Aggregator

China-Nexus Hackers Actively Exploiting React2Shell Vulnerability (CVE-2025-55182) in the Wild

Cyber Security News
1 month 2 weeks ago

China-nexus threat groups are racing to weaponize the new React2Shell bug, tracked as CVE-2025-55182, only hours after its public disclosure. The flaw sits in React Server Components and lets an attacker run code on the server without logging in. Early scans show broad probing of internet-facing React and Next[.]js apps, with a focus on high-value […]

The post China-Nexus Hackers Actively Exploiting React2Shell Vulnerability (CVE-2025-55182) in the Wild appeared first on Cyber Security News.

Tushar Subhra Dutta

安卓电视 YouTube 客户端 SmartTube 遭入侵 恶意更新强制推送

嘶吼
1 month 2 weeks ago

安卓电视平台的开源YouTube客户端SmartTube已确认遭入侵——攻击者获取开发者的数字签名密钥后,向用户推送了包含恶意代码的更新包。

此次安全事件由多名用户反馈发现:安卓内置杀毒模块Google Play Protect在部分设备上拦截了SmartTube,并向用户发出安全风险警示。

SmartTube开发者证实,其数字签名密钥于上周末被盗,导致恶意软件被注入应用程序。目前已吊销旧签名,并表示将尽快发布采用独立应用ID的新版本,同时敦促用户升级至该安全版本。

作为安卓电视、Fire TV、安卓电视盒等设备上下载量最高的第三方YouTube客户端之一,SmartTube的流行源于其免费属性、广告拦截功能,以及在低性能设备上的流畅运行表现。 

一名逆向工程师对遭入侵的30.51版本进行分析后发现,该版本包含一个名为libalphasdk.so的隐藏原生库([病毒总数平台检测链接])。由于该库未出现在公开源代码中,推测是在发布构建过程中被恶意注入。 

开发者表示:“这很可能是一款恶意软件。该文件并非所使用SDK的组成部分,其出现在APK安装包中完全出乎意料且存在高度可疑性。在核实其来源前,建议用户保持警惕。”

经分析,该恶意库会在后台静默运行,无需用户交互即可完成设备指纹采集、向远程服务器注册设备,并通过加密通信通道定期发送设备指标数据及获取配置指令。尽管目前尚未发现账号盗窃、参与DDoS僵尸网络等恶意行为,但攻击者可随时利用该模块发起此类攻击,潜在风险极高。 

尽管开发者已在Telegram宣布发布安全测试版及稳定测试版,但这些版本尚未同步至项目官方GitHub仓库。此外,开发者未披露事件完整细节,引发用户信任危机。SmartTube表示,待新版应用正式上架F-Droid应用商店后,将全面回应所有关问题。 

在开发者通过详细事后分析报告公开披露全部事件细节前,安全专家建议用户:保持使用经验证安全的旧版本、避免登录高级账户、关闭自动更新功能;受影响用户应重置Google账户密码,检查账户控制台是否存在未授权访问记录,并移除陌生关联服务。

为确保完全安全,SmartTube已从30.55版本起已切换至新签名密钥。30.47 Stable v7a版本出现不同哈希值,可能是在清理受感染系统后尝试恢复该版本所致。

胡金鱼

黑客篡改版银行应用袭击东南亚,超 1.1 万设备遭感染

HackerNews
1 month 2 weeks ago
HackerNews 编译,转载请注明出处: 以牟利为目的的 “黄金工厂”(GoldFactory)网络犯罪团伙近期以伪装政府服务机构的方式,向印度尼西亚、泰国和越南的移动用户发起新一轮攻击。 总部位于新加坡的数字风险防护企业 IB 集团在周三发布的技术报告中指出,该攻击活动始于 2024 年 10 月,犯罪团伙通过传播植入安卓恶意软件的篡改版银行应用实施攻击。 据悉,“黄金工厂” 早在 2023 年 6 月就已开始活动,该团伙于去年年初逐渐进入公众视野。当时 IB 集团披露,该团伙开发了 “掘金铲”(GoldPickaxe)、“淘金者”(GoldDigger)及 “增强版淘金者”(GoldDiggerPlus)等多款定制恶意软件,同时针对安卓与苹果移动设备发动攻击。 此轮攻击最早在泰国被发现,2024 年末至 2025 年初蔓延至越南,2025 年年中起又波及印度尼西亚。 IB 集团表示,已排查出 300 多个不同版本的篡改版银行应用样本,仅在印度尼西亚就造成近 2200 起设备感染事件。经进一步调查,该团伙相关的恶意攻击载体超 3000 个,导致的感染案例不少于 1.1 万起,其中约 63% 的篡改版银行应用面向印度尼西亚市场。 该攻击流程其实很简单:犯罪团伙先伪装成政府机构或当地知名可靠品牌,接着致电潜在受害用户实施诈骗,诱导他们点击在 zalo(越南主流即时通讯软件)等通讯应用中发送的链接,进而安装恶意软件。 IB 集团记录的一起案例显示,诈骗分子冒充越南国家电力集团,以逾期未缴电费将立即断电为由催促受害用户缴费。通话过程中,诈骗分子还要求受害用户添加其 zalo 好友,以便接收用于下载应用并绑定账户的链接。 这些链接会将受害用户导向仿冒谷歌应用商店页面的虚假诱导界面,进而植入 “巨型芽”“移动监控木马”“雷莫” 等远程控制木马。其中 “雷莫” 木马于今年早些时候被发现,其攻击手法与 “黄金工厂” 如出一辙。这些植入程序会为核心恶意程序的安装铺路,核心程序会恶意滥用安卓系统的辅助功能,以实现对设备的远程操控。 安德烈・波洛夫金、沙明・洛、阮氏秋源与帕维尔・瑙莫夫等研究人员指出:“这类恶意软件以正规手机银行应用为基础,仅向应用的部分模块注入恶意代码,因此正规应用的正常功能得以保留。不同攻击目标所植入的恶意模块功能或许存在差异,但核心目的均是绕过原应用的安全防护机制。” 具体来说,该恶意软件通过劫持应用程序逻辑来启动恶意代码。研究人员根据篡改版应用中用于运行时劫持的框架,发现了三类不同的恶意程序组件,分别是 “弗瑞劫持器”“天空劫持器” 和 “派恩劫持器”。尽管它们存在差异,但核心功能高度重合,均可实现以下操作: 隐藏已开启辅助功能的应用列表 规避屏幕录制检测 伪造安卓应用的数字签名 隐藏应用安装来源 配置自定义完整性令牌验证程序 窃取用户账户余额信息 其中,“天空劫持器” 借助开源的多平台挂钩框架实现代码劫持功能;“弗瑞劫持器” 会向正规银行应用中注入弗瑞动态插桩工具;而 “派恩劫持器” 顾名思义,采用的是基于 Java 语言开发的派恩挂钩框架。 IB 集团在分析 “黄金工厂” 搭建的恶意攻击架构时,还发现了一款名为 “巨型花” 的安卓恶意软件测试版,这款软件很可能是 “巨型芽” 的升级版。 该恶意软件支持约 48 条操控指令,具体功能包括通过网页实时通信技术实现设备屏幕画面与运行状态的实时传输;滥用系统辅助功能记录键盘输入内容、读取界面信息并模拟手势操作;弹出仿冒系统更新、验证码输入及账户注册的虚假界面以窃取个人信息;借助内置文本识别算法提取身份证等证件图片中的信息。目前该软件还在开发二维码扫描功能,用于识别越南身份证上的二维码,其目的很可能是更便捷地获取证件信息。 值得注意的是,“黄金工厂” 已停用其定制开发的苹果设备恶意程序,转而采用一种特殊攻击方式 —— 指示受害用户向亲友借用安卓设备继续操作以完成诈骗。目前其变更攻击方式的具体原因尚不清楚,但外界普遍认为,这与苹果系统更为严格的安全防护机制及应用商店审核制度密切相关。 研究人员表示:“该团伙早期攻击主要以恶意利用客户身份验证流程为目标,而近期则转为直接篡改正规银行应用实施诈骗。他们借助弗瑞、多平台挂钩、派恩等正规框架篡改可信银行应用,这种攻击手段技术成熟且成本低廉,既能避开传统安全检测,还能助力犯罪团伙快速扩大攻击规模。”   消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

美国两男子入侵联邦数据库并删除敏感档案

HackerNews
1 month 2 weeks ago
HackerNews 编译,转载请注明出处: 美国弗吉尼亚州一对曾因网络犯罪被定罪的双胞胎兄弟近期被捕,涉嫌入侵美国政府数据库并删除大量敏感信息。 34 岁的Muneeb Akhter与Sohaib Akhter利用联邦承包商身份,于今年 2 月删除了约 96 个存储美国政府信息的数据库,目前面临多年监禁。美国司法部表示,二人已于周三被正式起诉。 根据 11 月 13 日提交的起诉书,兄弟俩于 2 月 18 日被雇主解雇后,为报复雇主蓄意删除数据库。这些数据库包含 “联邦政府各部门及机构管理的《信息自由法》(FOIA)相关记录文件,以及联邦政府部门的敏感调查档案”。 穆尼布・阿克特尔被控严重身份盗窃、合谋实施计算机欺诈与销毁记录、窃取美国政府记录等多项罪名,最高可判处 45 年监禁;索海尔・阿克特尔被控合谋实施计算机欺诈与销毁记录、计算机欺诈两项罪名,最高可判处 6 年监禁。 起诉书中未披露兄弟俩雇主的具体名称,但检察官透露,该雇主总部位于华盛顿特区,为美国 45 个以上联邦机构提供软件服务,包括美国平等就业机会委员会(EEOC)、国土安全部(DHS)和国税局(IRS)等。 彭博社 5 月曾报道,该承包商实为软件公司奥佩克斯。报道称,兄弟俩均有权访问 eCASE 系统(用于政府机构审计)和 FOIAXpress 系统(用于跟踪公共记录申请),并援引消息源指出,部分机构 2 月 14 日至 18 日期间的所有《信息自由法》申请记录已永久丢失,另有机构丢失了 2 月 18 日至 3 月 18 日的相关申请记录。 联邦检察官表示,2 月 18 日至 25 日期间,穆尼布・阿克特尔删除了多个数据库。在删除国土安全部某数据库一分钟后,他曾向人工智能工具询问 “删除数据库后如何清除系统日志”。 检察官还指出,兄弟俩在向原雇主归还工作笔记本电脑前已彻底格式化设备,且被执法部门截获其讨论 “警方搜查前清理住所” 的对话。起诉书显示:”2025 年 2 月 18 日约 17 时 14 分,索海尔・阿克特尔大声说道 ‘ 他们可能会突袭这里 ‘,穆尼布・阿克特尔回应 ‘ 赶紧把这些破东西清理掉 ‘,索海尔接着说 ‘ 哥们儿,另一处房子的东西也得清理 ‘”。 此外,穆尼布・阿克特尔还窃取了平等就业机会委员会的相关信息,以及存储在虚拟机中涉及约 450 人的国税局敏感数据副本。 代理助理司法部长马修・加莱奥蒂(Matthew Galeotti)表示:“这些被告滥用联邦承包商身份攻击政府数据库、窃取敏感政府信息,其行为危及政府系统安全,严重干扰了各机构为美国民众提供服务的能力。” 长期网络犯罪史 检察官透露,兄弟俩早在 2010 年代就曾因网络犯罪被定罪,部分案件发生在他们直接受雇于联邦机构或通过承包商为联邦政府工作期间。 2015 年,兄弟俩与另一人合谋窃取约 40 人的信用卡信息,用于在艺龙(Expedia)、全美航空(US Airways)等 15 家以上企业购买机票和酒店预订服务。调查还发现,穆尼布・阿克特尔当时试图加入某匿名黑客组织,通过实施网络犯罪证明自身能力。 随着调查深入,案件范围进一步扩大 —— 穆尼布・阿克特尔被查出在 2013 年利用工作便利非法访问雇主存储的联邦数据。2014 年,穆尼布进入国土安全部担任 IT 职位,索海尔则通过承包商身份入职国务院。二人利用职务之便,从国土安全部和国务院下载了大量敏感信息,包括 “试图入侵国务院计算机系统,获取敏感护照和签证信息及其他相关有价值的系统数据”。 穆尼布・阿克特尔在该案件中认罪,被判处约 3 年监禁,后因多次违反缓刑规定延长服刑时间;索海尔・阿克特尔也因该案入狱多年,出狱后再次涉嫌网络犯罪。   消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

PoC Exploit Released for Critical React, Next.js RCE Vulnerability (CVE-2025-55182)

Cyber Security News
1 month 2 weeks ago

A proof-of-concept (PoC) exploit for CVE-2025-55182, a maximum-severity remote code execution (RCE) flaw in React Server Components, surfaced publicly this week, heightening alarms for developers worldwide. Dubbed “React2Shell” by some researchers, the vulnerability carries a CVSS score of 10.0 and affects React versions 19.0.0 through 19.2.0, as well as Next.js 15.x and 16.x using App […]

The post PoC Exploit Released for Critical React, Next.js RCE Vulnerability (CVE-2025-55182) appeared first on Cyber Security News.

Guru Baran

雇佣军间谍软件利用 iOS 零日漏洞攻击链实施设备监听

HackerNews
1 month 2 weeks ago
HackerNews 编译,转载请注明出处: 一款新型 iOS 零日漏洞攻击链被证实与某雇佣军间谍软件相关联,该软件可对高风险目标用户的设备实施隐秘监听。 攻击者串联起多个此前未被发现的系统漏洞,目标用户只需在苹果浏览器(Safari)中点击一个链接,就能让间谍软件完整植入其苹果手机。 此次攻击主要针对公民社会人士与政治相关目标。这一事件也凸显出,资金雄厚的间谍软件供应商正不断将浏览器及系统内核漏洞武器化,用于开展长期秘密监听活动。 攻击始于一个一次性恶意链接,这类链接通常通过加密通讯软件发送。当目标用户在苹果浏览器中打开该链接时,浏览器会加载一款漏洞利用程序,该程序会触发一个远程代码执行漏洞,此漏洞后续被编号为 CVE – 2023 – 41993 并完成修复。 攻击的第一阶段会借助通用漏洞利用框架,实现对苹果浏览器渲染进程的任意读写操作,随后进一步获取苹果移动操作系统新版中的原生代码执行权限。自 2021 年起,多个监听技术供应商及国家背景黑客组织均复用该框架,可见可复用漏洞组件已形成活跃的地下交易市场。 苹果浏览器被攻破后,攻击进入威力更强的第二阶段。攻击者利用编号为 CVE – 2023 – 41991 与 CVE – 2023 – 41992 的两个内核漏洞,突破苹果浏览器的沙箱限制并提升操作权限。这一步操作会向名为 “猎物猎手”(PREYHUNTER)的第三阶段恶意负载开放内核内存的读写权限。 “猎物猎手” 包含 “辅助模块” 和 “监控模块” 两大组件。前者可完成受害设备校验、躲避安全分析等操作;后者能执行早期监听任务,比如进行网络电话录音、记录键盘输入、拍摄摄像头画面等,且执行这些操作时会隐藏相关通知,避免被用户察觉。 感染过程与 “猎物猎手” 的运行机制 其套接字的简化配置代码如下: 以下为攻击链中涉及的漏洞详情表: 漏洞编号 漏洞类型 涉及组件 / 开发商 在攻击链中的作用 造成后果 CVE – 2023 – 41993 远程代码执行漏洞 苹果浏览器 / 苹果移动操作系统 初步攻破浏览器 获取浏览器进程的代码执行权限 CVE – 2023 – 41992 沙箱突破 + 本地权限提升漏洞 系统内核 / 苹果移动操作系统 突破苹果浏览器沙箱限制 获取系统级代码执行权限 CVE – 2023 – 41991 本地权限提升漏洞 系统内核 / 苹果移动操作系统 提升内核权限并实现持久化驻留 支持间谍软件对内核进行读写操作 这种精心设计的分阶段攻击模式,再加上攻击者获取的内核级操作权限,足以看出当前漏洞开发者、非法中间商与间谍软件运营者已形成成熟的黑色产业链。他们相互勾结,让针对苹果移动设备的监听攻击既能隐秘实施,又能长期持续。   消息来源:cybersecuritynews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文  
hackernews

Managed ad