Aggregator

智者之眼：解锁情报分析的结构化思维艺术在信息洪流的时代，我们每天面对海量的数据、复杂的系统和瞬息万变的局势。

2025年4月11日，在一场备受关注的参议院表决中，退役空军中将丹·凯恩（Dan Caine）正式走马上任，成

特朗普在其第一任期间曾说如果停止检测新冠那么就会停止发现新病例，同样的逻辑大概也可以应用于安全领域。美国将于本周三开始停止资助全球漏洞披露项目 CVE(Common Vulnerabilities and Exposures)。有 25 年历史的 CVE 项目在漏洞管理中起到了举足轻重的作用，它负责分配和管理漏洞的唯一 CVE ID 编号，确保在提及特定漏洞和补丁时针对的是同一个漏洞。非营利组织 MITRE 与美国国土安全部签订了运营 CVE 项目的合同，MITRE 周二确认，合同没有续签。这意味着从 4 月 16 日（星期三）起美国政府将停止资助 CVE。安全行业人士担心在其他人接手前漏洞管理上将会出现巨大混乱。CVE Naming Authority 机构 VulnCheck 表示预留了 1000 个 1000 个 CVE 用于 2025 年的漏洞。MITRE 每月发布 300-600 个 CVE，预留的编号只够用 2-3 个月。

特朗普在其第一任期间曾说如果停止检测新冠那么就会停止发现新病例，同样的逻辑大概也可以应用于安全领域。美国将于本周三开始停止资助全球漏洞披露项目 CVE(Common Vulnerabilities and Exposures)。有 25 年历史的 CVE 项目在漏洞管理中起到了举足轻重的作用，它负责分配和管理漏洞的唯一 CVE ID 编号，确保在提及特定漏洞和补丁时针对的是同一个漏洞。非营利组织 MITRE 与美国国土安全部签订了运营 CVE 项目的合同，MITRE 周二确认，合同没有续签。这意味着从 4 月 16 日（星期三）起美国政府将停止资助 CVE。N

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个恶意软件包，该软件包被上传到Python软件包索引（PyPI）仓库，其设计目的是将用户在MEXC加密货币交易所下达的交易订单重定向到恶意服务器，并窃取代币。 这个名为ccxt-mexc-futures的软件包声称是基于一个流行的Python库ccxt（全称为CryptoCurrency eXchange Trading）的扩展，该库被用于连接和交易多个加密货币交易所，并提供支付处理服务。 尽管该恶意软件包已不再出现在PyPI上，但pepy.tech的统计数据显示，它至少已被下载了1065次。 “恶意ccxt-mexc-futures软件包的作者在其README文件中声称，该软件包扩展了CCXT软件包，以支持在MEXC上进行‘期货’交易，”JFrog研究员盖伊·科罗列夫斯基（Guy Korolevski）在与《黑客新闻》分享的一份报告中表示。 然而，对该库的深入分析揭示，它专门覆盖了与MEXC接口相关的两个API——contract_private_post_order_submit和contract_private_post_order_cancel，并引入了一个名为spot4_private_post_order_place的新API。 通过这种方式，该恶意软件包试图诱骗开发者调用这些API端点，在MEXC交易所创建、取消或下达交易订单，并在后台秘密执行恶意操作。 恶意修改特别针对原始ccxt库中与MEXC相关的三个不同功能，即describe、sign和prepare_request_headers。 这使得攻击者可以在安装该软件包的本地机器上执行任意代码，有效地从一个伪装成MEXC的虚假域名（“v3.mexc.workers[.]dev”）检索一个JSON负载，其中包含一个配置，将被覆盖的API导向一个恶意的第三方平台（“greentreeone[.]com”），而不是真正的MEXC网站。 “该软件包在MEXC集成的API中创建了条目，使用一个将请求导向greentreeone[.]com域名的API，而不是MEXC网站mexc.com，”科罗列夫斯基表示。 “所有请求都被重定向到攻击者设置的域名，这使得攻击者能够劫持受害者的所有加密货币代币以及请求中传输的敏感信息，包括API密钥和密钥。” 不仅如此，该欺诈性软件包还被设计为在发送创建、取消或下达订单的请求时，将MEXC API密钥和密钥发送到攻击者控制的域名。 安装了ccxt-mexc-futures的用户被建议立即撤销任何可能被泄露的代币，并删除该软件包。 这一事件发生在Socket披露威胁行为者利用npm、PyPI、Go和Maven生态系统中的假冒软件包发动攻击，以维持持久性并窃取数据之后。 “毫无戒心的开发者或组织可能会无意中在其代码库中引入漏洞或恶意依赖项，如果未被检测到，可能会导致敏感数据泄露或系统被破坏，”这家软件供应链安全公司表示。 这也紧随一项新的研究，该研究探讨了为生成式人工智能（AI）工具提供支持的大型语言模型（LLMs）如何通过虚构不存在的软件包并向开发者推荐这些软件包来危及软件供应链。 当恶意行为者注册并发布带有虚构名称的恶意软件包到开源仓库时，供应链威胁就会出现，这一过程会感染开发者的系统——这种技术被称为“slopsquatting”。 该学术研究发现，“商业模型中虚构软件包的平均比例至少为5.2%，开源模型中为21.7%，其中包括205,474个独特的虚构软件包名称，这进一步凸显了这一威胁的严重性和普遍性。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全托管,自带一支云端高阶安全专家队伍,因此很容易被误解为“只是再请一支服务团队”。 实际上,安全托管将网络安 […]

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁行为者被认为是2025年2月Bybit大规模黑客攻击的幕后黑手，如今又被发现与一场针对开发者的恶意活动有关。该活动以编程任务为幌子，传播新型窃密恶意软件。 Palo Alto Networks的Unit 42团队将这一活动归因于其追踪的黑客组织“Slow Pisces”，该组织也被称为Jade Sleet、PUKCHONG、TraderTraitor和UNC4899。 “Slow Pisces在LinkedIn上与加密货币开发者接触，伪装成潜在雇主，并发送伪装成编程挑战的恶意软件，”安全研究员Prashil Pattni表示，“这些挑战要求开发者运行一个被篡改的项目，利用我们命名为RN Loader和RN Stealer的恶意软件感染他们的系统。” Slow Pisces有针对开发者的先例，通常是在加密货币领域，他们通过LinkedIn以工作机会为名接触开发者，诱使他们打开一个托管在GitHub上、详细介绍编程任务的PDF文件。 2023年7月，GitHub披露，从事区块链、加密货币、在线赌博和网络安全行业的员工被该威胁行为者盯上，欺骗他们运行恶意的npm软件包。 2024年6月，谷歌旗下的Mandiant详细描述了攻击者的作案手法：他们首先在LinkedIn上向目标发送一份看似无害、包含工作描述的PDF文件，声称是某个工作机会的介绍；如果目标表现出兴趣，再发送一份技能调查问卷。 这份问卷要求目标通过从GitHub下载一个被篡改的Python项目来完成编程挑战。该项目表面上可以查看加密货币价格，但如果满足某些条件，它会联系远程服务器以获取一个未指明的第二阶段载荷。 Unit 42记录的多阶段攻击链采用了相同的手法，恶意载荷仅发送给经过验证的目标，很可能是基于IP地址、地理位置、时间以及HTTP请求头信息。 “与广泛撒网的网络钓鱼活动不同，该组织专注于通过LinkedIn联系个人，这使得他们能够严格控制活动的后续阶段，仅向预期受害者提供载荷，”Pattni表示，“为了避免引起怀疑的eval和exec函数，Slow Pisces使用YAML反序列化来执行其载荷。” 该载荷被配置为执行名为RN Loader的恶意软件家族，它通过HTTPS将受害机器和操作系统的相关信息发送到同一服务器，并接收并执行一个经过Base64编码的下一阶段数据块。 新下载的恶意软件是RN Stealer，一种能够从受感染的苹果macOS系统中窃取敏感信息的信息窃密工具。这些信息包括系统元数据、已安装的应用程序、目录列表，以及受害者主目录、iCloud钥匙串、存储的SSH密钥以及AWS、Kubernetes和谷歌云的配置文件的顶层内容。 “信息窃密工具收集了更详细的受害者信息，攻击者很可能会利用这些信息来判断是否需要继续访问，”Unit 42表示。 同样，针对申请JavaScript职位的受害者，他们被要求从GitHub下载一个“加密货币仪表盘”项目，该项目采用了类似的策略：只有当目标满足某些条件时，命令与控制（C2）服务器才会提供额外的载荷。然而，载荷的确切性质尚不清楚。 “该仓库使用了嵌入式JavaScript（EJS）模板工具，将C2服务器的响应传递给ejs.render()函数，”Pattni指出，“就像使用yaml.load()一样，这是Slow Pisces用来隐藏其C2服务器上任意代码执行的另一种手段，而这种方法或许只有在查看有效载荷时才会显现出来。” Jade Sleet是众多朝鲜威胁活动集群之一，这些集群利用工作机会主题作为恶意软件传播载体，其他类似的活动包括“梦幻工作行动”（Operation Dream Job）、“传染性面试”（Contagious Interview）和“诱人比目鱼”（Alluring Pisces）。 “这些组织之间没有操作上的重叠。然而，这些活动使用类似的初始感染向量是值得注意的，”Unit 42总结道，“Slow Pisces在行动安全方面与同行的活动有所不同。每个阶段的载荷交付都受到严格保护，仅存在于内存中。而且该组织的后期工具仅在必要时才会部署。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in Mozilla Firefox up to 101 on Linux. It has been rated as critical. This issue affects some unknown processing of the component Popup Window Handler. The manipulation leads to clickjacking. The identification of this vulnerability is CVE-2022-34479. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Mozilla Firefox up to 101. Affected by this issue is some unknown functionality of the component Drag/Drop Handler. The manipulation leads to Remote Code Execution. This vulnerability is handled as CVE-2022-34482. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Mozilla Firefox up to 101 and classified as problematic. This vulnerability affects unknown code of the component ASN.1 Parser. The manipulation leads to improper verification of cryptographic signature. This vulnerability was named CVE-2022-34476. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Firefox up to 101 and classified as critical. This issue affects the function nsTArray_Impl::ReplaceElementsAt. The manipulation leads to integer overflow. The identification of this vulnerability is CVE-2022-34481. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Firefox up to 101. It has been classified as critical. Affected is an unknown function of the component iFrame Handler. The manipulation leads to sandbox issue. This vulnerability is traded as CVE-2022-34474. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in Mozilla Firefox up to 101 on Windows. This vulnerability affects unknown code of the component Microsoft Protocol Handler. The manipulation leads to improper access controls. This vulnerability was named CVE-2022-34478. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Mozilla Firefox up to 101. Affected is the function lg_init. The manipulation leads to uninitialized pointer. This vulnerability is traded as CVE-2022-34480. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Mozilla Firefox up to 101 and classified as problematic. Affected by this vulnerability is an unknown functionality of the component MediaError Message Handler. The manipulation leads to information exposure through error message. This vulnerability is known as CVE-2022-34477. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Firefox up to 101 and classified as critical. Affected by this issue is some unknown functionality of the component HTML Sanitizer. The manipulation leads to permissive cross-domain policy with untrusted domains. This vulnerability is handled as CVE-2022-34475. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Firefox up to 101. It has been classified as critical. This affects an unknown part of the component HTML Sanitizer. The manipulation of the argument xlink:href leads to HTML injection. This vulnerability is uniquely identified as CVE-2022-34473. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Mozilla Thunderbird up to 91.10/101 on Linux. Affected is an unknown function of the component Popup Window Handler. The manipulation leads to clickjacking. This vulnerability is traded as CVE-2022-34479. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Mozilla Thunderbird up to 91.10/101 and classified as critical. This vulnerability affects the function nsTArray_Impl::ReplaceElementsAt. The manipulation leads to integer overflow. This vulnerability was named CVE-2022-34481. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Thunderbird up to 91.10/101. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Microsoft Protocol Handler. The manipulation leads to improper access controls. This vulnerability is known as CVE-2022-34478. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.