Aggregator

Компания F6 представила модуль активного сканирования для решения Attack Surface Management.

BlueCat Networks has unveiled BlueCat Horizon, a SaaS-based platform designed to modernize how enterprises and mid-market organizations operate, secure, and evolve their networks through AI-assisted insights and coordinated action across the network. BlueCat Horizon introduces a common set of platform and infrastructure services that support multiple network applications and enable cross-domain use cases that were previously siloed. BlueCat Horizon offers a shared control plane for network services, policy, identity, telemetry, analytics, automation, and AI-assisted intelligence. … More →

The post BlueCat Horizon unifies DNS, DHCP, IPAM, and security into a cloud-first intelligent NetOps platform appeared first on Help Net Security.

Signing code is a critical process for maintaining software integrity and developer trust. On a Windows-based system, Authenticode signing provides assurance after a program or driver has been posted that it has not been modified. Using Microsoft SignTool and a Key Storage Provider (KSP) service such as DigiCert® KeyLocker, executed software, DLLs, and installers can… Read More How to Sign Authenticode Files with SignTool using KSP Library?

The post How to Sign Authenticode Files with SignTool using KSP Library? appeared first on SignMyCode - Resources.

The post How to Sign Authenticode Files with SignTool using KSP Library? appeared first on Security Boulevard.

A vulnerability, which was classified as critical, has been found in Valmet DNA Web Tools up to C2022. The impacted element is an unknown function of the component URL Handler. Performing a manipulation results in path traversal. This vulnerability is cataloged as CVE-2025-15577. It is possible to initiate the attack remotely. There is no exploit available.

A $44 hardware implant disguised as an ordinary computer mouse. This device acts as a covert keystroke injector, akin to the Hak5 Rubber Ducky, but leverages the innocuous form factor of a mouse to bypass basic user awareness training. Plug it in, and it autonomously runs payloads that execute commands, deliver reverse shells, or worse, […]

The post $44 Evilmouse Autonomously Executes Commands and Compromises Systems Once Connected appeared first on Cyber Security News.

De missie met onbemande vliegtuigen MQ-9 Reapers die bijdragen aan verdediging van de NAVO-oostflank wordt met een half jaar verlengd. De militairen van de Koninklijke Luchtmacht en de MQ-9’s blijven tot eind september 2026 in Roemenië. Minister Ruben Brekelmans maakte dat bekend tijdens een NAVO-vergadering in Brussel.

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了首个在真实环境中监测到的恶意微软 Outlook 插件。 在 Koi 安全公司披露的这起非常规供应链攻击中，未知攻击者认领了与一款已弃用的合法插件关联的域名，用于投放伪造微软登录页面，在此过程中窃取了超 4000 条用户凭据。该网络安全公司将此次攻击活动代号定为 AgreeToSteal。 涉事 Outlook 插件名为 AgreeTo，开发者宣传其可帮助用户在同一平台整合不同日历，并通过邮件共享日程可用性。该插件最后一次更新时间为 2022 年 12 月。 Koi 公司联合创始人兼首席技术官 Idan Dardikman 表示，此次事件标志着供应链攻击向量的进一步扩大。 Dardikman 称：“这类攻击与我们在浏览器扩展、npm 包、IDE 插件中见到的属于同一类型：依托受信任的分发渠道，内容却可在审核通过后被篡改。” “Office 插件之所以格外令人担忧，是多重因素叠加所致：插件运行在用户处理最高敏感通信的 Outlook 内，可申请读写与修改邮件的权限，且通过微软官方应用商店分发，自带天然信任属性。” “AgreeTo 事件还带来了新的问题维度：原开发者并无任何过错，他们开发了合法产品后便不再维护。攻击利用了开发者弃用项目与平台察觉之间的时间差。所有托管远程动态依赖项的应用商店都存在此类风险。” 该攻击的核心是利用了 Office 插件的运行机制，以及应用商店对已上架插件缺乏定期内容监控的漏洞。 根据微软官方文档，插件开发者需创建账号并将产品提交至合作伙伴中心，随后通过审核流程方可上架。 此外，Office 插件依赖清单文件声明 URL，每次在应用内的内嵌框架中打开插件时，都会从开发者服务器实时拉取并展示对应内容。但现有机制无法阻止恶意分子接管已过期的域名。 在 AgreeTo 事件中，插件清单文件指向一个托管在 Vercel 平台的 URL（outlook-one.vercel.app），该插件约 2023 年成为弃用软件，开发者删除 Vercel 部署后，该域名便可被他人认领。截至本文撰写时，该恶意基础设施仍在运行。 攻击者利用这一机制在该 URL 上架设钓鱼工具包，展示伪造的微软登录页面，捕获用户输入的密码，通过电报机器人 API 窃取信息，最终将受害者重定向至真实的微软登录页面。 但 Koi 公司警示称，此次事件本可能造成更严重的后果。 鉴于该插件配置了 “读写项目” 权限，可读写并修改用户邮件，威胁行为者本可利用这一防御盲区部署 JavaScript 代码，隐秘窃取受害者邮箱内容。 该发现再次凸显出对应用商店与代码仓库中上传的程序包和工具进行重新扫描、标记恶意 / 可疑行为的必要性。 Dardikman 表示，微软仅在插件初次提交时审核清单文件，一旦通过签名审核，便无法管控插件每次打开时从开发者服务器实时拉取的实际内容。因此，对 URL 实际加载内容缺乏持续监控，为非预期的安全风险埋下了隐患。 Dardikman 补充道：“Office 插件与传统软件有着本质区别。” “它们不搭载静态代码包，清单文件仅声明一个 URL，而该 URL 在任意时刻加载的内容，都会直接在 Outlook 中运行。” 在 AgreeTo 事件中，微软于 2022 年 12 月对清单文件完成签名，指向 outlook-one.vercel.app。如今该 URL 正投放钓鱼工具包，而插件仍在应用商店中上架。 为应对该威胁引发的安全问题，Koi 公司向微软提出多项整改建议： ·     当插件 URL 返回内容与审核时不一致时，触发重新审核。 ·     验证域名所有权，确保由插件开发者管理，并标记域名基础设施已变更归属的插件。 ·     建立机制，对超过一定时长未更新的插件进行下架或标记处理。 ·     展示插件安装量，用于评估影响范围。 值得注意的是，此类问题并非仅存在于微软应用商店或 Office 应用商店。 上月，Open VSX 宣布计划在微软 VS Code 扩展程序上架开源仓库前强制执行安全检测。微软 VS Code 应用商店也会对仓库中的所有程序包进行定期批量重新扫描。 Dardikman 称：“所有托管远程动态依赖项的应用商店都存在相同的结构性问题：一次审核，永久信任。” “各平台的具体机制虽有不同，但只要应用商店仅在提交时审核清单文件，却不监控后续关联 URL 的实际加载内容，就会存在催生 AgreeTo 这类攻击的核心漏洞。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全领域出现了两种复杂的勒索软件家族：BQTLock 和 GREENBLOOD。它们采用截然不同的策略来破坏企业运营并勒索受害者。 虽然典型的勒索软件攻击通常遵循可预测的模式，即立即加密，但这些新型勒索软件展现了策略上的危险演变。 BQTLock 优先考虑隐蔽性和间谍活动，在文件被锁定之前，就能有效地将初始感染转化为数据泄露风险。 相反，GREENBLOOD 的设计目标是极致速度，它利用 Go 编程语言在执行后几分钟内即可加密系统并删除取证证据。 这些威胁的攻击途径在操作目标上存在显著差异。 BQTLock 在早期阶段的运行方式很像一个隐蔽的监视工具，它会将自身深度嵌入到合法的系统进程中，以避免触发安全警报。 这使得攻击者能够长期保持访问权限并窃取敏感信息而不被立即发现。 相比之下，GREENBLOOD 采用“突袭式”攻击策略，利用快速的 ChaCha8 加密技术瞬间瘫痪网络，同时通过基于 TOR 的泄露站点施加压力。 这种双重性给防御者带来了复杂的挑战，他们现在必须同时应对缓慢的间谍活动和高速的破坏。 Any.Run 分析师在最近的沙箱测试中发现了这些不同的行为，并指出有效的遏制措施需要在加密发生之前发现攻击。 借助 ANY.RUN 交互式沙箱，分析师能够实时观察完整的攻击行为链。查看 BQTLock 的完整执行链 BQTLock 攻击在沙箱中完全暴露（来源：Any.Run） 在 ANY.RUN 交互式沙箱中，勒索软件的行为和清理活动在执行过程中即可被观察到，从而能够在攻击最关键的阶段进行早期检测。 他们的研究强调，早期行为指标（例如意外的进程注入或快速的文件修改）通常是造成重大损害之前唯一可用的预警信号。查看 GREENBLOOD 的完整攻击链。 GREENBLOOD 在沙箱中暴露（来源：Any.Run） 通过在受控环境中观察这些攻击链，安全团队可以从被动恢复转向主动遏制，在威胁站稳脚跟之前将其阻止。 BQTLock 的规避和持久化机制 BQTLock 的独特之处在于其高度技术化的感染链，旨在绕过标准防御。恶意软件执行后不会立即勒索设备。 相反，它会将 Remcos 有效载荷直接注入到 Windows 核心进程 explorer.exe 中。 这种技术使恶意代码能够伪装成合法的系统活动，有效地绕过信任标准操作系统进程的传统防病毒工具。 通过这种隐蔽的方式，攻击者可以在网络中自由穿梭并提升权限而不引起注意。 为了确保对受感染机器的控制权，BQTLock 使用 fodhelper.exe 绕过用户帐户控制 (UAC)。 这种特殊操作会在未经用户许可的情况下授予恶意软件更高的管理员权限。 权限提升后，它会建立自动运行持久性，确保恶意访问在系统重启后仍然存在。 这种牢固的访问权限使攻击者能够进入第二阶段：窃取凭据并捕获屏幕截图，从而最大限度地提高勒索的筹码。 BQTLock 窃取凭据（来源：Any.Run） 建议安全专业人员关注行为监控，而不仅仅是静态文件签名。 检测 explorer.exe 和 fodhelper.exe 之间的特定交互可以作为针对此恶意软件的高保真警报。 入侵指标 (IOC)（来源：Any.Run） 此外，各组织应确保其威胁情报源已更新，以便识别与这些新型恶意软件家族相关的独特命令行参数和基础架构，从而防止重复感染。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026 年 2 月 10 日，微软 Word 一款高危零日漏洞被披露，漏洞编号为 CVE-2026-21514，可使攻击者绕过核心安全防护机制。 该漏洞已遭在野主动利用，CVSS 3.1 基础评分为 7.8 分，时序评分为 7.2 分。 CVE-2026-21514 利用了微软 Word 基于不可信输入处理安全决策时的缺陷，漏洞分类为 CWE-807。 该漏洞可专门绕过微软为防范恶意 COM/OLE 控件而部署的对象链接与嵌入（OLE）缓解措施。 此类 OLE 控件可支持文档嵌入外部对象并与之交互，而校验机制缺失使攻击者能够绕过防护措施。 攻击向量与利用原理 该漏洞攻击向量为本地（AV:L），攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R）。 攻击者需制作特制 Office 文档，通过钓鱼邮件或其他社会工程学手段诱骗受害者打开。 漏洞利用范围未扩大（S:U），即受漏洞影响的组件不会超出其安全权限范围影响其他资源。 与传统会触发安全告警的宏攻击不同，CVE-2026-21514 可完全绕过此类防护。 用户打开恶意文档时，漏洞利用程序会直接执行，不会弹出常规的 “启用内容” 提示或保护视图告警。 该漏洞利用代码成熟度为可利用（E:F），表明有效利用代码已存在并应用于真实攻击。 该漏洞影响多款 Office 版本，包括微软 365 企业版应用（32 位与 64 位）、Office LTSC 2021/2024 版，以及 Mac 版 Office LTSC 2021/2024。 微软已通过 Windows 版即点即用更新、Mac 系统 16.106.26020821 版本推送官方修复程序。 美国网络安全和基础设施安全局（CISA）要求联邦机构在 2026 年 3 月 3 日前完成该漏洞修复，足见其高危性。 机构应立即部署可用安全更新，部署邮件过滤规则拦截可疑 Office 文档，并对用户开展非邀约附件打开安全培训。 完成补丁修复前，可通过组策略设置限制 OLE 对象执行。 谷歌威胁情报团队与微软内部安全团队的安全研究人员合作发现并修复了该威胁。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

作者：Nanda Rani, Kimberly Milner, Minghao Shao等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2602.08023v2 摘要 真实世界的攻击性安全操作具有本质上的开放性：攻击者探索未知的攻击面、在不确定的情况下修正假设，且操作无成功保证。现有基于大语言模型的攻击性智能体评估依赖于预设目标和二元成功判定标准...

HackerNews 编译，转载请注明出处： 微软发布紧急安全更新，修复 Windows 桌面窗口管理器（DWM）中的一处高危零日漏洞。 该漏洞编号为 CVE-2026-21519，目前已遭在野利用，攻击者可借此完全控制受影响系统。 桌面窗口管理器（dwm.exe）是 Windows 核心系统进程，负责在屏幕上渲染各类视觉效果。包括透明窗口、实时任务栏缩略图，以及高分辨率显示器支持。 由于该进程管理整个视觉界面，因此在所有现代 Windows 版本中都会在后台持续运行。这种逻辑不匹配会导致程序向错误的内存位置读写数据，引发系统崩溃，或在本漏洞中导致安全突破。 在 CVE-2026-21519 漏洞中，攻击者可利用该逻辑缺陷，诱骗桌面窗口管理器进程执行恶意代码。 由于桌面窗口管理器与操作系统内核深度交互，成功利用该漏洞可使本地攻击者将权限从普通用户提升至系统（SYSTEM）级别。 系统权限可提供完整的管理控制权，攻击者可安装程序、查看或删除数据，并创建拥有完全权限的新账户。 微软将该漏洞评级为 “重要”，CVSS 评分为 7.8 分，并在 2 月安全更新中完成修复。 尽管攻击者需要获得设备本地访问权限（即已登录或攻陷低权限账户），但攻击操作简单，且无需用户交互。 该漏洞影响大量 Windows 版本，包括： 鉴于该漏洞正遭主动利用，强烈建议用户与管理员立即安装 2026 年 2 月安全更新。 官方修复程序可通过 Windows 更新与微软更新目录获取。抵御该攻击必须安装操作系统补丁，目前暂无已知有效缓解措施。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度国防领域及政府关联机构遭多轮攻击活动盯上，攻击者通过远程访问木马攻陷 Windows 与 Linux 环境，窃取敏感数据并维持对受感染主机的持久控制。 此类攻击活动以使用 Geta RAT、Ares RAT、DeskRAT 等恶意软件家族为特征，这些工具通常关联亲巴基斯坦的威胁组织 SideCopy 与 APT36（又称透明部落）。SideCopy 至少自 2019 年起活跃，据评估为透明部落的分支组织。 Aryaka 公司安全工程与人工智能战略副总裁 Aditya K. Sood 表示：“整体来看，这些攻击延续了惯用模式但持续迭代升级。” “透明部落与 SideCopy 并非重构间谍攻击模式，而是对其不断优化。” “通过扩大跨平台覆盖范围、采用内存驻留技术、尝试新型投放向量，该攻击体系在保持战略目标的同时，始终隐蔽作案。” 所有攻击活动的共性是使用钓鱼邮件，搭载恶意附件或内嵌下载链接，将目标导向攻击者控制的基础设施。这类初始入侵载体为 Windows 快捷方式（LNK）、ELF 二进制文件、PowerPoint 插件文件，一旦被打开，便会启动多级流程释放木马。 上述恶意软件家族可实现持久远程控制、系统侦察、数据收集、指令执行，支持在 Windows 与 Linux 环境中开展长期入侵后操作。 其中一条攻击链如下：恶意 LNK 文件调用 mshta.exe，执行托管在被攻陷合法域名上的 HTML 应用（HTA）文件。该 HTA 载荷内嵌 JavaScript 用于解密嵌入的 DLL 载荷，DLL 进一步处理内嵌数据块，将诱饵 PDF 写入磁盘，连接硬编码的命令与控制（C2）服务器，并展示该诱饵文件。 诱饵文档展示后，恶意软件会检测已安装的安全产品，调整持久化方式，随后在受感染主机部署 Geta RAT。值得注意的是，该攻击链由 CYFIRMA 与 Seqrite 实验室研究员 Sathwik Ram Prakki 于 2025 年 12 月下旬详细披露。 Geta RAT 支持多项指令，可采集系统信息、枚举运行进程、终止指定进程、列出已安装应用、窃取凭据、获取并替换剪贴板内容、截屏、执行文件操作、运行任意 Shell 指令、窃取外接 USB 设备数据。 与针对 Windows 的攻击同步开展的还有 Linux 版本攻击，攻击者以 Go 语言二进制文件为起点，通过从外部服务器下载的 Shell 脚本释放基于 Python 的 Ares RAT。与 Geta RAT 类似，Ares RAT 可执行多项指令窃取敏感数据，运行攻击者下发的 Python 脚本或指令。 Aryaka 公司表示，还监测到另一起攻击活动：攻击者通过恶意 PowerPoint 插件文件投放 Go 语言编写的 DeskRAT，插件运行内嵌宏代码与远程服务器建立外连，下载恶意软件。2025 年 10 月，Sekoia 与奇安信威胁研究中心已披露 APT36 使用 DeskRAT 的相关情况。 “这些攻击表明，具备充足资源、以间谍活动为目的的威胁组织，通过国防主题诱饵、伪造官方文件、区域可信基础设施，精准靶向印度国防、政府及战略部门。” “攻击范围已超出国防领域，蔓延至政策、科研、关键基础设施及同一可信生态内的国防关联机构。” “同步部署 DeskRAT、Geta RAT 与 Ares RAT，凸显出攻击者的武器库持续迭代，专为隐蔽性、持久化与长期控制优化。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已修复 Windows 11 记事本中的一处 “远程代码执行” 漏洞，该漏洞可使攻击者诱骗用户点击特制的 Markdown 链接，从而执行本地或远程程序，且不会弹出任何 Windows 安全警告。 自 Windows 1.0 发布起，微软推出了记事本这款简单易用的文本编辑器，多年来，它被广泛用于快速记录笔记、阅读文本文件、创建待办事项，或作为简易代码编辑器使用。 若用户需要支持不同字体、字号，以及粗体、斜体、列表等格式工具的富文本格式（RTF）编辑器，可使用 Windows 写字板，后续则是 WordPad。 但随着 Windows 11 的发布，微软决定停止维护 WordPad 并将其从系统中移除。 微软转而对记事本进行现代化重写，使其兼具简易文本编辑器与富文本编辑器功能，并新增 Markdown 支持，用户可实现文本格式化与插入可点击链接。 Markdown 支持意味着记事本可打开、编辑并保存 Markdown 文件（.md），这类纯文本文件通过简易符号实现文本格式化、列表与链接展示。 微软修复 Windows 记事本远程代码执行漏洞 在 2026 年 2 月补丁星期二更新中，微软披露已修复记事本的一处高危远程代码执行漏洞，漏洞编号为 CVE-2026-20841。 微软安全公告说明：“Windows 记事本应用对命令中特殊元素处理不当（命令注入），可使未授权攻击者通过网络执行代码。” 微软将该漏洞发现归功于 Cristian Papa、Alasdair Gorniak 与 Chen，并称攻击者可通过诱骗用户点击恶意 Markdown 链接实施利用。 微软解释：“攻击者可诱骗用户点击记事本中打开的 Markdown 文件内的恶意链接，使应用启动未验证的协议，加载并执行远程文件。” 公告补充：“恶意代码将以打开该 Markdown 文件的用户安全上下文执行，攻击者将获得与该用户相同的权限。” 该漏洞的新颖性迅速引发社交媒体关注，网络安全研究人员快速摸清其原理与简易的利用方式。 攻击者只需创建 test.md 这类 Markdown 文件，构造指向可执行文件的 file:// 链接，或 ms-appinstaller:// 等特殊统一资源标识符（URI）即可。 用于创建可执行文件或应用安装链接的 Markdown（来源：BTtea） 若用户在 11.2510 及更早版本的 Windows 11 记事本中打开该 Markdown 文件，并以 Markdown 模式查看，上述文本会显示为可点击链接。按住 Ctrl 键点击该链接，文件会自动执行，且系统不会向用户弹出警告。 程序无警告执行，正是微软认定的远程代码执行漏洞核心问题。 Windows 11 命令提示符无警告启动（来源：BTtea） 该漏洞还可能使攻击者构造指向远程 SMB 共享文件的链接，实现无警告执行。 经科技媒体 BleepingComputer 测试，微软现已修复该 Windows 11 记事本漏洞，对非 http:// 或 https:// 协议的链接点击行为弹出警告。 Windows 11 记事本打开非标准 URL 时弹出警告（来源：BleepingComputer） 如今点击 file:、ms-settings:、ms-appinstaller、mailto:、ms-search: 等其他类型 URI 链接时，记事本均会弹出上述对话框。 但目前尚不清楚微软为何未直接禁用非标准链接，攻击者仍可通过社会工程学诱骗用户在提示框中点击 “是”。 好消息是，Windows 11 会通过微软应用商店自动更新记事本，该漏洞除技术新颖性外，大概率不会造成实际影响。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型复杂网络威胁已出现，攻击者通过被攻陷的镜像网站与 GitHub 仓库，针对多操作系统用户发动攻击。 RU-APT-ChainReaver-L 攻击活动是近期发现的最精密供应链攻击之一，同时波及 Windows、macOS 与 iOS 平台。 该攻击活动运用多项先进技术，包括使用有效证书进行代码签名、欺骗性重定向链，以及通过合法云服务分发恶意软件，导致传统安全系统极难检测。 此次攻击的基础设施具备惊人的规模与复杂度。攻击者攻陷了两大主流文件共享镜像服务 Mirrored.to 与Mirrorace.org，二者被全球各类软件下载网站广泛使用。 通过向这些平台注入恶意代码，威胁行为者将受信任的基础设施转化为信息窃密恶意软件的投放渠道。 用户通过这些被攻陷的服务下载文件时，会经过多层中间页面重定向，此类设计可绕过安全检测，同时保持外观合法。 GRAPH 分析师在调查暗网市场中大量流出的用户凭据时，发现了该攻击活动。 研究团队将这些被盗账号溯源至一场已持续数月的协同式感染行动。 借助扩展检测与响应（XDR）平台与威胁狩猎行动，GRAPH 研究人员发现了涵盖超 100 个域名的攻击基础设施，包括命令与控制服务器、感染页面与重定向中介。 攻击运营者持续更新工具与基础设施，短时间内修改恶意软件特征码与投放方式，以规避杀毒软件检测。 攻击方式会根据受害者的操作系统有所不同。Windows 用户会被重定向至 MediaFire、Dropbox 等云存储服务，加密压缩包内包含带签名的恶意软件，可在安全软件面前伪装成合法程序。 macOS 受害者会遭遇 ClickFix 攻击，欺骗性页面诱骗用户手动执行终端命令，下载并安装 MacSync 窃密木马。 iOS 用户会被引导至苹果应用商店的虚假 VPN 应用，这些应用后续会对设备发起钓鱼攻击。 GitHub 滥用与恶意软件功能 该攻击对 GitHub 的利用，体现出攻击者对安全团队防御盲区的精准把握。 GRAPH 研究人员指出，攻击者攻陷了 50 个 GitHub 账号，其中多数为多年注册、有正常使用记录的账号，并用其托管恶意仓库。 这些账号大多在 2025 年 11 月被劫持，被用于分发破解软件与激活工具，专门针对搜索盗版软件的用户。 攻击流程（来源：GRAPH） Windows 端恶意软件为信息窃密程序，可截取屏幕、窃取加密货币钱包数据、聊天软件数据库、浏览器凭据，并复制桌面、文档、下载文件夹中的文件。 GRAPH 分析师指出，样本搭载来自多家企业的有效代码签名证书，大幅增加了检测难度。 MIRRORACE.org 供应链攻击（来源：GRAPH） macOS 版 MacSync 窃密木马采用无文件内存运行模式，可窃取浏览器数据、Ledger 与 Trezor 等加密货币钱包、SSH 密钥及 AWS 云凭证。 机构应部署全面的防御策略。攻击依托社会工程学实施，因此用户安全教育是最关键的防御环节。 安全团队应部署多层终端防护，包括可检测异常进程行为与可疑文件访问模式的 EDR 系统。 网络监控应重点关注与文件共享服务、新注册域名的连接。 机构应限制用户系统直接访问互联网，将下载流量引流至具备静态分析、动态分析与机器学习能力的文件分析平台。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in Linux Kernel up to 6.1.159/6.6.119/6.12.63/6.18.2/6.19-rc1. It has been rated as critical. The impacted element is the function mlx5_tracer_validate_params. The manipulation leads to format string. This vulnerability is referenced as CVE-2025-68816. The attack needs to be initiated within the local network. No exploit is available. Upgrading the affected component is advised.

A vulnerability was found in Linux Kernel up to 6.1.159/6.6.119/6.12.63/6.18.2/6.19-rc1. It has been rated as critical. Affected by this issue is the function drr. This manipulation causes privilege escalation. This vulnerability is tracked as CVE-2025-68815. The attack is only possible within the local network. No exploit exists. Upgrading the affected component is advised.