Aggregator

A sophisticated supply chain attack targeting Python developers has emerged through a seemingly innocuous package named termncolor, which conceals a multi-stage malware operation designed to establish persistent access on compromised systems. The malicious package, distributed through the Python Package Index (PyPI), masquerades as a legitimate terminal color utility while secretly deploying advanced backdoor capabilities that […]

The post Weaponized Python Package Termncolor Attacking Leverages Windows Run Key to Maintain Persistence appeared first on Cyber Security News.

A vulnerability categorized as critical has been discovered in Config Pages up to 2.17.x on Drupal. This affects an unknown function. The manipulation results in improper authorization. This vulnerability was named CVE-2025-8361. The attack may be performed from a remote location. There is no available exploit. It is advisable to upgrade the affected component.

A vulnerability labeled as problematic has been found in COOKiES Consent Management up to 1.2.15 on Drupal. Affected is an unknown function. Such manipulation leads to cross site scripting. This vulnerability is referenced as CVE-2025-8092. It is possible to launch the attack remotely. No exploit is available. The affected component should be upgraded.

A vulnerability classified as critical was found in Wulkano KAP 3.6.0 on macOS. This vulnerability affects unknown code. The manipulation results in code injection. This vulnerability is cataloged as CVE-2025-7961. The attack must be initiated from a local position. There is no exploit available.

A vulnerability described as problematic has been identified in Bunkerity Bunker Web 1.6.2 on Linux. The affected element is an unknown function. The manipulation results in open redirect. This vulnerability is cataloged as CVE-2025-8066. The attack may be launched remotely. There is no exploit available.

HackerNews 编译，转载请注明出处： Noodlophile恶意软件背后的威胁行为者正在利用鱼叉式钓鱼邮件和更新的传播机制，针对位于美国、欧洲、波罗的海国家和亚太（APAC）地区的企业部署信息窃取程序。 Morphisec研究员Shmuel Uzan在分享给The Hacker News的报告中表示：“Noodlophile攻击活动已持续一年以上，目前采用伪装成版权侵权通知的高级鱼叉式钓鱼邮件，这些邮件通过侦察获取的细节（如特定Facebook页面ID和公司所有权信息）进行定制化伪装。” 网络安全供应商曾在2025年5月详细披露过Noodlophore恶意软件，揭露攻击者使用虚假人工智能（AI）工具作为诱饵传播该恶意软件。这些伪造程序被发现在Facebook等社交媒体平台上投放广告。 需要说明的是，采用版权侵权诱饵并非新手段。早在2024年11月，Check Point就曾发现一场大规模钓鱼行动，该行动以虚假的版权侵权违规为由针对个人和组织投放Rhadamanthys窃取程序。 但最新迭代的Noodlophile攻击展现出显著差异，尤其是在合法软件漏洞利用、通过Telegram进行混淆分阶段部署以及动态载荷执行方面。 整个过程始于钓鱼邮件——通过声称特定Facebook页面存在版权侵权行为来制造虚假紧迫感，诱骗员工下载并运行恶意载荷。这些邮件源自Gmail账户以规避怀疑。 邮件内含有的Dropbox链接会释放ZIP或MSI安装程序。该安装程序随后利用与海海软件（Haihaisoft）PDF阅读器相关的合法二进制文件侧载恶意DLL，最终启动混淆的Noodlophile窃取程序。在此之前，攻击者会通过运行批处理脚本利用Windows注册表建立持久化机制。 攻击链的显著特点是利用Telegram群组描述作为“死投解析器”（dead drop resolver）来获取托管窃取程序载荷的实际服务器（“paste[.]rs”），此举增加了检测和清除难度。 Uzan指出：“该方法延续了先前攻击活动的技术（例如Base64编码压缩包、滥用certutil.exe等LOLBin工具），但新增了基于Telegram的命令控制层和内存执行层，以规避基于磁盘的检测。” 身份安全风险评估 Noodlophore是一款功能完善的窃取程序，能够捕获网络浏览器数据并收集系统信息。对该窃取程序源代码的分析表明，其开发工作持续进行以扩展功能，包括实现屏幕截图捕获、键盘记录、文件窃取、进程监控、网络信息收集、文件加密和浏览器历史记录提取。 Morphisec强调：“对浏览器数据的广泛窃取表明该活动针对具有重要社交媒体足迹（尤其是Facebook等平台）的企业。这些尚未实现的功能表明窃取程序开发者正积极扩展其能力，可能将其转变为更通用且危险的威胁。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

关键词数据泄露全球人力资源公司 Manpower 及企业软件提供商 Workday 近日先后确认遭遇网络攻击，

关键词网络攻击微软近期披露了一种名为 PipeMagic 的高级后门程序，该工具依靠模块化设计与内存操作实现隐

关键词数据泄露网络安全研究人员近期发现，攻击者正越来越多地将 Telegram 的 Bot API 基础设施作

关键词数据泄露近期，有网络黑客在暗网论坛上以“Chucky_BF”的名义声称出售一份名为“Global Pay

HackerNews 编译，转载请注明出处： 网络安全领域正面临一种新型威胁的警示——“提示词中间人攻击”（Man-in-the-Prompt），这种攻击能够危害用户与主流生成式人工智能工具的交互，包括ChatGPT、Gemini、Copilot和Claude等。最令人担忧的是，这种攻击甚至不需要复杂的技术手段，仅需一个浏览器扩展即可实施。 LayerX安全研究员Aviad Gispan解释道：“研究表明，任何浏览器扩展——即使没有特殊权限——都能访问商业和内部LLM（大语言模型）的提示词，并通过注入恶意提示词来窃取数据、外泄信息并掩盖痕迹。我们已在所有主流商业LLM上验证了这一漏洞，并为ChatGPT和Google Gemini提供了概念验证演示。” 什么是“提示词中间人攻击”？ LayerX安全专家用这个术语描述一种新型攻击向量，它利用了AI聊天机器人输入窗口这一被低估的弱点。当我们在浏览器中使用ChatGPT等工具时，输入的信息实际上位于一个简单的HTML字段中，可通过页面的DOM（文档对象模型）访问。这意味着任何能访问DOM的浏览器扩展都能读取、修改或重写我们发送给AI的请求，而用户却浑然不觉。更关键的是，这类扩展甚至不需要特殊权限。 攻击原理剖析 用户在浏览器中打开ChatGPT或其他AI工具 恶意扩展拦截即将发送的文本 修改提示词，例如添加隐藏指令（提示词注入）或从AI响应中窃取数据 用户收到看似正常的回复，但实际上数据已被窃取或会话已被入侵 该技术已被证实适用于所有主流AI工具，包括： ChatGPT（OpenAI） Gemini（Google） Copilot（Microsoft） Claude（Anthropic） DeepSeek（中国AI模型） 具体风险分析 报告指出，这种攻击可能造成严重后果，尤其对企业用户： 敏感数据窃取： 若AI处理的是机密信息（源代码、财务数据、内部报告），攻击者可通过修改提示词读取或提取这些信息。 响应操控： 注入的提示词可改变AI的行为模式。 安全控制绕过： 攻击发生在提示词发送至AI服务器之前，因此能绕过防火墙、代理和数据防泄露系统。 据LayerX统计，99%的企业用户浏览器中至少安装了一个扩展程序，这意味着风险敞口极大。 防护措施建议 个人用户应采取： 定期检查并卸载非必要的浏览器扩展。 避免安装来源不明或不可靠的扩展。 尽可能限制扩展权限。 企业用户应实施： 在公司设备上禁用或严格监控浏览器扩展。 尽可能将AI工具与敏感数据隔离。 采用运行时安全解决方案监控DOM并检测输入字段篡改。 对提示词流进行专项安全测试，模拟注入攻击。 采用新兴的“提示词签名”技术：在发送前对提示词进行数字签名以验证完整性。 实施“来源标注”技术，区分可靠内容与潜在篡改。 更广泛的问题：提示词注入 “提示词中间人攻击”属于更广泛的提示词注入威胁范畴，根据OWASP 2025年十大LLM安全风险，这是AI系统面临的最严重威胁之一。这类攻击不仅限于技术手段——即使是看似无害的外部内容（如电子邮件、链接或文档注释）也可能包含针对AI的隐藏指令。例如： 处理支持工单的企业聊天机器人可能被格式异常的请求操控。 阅读邮件的AI助手可能被注入的提示词诱导向第三方发送信息。 核心启示 LayerX报告指出了一个关键问题：AI安全不能仅局限于模型或服务器层面，还必须涵盖用户界面和浏览器环境。在AI日益融入个人和企业工作流的时代，一个简单的HTML文本字段可能成为整个系统的致命弱点。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

rce命令执行系统，命运石之门，uploader

HackerNews 编译，转载请注明出处： 根据Shadowserver基金会最新监测数据，超过870个暴露在互联网的N-able N-central实例仍运行存在两个高危漏洞的版本。这两个漏洞分别被追踪为CVE-2025-8875（不安全反序列化问题）和CVE-2025-8876（命令注入漏洞）。 N-able于8月13日发布公告称，其远程监控与管理平台（RMM）2025.3版本已修复相关漏洞。同日，美国网络安全和基础设施安全局（CISA）将漏洞列入“已知被利用漏洞”目录，要求联邦机构在8月20日前完成修补。 N-able向SecurityWeek确认，漏洞已被用于攻击“有限数量的客户”，攻击者通过利用本地部署的N-central实例实现权限提升。该公司声明：“目前尚未在云端托管环境中发现攻击证据，调查仍在持续中。”尽管未明确承认，漏洞披露时间与CISA紧急响应的时间节点暗示这些漏洞可能已被作为零日漏洞利用。 漏洞披露后，Shadowserver立即启动专项监测。该机构8月18日报告称：“8月15日扫描发现1077个存在漏洞的IP地址。”截至8月17日，全球仍有超过870个未修复实例，地域分布前五位为：美国（367台）、加拿大（92台）、荷兰（84台）、澳大利亚（74台）和英国（72台）。 N-able作为2021年从SolarWinds分拆的独立公司，其N-central平台是托管服务提供商（MSP）的核心管理工具。该平台的失陷可能导致攻击者渗透MSP客户的网络环境。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Trellix研究人员报告，一场由国家支持的间谍活动正在针对驻韩国外交使馆展开。该行动通过恶意GitHub仓库分发XenoRAT恶意软件，自2025年3月持续至今，已发起至少19次针对高价值目标的鱼叉式钓鱼攻击。 基础设施和攻击手法与朝鲜黑客组织Kimsuky（APT43）的战术高度吻合。 多阶段攻击行动 攻击分为三个阶段，3月初至7月间使用不同主题的钓鱼邮件： 初始探测阶段（3月）：最早发现的邮件针对某中欧国家使馆。 外交主题阶段（5月）：攻击者转向复杂外交诱饵。例如5月13日冒充欧盟高级官员向某西欧使馆发送标题为“5月14日欧盟代表团政治咨询会议”的虚假会议邀请。 美韩军事联盟主题阶段（6-7月）：诱饵内容涉及美韩军事合作议题。 目标主要为驻首尔的欧洲使馆，钓鱼邮件伪装成会议邀请、官方信函及活动通知，常冒用外交官名义发送。这些诱饵具有高度场景化、多语种（含韩语、英语、波斯语、阿拉伯语、法语和俄语）的特点，且多数邮件时间点与真实事件吻合以增强可信度。 统一投放手法 所有阶段均采用相同投递方式：通过Dropbox、Google Drive或Daum云存储发送受密码保护的ZIP压缩文件（降低邮件防护系统警报概率）。压缩包内含伪装成PDF的LNK文件，触发后会执行经过混淆的PowerShell代码，从GitHub或Dropbox获取XenoRAT有效载荷，并通过计划任务实现持久化驻留。 XenoRAT作为功能强大的木马，可执行键盘记录、屏幕截图、摄像头与麦克风窃取、文件传输及远程Shell操作。该恶意软件通过反射机制直接加载至内存，并采用Confuser Core 1.6.0进行混淆，实现在受感染系统中的隐蔽运行。 Trellix强调此次攻击符合APT43特征并采用典型朝鲜黑客技术，支持依据包括： 使用韩国本土邮件服务 滥用GitHub作命令控制服务器 采用与Kimsuky恶意软件家族一致的独特GUID和互斥量 关联IP及域名历史记录与Kimsuky活动重叠       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Cybersecurity researchers have identified an alarming trend where threat actors are increasingly leveraging Telegram’s Bot API infrastructure as a covert communication channel for data exfiltration. This sophisticated attack methodology combines traditional phishing techniques with legitimate messaging services to bypass conventional security controls and establish persistent command-and-control operations. The malicious campaigns utilize fake login pages crafted […]

The post Threats Actors Using Telegram as The Communication Channel to Exfiltrate The Stolen Data appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 微软公司已启动紧急外部调查，回应以色列军事情报机构被指控利用其Azure云平台实施针对巴勒斯坦民众的大规模监控。此次行动源于《卫报》联合以色列-巴勒斯坦媒体《+972》及希伯来语媒体《Local Call》发布的调查报告，该报告揭露以色列8200部队在Azure平台定制隔离区存储加沙和约旦河西岸民众每日数百万条通话录音。 微软声明称，若Azure被用于“存储通过广泛或大规模监控加沙及约旦河西岸平民获取的通话数据文件”，将违反其服务条款。此次调查由美国科文顿·柏灵律师事务所监督，系微软就以色列军方使用其技术发起的第二次外部审查。今年五月公布的首次审查结论称“未发现以军违反服务条款或利用Azure锁定攻击加沙民众的证据”，但新报告促使微软高层质疑以色列员工在先前调查中隐瞒了关键信息。 核心争议点 数据规模：8200部队在荷兰与爱尔兰的微软数据中心存储约11500TB军事数据（相当于2亿小时音频），系统具备每小时处理百万通电话的能力。 军事应用：情报人员证实，云端存储的通话内容被用于研究并确定加沙轰炸目标，部分录音还被用作拘捕和勒索巴勒斯坦人的依据。 合作溯源：2021年8200部队指挥官约西·沙利叶与微软CEO萨提亚·纳德拉在西雅图会晤，双方就迁移70%敏感数据至Azure达成协议。微软工程师随后与以方合作开发定制安全层。 各方回应 微软：坚称高管对存储数据性质不知情，“无法获知客户云环境中的数据信息”。但泄露文件显示，公司预计该项目将带来“数亿美元收入”，并被定位为“打入国防情报市场的全球样板”。 以色列国防军：声明“微软从未参与以军数据存储或处理”，但微软内部人士反驳称军方声明“令人惊讶”，因公司与以色列国防部存在明确云存储合同。 社会压力：员工组织“抵制Azure用于种族隔离”要求微软公开所有军方合作并终止关系，抗议者指其“从巴勒斯坦苦难中牟利”。 此次调查正值微软面临双重困境：一方面，美国联邦贸易委员会正审查其云计算业务的反竞争行为；另一方面，国际刑事法院已对以色列总理发出逮捕令，指控其军事行动造成超6万名巴勒斯坦人死亡。微软承诺调查结束后将向公众公布事实结论。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了Cloudflare错误代码521的原因及其对网站访问的影响，并提供了排查和解决该问题的方法。