HackerNews

HackerNews 编译，转载请注明出处： Juniper Networks 修复了一个关键漏洞，该漏洞允许攻击者绕过认证并完全控制 Session Smart Router (SSR) 设备。该安全漏洞（编号为 CVE-2025-21589）在内部产品安全测试中被发现，同时也影响 Session Smart Conductor 和 WAN Assurance Managed Routers。 Juniper 在上周发布的一份紧急安全公告中表示：“Juniper Networks Session Smart Router 中存在一个通过替代路径或通道绕过认证的漏洞，可能允许网络攻击者绕过认证并获取设备的管理控制权。” 根据 Juniper 的安全事件响应团队（SIRT），目前尚未发现该漏洞在实际攻击中被利用的证据。 Juniper 已在 SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2 及后续版本中修复了该漏洞。虽然一些连接到 Mist Cloud 的设备已经自动更新，但管理员仍被建议将所有受影响的系统升级到这些修复版本之一。 Juniper 表示：“在由 Conductor 管理的部署中，只需升级 Conductor 节点，修复程序将自动应用于所有连接的路由器。尽管如此，路由器仍应尽可能升级到修复版本，但一旦连接到已升级的 Conductor，它们将不再易受攻击。” Juniper 设备频繁成为攻击目标 由于 Juniper 设备常用于关键环境，因此经常成为攻击目标，并且在供应商发布安全更新后不到一周内就会被针对。 例如，去年 6 月，Juniper 发布了紧急更新，修复了另一个 SSR 认证绕过漏洞（编号为 CVE-2024-2973），该漏洞可被利用以完全控制未修补的设备。 8 月，ShadowServer 威胁监测服务警告称，有威胁行为者使用 watchTowr Labs 的概念验证（PoC）漏洞利用链，针对 Juniper EX 交换机和 SRX 防火墙进行远程代码执行攻击。 一个月后，VulnCheck 发现仍有数千台 Juniper 设备容易受到使用同一漏洞利用链的攻击。 更近一些，去年 12 月，Juniper 还警告客户，有攻击者正在扫描互联网上的 Session Smart 路由器，使用默认凭据感染 Mirai 恶意软件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员披露了 Xerox VersaLink C7025 多功能打印机（MFP）的安全漏洞，这些漏洞可能被攻击者利用，通过 Lightweight Directory Access Protocol (LDAP) 和 SMB/FTP 服务进行 pass-back 攻击，从而获取身份验证凭据。 Rapid7 安全研究员 Deral Heiland 表示：“这种 pass-back 攻击方式利用了一个漏洞，允许恶意行为者篡改 MFP 的配置，使 MFP 设备将身份验证凭据发送回攻击者。” 如果攻击者成功利用这些漏洞，他们可以获取 Windows Active Directory 的凭据，从而在组织的环境中横向移动，并可能破坏其他关键的 Windows 服务器和文件系统。 漏洞列表 受影响的固件版本为 57.69.91 及更早版本，具体漏洞如下： CVE-2024-12510 (CVSS 评分：6.7)：通过 LDAP 进行 pass-back 攻击。 CVE-2024-12511 (CVSS 评分：7.6)：通过用户地址簿进行 pass-back 攻击。 成功利用 CVE-2024-12510 可能会导致身份验证信息被重定向到恶意服务器，从而暴露凭据。然而，这需要攻击者能够访问 LDAP 配置页面，并且 LDAP 用于身份验证。 CVE-2024-12511 同样允许恶意行为者访问用户地址簿配置，修改 SMB 或 FTP 服务器的 IP 地址，使其指向攻击者控制的主机，从而在文件扫描操作期间捕获 SMB 或 FTP 身份验证凭据。 Heiland 指出：“要成功实施攻击，攻击者需要在用户地址簿中配置 SMB 或 FTP 扫描功能，并且需要物理访问打印机控制台或通过 Web 界面访问远程控制控制台。除非已启用用户级别的远程控制控制台访问权限，否则可能需要管理员权限。” 在 2024 年 3 月 26 日负责任地披露这些漏洞后，相关问题已在上个月底发布的 Service Pack 57.75.53 中得到解决，适用于 VersaLink C7020、7025 和 7030 系列打印机。 如果无法立即进行更新，建议用户为管理员账户设置复杂密码，避免使用具有提升权限的 Windows 身份验证账户，并为未经身份验证的用户禁用远程控制控制台。 与此同时，Specular 创始人兼 CEO Peyton Smith 详细披露了一个影响广泛部署的医疗保健软件 HealthStream MSOW 的未授权 SQL 注入漏洞（CVE-2024-56735），该漏洞可能导致整个数据库被攻破，使威胁行为者能够从公共互联网访问 23 家医疗保健组织的敏感数据。 该公司表示，已发现 50 个暴露在互联网上的 MSOW 实例，其中 23 个存在安全缺陷。 Smith 表示，该漏洞可能允许“整个数据库通过带内方式返回，这意味着攻击者可以通过精心构造的 SQL 注入 HTTP 负载，在 HTTP 响应中检索明文数据库内容。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织 Winnti 被认为是 2024 年 3 月针对日本制造、材料和能源行业的公司的一项新活动 RevivalStone 的幕后黑手。 日本网络安全公司 LAC 详细说明的这次活动，与 Trend Micro 跟踪的 Earth Freybug 威胁集群重叠，该集群已被评估为 APT41 网络间谍组织的一个子集，Cybereason 将其称为 Operation CuckooBees，Symantec 则将其称为 Blackfly。 APT41 被描述为一个高度熟练且有条理的行动者，能够进行间谍活动并污染供应链。其活动通常以隐蔽为目的，利用多种战术通过定制工具集实现目标，这些工具不仅可以绕过环境中安装的安全软件，还能收集关键信息并建立秘密通道以保持远程访问。 “该组织的间谍活动，许多与国家的战略目标一致，已针对全球范围内的各种公共和私营行业部门，”LAC 表示。 “该威胁组织的攻击特点是使用 Winnti 恶意软件，该软件具有独特的根kit，可隐藏和操纵通信，以及在恶意软件中使用被盗的合法数字证书。” 自 2012 年以来一直活跃的 Winnti，截至 2022 年主要针对亚洲的制造和材料相关组织，最近的活动在 2023 年 11 月至 2024 年 10 月期间针对亚太地区，利用 IBM Lotus Domino 等面向公众的应用程序的漏洞部署恶意软件，如下所示： DEATHLOTUS：一种被动的 CGI 后门，支持文件创建和命令执行。 UNAPIMON：一种用 C++ 编写的防御规避工具。 PRIVATELOG：一种加载器，用于投放 Winnti RAT（也称为 DEPLOYLOG），进而通过根kit 安装程序交付名为 WINNKIT 的内核级根kit。 CUNNINGPIGEON：一种利用 Microsoft Graph API 从邮件消息中获取命令（文件和进程管理以及自定义代理）的后门。 WINDJAMMER：一种具有拦截 TCPIP 网络接口以及在内网中与受感染端点创建秘密通道的能力的根kit。 SHADOWGAZE：一种利用 IIS 网站服务器的监听端口的被动后门。 LAC 记录的最新攻击链发现，攻击者利用一个未指定的企业资源规划（ERP）系统中的 SQL 注入漏洞，在受感染的服务器上投放 China Chopper 和 Behinder（也称为 Bingxia 和 IceScorpion）等 web shell，利用这些访问权限进行侦察、收集横向移动的凭据，并交付 Winnti 恶意软件的改进版本。 据说，这次入侵的范围进一步扩大，通过利用共享账户攻破了一家托管服务提供商（MSP），随后利用该公司的基础设施将恶意软件传播到另外三个组织。 LAC 表示，还在 RevivalStone 活动中发现了对 TreadStone 和 StoneV5 的引用，前者是一个旨在与 Winnti 恶意软件配合使用的控制器，也包含在去年 I-Soon（也称为 Anxun）泄露的 Linux 恶意软件控制面板中。 “如果 TreadStone 与 Winnti 恶意软件具有相同的含义，这仅是推测，但 StoneV5 也可能意味着版本 5，有可能这次攻击中使用的恶意软件是 Winnti v5.0，”研究人员 Takuma Matsumoto 和 Yoshihiro Ishikawa 表示。 “新的 Winnti 恶意软件增加了混淆、更新的加密算法和规避安全产品的功能，预计该攻击组织将继续更新 Winnti 恶意软件的功能并将其用于攻击。” 这一披露正值 Fortinet FortiGuard Labs 详细说明了一种名为 SSHDInjector 的基于 Linux 的攻击套件，该套件自 2024 年 11 月以来能够通过将恶意软件注入进程来劫持网络设备上的 SSH 守护进程，以实现持续访问和秘密操作。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的恶意软件活动利用网络注入来传播一种名为 FrigidStealer 的新型苹果 macOS 恶意软件。 这一活动被归因于一个此前未被记录的威胁行为者 TA2727，该行为者还与针对 Windows（Lumma Stealer 或 DeerStealer）和 Android（Marcher）平台的信息窃取器有关。 TA2727 是一个“使用假更新主题诱饵来分发各种恶意软件载荷的威胁行为者”，Proofpoint 威胁研究团队在一份报告中表示。 TA2727 是新近识别的威胁活动集群之一，与 TA2726 一起，后者被认为是一个恶意流量分发系统（TDS）运营商，为其他威胁行为者分发流量以传播恶意软件。这个以经济利益为动机的威胁行为者自 2022 年 9 月以来一直活跃。 TA2726 据称是 TA2727 和另一个名为 TA569 的威胁行为者的 TDS，后者负责分发一种基于 JavaScript 的加载器恶意软件 SocGholish（也称为 FakeUpdates），该软件通常在合法但已被攻陷的网站上伪装成浏览器更新。 “TA2726 以经济利益为动机，与其他以经济利益为动机的行为者如 TA569 和 TA2727 合作，”该公司指出。“也就是说，这个行为者很可能负责导致其他威胁行为者操作注入的网络服务器或网站攻陷。” TA569 和 TA2727 有一些相似之处，它们都通过恶意 JavaScript 网站注入来传播，这些注入模仿了 Google Chrome 或 Microsoft Edge 等网络浏览器的更新。TA2727 的不同之处在于使用了针对不同地理区域或设备提供不同载荷的攻击链。 如果用户在法国或英国的 Windows 计算机上访问受感染网站，他们会收到下载 MSI 安装程序文件的提示，该文件会启动 Hijack Loader（也称为 DOILoader），进而加载 Lumma Stealer。 另一方面，从 Android 设备访问相同的假更新重定向时，会导致部署一种名为 Marcher 的银行木马，该木马在野外已被检测到超过十年。 假浏览器更新 不仅如此，从 2025 年 1 月开始，该活动已更新，开始针对北美以外的 macOS 用户，将他们重定向到一个假更新页面，下载一种名为 FrigidStealer 的新型信息窃取器。 FrigidStealer 安装程序与其他 macOS 恶意软件一样，需要用户明确启动未签名应用以绕过 Gatekeeper 保护，之后会运行嵌入的 Mach-O 可执行文件来安装恶意软件。 “该可执行文件是用 Go 编写的，并进行了临时签名，”Proofpoint 表示。“该可执行文件是使用 WailsIO 项目构建的，该项目在用户的浏览器中呈现内容。这增加了对受害者的社会工程，暗示 Chrome 或 Safari 安装程序是合法的。” FrigidStealer 与其他针对 macOS 系统的窃取器家族并无二致。它利用 AppleScript 提示用户输入系统密码，从而获得提升的权限，以窃取来自网络浏览器、Apple Notes 和加密货币相关应用的文件和各种敏感信息。 “行为者正在利用网络攻陷来传播针对企业和消费者用户 的恶意软件，”该公司表示。“可以预见，这些网络注入将传播针对收件人的定制恶意软件，包括 Mac 用户，他们在企业环境中的数量仍然少于 Windows 用户。” 这一事件发生在 Denwp Research 的 Tonmoy Jitu 披露另一种完全不可检测的 macOS 后门 Tiny FUD 之后，该后门利用名称操作、动态链接守护进程（DYLD）注入和基于命令与控制（C2）的命令执行。 这也紧随新型信息窃取恶意软件 Astral Stealer 和 Flesh Stealer 的出现，它们旨在收集敏感信息、逃避检测并在受攻陷系统上保持持久性。 “Flesh Stealer 在检测虚拟机（VM）环境方面特别有效，”Flashpoint 在最近的一份报告中表示。“它会避免在 VM 上执行，以防止任何潜在的取证分析，展示了对安全研究实践的理解。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   研究人员发现了 OpenSSH 安全网络工具套件中的两个安全漏洞，如果被成功利用，可能会导致中间人（MitM）攻击和拒绝服务（DoS）攻击。 Qualys 威胁研究单元（TRU）详细披露了以下漏洞： CVE-2025-26465：OpenSSH 客户端在 6.8p1 至 9.9p1 版本（含）中存在逻辑错误，如果启用了 VerifyHostKeyDNS 选项，可能会使客户端容易受到中间人攻击。这允许恶意攻击者在客户端尝试连接到合法服务器时冒充合法服务器（该漏洞于 2014 年 12 月引入）。 CVE-2025-26466：OpenSSH 客户端和服务器在 9.5p1 至 9.9p1 版本（含）中容易受到预认证拒绝服务攻击，这会导致内存和 CPU 消耗（该漏洞于 2023 年 8 月引入）。 “如果攻击者可以通过 CVE-2025-26465 进行中间人攻击，客户端可能会接受攻击者的密钥而不是合法服务器的密钥，”Qualys TRU 产品经理赛义德·阿巴西表示。 这会破坏 SSH 连接的完整性，使攻击者有可能在用户意识到之前拦截或篡改会话。 换句话说，成功利用这些漏洞可能会允许恶意行为者破坏并劫持 SSH 会话，并获得对敏感数据的未经授权访问。值得注意的是，VerifyHostKeyDNS 选项默认是禁用的。 另一方面，反复利用 CVE-2025-26466 可能会导致可用性问题，阻止管理员管理服务器并锁定合法用户，从而有效地使日常操作瘫痪。 OpenSSH 维护人员在今天发布的 OpenSSH 9.9p2 版本中解决了这两个漏洞。 这次披露是在 Qualys 七个多月前披露另一个 OpenSSH 漏洞（称为 regreSSHion，CVE-2024-6387）之后发布的，该漏洞可能导致在基于 glibc 的 Linux 系统中以 root 特权进行未认证的远程代码执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 社交媒体平台 X（原 Twitter）现已开始屏蔽指向 “Signal.me” 的链接，该链接是 Signal 加密消息应用用于分享用户账户信息的一种方式。 据 BleepingComputer 测试和其他用户的报告，尝试通过公开帖子、私信或个人简介发布 Signal.me 链接时，会收到错误提示，称存在垃圾邮件或恶意软件风险。 当用户尝试发送 Signal.me 链接时，会看到如下错误提示：“此请求看起来可能是自动化的。为了保护我们的用户免受垃圾邮件和其他恶意活动的侵害，我们目前无法完成此操作。请稍后再试。” 我们的测试显示，只有包含 “signal.me” URL 的消息才会被屏蔽。 记者 Matt Binder 首次报道了这一问题，他表示目前尚不清楚这一行为是从何时开始的。 “目前尚不清楚 X 从何时开始在平台上屏蔽 ‘Signal.me’ 链接，”Binder 在其报道中解释道。“然而，这似乎是一个相当新的变化，因为用户之前可以在公开帖子和他们的个人简介中包含 ‘Signal.me’ 链接。其他 Signal 链接，如 Signal.org，似乎并未被屏蔽。” 其他与 Signal 相关的 URL，如 Signal.link 和 Signal.group 链接，似乎并未受到屏蔽影响。此外，第三方消息服务（如 Telegram）的联系人链接仍可在 X 平台上正常分享。 与此同时，在屏蔽措施实施之前已发布在 X 上的 Signal.me 链接仍然可以点击，但用户在点击链接时会看到一条警告，提示该链接可能不安全。 研究员 Tommy Mysk 是本周末最早发现这一问题的人之一，他告诉 BleepingComputer，目前尚不清楚这一行动背后的原因。 “我是偶然发现的。我不能推测，但这一行为看起来与他们屏蔽 Mastodon 链接时的情况非常相似，”Mysk 表示。 2023 年，埃隆·马斯克收购 Twitter 后，该社交平台开始屏蔽指向竞争对手平台的链接，如 Facebook、Instagram 和 Mastodon。在用户抗议后，这一政策很快被撤销。 最近，马斯克因他领导的美国政府部门——政府效率部（DOGE）——获取多个美国政府机构的数据而受到批评。 据报道，Signal 这款流行的端到端加密通信应用被联邦雇员广泛用于向记者报告 DOGE 的违规行为。 因此，有人猜测 X 上对 Signal.me 链接的屏蔽可能是出于政治动机。然而，X 尚未对屏蔽一事发表任何声明，也未回应置评请求。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在 Android 16 Beta 2 中推出了一项新的安全功能，旨在防止用户在通话期间更改敏感设置，以应对日益复杂的电话诈骗。 电话诈骗手段日益复杂，诈骗者常利用心理操纵技巧诱使受害者授予权限，从而安装恶意软件。常见手法包括引导受害者在通话中启用侧载或无障碍权限，使恶意应用能够绕过安全防护并控制设备。鉴于此，谷歌在 Android 16 中引入了“通话中防诈骗保护”功能。 阻止通话期间启用侧载权限：侧载允许应用安装其他应用，通常默认禁用以确保安全。Android 16 现在防止用户在通话期间启用此权限，进一步增强了安全性。 限制通话期间的无障碍权限：无障碍权限允许应用读取屏幕内容并代表用户执行操作，这常被恶意软件利用。Android 16 在通话期间阻止授予这些权限，进一步降低了未经授权控制的风险。 警告提示：用户在尝试绕过这些限制时，会收到关于潜在诈骗的明确警告，鼓励他们验证来电者的身份。 增强的确认模式：此功能扩展了 Android 15 中引入的保护措施，增加了更严格的防护，防止未经授权访问敏感设置。 这项新安全功能是谷歌在应对电话导向攻击交付（TOAD）诈骗等日益增长的威胁中，持续提升用户安全性的努力的一部分。通过将这些保护措施集成到 Android 16 Beta 2 中，谷歌旨在显著减少诈骗案件。 虽然诈骗者可能仍会指示受害者挂断电话后启用权限，但这一额外步骤足以扰乱其诈骗手段。此外，Android 16 还包括更广泛的安全增强功能，如防止意图重定向攻击和改进大屏设备的应用兼容性。 目前，防诈骗保护功能已在 Android 16 Beta 2 中上线，适用于 Pixel 设备（Pixel 6 及更新型号）。Android 16 的最终版本预计将于 2025 年第二季度晚些时候发布。随着这些功能的公开推出，用户可以期待一个更安全的移动体验，优先保护隐私和防止诈骗。 随着诈骗手段因人工智能的进步而变得更加复杂，谷歌的新方法标志着在降低风险和为用户提供强大防御网络威胁方面迈出了重要一步。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，ExHub 被发现存在一个关键的不安全直接对象引用（IDOR）漏洞，该漏洞允许攻击者在未经授权的情况下修改任何项目的网页托管配置，对受影响系统构成重大风险。 ExHub 是一个基于云的平台，提供网页托管、项目协作和部署功能。用户可以配置其项目的网页托管设置，这些设置决定了项目如何部署和被访问。理想情况下，只有授权用户才能修改这些设置。然而，由于访问控制的不当实现，未授权用户可以通过知道项目的唯一标识符来利用系统。 该漏洞存在于 ExHub 的项目部署配置 API 中。具体来说，该 API 缺乏 robust 的授权检查，使得任何用户（无论其角色或认证状态）都可以发送精心构造的请求来修改托管设置。 漏洞利用过程技术复杂度较低： 获取项目 ID：攻击者需要获取一个有效的项目 ID，这可以通过枚举或其他间接手段获得。 构造未授权的 API 请求：通过向漏洞端点 /api/v1/projects/deployment_configuration/<projectid>发送 POST 请求，攻击者可以修改关键的托管参数。 执行请求：使用工具如 Burp Suite 或 Postman 就足以执行攻击并实时观察更改。 验证更改：攻击者可以通过 ExHub 的用户界面确认修改。 该漏洞实际上允许未授权用户执行诸如更改机器类型、端口和 DNS 配置等管理操作，这些操作本应仅限于高权限角色。 漏洞影响 该 IDOR 漏洞的后果严重，攻击者可以操纵部署配置，可能获得对敏感资源的未经授权访问。配置错误可能导致服务中断或无法访问。此外，被利用的配置可能使攻击者能够提升权限或链式攻击以进行进一步利用。 漏洞修复 ExHub 采取了以下措施来解决此漏洞： 在所有 API 端点引入严格的授权检查。 通过实施随机化技术使项目 ID 更难以预测。 重构用户角色以强制执行最小权限原则。 教训 此次事件为开发者和组织提供了几个关键教训： 授权检查至关重要：每个 API 端点都必须严格验证用户权限。 避免可预测的标识符：使用容易猜测的 ID 会增加被利用的风险。 最小权限原则：根据用户角色限制其操作，以最小化配置错误可能造成的损害。 全面测试：安全测试应包括后端 API，以发现诸如 IDOR 之类的隐藏漏洞。 通过实施严格的访问控制并采用安全设计原则，公司可以保护其平台免受利用，并建立用户信任。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 埃隆·马斯克的政府效率部（DOGE）推出的一个网站被发现存在重大安全漏洞，允许未经授权的用户直接修改其内容。 这一漏洞由两名网络开发专家发现，该网站使用了一个不安全的外部数据库，这使得任何了解该漏洞的人都可以在网站上发布和显示内容。 DOGE 网站在 1 月份上线，旨在展示该部门削减政府开支的努力。然而，几周来，该网站基本处于不活跃状态，仅包含三行文字和一个卡通标志。 该网站在周三和周四进一步开发，从 Cloudflare Pages 站点获取数据，底层代码在此部署。 安全漏洞最初由 404Media 报道，两名网络开发专家向他们发出了警告。他们发现 doge.gov 网站连接了一个可由第三方访问和修改的数据库，这使得任何人都可以进行未经授权的修改，且修改内容会实时显示在网站上。漏洞很快被利用，有人在网站首页发布了讽刺性信息。 一条信息写道：“这是一个.gov 网站的笑话。”另一条则称：“这些‘专家’把数据库敞开了—— roro。”这些信息在网站上停留了数小时。Newsweek 也在周五早上看到了“这是一个.gov 网站的笑话”的信息。网站如此轻易地被篡改，引发了人们对 DOGE 安全实践的担忧。 专家指出，该网站似乎是在仓促之间建成的。一名程序员告诉 404Media：“感觉它是匆匆忙忙搭建的。网页源代码中存在许多错误，还暴露了敏感信息。”编码专家 Sam Curry 指出，DOGE 网站似乎是由 Burst Data 开发和托管的，而 Burst Data 由一名现任 DOGE 员工管理。他补充说，网站上的图片通过 Cloudflare 的 ImageDelivery 服务进行路由。DOGE 团队随后修复了网站问题，删除了那些引发争议的信息。 然而，这一事件引发了对部门处理敏感数据和维护安全系统能力的质疑。在所谓的黑客攻击之前，DOGE 网站据报发布了机密情报数据。据 Huffington Post 报道，该网站显示了美国情报机构的规模和人员信息。机密数据的曝光和网站被轻易黑客攻击的情况，导致对 DOGE 及其实践的审查增加。 批评者对部门接触敏感信息的权限以及潜在的利益冲突表示担忧。已有多起诉讼针对 DOGE，挑战其接触政府数据的权限。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 施乐公司发布了安全更新，以解决 Versalink 多功能打印机中的回传攻击漏洞。 据 Rapid7 发现，施乐 VersaLink 多功能打印机中的漏洞可能允许攻击者通过针对 LDAP 和 SMB/FTP 服务的回传攻击获取认证凭据。 在这些一体式企业彩色打印机中发现了两个安全缺陷，分别是 CVE-2024-12510 和 CVE-2024-12511，施乐已发布安全更新来解决这两个问题。 简而言之，在回传攻击中，打印机被指示对攻击者控制的服务器进行身份验证，攻击者随后捕获设备发送的身份验证数据。 对于配置了轻量级目录访问协议（LDAP）服务进行身份验证的 Versalink 打印机，攻击者如果能够访问配置页面，只需修改服务的 IP 地址，然后触发 LDAP 查找，即可对攻击者控制的服务器进行身份验证。 “通过在攻击者控制的主机上运行端口监听器，他们就能够捕获明文的 LDAP 服务凭据。这种攻击需要访问多功能打印机的管理员账户，且 LDAP 服务必须已配置为正常运行到有效的 LDAP 服务器，”Rapid7 解释道。 为了捕获 SMB 或 FTP 身份验证凭据，攻击者需要访问用户地址簿配置，并将 SMB 或 FTP 服务器的 IP 地址修改为他们控制的服务器。 “这种攻击允许恶意行为者捕获 NetNTLMv2 握手，或利用漏洞对 Active Directory 文件服务器进行 SMB 中继攻击。在 FTP 的情况下，恶意行为者能够捕获明文的 FTP 身份验证凭据，”Rapid7 表示。 如果用户的地址簿中配置了 SMB 或 FTP 扫描功能，并且攻击者要么物理访问打印机控制台，要么通过网络界面远程访问（这可能需要管理员凭据），则可以发起此类攻击。 “如果恶意行为者能够成功利用这些问题，他们将能够捕获 Windows Active Directory 的凭据。这意味着他们可以在组织的环境中横向移动，并危及其他关键的 Windows 服务器和文件系统，”Rapid7 指出。 这两个问题在 2024 年 3 月报告给施乐。针对这些问题的修复措施在 2025 年 1 月底以服务包更新的形式发布，适用于 VersaLink C7020、7025 和 7030 系列多功能打印机。 建议组织尽快将 VersaLink 打印机更新到固件版本 57.75.53。为了缓解这些漏洞，他们应使用复杂的管理员账户密码，避免使用具有提升权限的 Windows 身份验证账户，并禁用对远程控制台的未认证访问。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   据美联社 2025 年 2 月 17 日报道，中国人工智能初创公司 DeepSeek 已在韩国暂停其聊天机器人应用的下载，同时与当地 authorities 合作解决隐私问题。 韩国个人信息保护委员会表示，DeepSeek 的应用已在周六晚上从韩国版本的苹果 App Store 和谷歌 Play 商店中移除，该公司同意在重新推出应用之前与该机构合作加强隐私保护。 这一举措不影响已经下载 DeepSeek 应用的用户或在个人电脑上使用该应用的用户。韩国委员会调查部门的负责人 Nam Seok 建议韩国用户删除该应用，或避免在问题解决之前输入个人信息。 许多韩国政府机构和公司已经阻止 DeepSeek 访问其网络，或禁止员工在工作中使用该应用，担心该 AI 模型收集过多敏感信息。 韩国隐私委员会上个月开始审查 DeepSeek 的服务，发现该公司在第三方数据传输方面缺乏透明度，可能收集了过多的个人信息。Nam 表示，委员会尚未估计韩国的 DeepSeek 用户数量。Wiseapp Retail 最近的一项分析发现，在 1 月下旬，DeepSeek 在韩国约有 120 万智能手机用户，成为仅次于 ChatGPT 的第二受欢迎的 AI 模型。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软宣布将从 Windows 中移除位置历史功能，该功能曾允许像 Cortana 虚拟助手这样的应用程序获取设备的位置历史。 微软在公告中表示：“我们正在弃用并移除位置历史功能，这是一个允许 Cortana 在位置启用时访问设备 24 小时历史的 API。” 弃用该功能意味着数据将不再本地保存，相关设置也将从操作系统（Windows 10 和 11）中消失。 该功能背后的 API ‘Geolocator.GetGeopositionHistoryAsync’ 为应用程序提供本地存储的数据，这些数据是位置服务在过去 24 小时内收集的。 “位置服务仅在应用程序或服务查询用户位置时收集位置信息，但每秒不超过一次，”微软解释道。 设备位置数据本地存储，只有在应用程序或服务主动请求时才会填充列表。 BleepingComputer 已联系微软，询问弃用位置历史 API 的原因，我们将在收到回复后更新此文章。 开发者应审查使用 Windows.Devices.Geolocation API 的应用程序，并迁移到其他方法，否则其工具的核心功能可能在未来出现故障。 位置服务选项也将从 Windows 设置 > 隐私与安全 > 位置中移除。 用户可以完全停用该设置，以阻止所有应用程序和服务访问位置数据。 停用后，用户应点击 “清除” 按钮，以删除过去 24 小时内的任何位置数据。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软威胁情报团队近日宣布，他们发现了一种新的 XCSSET 恶意软件变体，该变体在野外的有限攻击中被发现。 “这是自 2022 年以来已知的首个 XCSSET 变体，具有增强的混淆方法、更新的持久性机制和新的感染策略，”微软威胁情报团队在 X 上的一篇帖子中表示。 这些增强功能增加了该恶意软件家族之前已知的能力，例如针对数字钱包、从 Notes 应用程序收集数据以及窃取系统信息和文件。 XCSSET 是一种复杂的模块化 macOS 恶意软件，已知会通过感染 Apple Xcode 项目来攻击用户。它最初在 2020 年 8 月由趋势科技记录。 随后的恶意软件迭代被发现能够适应新的 macOS 版本以及苹果自家的 M1 芯片。2021 年年中，这家网络安全公司指出，XCSSET 已经更新，可以从各种应用程序（如 Google Chrome、Telegram、Evernote、Opera、Skype、WeChat 以及苹果自家的 Contacts 和 Notes 应用程序）中窃取数据。 Jamf 同一时间的另一份报告揭示了该恶意软件利用 CVE-2021-30713（一个 Transparency、Consent 和 Control (TCC) 框架绕过漏洞）作为零日漏洞，在不需要额外权限的情况下截取受害者桌面的屏幕截图。 一年多后，它再次更新，增加了对 macOS Monterey 的支持。截至目前，该恶意软件的起源仍未知。 微软的最新发现标志着自 2022 年以来的首次重大修订，采用了改进的混淆方法和持久性机制，旨在挑战分析工作，并确保每次启动新的 shell 会话时恶意软件都会被启动。 XCSSET 建立持久性的另一种新方法是从未知的命令和控制服务器下载签名的 dockutil 实用程序，以管理 dock 项目。 “恶意软件随后创建一个假的 Launchpad 应用程序，并将合法 Launchpad 在 dock 中的路径条目替换为这个假的条目，”微软表示，“这确保了每次从 dock 启动 Launchpad 时，合法的 Launchpad 和恶意负载都会被执行。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cofense 的网络钓鱼防御中心（PDC）发现了一起网络钓鱼活动，该活动利用合法的 Microsoft 登录页面诱骗用户授予对恶意 “Adobe Drive X” 应用的访问权限。该应用随后将受害者重定向到一个伪造的 Microsoft 登录页面，旨在窃取其凭据。 攻击从一封伪装成 Office 365 密码重置请求的网络钓鱼邮件开始。邮件中包含一个链接，指向一个真正的 Microsoft 认证页面，使攻击显得更具说服力。然而，一旦用户在该合法页面输入凭据，他们就会被提示授予对一个名为 “Adobe Drive X” 的自定义 Microsoft 365 应用的权限。 攻击者的狡猾策略在此处显现。通过请求通过一个看似无害的与 Adobe 相关的应用程序访问，他们利用了用户对 Microsoft 和 Adobe 的信任。该应用请求访问用户的电子邮件地址和基本个人资料信息，进一步增加了其合法性的伪装。 如果用户接受了这些权限，他们将被重定向到一个旨在模仿 Microsoft 登录页面的凭据网络钓鱼页面。该页面并未托管在 Microsoft 域名上，但不知情的用户可能会忽略这一关键细节，尤其是在之前通过合法的 Microsoft 页面成功登录后。 “攻击者很可能将此凭据网络钓鱼尝试放在一个合法的 Microsoft 365 登录页面之后，以出其不意地攻击用户，”Cofense 在其报告中解释道。“不太警惕的用户可能不会验证第二个登录页面的 URL，并成为凭据网络钓鱼攻击的受害者。” 用户应始终仔细检查 URL，警惕授予未知应用程序的权限，并报告任何可疑活动。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic Security Labs 在对 REF7707 入侵组织的最近调查中发现了一个新的恶意软件家族，该家族利用 Microsoft Outlook 草稿通过 Microsoft Graph API 作为隐蔽通信渠道。这个被命名为 FINALDRAFT 的后利用工具包包括一个加载器、一个后门以及多个为高级网络间谍活动设计的子模块。 Elastic 团队发现了该恶意软件的 Windows 和 Linux 版本，证据表明其经过了长期开发和重大的工程努力。“工具的完整性和涉及的工程水平表明开发者组织严密，”Elastic Security Labs 指出，并补充说，“行动的长时间跨度和我们的遥测数据表明，这很可能是一场以间谍活动为导向的运动。” FINALDRAFT 恶意软件通过 PATHLOADER 部署，PATHLOADER 是一个轻量级的 Windows PE 可执行文件（206 KB），作为第一阶段加载器。它从攻击者控制的基础设施下载 AES 加密的 shellcode，解密后在内存中执行。恶意软件通过 API 哈希、混淆和沙箱逃避技术避免静态分析。 Elastic Security Labs 强调，PATHLOADER 的嵌入式配置包括两个拼写错误的域名，模仿安全厂商： poster.checkponit[.]com（模仿 Check Point） support.fortineat[.]com（模仿 Fortinet） 这种欺骗性策略旨在逃避检测，并将恶意流量与合法的安全厂商活动混合。 FINALDRAFT 是一个用 C++ 编写的 64 位恶意软件，重点在于数据窃取和进程注入。它通过加载加密配置、生成会话 ID 并通过 Outlook 草稿与命令与控制（C2）服务器交互来运行。 “FINALDRAFT 与 C2 通信使用的会话 ID 是通过创建一个随机 GUID，然后使用 Fowler-Noll-Vo（FNV）哈希函数处理生成的，”报告解释道。 FINALDRAFT 的一个显著特点是能够利用 Outlook 的邮件草稿作为 C2 通道。恶意软件不是通过直接网络通信，而是： 如果尚不存在，则创建一个会话草稿邮件。 读取并删除由攻击者生成的命令请求草稿。 执行命令，如进程注入、文件操作和网络代理。 将响应写入草稿邮件，确保攻击者可以在不引发警报的情况下获取结果。 这种方法最大限度地减少了网络流量痕迹，使传统安全解决方案的检测难度显著增加。 FINALDRAFT 包括 37 个命令处理器，允许其执行进程注入、TCP/UDP 代理、文件操作和权限提升。值得注意的是，恶意软件的进程注入技术依赖于 VirtualAllocEx、WriteProcessMemory 和 RtlCreateUserThread API 调用。 “目标进程要么是作为命令参数提供的可执行路径，要么默认为 mspaint.exe 或 conhost.exe 作为备用，”报告指出。 除了 Windows 功能外，还发现了一个 ELF 版本的 FINALDRAFT，支持多种超出 Outlook 草稿的 C2 传输协议，包括： HTTP/HTTPS 反向 UDP ICMP 和绑定 TCP 反向 TCP 和 DNS 这表明 FINALDRAFT 具有跨平台适应性，使其成为攻击者针对 Windows 和 Linux 环境的多功能工具。 Elastic Security Labs 强烈怀疑 FINALDRAFT 是更大规模间谍活动的一部分。恶意软件的复杂设计、持久性技术和对隐蔽通信方法的依赖表明，其背后有一个资金充足且能力强大的对手。 安全研究人员敦促组织监控 Outlook API 活动，实施强大的终端检测解决方案，并阻止已知的 C2 域名，以降低风险。   消息来源：Security Online；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rapid7 的漏洞研究团队表示，攻击者在 12 月份利用 PostgreSQL 的安全漏洞作为零日漏洞，攻破了特权访问管理公司 BeyondTrust 的网络。 BeyondTrust 透露，攻击者在 12 月初利用两个零日漏洞（CVE-2024-12356 和 CVE-2024-12686）以及一个被盗的 API 密钥，攻破了其系统和 17 个远程支持 SaaS 实例。 不到一个月后，1 月初，美国财政部披露其网络被威胁行为者攻破，这些行为者利用被盗的远程支持 SaaS API 密钥，攻破了其 BeyondTrust 实例。 此后，财政部的被攻破事件被追溯到黑客组织 Silk Typhoon，该组织是一个网络间谍组织，以侦察和数据窃取攻击而闻名，2021 年初因利用 Microsoft Exchange Server ProxyLogon 零日漏洞攻击约 68,500 台服务器而广为人知。 黑客特别攻击了美国外国投资委员会（CFIUS），该委员会审查外国投资的国家安全风险，以及外国资产控制办公室（OFAC），该办公室管理贸易和经济制裁计划。 他们还入侵了财政部金融研究办公室的系统，但此次事件的影响仍在评估中。 据信，Silk Typhoon 利用了对财政部 BeyondTrust 实例的访问权限，窃取了“与潜在制裁行动和其他文件有关的非机密信息”。 12 月 19 日，CISA 将 CVE-2024-12356 漏洞添加到其已知被利用漏洞目录中，要求美国联邦机构在一周内保护其网络免受持续攻击。该网络安全机构还于 1 月 13 日下令联邦机构修补其系统以防范 CVE-2024-12686 漏洞。 PostgreSQL 零日漏洞与 BeyondTrust 被攻破事件有关 在分析 CVE-2024-12356 时，Rapid7 团队发现 PostgreSQL 中一个新的零日漏洞（CVE-2025-1094），该漏洞于 1 月 27 日报告，并在周四修补。CVE-2025-1094 允许在 PostgreSQL 交互工具读取不受信任的输入时进行 SQL 注入，因为它错误地处理了无效 UTF-8 字符的特定无效字节序列。 “PostgreSQL libpq 函数 PQescapeLiteral()、PQescapeIdentifier()、PQescapeString() 和 PQescapeStringConn() 中的引用语法中和不当处理，允许数据库输入提供者在某些使用模式下实现 SQL 注入，”PostgreSQL 安全团队解释道。 “具体来说，SQL 注入需要应用程序使用函数结果来构建 psql 的输入，即 PostgreSQL 交互终端。同样，当 client_encoding 为 BIG5 且 server_encoding 为 EUC_TW 或 MULE_INTERNAL 时，PostgreSQL 命令行实用程序程序中引用语法的不当处理允许命令行参数来源实现 SQL 注入。” Rapid7 的测试表明，成功利用 CVE-2024-12356 实现远程代码执行需要使用 CVE-2025-1094，这表明与 BeyondTrust RS CVE-2024-12356 相关的漏洞利用依赖于对 PostgreSQL CVE-2025-1094 的利用。 此外，尽管 BeyondTrust 表示 CVE-2024-12356 是一个命令注入漏洞（CWE-77），但 Rapid7 认为将其更准确地归类为参数注入漏洞（CWE-88）。 Rapid7 安全研究人员还发现了一种方法，可以独立于 CVE-2024-12356 参数注入漏洞，在易受攻击的 BeyondTrust 远程支持（RS）系统中利用 CVE-2025-1094 实现远程代码执行。 更重要的是，他们发现虽然 BeyondTrust 对 CVE-2024-12356 的修补程序没有解决 CVE-2025-1094 的根本原因，但它成功地防止了这两个漏洞的利用。 “我们还了解到，可以在 BeyondTrust 远程支持中利用 CVE-2025-1094，而无需利用 CVE-2024-12356，”Rapid7 表示。“然而，由于 CVE-2024-12356 修补程序采用了一些额外的输入消毒措施，利用仍然会失败。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为PirateFi的免费游戏在Steam商店中被发现向不知情的用户分发Vidar信息窃取恶意软件。 这款游戏在Steam目录中存在了近一周，从2月6日至2月12日，期间被最多1500名用户下载。分发服务已向可能受影响的用户发送通知，建议他们出于谨慎考虑重新安装Windows系统。 Steam上的恶意软件 PirateFi由Seaworth Interactive于上周在Steam上发布，并获得了正面评价。该游戏被描述为一款设定在低多边形世界中的生存游戏，涉及基地建设、武器制作和食物收集。 然而，Steam本周早些时候发现该游戏包含恶意软件，但未具体说明恶意软件的类型。 通知中写道：“该游戏的开发者账户上传了包含疑似恶意软件的版本。” “您在这些版本活跃期间在Steam上玩了PirateFi，因此这些恶意文件很可能已在您的电脑上运行，”服务警告称。 建议受影响用户运行全系统扫描，使用最新的杀毒软件，检查是否有不认识的新安装软件，并考虑重新格式化操作系统。 受影响用户还在PirateFi的Steam社区页面上发布了警告，告知其他用户不要启动游戏，因为他们的杀毒软件已将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获取了通过PirateFi分发的恶意软件样本，并确认其为Vidar信息窃取者的一个版本。 “如果您是下载了这款‘游戏’的玩家之一：请认为您的浏览器、电子邮件客户端、加密货币钱包等保存的凭据、会话cookie和秘密已被窃取，”SECUINFRA建议道。 建议更改所有可能受影响账户的密码，并在可能的情况下激活多因素身份验证保护。 根据动态分析和YARA签名匹配，识别为Vidar的恶意软件被隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe）与InnoSetup安装程序打包在一起。 Genheimer告诉BleepingComputer，威胁行为者多次修改了游戏文件，使用各种混淆技术，并更改了用于凭据窃取的命令与控制服务器。 研究人员认为，PirateFi名称中的web3/区块链/加密货币引用是故意为之，旨在吸引特定的玩家群体。 Steam未公布受PirateFi恶意软件影响的用户数量，但从游戏页面的统计数据来看，最多可能有1500人受到影响。 恶意软件入侵Steam商店并不常见，但并非前所未有。 2023年2月，Steam用户曾被恶意的Dota 2游戏模式 targeting，这些模式利用Chrome n-day漏洞在玩家电脑上执行远程代码。 2023年12月，当时流行的独立策略游戏《Slay the Spire》的一个模组被黑客入侵，注入了一个名为‘Epsilon’的信息窃取者投放器。 Steam引入了额外的措施，如基于短信的验证，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，这些措施还不够充分。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在针对 Palo Alto Networks PAN-OS 防火墙发动攻击，利用的是一个最近修复的漏洞（CVE-2025-0108），该漏洞允许绕过认证。 这一安全问题被评定为高严重性，影响 PAN-OS 管理 Web 界面，允许网络上的未认证攻击者绕过认证并调用某些 PHP 脚本，可能危及系统的完整性和机密性。 在 2 月 12 日的安全公告中，Palo Alto Networks 强烈敦促管理员将防火墙升级到以下版本以解决该问题： 11.2.4-h4 或更高版本 11.1.6-h1 或更高版本 10.2.13-h3 或更高版本 10.1.14-h9 或更高版本 PAN-OS 11.0 也受到影响，但该产品已达到生命周期终点（EoL），Palo Alto Networks 不计划为其发布任何修复。因此，强烈建议用户升级到受支持的版本。 受影响的 PAN-OS 版本： 11.2 版本低于 11.2.4-h4 11.1 版本低于 11.1.6-h1 10.2 版本低于 10.2.13-h3 10.1 版本低于 10.1.14-h9 该漏洞由 Assetnote 的安全研究人员发现并报告给 Palo Alto Networks。他们还在补丁发布时发布了包含完整利用细节的技术分析。 研究人员展示了如何利用这一漏洞提取敏感系统数据、检索防火墙配置，或可能操纵 PAN-OS 内的某些设置。 该漏洞的利用方式是利用 PAN-OS 中 Nginx 和 Apache 之间的路径混淆，从而绕过认证。 具有管理界面网络访问权限的攻击者可以利用这一点收集进一步攻击的情报，或通过修改可访问的设置来削弱安全防御。 威胁监控平台 GreyNoise 记录了针对未修补 PAN-OS 防火墙的利用尝试。这些攻击始于 2 月 13 日 17:00 UTC，似乎源自多个 IP 地址，可能表明不同威胁行为者正在利用该漏洞。 关于在线暴露的易受攻击设备，Macnica 研究员 Yutaka Sejiyama 告诉 BleepingComputer，目前有超过 4400 个 PAN-OS 设备在线暴露其管理界面。 为了防范正在进行的利用活动，考虑到概念验证（PoC）已公开，预计未来几天内可能会达到高潮，建议应用可用的补丁并限制对防火墙管理界面的访问。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌正在为安卓系统开发一项新安全功能，该功能可在通话过程中阻止设备所有者更改敏感设置。 具体来说，通话中的防诈骗保护措施包括防止用户开启安装未知来源应用的设置和授予无障碍访问权限。这一开发最初由Android Authority报道。 用户在通话过程中尝试进行这些操作时，会收到提示：“诈骗者通常会在通话中要求进行此类操作，因此我们将其阻止以保护您。如果您是在不认识的人的指导下进行此操作，这可能是一个诈骗。” 此外，该功能还阻止用户在通话过程中授予应用无障碍访问权限。 该功能目前已在本周早些时候发布的安卓16 Beta 2中上线。通过这一最新功能，旨在增加恶意行为者常用的一种滥用手段的难度，即通过发送短信诱导目标拨打电话，从而传递恶意软件。 这些方法被称为电话导向攻击传递（TOAD），涉及向潜在目标发送短信，诱导他们拨打一个号码，制造一种紧迫感。 去年，NCC集团和芬兰国家网络安全中心（NCSC-FI）披露，网络犯罪分子正在通过结合短信和电话的方式分发dropper应用，诱骗用户安装如Vultr等恶意软件。 这一开发是在谷歌扩大限制设置范围以覆盖更多权限类别之后进行的，旨在防止侧载应用访问敏感数据。 谷歌还在巴西、香港、印度、肯尼亚、尼日利亚、菲律宾、新加坡、南非、泰国和越南等市场推出了自动阻止可能不安全应用侧载的功能，以打击欺诈行为。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 SecurityScorecard 报道，朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关，该程序被用于针对开发者的有限定向攻击。 SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”，恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃，目前已无法在代码托管平台上访问。 该植入程序旨在收集系统信息，可嵌入网站和 NPM 包中，带来供应链风险。证据显示，该恶意软件最早于2024年12月底出现。此次攻击已在美国、欧洲和亚洲确认有233名受害者。 “该账户提到了网络开发技能和学习区块链，这与 Lazarus 的兴趣一致，”SecurityScorecard 表示。“威胁行为者将预混淆和混淆后的有效载荷提交到多个 GitHub 仓库。” 有趣的是，GitHub 仓库中的植入程序与直接从命令与控制（C2）服务器 74.119.194[.]129:3000/j/marstech1 提供的版本不同，表明其可能正处于积极开发中。 其主要任务是在各种操作系统中搜索基于 Chromium 的浏览器目录，并更改与扩展相关的设置，特别是与 MetaMask 加密货币钱包相关的设置。它还能够从同一服务器的 3001 端口下载额外的有效载荷。 该恶意软件还针对 Windows、Linux 和 macOS 上的 Exodus 和 Atomic 钱包。捕获的数据随后被窃取到 C2 端点 “74.119.194[.]129:3000/uploads”。 SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 告诉《黑客新闻》，恶意 JavaScript 文件还被植入到某些属于加密货币项目的 NPM 包中。 “Marstech1 植入程序的引入，其分层混淆技术——从 JavaScript 中的控制流扁平化和动态变量重命名到 Python 中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面的复杂方法，”该公司表示。 与此同时，Recorded Future 披露，在2024年10月至11月期间，至少有三家与加密货币领域相关的公司——一家做市公司、一家在线赌场和一家软件开发公司——成为 “Contagious Interview” 活动的目标。 这家网络安全公司正在跟踪名为 PurpleBravo 的集群，称其背后的朝鲜 IT 工作者是网络间谍活动的幕后黑手。该活动还被追踪为 CL-STA-0240、Famous Chollima 和 Tenacious Pungsan。 “无意中雇佣朝鲜 IT 工作者的组织可能违反了国际制裁，使自己面临法律和财务后果，”该公司表示。“更严重的是，这些工人几乎肯定会作为内部威胁，窃取专有信息、引入后门或协助更大的网络行动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文