远超必要范围、对用户不透明，以及由故意轮换的账户名和电子邮件地址发布。 截至 2026 年 3 月 12 日，这些包的所有者已进行了更多更改，将在这三个月期间发布的一些 npm 包中用于收集数据的有效载荷替换为简单的 “Hello, world!” 消息。 Endor Labs 表示：“虽然移除收集大量信息的代码当然值得欢迎，但这也凸显了与 URL 依赖相关的风险。当软件包依赖托管在 npm 注册表之外的代码时，作者无需发布新的软件包版本就能完全控制有效载荷。通过修改服务器上的单个文件 —— 或者仅仅关闭它 —— 他们可以立即无声地更改或禁用每个依赖包的行为。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大零售商罗布劳（Loblaw）在威胁行为者获取客户信息后，披露了一起数据泄露事件。 罗布劳是加拿大最大的食品和药品零售商之一。它在加拿大各地经营着 2400 多家门店，拥有诸如购物者药品超市（Shoppers Drug Mart）、平价超市（No Frills）、加拿大真实超市（Real Canadian Superstore）和总统之选（President’s Choice）等品牌。 该公司在一份简短的数据泄露通知中表示，其最近发现一个 “第三方犯罪分子” 获取了客户的基本信息，如姓名、电子邮件地址和电话号码。 该公司称：“罗布劳目前的调查显示，密码、健康信息和信用卡数据未遭泄露。调查还表明，PC 金融（PC Financial）未受此次数据泄露事件的影响。” 目前尚不清楚有多少客户受到罗布劳数据泄露事件的影响。 在撰写本文时，没有已知的勒索软件组织声称对罗布劳的攻击负责。 就在罗布劳披露数据泄露事件之际，星巴克刚刚开始通知数百名员工，告知他们发生了一起网络安全事件，其个人信息已被泄露。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 星巴克披露了一起数据泄露事件，数百名员工的个人信息遭到波及。 这起网络安全事件于 2 月 6 日被察觉，当时这家咖啡巨头获悉其 “星巴克伙伴中心” 账户遭到未经授权的访问。 “伙伴中心” 是星巴克员工（公司称他们为 “伙伴”）用于管理个人信息、薪资以及福利数据的在线门户网站。 基于星巴克披露的有限信息来看，似乎其系统并非直接攻击目标，网络也未遭破坏。 一项调查发现，黑客通过网络钓鱼攻击获取用户凭证后，得以访问 “星巴克伙伴中心” 账户。此次网络钓鱼利用了模仿该门户网站设计的虚假网站。 星巴克在向受影响员工发出的通知中称：“基于我们的调查，我们了解到您的部分个人信息，包括姓名、社会安全号码、出生日期、金融账户号码及路由号码，可能已被未经授权的第三方获取。” 执法部门已得知这起事件，同时星巴克为受影响员工提供免费的身份信息保护服务。 根据提交给缅因州总检察长办公室的数据泄露通知，此次事件影响了近 900 名星巴克员工。该公司在美国拥有超过 20 万名员工。 该通知还显示，对员工账户的未经授权访问发生在 1 月 19 日至 2 月 11 日之间。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文