Aggregator

The resilience of the world’s submarine cable network is under new pressure from geopolitical tensions, supply chain risks, and slow repair processes. A new report from the Center for Cybersecurity Policy and Law outlines how governments and industry can work together to strengthen this critical infrastructure. The report comes at a time when physical disruptions to cables are drawing more attention. While most breaks are caused by fishing or anchoring accidents, recent incidents in the … More →

The post Keeping the internet afloat: How to protect the global cable network appeared first on Help Net Security.

SquarePhish is an advanced phishing tool that uses a technique combining the OAuth Device Code authentication flow and

The post SquarePhish: OAuth Device Code Phishing Toolkit appeared first on Penetration Testing Tools.

You must login to view this content

LastPass（一款密码管理工具）向macOS用户发出安全提示，称有一场攻击活动正通过虚假GitHub仓库分发伪装成热门软件的恶意程序。

这些伪造应用会在“ClickFix攻击”中植入Atomic（又称AMOS）信息窃取恶意软件，且攻击者通过Google和Bing的搜索引擎优化策略推广这些虚假应用。

AMOS是一款“恶意软件即服务”产品，月租费为1000美元，通常以受感染设备上的数据为攻击目标。近期，该恶意软件的开发者新增了后门组件，使攻击者能以隐蔽方式持续控制已攻陷的系统。

攻击细节：伪装超百款软件，借GitHub与ClickFix传播

LastPass表示，除自身产品外，此次攻击还伪装了超100款软件，包括1Password（密码管理工具）、Dropbox（云存储工具）、Confluence（协同办公软件）、Robinhood（股票交易应用）、Fidelity（金融服务软件）、Notion（笔记工具）、Gemini（谷歌AI工具）、Audacity（音频编辑软件）、Adobe After Effects（视频特效软件）、Thunderbird（邮件客户端）及SentinelOne（安全软件）等。

恶意的Google搜索结果

攻击者通过多个账号创建了大量虚假GitHub仓库——此举既能规避平台下架，又能通过优化让仓库在搜索结果中排名靠前。

声称与LastPass有关的GitHub代码库

这些仓库会设置“下载按钮”，引导访问者跳转至二级网站；在该网站中，用户会被诱导将一段命令粘贴到终端（Terminal）以完成“安装”。

这是典型的“ClickFix攻击”：利用受害者不了解命令实际作用的弱点实施攻击。这段命令会通过curl工具请求一个经Base64编码的URL，并将AMOS恶意载荷（install.sh脚本）下载到设备的/tmp目录（临时目录）。

攻击背景与防御建议

针对苹果电脑的ClickFix攻击并非首次出现。此前也有过类似活动，例如Booking.com的攻击，以及近期通过广告推广“macOS特定问题解决方案”的虚假应用攻击。

尽管LastPass仍在持续监控此次攻击，并向GitHub举报虚假仓库，但攻击者可通过自动化工具用新账号快速创建新仓库，导致攻击难以彻底遏制。

为避免遭遇ClickFix攻击，LastPass建议用户采取以下措施：

1. 切勿在系统中运行自身不理解的命令；

2. 在线查找软件时，优先通过软件厂商或项目的官方网站获取安装包——若官网未提供macOS版本，声称提供“非官方版”的渠道大概率为虚假；

3. 若需使用第三方移植的macOS版本，需确认提供方为大众认可的知名机构，且经过安全性验证。

越来越多企业认为，将人工智能融入业务运营是绝佳选择，甚至是绝对必要的举措——AI确实能兼顾实用性与必要性。但许多企业既不了解AI背后潜藏的网络安全风险，也未意识到自身在保障AI部署安全方面的准备严重不足。

无论是为提升内部生产力，还是打造面向客户的创新服务，AI（尤其是生成式AI）都能为企业带来革命性变革。然而，若缺乏安全保障，AI部署引发的问题将远超其带来的价值。没有完善的防护措施，AI非但无法强化防御，反而可能引入漏洞，为网络犯罪分子打开方便之门。

一、AI应用增速远超安全准备进度

企业对AI的需求毋庸置疑。据EY数据显示，92%的技术负责人计划在2025年增加AI相关支出，较2024年增长10%。智能体AI正成为极具变革性的前沿领域，69%的技术负责人表示，企业需借助该技术维持竞争力。

但企业对AI安全的关注度严重不足。世界经济论坛报告指出，66%的企业认为未来12个月内AI将对网络安全产生重大影响，但仅37%的企业在部署前建立了AI安全评估流程。

中小企业面临的风险更为突出——69%的中小企业缺乏AI安全部署保障措施，如训练数据监控、AI资产盘点等。

Accenture的调研也发现了类似差距：77%的企业缺乏基础的数据与AI安全实践，仅20%的企业对自身保护生成式AI模型的能力有信心。

实际上，这意味着大多数企业在拥抱AI时，其系统与数据并未获得真正的安全保障。

二、不安全的AI部署为何危险

未经安全考量的AI部署会带来重大合规风险，更会直接助长网络攻击者的气焰——他们可通过多种方式滥用生成式AI发起攻击：

1.  AI驱动的钓鱼与欺诈：WEF指出，47%的企业将AI赋能的网络攻击列为首要担忧，这并非空穴来风——去年有42%的企业遭遇过社会工程学攻击。

2.  模型操纵：Accenture强调，Morris II等AI蠕虫可将恶意提示嵌入模型，劫持AI助手实现数据窃取或垃圾邮件传播。

3.  深度伪造诈骗：犯罪分子正越来越多地利用AI生成的语音、图像和视频实施欺诈。例如，某起攻击中，攻击者利用逼真的语音深度伪造技术冒充意大利国防部长，骗取知名商界人士向海外转账。

AI降低了攻击门槛，使诈骗活动更快速、成本更低，且更难被检测。

三、需从源头构建AI安全防线

企业若想安全地发挥AI的全部价值，就必须树立“安全优先”的理念。不应在事故发生后再补建防御，也不应拼凑多个独立工具，而应从一开始就采用原生集成的网络安全解决方案。借助可通过中央控制台轻松管理、无需手动集成即可协同工作的解决方案，企业可实现以下目标：

1.  将安全嵌入AI开发流程：安全编码、数据加密和对抗性测试应成为每个开发阶段的标准流程。

2.  持续监控与验证模型：需针对模型操纵、数据投毒等新兴风险对AI系统进行持续测试。

3.  整合网络弹性策略：安全不应孤立存在。防御措施需原生集成于端点、网络、云环境和AI工作负载中，这一策略可降低复杂性，防止攻击者利用薄弱环节突破防线。

WEF与Accenture均强调，在AI时代准备最充分的企业，是那些拥有集成策略与强大网络安全能力的组织。

研究显示，仅10%的企业进入了所谓的“重塑就绪区”——即结合成熟的网络策略与集成化的监控、检测和响应能力。处于该阶段的企业遭遇AI赋能网络攻击的概率，比准备不足的企业低69%。

四、托管服务提供商（MSP）与企业的角色

对MSP而言，AI浪潮既是挑战也是机遇。客户对AI工具的需求将日益增长，同时也会依赖MSP保障其安全。

《2025年上半年Acronis网络威胁报告》显示，攻击者已加大对MSP的AI赋能攻击力度。2025年上半年，针对MSP的攻击中逾半数为钓鱼尝试，且主要由AI技术驱动。 

因此，MSP必须提供覆盖云、端点和AI环境的集成式防护，确保自身与客户的安全。

对企业而言，未来的发展路径在于平衡雄心与谨慎。AI能提升效率、激发创造力并增强竞争力，但这一切的前提是负责任的部署。

企业应将AI安全列为公司发展的优先事项，建立清晰的治理框架，并确保网络安全团队接受过应对新兴AI驱动威胁的培训。

五、AI部署的未来与安全紧密相连

生成式AI已成为常态，并将更深入地融入企业运营。但在未保障系统安全的情况下仓促推进，犹如在沙地上建造摩天大楼——地基过于薄弱，无法支撑整个建筑。因此，需通过利用集成化、前瞻性的安全措施与解决方案，企业既能释放AI的潜力，又不会加剧自身在勒索软件、欺诈及其他新兴威胁面前的暴露风险。

F-Droid has warned that Google’s new policy could threaten not only the very existence of its project but

The post The End of Sideloading? Google’s New Policy Puts F-Droid and Other App Stores at Risk appeared first on Penetration Testing Tools.