Aggregator

HackerNews 编译，转载请注明出处： 网络安全研究人员在Python包索引（PyPI）仓库中发现两个新的恶意软件包，其设计目的是在Windows系统上投放名为“SilentSync”的远程访问木马。 Zscaler威胁实验室研究员玛尼莎·拉姆查兰·普拉贾帕蒂和萨蒂亚姆·辛格表示：“该木马具备远程命令执行、文件窃取和屏幕截图捕获能力，还能从Chrome、Brave、Edge和Firefox等浏览器提取凭据、历史记录、自动填充数据和cookie等浏览器数据。” 这两个目前已从PyPI下架的软件包由用户“CondeTGAPIS”上传，具体信息如下： sisaws (201次下载) secmeasure (627次下载) Zscaler指出，sisaws包模仿了阿根廷国家卫生信息系统Sistema Integrado de Información Sanitario Argentino（SISA）官方Python包sisa的行为。该库中包含一个位于初始化脚本（init.py）中的“gen_token()”函数，其功能是下载下一阶段恶意软件。该函数会发送硬编码令牌作为输入，并以类似合法SISA API的方式接收二级静态令牌响应。 “当开发者导入sisaws包并调用gen_token函数时，代码将解码一个包含curl命令的十六进制字符串，该命令用于获取额外Python脚本。从PasteBin获取的Python脚本会以helper.py为名写入临时目录并执行。” 同样地，secmeasure包伪装成“用于字符串清理和安全措施应用的库”，但暗藏投放SilentSync远控木马的功能。虽然该木马主要针对Windows系统，但同样具备Linux和macOS系统感染能力——在Windows上修改注册表、在Linux上修改crontab文件实现开机自启动、在macOS上注册LaunchAgent。 该软件包依赖二级令牌向硬编码端点(“200.58.107[.]25”)发送HTTP GET请求以获取内存中直接执行的Python代码。其服务器支持四个不同端点： /checkin：验证连接 /comando：请求执行命令 /respuesta：发送状态消息 /archivo：发送命令输出或窃取数据 该恶意软件能窃取浏览器数据、执行shell命令、捕获屏幕截图、窃取文件，还能以ZIP压缩包形式泄露整个目录文件。数据传输完成后，所有痕迹都会从主机删除以规避检测。 Zscaler强调：“恶意包sisaws和secmeasure的发现，揭示了公共软件仓库中软件供应链攻击风险的日益增长。通过利用拼写错误和仿冒合法软件包，威胁行为者能够获取个人身份信息（PII）。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年2月，OpenAI 推出了深度研究功能，允许 ChatGPT 根据用户指令浏览互联网或个人邮箱，并生成详细的调查报告。该功能支持与 Gmail、GitHub 等应用集成，帮助用户深度分析自己的文档和数据。 漏洞的披露与修复 然而，这一功能的背后却暗藏安全隐患。 网络安全公司 Radware 的研究团队发现了ShadowLeak漏洞。他们演示了攻击过程：只需要向用户发送一封特定邮件，当用户使用深度研究功能处理邮件时（如要求“总结今日邮件”或“研究收件箱中某主题”），内嵌在邮件中的恶意指令就会使代理自动向攻击者控制的服务器发送敏感数据，包括姓名、地址或其他私有信息。值得注意的是，整个过程中用户无需点击或查看该邮件，数据就会在不知情的情况下被窃取。 6月18日，Radware通过漏洞报告平台BugCrowd向 OpenAI 报告了这一漏洞。到8月初，OpenAI 完成了修复工作，并于9月3日正式标记为已解决。OpenAI 发言人确认通过其漏洞赏金计划收到了该报告，并表示：“安全开发是我们的首要任务。我们持续采取措施降低恶意使用风险，并不断增强防护机制，以提升模型对抗此类攻击的能力。我们也欢迎研究人员通过对抗测试帮助我们改进。” 零点击攻击 Radware首席技术官David Aviv介绍到：“这是一种典型的零点击攻击，没有任何用户交互提示，受害者完全无法察觉数据被窃。所有操作都在 OpenAI 的云服务器上自主完成”。据 Radware 透露，目前尚未发现该漏洞在现实中被利用。 相关研究人员指出，这种攻击不会在网络层面留下痕迹，因此企业用户很难检测。攻击者使用多种伪装技巧，如将指令文字设置为白色、使用微小字体等方式隐藏恶意内容，收件人难以察觉，但代理仍会读取并执行这些指令。 在一个演示案例中，攻击者发送了一封标题为“重组方案—待办事项”的邮件，邮件正文使用白色文字指令深度研究功能在收件箱中查找员工信息，并访问一个伪装成“公共员工查询”的攻击者控制网址。研究人员表示，邮件中使用了社会工程学技巧，绕过代理的安全限制，同时攻击者还将服务器伪装成“合规验证系统”以使请求看起来合法。 虽然演示基于 Gmail 集成进行，但该攻击同样适用于 Google Drive、Dropbox、SharePoint 等其他数据源。任何能够向代理提供结构化文本的连接器都可能成为攻击载体，潜在泄露包括合同、会议记录和客户档案等高敏感业务数据。 漏洞警示 研究人员强调，这类攻击代表着新型的安全威胁：从外部看，所有流量都像是正常的助手活动；而内部的安全机制却难以检测到这种通过工具驱动的隐蔽行为。 长期以来，研究人员主动寻找能够“欺骗”或“利用”OpenAI模型，从而创建恶意软件和钓鱼邮件的prompts。 ShadowLeak 之所以值得重点关注，主要是因为它代表了一类新型的攻击模式——这类攻击专门针对那些能够自动连接并处理数据源的 AI 工具。这类工具本身具备自主执行任务的能力，但也给恶意指令的隐蔽执行带来了可乘之机。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款代号为“CountLoader”的新型恶意软件加载器，该加载器已被俄罗斯勒索软件团伙用于投放后续渗透工具（如 Cobalt Strike、AdaptixC2）以及一款名为“PureHVNC RAT”的远程访问木马。 网络安全公司Silent Push在分析报告中表示：“CountLoader要么被用作初始访问代理（IAB）工具集的一部分，要么由与 LockBit、Black Basta、Qilin 等勒索软件团伙存在关联的勒索软件附属攻击者使用。” 这款新兴威胁存在三个不同版本（基于.NET、PowerShell 和 JavaScript 开发），研究人员发现其在一场攻击活动中，通过伪造乌克兰国家警察局身份，以含恶意程序的 PDF 文件作为钓鱼诱饵，针对乌克兰个人用户发起攻击。 值得注意的是，卡巴斯基此前曾指出，该恶意软件的 PowerShell 版本曾通过与 DeepSeek 相关的诱饵文件传播，诱骗用户安装。这家俄罗斯网络安全厂商表示，相关攻击最终会在目标设备上部署一款名为“BrowserVenom”的植入程序，该程序可重新配置所有浏览器进程，强制网络流量通过攻击者控制的代理服务器，从而实现对网络流量的操控与数据收集。 Silent Push 的调查显示，JavaScript 版本是功能最完善的加载器版本，具备六种不同的文件下载方式、三种不同的恶意软件可执行文件运行方法，以及一项基于 Windows 域信息识别受害者设备的预设功能。 该恶意软件还能收集系统信息，通过创建伪装成谷歌 Chrome 浏览器更新任务的计划任务，在主机上建立持久化控制，并连接远程服务器等待后续指令。 具体功能包括：通过“rundll32.exe”和“msiexec.exe”工具下载并运行 DLL 文件与 MSI 安装程序载荷；传输系统元数据；删除已创建的计划任务。其六种文件下载方式分别借助curl、PowerShell、MSXML2.XMLHTTP、WinHTTP.WinHttpRequest.5.1、bitsadmin 及 certutil.exe 等工具或组件实现。 Silent Push 指出：“CountLoader的开发者通过使用‘certutil’‘bitsadmin’等白利用程序（LOLBins），并实现实时命令加密的 PowerShell 生成器，展现出对 Windows 操作系统及恶意软件开发的深入理解。” CountLoader 的一个显著特点是将受害者的“音乐（Music）文件夹”用作恶意软件的暂存区。其中，.NET 版本与 JavaScript 版本存在一定功能重叠，但仅支持两种命令类型（UpdateType.Zip 或 UpdateType.Exe），属于功能精简的版本。 CountLoader 依托由 20 多个独立域名构成的基础设施运行，其核心作用是作为传输通道，向目标设备投放 Cobalt Strike、AdaptixC2 与 PureHVNC RAT，后者是威胁攻击者 “PureCoder”开发的商业性质恶意程序，且为“PureRAT”（又称“ResolverRAT”）的早期版本。 据网络安全公司Check Point 透露，近期传播 PureHVNC RAT 的攻击活动，均采用经实战验证的“ClickFix”社会工程学战术作为传播载体：攻击者通过虚假招聘信息引诱受害者访问 ClickFix 钓鱼页面，再通过一款基于 Rust 语言开发的加载器部署该木马。 该公司表示：“攻击者借助虚假招聘广告引诱受害者，通过ClickFix 钓鱼技术在受害者设备上执行恶意 PowerShell 代码。”同时指出，PureCoder 会不断更换 GitHub 账号，用于托管支持 PureRAT 功能的相关文件。对这些 GitHub 账号提交记录的分析显示，相关操作均在 UTC+03:00 时区进行，该时区涵盖俄罗斯等多个国家和地区。 与此同时，网络安全公司 DomainTools 的调查团队揭示了俄罗斯勒索软件生态的关联性：不同勒索软件团伙的攻击者存在人员流动，且普遍使用 AnyDesk、Quick Assist 等工具，表明各团伙在运营层面存在重叠。 DomainTools 表示：“这些攻击者对‘团伙品牌’的忠诚度较低，核心资产并非特定的恶意软件毒株，而是人力资源。攻击者会根据市场环境调整策略，在遭遇打击后进行重组，且信任关系至关重要 —— 这些人会选择与认识的人合作，无论所属团伙名称如何。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周四，俄罗斯地区性航空公司克拉斯航空（KrasAvia）表示，其部分数字服务因系统故障陷入中断状态。这是俄罗斯航空业在一波疑似网络攻击浪潮中遭遇的最新事故。 克拉斯航空称其技术人员正“采取措施将航班时刻表所受影响降至最低，并尽快推动各项服务恢复正常运营”。截至当地时间周四晚间，该公司官网仍无法访问，在线售票服务暂停。航空公司还提示乘客，各机场的电子值机服务目前暂时无法使用。 尽管系统出现中断，克拉斯航空仍表示航班将按原计划执飞。该航空公司的航线主要覆盖西伯利亚中部地区及蒙古。 克拉斯航空并未直接承认遭遇网络攻击，但向当地媒体透露，此次系统故障与俄罗斯旗舰航空公司俄罗斯国际航空（Aeroflot）在 7 月下旬遭遇的停运事件极为相似。 当时，俄罗斯国际航空的 IT 系统在一场疑似网络攻击中陷入瘫痪，导致大量航班延误及取消，亲乌克兰黑客组织“沉默乌鸦”（Silent Crow）与白俄罗斯“网络游击队”（Cyber Partisans）宣称对该起攻击负责。这两个黑客组织表示，他们摧毁了俄罗斯国际航空的基础设施，并窃取了大量数据，包括航班记录、内部通话录音及监控资料。俄罗斯官方尚未证实这起网络攻击事件，也未对泄露数据的真实性作出回应。 当地时间周四，一个名为“Borus”的地区性 Telegram 频道发布了一张据称是克拉斯航空遭篡改网页的截图。图片显示，俄罗斯国际航空与克拉斯航空的标志被划上了叉号，下方配有文字“我们甚至还没开始……”，旁边还列出了其他俄罗斯航空公司的标志。图中还出现了一个类似“沉默乌鸦”组织头像的鸟类图标。 Recorded Future 新闻尚未能独立核实该截图的真实性。目前，“沉默乌鸦”与 “网络游击队”均未公开宣称对克拉斯航空的此次事件负责。 自俄罗斯对乌克兰发动全面入侵以来，针对俄罗斯航空业的网络攻击频率显著上升。 2023 年，乌克兰军事情报局（HUR）表示，已对俄罗斯民用航空管理局（Rosaviatsiya）发起网络攻击，导致后者网络系统瘫痪，不得不启用纸质化办公方式开展工作。今年，在乌克兰对俄罗斯空军基地发动无人机袭击后不久，乌克兰军事情报局还宣称入侵了俄罗斯国有飞机制造商图波列夫（Tupolev）的系统。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

The global spyware market continues its alarming expansion, with new research revealing the emergence of 130 additional entities spanning 46 countries between 1992 and 2024. This shadowy ecosystem of surveillance technologies has grown from 435 documented entities in the initial assessment to 561 organizations, fundamentally reshaping the landscape of offensive cyber capabilities. The proliferation extends […]

The post Global Spyware Markets to Identify New Entities Entering The Market appeared first on Cyber Security News.

A vulnerability labeled as problematic has been found in Creality Cloud App up to 6.1.0 on Android. Affected by this vulnerability is an unknown functionality of the file AndroidManifest.xml of the component com.cxsw.sdprinter. Executing manipulation can lead to improper export of android application components. This vulnerability is handled as CVE-2025-10716. It is possible to launch the attack on the local host. Additionally, an exploit exists. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability was found in APEUni PTE Exam Practice App up to 10.8.0 on Android. It has been declared as problematic. The impacted element is an unknown function of the file AndroidManifest.xml of the component com.ape_edication. The manipulation results in improper export of android application components. This vulnerability is reported as CVE-2025-10715. The attack requires a local approach. Moreover, an exploit is present. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability identified as problematic has been detected in Pusula Manageable Email Sending System. Affected is an unknown function. Performing manipulation results in open redirect. This vulnerability is known as CVE-2025-7702. Remote exploitation of the attack is possible. No exploit is available. You should upgrade the affected component.

A vulnerability categorized as problematic has been discovered in Keras up to 3.10.x. This impacts the function enable_unsafe_deserialization. Such manipulation leads to deserialization. This vulnerability is traded as CVE-2025-9906. The attack may be launched remotely. There is no exploit available. It is advisable to upgrade the affected component.

A vulnerability was found in Keras up to 3.11.2. It has been rated as problematic. This affects the function Model.load_model of the component Model Archive File Handler. This manipulation causes dynamically-managed code resources. This vulnerability appears as CVE-2025-9905. The attack may be initiated remotely. There is no available exploit.

A vulnerability was found in APEUni PTE Exam Practice App up to 10.8.0 on Android. It has been declared as problematic. The impacted element is an unknown function of the file AndroidManifest.xml of the component com.ape_edication. The manipulation results in improper export of android application components. This vulnerability is reported as CVE-2025-10715. The attack requires a local approach. Moreover, an exploit is present. The vendor was contacted early about this disclosure but did not respond in any way.

Submit #645009 / VDB-325007

Russian regional carrier KrasAvia is grappling with a major IT outage after what appears to be a cyberattack. Passengers have been unable to buy tickets online, and flight operations have been forced to switch to manual procedures. The airline confirmed the disruption to local media but has not provided a timeline for restoring normal service. […]

The post Russian Airline Hit by Cyberattack, Website and Systems Disrupted appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

A vulnerability was found in Apache Linkis up to 1.7.0. It has been classified as problematic. The affected element is an unknown function of the component JDBC Engine. The manipulation leads to information disclosure. This vulnerability is documented as CVE-2025-29847. The attack can be initiated remotely. There is not any exploit available. Upgrading the affected component is recommended.

Submit #645006 / VDB-325003

A vulnerability was found in Apache Linkis up to 1.7.0 and classified as problematic. Impacted is the function org.apache.linkis.metadata.util.HiveUtils.decode. Executing manipulation can lead to sensitive information in log files. This vulnerability is registered as CVE-2025-59355. The attack requires access to the local network. No exploit is available. It is suggested to upgrade the affected component.

Leveraging on LLM’s abilities to mimic cognitive human agents, WAFSmith aims to reduce the friction of WAF rule

The post WAFSmith: A New Open-Source Tool Uses LLMs to Revolutionize WAF Management appeared first on Penetration Testing Tools.

Tigera announced a new solution to secure AI workloads running in Kubernetes clusters. Due to the resource-intensive and bursty nature of AI workloads, Kubernetes has become the de facto orchestrator for deploying them. However AI workloads introduce security challenges, throughout the data ingestion and preparation, model training, and deployment stages. Calico is purpose-built to protect mission-critical AI workloads at every stage. The platform provides a set of features enabling organizations to scale their AI initiatives … More →

The post New Tigera solution protects AI workloads from data ingestion to deployment appeared first on Help Net Security.

Cybersecurity researchers have discerned evidence of two Russian hacking groups Gamaredon and Turla collaborating together to target and co-comprise Ukrainian entities. Slovak cybersecurity company ESET said it observed the Gamaredon tools PteroGraphin and PteroOdd being used to execute Turla group's Kazuar backdoor on an endpoint in Ukraine in February 2025, indicating that Turla is very likely

京东卡上线通知KB拓展新姿势TIME 2025.09.22 15:00各位白帽子请注意！