Aggregator

In early 2025, a developer named Jay Gibson (name changed for security reasons) received a chilling notification on

The post The Hunter Hunted: Spyware Targets the Developer Who Built Its Exploits appeared first on Penetration Testing Tools.

嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。首先，我得仔细阅读文章，理解它的主要观点和结构。 文章的开头提到作者使用华为Mate X6已经两个月了，升级到鸿蒙5.1后发现了一些需求和痛点。接着他回顾了自己使用华为手机的历史，从Mate9到Mate30 Pro再到Mate X6，见证了操作系统从EMUI到鸿蒙再到NEXT的演变。这部分强调了系统的稳定性和流畅性。 然后，作者讲述了家人购买手机的经历。家里人原本用了四年的Mate20 Pro碎屏后需要换新机，考虑了多个品牌后最终还是选择了华为的Pura70。这里的原因是因为习惯了华为的系统，虽然鸿蒙系统在适配方面还有不足，但综合考虑后还是选择了华为。 接下来，作者提到了鸿蒙NEXT系统的适配问题和用户的购机犹豫。在华为门店里，销售人员宣传大部分应用能满足日常使用，但社交媒体上却有很多关于应用无法完全适配的热搜话题。这说明不同用户对“满足日常使用”的定义不同，导致体验差异大。 然后，作者意识到这是一个机会，并创建了一个名为“NEXT升级站”的微信小程序。这个小程序分为三大板块：应用适配情况、鸿蒙工具箱和最新动态。它帮助用户了解常用应用的功能是否能正常使用，并提供解决方案和教程。 最后，作者解释了为什么选择微信小程序作为载体的原因：开发门槛低、依托微信的流量等。同时他也在学习原生鸿蒙开发，希望未来能以原生应用的形式上线。 总结一下，文章主要讲述了作者对鸿蒙系统的体验、购机决策中的考量以及创建帮助用户的工具的过程。重点在于鸿蒙系统的优势、适配问题带来的挑战以及通过工具解决问题的机会。 文章描述了作者对华为手机及其操作系统的长期使用体验，并分享了家人购机决策中的考量与最终选择华为Pura 70的经历。同时介绍了他创建的微信小程序「NEXT 升级站」，旨在为鸿蒙 NEXT 用户提供应用适配信息、解决方案及最新动态等内容支持。

A vulnerability was found in Cloudflare CIRCL 1.6.0. It has been classified as problematic. Affected by this issue is some unknown functionality of the component Session Handler. This manipulation causes improper verification of cryptographic signature. This vulnerability is registered as CVE-2025-8556. The attack requires access to the local network. No exploit is available. Upgrading the affected component is recommended.

A vulnerability was found in Siemens SmartClient modules Opcenter QL Home, SOA Audit and SOA Cockpit up to 13.2 and classified as problematic. This impacts an unknown function. Such manipulation leads to information exposure through error message. This vulnerability is documented as CVE-2024-41984. The attack requires being on the local network. There is not any exploit available. It is suggested to upgrade the affected component.

A vulnerability classified as problematic has been found in Siemens SmartClient modules Opcenter QL Home, SOA Audit and SOA Cockpit up to 13.2. The impacted element is an unknown function. The manipulation leads to session expiration. This vulnerability is referenced as CVE-2024-41985. The attack needs to be initiated within the local network. No exploit is available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic was found in Siemens SmartClient modules Opcenter QL Home, SOA Audit and SOA Cockpit up to 13.2. This affects an unknown function. The manipulation results in risky cryptographic algorithm. This vulnerability is identified as CVE-2024-41986. The attack can only be performed from the local network. There is not any exploit available. Upgrading the affected component is advised.

A vulnerability has been found in anthropics claude-code up to 1.0.104 and classified as critical. Impacted is an unknown function. This manipulation causes code injection. This vulnerability is registered as CVE-2025-59041. Remote exploitation of the attack is possible. No exploit is available. The affected component should be upgraded.

A vulnerability has been found in Zohocorp ManageEngine Endpoint Central up to 11.4.2500.25/11.4.2508.13 and classified as critical. This affects an unknown function of the component Agent Setup. Performing manipulation results in improper privilege management. This vulnerability is cataloged as CVE-2025-5494. The attack must be initiated from a local position. There is no exploit available.

A vulnerability classified as problematic was found in NVIDIA Nsight Graphics on Windows. This impacts an unknown function. The manipulation results in uncontrolled search path. This vulnerability is identified as CVE-2025-23355. The attack is only possible with local access. There is not any exploit available.

A vulnerability, which was classified as problematic, has been found in Canonical LXD up to 5.21.3/6.4. This affects an unknown function of the component Instance Snapshot Handler. This manipulation causes improper neutralization of special elements used in a template engine. The identification of this vulnerability is CVE-2025-54287. It is possible to initiate the attack remotely. There is no exploit available. It is advisable to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Canonical LXD up to 5.0.4/5.21.3/6.4. This impacts an unknown function. Such manipulation leads to cross-site request forgery. This vulnerability is referenced as CVE-2025-54286. It is possible to launch the attack remotely. No exploit is available. You should upgrade the affected component.

A vulnerability classified as problematic has been found in Jupyterlab up to 4.4.7. Affected by this issue is some unknown functionality. The manipulation leads to use of web link to untrusted target with window.opener access. This vulnerability is traded as CVE-2025-59842. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

文章描述了错误代码521的含义及其常见原因和解决方法。

HackerNews 编译，转载请注明出处： 美国得克萨斯州达拉斯市郊外的一个大型郊区，是本周全美范围内多个报告网络事件、且公共服务受影响的市政当局之一。 考夫曼县（Kaufman County）拥有近 20 万居民，该县表示周一发现一起网络攻击，迫使县官员通知了州级和联邦机构。 此次事件导致多个县级系统瘫痪，但警长办公室和应急服务未受影响。当地一家新闻媒体报道称，县法院的计算机已受到此次攻击影响。 考夫曼县法官杰基・艾伦（Jakie Allen）在一份声明中表示：“我们的首要任务始终是保障基本公共服务的连续性，并保护县级系统与信息安全。” 该县代表尚未回应置评请求。 针对考夫曼县的攻击，与全美范围内多起类似事件几乎同时发生。 周五，田纳西州拉弗恩市（La Vergne）表示，正调查一起网络事件，该事件导致政府官员使用的计算机系统陷入混乱。联邦调查局（FBI）及州级机构正与该市合作，协助其从攻击中恢复。 自发现网络攻击以来，该市的政府办公楼已关闭。 在周二发布的最新情况中，市政府官员解释称，用于缴纳水费和财产税的系统因网络攻击瘫痪，这迫使该市 4 万多名居民只能通过支票或汇票付款，现金和信用卡付款方式暂不接受。 该市承诺，在解决系统中断问题期间，不会收取滞纳金，也不会停止供水服务。 在市立法院，原定于周三举行的听证会因网络攻击被推迟。 印第安纳州的迪卡尔布县（Dekalb County）以及宾夕法尼亚州切斯特县（Chester County）的图书馆系统，在上个月也均报告了系统中断和网络攻击事件。 地方政府一直在艰难应对网络攻击，与此同时，为资金短缺的网络防御机构提供支持的联邦资源要么已到期，要么因当前政府停摆而受到限制。上个月，联邦网络安全机构终止了与互联网安全中心（CIS）的合作关系，而该中心曾为各市、县及州级机构提供关键威胁信息。 另一项规范网络威胁情报共享的重要联邦法律也于 9 月 30 日到期，这使得许多政府机构急于寻找关键网络安全信息的替代来源。 政府停摆期间，联邦部门的强制休假、预算削减和人员精简，也阻碍了关键机构为遭遇网络安全事件的地方政府提供援助的工作。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的情况，通常由云flare引发，表示Web服务器返回无效响应或未正确配置HTTP协议。

HackerNews 编译，转载请注明出处： 卡巴斯基（Kaspersky）的研究结果显示，一场名为 “被动神经元”（PassiveNeuron）的新网络活动，正将目标对准亚洲、非洲和拉丁美洲的政府、金融及工业领域机构。 这家俄罗斯网络安全厂商最早在 2024 年 11 月就标记了该网络间谍活动。当时卡巴斯基披露，2024 年 6 月曾出现一系列针对拉丁美洲和东亚政府实体的攻击，攻击中使用了两款此前从未发现过的恶意软件家族，分别被标记为 Neursite 和 NeuralExecutor。 卡巴斯基还表示，该行动展现出极高的技术复杂度：威胁行为者将已入侵的内部服务器用作中间命令与控制（C2）基础设施，以此躲避监测。 卡巴斯基当时指出：“威胁行为者能够在目标基础设施内横向移动并窃取数据，还可选择性创建虚拟网络 —— 即便目标机器与互联网隔离，攻击者也能通过这些虚拟网络窃取重要文件。其采用的插件化架构，能根据攻击者的需求动态调整功能。” 卡巴斯基称，自那以后，从 2024 年 12 月起至 2025 年 8 月，公司观测到与 “被动神经元” 相关的新一轮感染浪潮。 在至少一起事件中，攻击者被证实已在一台运行 Windows Server 的受入侵机器上，通过微软 SQL 获得了初始远程命令执行权限。尽管实现这一操作的确切方法尚不清楚，但推测可能存在三种途径：一是暴力破解管理员账户密码；二是利用服务器上运行的应用程序中的 SQL 注入漏洞；三是利用服务器软件本身尚未被发现的漏洞。 无论采用何种方式，攻击者都曾尝试部署 ASPX 网页后门，以获取基础命令执行权限。在该尝试失败后，攻击者通过在 System32 目录中放置一系列 DLL 加载器，投放了多款高级植入程序，包括： Neursite：一款定制化 C++ 模块化后门程序 NeuralExecutor：一款定制化.NET 植入程序，可通过 TCP、HTTP/HTTPS、命名管道或 WebSocket 下载额外的.NET 有效载荷并执行 Cobalt Strike：一款合法的 adversary simulation（对手模拟）工具 Neursite 通过内置配置连接 C2 服务器，通信时使用 TCP、SSL、HTTP 和 HTTPS 协议。默认情况下，它具备收集系统信息、管理运行中进程、通过其他受该后门感染的机器代理流量以实现横向移动的功能。 该恶意软件还配备了一个组件，可获取辅助插件，以实现 Shell 命令执行、文件系统管理和 TCP 套接字操作。 卡巴斯基还发现，2024 年检测到的 NeuralExecutor 变种，设计为直接从配置中读取 C2 服务器地址；而今年发现的该恶意软件样本，则会连接 GitHub 仓库获取 C2 服务器地址 —— 这实际上将这个合法的代码托管平台变成了 “死信解析器”（dead drop resolver，一种隐藏通信方式）。 研究人员格奥尔基・库彻林（Georgy Kucherin）与索拉布・夏尔马（Saurabh Sharma）表示：“‘被动神经元’活动的显著特点是，其主要针对服务器设备。这些服务器，尤其是暴露在互联网上的服务器，通常是高级持续性威胁（APT）的高价值目标，因为它们可作为入侵目标机构的入口点。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章解释了错误代码521的原因及其解决方法。

HackerNews 编译，转载请注明出处： 被称为 “浑水”（MuddyWater）的伊朗国家背景组织，被指发起了一场新的网络活动。该组织利用一个被入侵的电子邮件账户，向中东和北非（MENA）地区的多家机构分发名为 “凤凰”（Phoenix）的后门程序，其中包括 100 多个政府实体。 新加坡网络安全公司 Group-IB 在今日发布的技术报告中表示，这场活动的最终目标是渗透高价值目标，为情报收集提供便利。 该活动超四分之三的目标包括大使馆、外交使团、外交部和领事馆，其次是国际组织和电信公司。 网络安全研究人员马哈茂德・祖赫迪（Mahmoud Zohdy）和曼苏尔・阿尔穆德（Mansour Alhmoud）指出：“‘浑水’组织通过 NordVPN—— 一款被该威胁行为者滥用的合法服务 —— 访问了被入侵的邮箱，并利用该邮箱发送看似真实通信内容的钓鱼邮件。” “通过利用这类通信所附带的信任度和权威性，该活动大幅提高了欺骗收件人打开恶意附件的概率。” 攻击链的核心流程是，威胁行为者分发植入恶意程序的微软 Word 文档。收件人打开文档后，会被提示启用宏功能才能查看内容。毫无防备的用户一旦启用该功能，文档就会执行恶意的 Visual Basic for Application（VBA，可视化 Basic 应用程序）代码，最终部署 “凤凰” 4.0 版本后门程序。 该后门程序由一个名为 “FakeUpdate”（虚假更新）的加载器启动，而这个加载器由 VBA 投放程序解码后写入磁盘。加载器中包含经过高级加密标准（AES）加密的 “凤凰” 有效载荷。 “浑水” 组织还有多个别名，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、Mango Sandstorm（前称 Mercury）、Seedworm、Static Kitten、TA450、TEMP.Zagros 和 Yellow Nix。经评估，该组织与伊朗情报和安全部（MOIS）有关联，已知至少自 2017 年起便开始活跃。 Group-IB 上月首次记录到该威胁行为者使用 “凤凰” 后门程序，并将其描述为 “BugSleep” 的轻量版本。“BugSleep” 是一款基于 Python 的植入程序，此前已被证实与 “浑水” 组织有关联。目前已在野外检测到 “凤凰” 的两个不同变种 ——3.0 版本和 4.0 版本。 这家网络安全厂商表示，已发现攻击者的命令与控制（C2）服务器（地址为 “159.198.36 [.] 115”）还托管着远程监控与管理（RMM）工具，以及一款定制化网页浏览器凭据窃取工具。该窃取工具针对 Brave、谷歌 Chrome、微软 Edge 和欧朋（Opera）浏览器，这表明这些工具可能被用于此次行动。值得注意的是，多年来 “浑水” 组织一直有通过钓鱼活动分发远程访问软件的记录。 研究人员称：“通过部署‘凤凰’4.0 版本后门程序、‘FakeUpdate’注入器、定制化凭据窃取工具，再结合 PDQ、Action1 等合法远程监控与管理工具，‘浑水’组织展现出更强的能力 —— 能将定制化代码与商业工具整合，从而提升隐蔽性和持久控制能力。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521的原因及其解决方法。该错误通常由Cloudflare引发，表明目标服务器暂时无法访问。常见原因包括服务器过载或维护中。用户可尝试刷新页面、检查网络连接或联系管理员解决问题。

HackerNews 编译，转载请注明出处： 黑客正积极利用 Adobe Commerce平台中的 “SessionReaper” 严重漏洞（CVE-2025-54236）发起攻击，目前已记录到数百次攻击尝试。 该攻击活动由电商安全公司 Sansec 发现，该公司研究人员此前称，“SessionReaper” 是 Adobe Commerce 产品史上最严重的安全漏洞之一。 Adobe 于 9 月 8 日就 CVE-2025-54236 发布预警，称这是一个输入验证不当漏洞，影响 Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 及更早版本。 攻击者成功利用该漏洞后，无需用户任何交互操作即可控制账户会话。Adobe 解释道：“潜在攻击者可通过 Commerce REST API 接管 Adobe Commerce 中的客户账户。” Sansec 此前表示，漏洞能否成功利用，很大程度上取决于会话数据是否存储在文件系统中 —— 这是大多数商户使用的默认配置；此外，Adobe 泄露的热修复程序可能为黑客提供了利用漏洞的线索。 “SessionReaper” 应急补丁发布约六周后，Sansec 确认该漏洞已出现野外活跃攻击。其公告中写道：“Adobe 针对 SessionReaper（CVE-2025-54236）的应急补丁发布六周后，该漏洞已进入活跃利用阶段。” 研究人员表示：“Sansec Shield 今日检测并拦截了首批真实攻击，这对数千家仍未打补丁的商户而言是坏消息。” 就在发布当天，Sansec 拦截了 250 多次针对多家商户的 “SessionReaper” 漏洞攻击尝试，多数攻击来自以下 5 个 IP 地址：34.227.25.444.212.43.3454.205.171.35155.117.84.134159.89.12.166 截至目前，攻击手段包括植入 PHP Webshell（网页后门），或通过 phpinfo 探针检查系统配置设置、查找系统中的预定义变量。 同日，Searchlight Cyber 的研究人员发布了关于 CVE-2025-54236 的详细技术分析报告，这可能导致后续攻击尝试次数增加。 据 Sansec 统计，目前网上 62% 的 Magento 商户仍未安装 Adobe 的安全更新，面临 “SessionReaper” 漏洞攻击风险。 研究人员指出，补丁发布 10 天后，修复进度依旧缓慢，仅三分之一的网站完成更新；目前，每 5 家商户中就有 3 家存在漏洞风险。 研究人员强烈建议网站管理员尽快安装补丁，或采用 Adobe 推荐的缓解措施。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文