Aggregator

文章描述了错误代码521的含义及其常见原因。该错误通常由Cloudflare触发，表示Web服务器返回了无效响应。常见原因包括服务器配置错误、超时、或服务器无法处理请求。解决方法可能包括检查服务器日志、优化配置或联系主机提供商寻求帮助。

HackerNews 编译，转载请注明出处： 阿姆斯特丹自由大学（Vrije Universiteit Amsterdam）的学术研究人员证实，在现实场景中，可利用 CPU 瞬时执行漏洞（transient execution CPU vulnerabilities）从公共云服务上运行的虚拟机（VM）中窃取内存数据。 研究表明，2018 年 1 月披露的英特尔处理器漏洞L1 终端故障（L1TF，又称 Foreshadow），以及被认为无法在新一代 CPU 上利用的 “半幽灵”（half-Spectre）漏洞组件（此前认为其无法直接泄露机密数据），二者结合后可用于从公共云环境中窃取数据。 上个月，这些研究人员发布了名为 “L1TF Reloaded” 的漏洞报告（PDF 文档）。该漏洞通过结合 L1TF 与 “半幽灵” 技术，绕过了当前广泛部署的软件防护措施，成功从谷歌云（Google Cloud）的虚拟机监控程序（hypervisor）及同一物理机上的其他租户（co-tenant）系统中窃取敏感数据。 研究人员指出：“我们基于一种新颖的‘指针追踪’技术（通过主机与客户机进行指针遍历），获取了在软件中手动执行‘二维页表遍历’所需的全部信息；借助这一能力，我们可将客户机的任意虚拟地址转换为主机物理地址，进而通过 L1TF 漏洞窃取受害者内存中的任意字节数据。” 漏洞背景与影响 L1TF 漏洞于 2018 年披露，披露当天恰逢臭名昭著的 “Spectre（幽灵）” 与 “Meltdown（熔断）” 漏洞公开。这三类漏洞的最终危害一致：攻击者可获取 CPU 在执行指令时意外访问、且已缓存到内存中的机密数据。 研究人员表示，尽管这类漏洞以往的现实影响有限（因攻击者需具备 “远程代码执行” 能力，才能触发 CPU 中的相关指令），但 “L1TF Reloaded” 的测试结果表明，公共云服务商面临的这类攻击具有实际可行性 —— 本质上，公共云服务商向客户提供的 “云服务”，相当于 “远程代码执行即服务”（remote code execution as a service）。 在云环境中，客户的虚拟化系统虽运行在同一硬件上，但彼此应被视为 “不可信对象”，因此需要针对 “Spectre” 等瞬时执行漏洞部署所有合理的防护措施。 攻击测试与结果 研究人员在谷歌云的 “单租户节点”（sole-tenant node，指仅分配给单个客户使用的物理服务器）上开展测试，结果显示：在 “高干扰环境”（noisy conditions）下，即便对主机或客户机的细节一无所知，仍能窃取目标虚拟机中 Nginx 服务器的 TLS 密钥，平均耗时 14.2 小时。 此次攻击的核心逻辑是：针对 Linux 系统 KVM（基于内核的虚拟机）子系统中的 “半幽灵” 漏洞组件，通过 “推测执行”（speculative execution）将内存中的数据加载到 L1 缓存中，随后利用 L1TF 漏洞从 L1 缓存中窃取这些机密数据。 具体而言，攻击者可从恶意虚拟机出发，实现三层数据窃取： 从主机操作系统（host OS）中窃取数据，识别该物理机上运行的其他虚拟机； 从目标客户机操作系统（guest OS）中窃取数据，了解目标虚拟机上正在运行的进程； 最终从目标虚拟机的 Nginx 服务器中窃取私有 TLS 密钥。 研究人员还在亚马逊云（AWS）上进行了相同攻击测试，但由于 AWS 部署了深度防御机制，最终仅能窃取非敏感的主机数据，无法获取核心敏感信息。 奖励与防护建议 谷歌为研究人员提供了测试所需的 “单租户节点”，并向其颁发了 151,515 美元奖金 —— 这是谷歌云漏洞奖励计划（Google Cloud VRP）的最高级别奖励，谷歌方面同时指出，这也是该计划首次发放此级别奖金。 研究人员强调：“我们的攻击表明，若仅针对单个瞬时执行漏洞进行孤立防护，效果十分有限 —— 攻击者可通过组合利用多个漏洞，不仅能绕过现有防御措施，还能构建更具破坏力的攻击原语（attack primitives）。而以下防护措施可有效阻止此类攻击：AWS 已部署的‘跨页表防护（XPFO）’与‘进程本地内存’机制，以及业内提议的‘地址空间隔离’或‘无机密数据虚拟机监控程序’方案。”   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521的原因及解决方法。该错误通常由DNS服务器无法响应引起，常见原因包括网络配置错误、DNS服务器故障或网络运营商问题。解决方法包括重启路由器、更换DNS服务器地址或检查网络设置以恢复正常连接。

HackerNews 编译，转载请注明出处： 美国公共广播档案馆（American Archive of Public Broadcasting，简称 AAPB）官网存在一处漏洞，多年来导致受保护及私密媒体内容可被下载；本月，该漏洞已被悄悄修复。 网络安全研究员（要求匿名）向 BleepingComputer 网站透露了这一漏洞，称至少自 2021 年起，该漏洞就被人利用 —— 即便此前研究员已向 AAPB 通报过该问题。 在就漏洞联系 AAPB 后，该机构发言人确认了问题存在；研究员随后验证，漏洞在 48 小时内便完成修复。 AAPB 传播经理艾米丽・鲍克（Emily Balk）向 BleepingComputer 表示：“我们致力于保护和保存 AAPB 的档案资料，目前已加强了档案馆的安全防护措施。我们期待继续向公众免费开放公共媒体历史内容，让所有人都能便捷获取。” 美国公共广播档案馆由 WGBH 教育基金会（WGBH Educational Foundation，简称 GBH）与美国国会图书馆联合运营，是一家公共非营利性档案馆。其核心使命是收集、数字化并保存美国公共广播电台及电视台制作的具有历史意义的内容。 BleepingComputer 了解到，AAPB 这一漏洞最初是在 “失落媒体维基”（Lost Media Wiki）的 Discord 频道中流传开来的 —— 当时该频道正讨论《芝麻街》（Sesame Street）“西方邪恶女巫”（Wicked Witch of the West）剧集片段的泄露事件。 “失落媒体维基” 已下架了该剧集片段，称其 “很可能是通过非法数据泄露获取”，并敦促频道成员不要在 Discord 上重新分享。 最初，利用该漏洞的方法处于保密状态；但到 2024 年年中，其开始在 Discord 的内容保存社群中传播，导致更多受保护内容在专注于内容保存的 Discord 服务器上泄露。 这类社群被称为 “数据囤积者”（data hoarders），他们致力于存档软件、网站、操作系统及各类媒体内容（包括电视节目、音乐、电影等）。然而，他们的运作往往处于 “灰色地带”—— 所保存和分享的内容涉及版权问题，模糊了与数字盗版之间的界限。 即便 AAPB 采取了下架措施，该漏洞的利用方法仍在多个 Discord 服务器及即时通讯应用中传播。研究员向 BleepingComputer 提供的 “概念验证”（proof-of-concept）显示，滥用这一漏洞的操作极为简单。 研究员分享的漏洞利用工具是一个简单的 Tampermonkey 脚本（浏览器插件脚本），其利用的是 “不安全的直接对象引用”（Insecure Direct Object Reference，简称 IDOR）漏洞。通过该脚本，用户可通过媒体 ID 直接请求媒体文件，从而绕过 AAPB 的访问控制机制。 该漏洞允许用户篡改媒体访问请求中的 “媒体 ID 参数”：即便某些内容处于受保护或私密状态，只要用户通过 ID 发起访问请求，就能获取相应资源。 尽管 AAPB 官网的主要媒体页面（路径为/media/{ID}）设有部分访问控制，但攻击者可通过篡改后台的 “fetch” 或 “XMLHttpRequest”（两种网页数据请求方式）绕过限制。 按照正常逻辑，AAPB 的服务器本应通过 “403 禁止访问”（403 Forbidden）错误拒绝这类非法请求；但实际情况是，只要请求中包含有效的媒体 ID，服务器就会直接返回对应内容。 目前该漏洞虽已修复，但尚不清楚 “数据囤积者” 社群已获取并分享了多少内容。 此次美国公共广播档案馆的内容泄露事件，并非今年首例与公共广播相关的信息安全问题。此前，美国公共广播公司（PBS）员工的联系信息也曾遭泄露，并在 “PBS Kids”（PBS 儿童频道）粉丝的 Discord 服务器中传播。 这两起事件均表明，即便不带有恶意目的，档案社群及粉丝社群仍有可能获取敏感或私密数据。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

苹果在iOS 26.1 Beta 1中为AirPods实时翻译功能新增简体中文、繁体中文、日语、韩语和意大利语支持。该功能利用iPhone AI实现实时跨语言交流。

本文主要分享笔者在二开哥斯拉中期时遇见的一些问题和修改想法

文章描述了错误代码521的原因及解决方法。该错误通常由服务器与客户端之间的连接问题引起。常见解决方式包括检查网络连接、清除浏览器缓存、重启路由器或联系网络管理员以排查问题。

HackerNews 编译，转载请注明出处： 三家主流网络安全解决方案提供商已决定不参与 MITRE（米特雷公司）2025 年度的终端检测与响应（EDR）解决方案年度测试。 微软于 6 月宣布将不参与 “MITRE Engenuity ATT&CK 评估：2025 企业版” 测试，随后在 9 月 12 日，SentinelOne 与帕洛阿尔托网络公司（Palo Alto Networks）也确认将退出今年的该测试。 这些决定引发了网络安全界对该评估项目未来走向及相关性的担忧。此举尤为出人意料，因为这三家均为行业内的主流厂商，且在 2024 年的测试中表现优异 —— 微软的解决方案位列榜首，SentinelOne 排名第五，帕洛阿尔托排名第十二。 值得注意的是，微软的退出决策更显意外：就在 2024 年 12 月，该公司还曾利用其在 MITRE 测试中的排名，推广旗下解决方案 Microsoft Defender XDR。 有趣的是，三家公司为退出测试给出的理由如出一辙，均表示希望将重点优先放在产品开发与创新上。 然而，专家指出，背后可能还存在其他因素，例如该测试正逐渐被视为 “宣传工具”，而非能真正推动安全能力提升的评估机制。 《信息安全》（Infosecurity）杂志采访了 MITRE 首席技术官兼 MITRE 实验室高级副总裁查尔斯・克兰西（Charles Clancy）。克兰西分享了该评估测试的发展演变细节，或许能为理解厂商退出决策（2025 年测试结果将于 12 月公布）提供参考。 一、ATT&CK 评估：企业版的背景 MITRE 公司是总部位于美国的非营利组织，运营着多个网络安全项目，其中部分项目是受美国政府委托开展。 2015 年，MITRE 推出 ATT&CK 框架，该框架迅速成为网络安全行业的标准工具，用于梳理现实世界中网络攻击者的技术、战术与流程（TTPs）。 克兰西表示，2019 年 MITRE ATT&CK 启动首个评估项目，旨在 “填补安全测试市场的空白”。 他解释道：“当时市场上已有多种网络安全产品第三方测试，但每种测试都有自己的流程和评分方法，导致结果不一致且缺乏严谨性，无法推动行业进步。” “MITRE Engenuity ATT&CK 评估：企业版” 是所有评估测试中最常规的一项，自启动以来每年举办一次。 CrowdStrike 公司工程总监伊加尔・戈夫曼（Igal Gofman，曾任职于微软和 Tenable，担任安全研究员）在领英（LinkedIn）帖子中称，该测试堪称 “网络安全界的奥运会”。 克兰西向《信息安全》透露，MITRE 网络安全业务板块共有 1000 名工作人员，其中 133 人专职负责 MITRE ATT&CK 相关工作，而参与评估测试的人员有 12 至 15 人。 每年，测试项目团队会根据 ATT&CK 框架中梳理的攻击者 TTPs，从多个真实攻击者案例中选取一个或多个，以及对应的攻击链作为测试场景。 随后，他们使用 MITRE 自研的自动化攻击者模拟平台 Caldera，对参与厂商的 EDR 解决方案进行模拟攻击测试，并依据多项标准评分，包括检测结果、误报率（假阳性）与漏报率（真阴性）等。 尽管该测试可用于对比不同 EDR 解决方案的有效性，但克兰西强调，不应将其视为 “纵向基准”，因为每年的测试内容与前一年存在显著差异。 他表示：“我们希望通过测试传递的核心理念是，评估单一产品对特定威胁攻击者的检测能力。每年模拟不同的攻击者，对于了解各类新兴威胁至关重要。” 二、2024 与 2025 年测试详情 2024 年的 “MITRE ATT&CK 评估：企业版” 中，测试团队模拟了三类攻击者的行为： 与朝鲜相关的已知黑客组织：涉及 7 类战术中的 14 项技术； CL0P 勒索软件团伙：涉及 7 类战术中的 16 项技术； LockBit 勒索软件团伙：涉及 11 类战术中的 31 项技术。 作为 EDR 领域的头部厂商之一，CrowdStrike 并未参与 2024 年的测试。CrowdStrike 某 Reddit 子论坛上有一名自称该公司员工的用户表示，评估测试的时间恰好在 7 月 19 日该公司 EDR 产品全球宕机事件后不久，这可能是其退出的原因。 2024 年测试中，微软、ESET 与 Cybereason 位列前三，紧随其后的是 ThreatDown、SentinelOne 与 Bitdefender。 克兰西承认，每年参与测试的厂商会有变化，但他强调 “回头客” 仍占多数，厂商对测试的信任度总体稳定。 三、厂商为何退出 MITRE 测试？ 然而，今年（结果预计 12 月公布）的测试将缺少三家关键厂商：微软、SentinelOne 与帕洛阿尔托网络公司。 6 月 13 日，微软宣布不参与今年测试，称该决策 “能让我们将所有资源集中在‘安全未来计划’（Secure Future Initiative）上，并为客户交付产品创新成果”。 9 月 12 日，SentinelOne 与帕洛阿尔托发布了类似声明： SentinelOne 表示，希望 “将产品与工程资源优先投入以客户为中心的项目，同时加快平台路线图推进”； 帕洛阿尔托则解释，该决策 “能让我们进一步加速关键平台创新，直接应对客户最紧迫的安全挑战，并更快速地响应不断演变的威胁态势”。 《信息安全》杂志试图联系三家公司获取更多评论，其中 SentinelOne 与帕洛阿尔托拒绝进一步置评，微软则未回应采访请求。 不过，MITRE 的克兰西表示，他与这三家厂商保持着密切沟通，并认为自己了解他们退出的深层原因： 首先，正如厂商在声明中提及的，参与 MITRE ATT&CK 评估项目需要投入大量资源 —— 这意味着用于测试的时间和人力，会占用其他项目的资源。 其次，克兰西指出，测试团队每年都会努力提高测试难度，他坦言今年可能 “用力过猛”。 他解释道：“为了推动整个行业进步，我们每年都会设计比前一年更难的测试。因为测试能为厂商提供机会：准备测试时升级产品，拿到结果后进一步优化。但有时，我们确实没能把握好难度平衡。” ManageEngine 公司终端安全产品高级产品经理维沙尔・桑塔拉姆（Vishal Santharam）在接受《信息安全》采访时，进一步阐释了克兰西的观点。 他提到：“2024 年，MITRE 开始在评估中统计警报数量，这对厂商来说始终是个难题 —— 需要精准调整警报机制。警报越多，安全人员的‘警报疲劳’就越严重。” 桑塔拉姆此处引用的是弗雷斯特研究公司（Forrester）一份基于警报数量解读 2024 年 MITRE 企业版评估的报告。 此外，桑塔拉姆指出，2025 年企业版评估纳入了 “云环境” 场景，“这是未经测试的新领域，需要厂商投入更多精力应对”。 最后，克兰西向《信息安全》透露，过去团队每年都会举办 “厂商论坛”，为 “MITRE ATT&CK 评估：企业版” 测试做准备。 他承认：“这个论坛每年都有助于我们与行业合作确定测试目标，但在过去几年里，论坛逐渐停办了。” CrowdStrike 的戈夫曼则在领英上直言，MITRE 评估测试最初是衡量安全解决方案的优秀举措，但近年来已沦为 “厂商表演秀”。 他表示：“厂商投入巨额资源，只为赢得公关优势，而非实现真正的安全提升。加之 MITRE 和美国网络安全与基础设施安全局（CISA）面临预算削减与调整压力，部分厂商可能认为这是退出的好时机。” 他补充道：“基于 TTP 的测试理念仍有价值，但如今的测试方式已逐渐过时、过度聚焦终端，且与现实威胁脱节，价值大不如前。” 漏洞检测公司 VulnCheck 的漏洞研究员帕特里克・加里蒂（Patrick Garrity）也认同这一观点。他在另一条领英帖子中表示：“听起来，这种基准测试活动已变成巨大的干扰 —— 厂商为了宣传曝光，牺牲了打造更优质产品的精力。” 尽管存在这些担忧，克兰西仍确认，已有 12 家网络安全厂商确认参与 2025 年的测试。 四、MITRE 计划 2026 年重启厂商论坛 克兰西向《信息安全》透露，团队计划在 “2026 年 MITRE ATT&CK 评估：企业版” 测试前，重新举办厂商论坛。 他表示：“我们已着手准备，为 2026 年测试重启这一论坛。” 在 SentinelOne 与帕洛阿尔托宣布退出 2025 年测试后，克兰西于 9 月 18 日在领英上发布帖子，公开了这一计划。 桑塔拉姆也向《信息安全》表示，ManageEngine 正在研发一款 EDR 解决方案，并计划参与 2026 年的 “MITRE Engenuity ATT&CK 评估：企业版”。 他介绍：“ManageEngine 的‘高级反恶意软件’与‘下一代杀毒软件’产品，首次参与测试便获得了 AV-Comparatives（国际权威杀毒软件测试机构）认证。该解决方案为我们下一代 EDR 产品奠定了基础，同时能提供全面的恶意软件与勒索软件防护。” “我们还在为参与即将到来的‘Gartner 终端保护平台（EPP）魔力象限’评估与 MITRE ATT&CK 测试做准备。这些独立评估不仅能证明我们技术的稳健性与可靠性，也能帮助客户建立对我们 EDR 能力的信心。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

iPhone 17 系列用户反映 Wi-Fi 间歇性断流问题，涉及 iPhone 17、Air、Pro 和 Pro Max 型号。该问题由 N1 网络芯片引起，在解锁设备或使用 Apple Watch 解锁时可能发生 Wi-Fi 断连。苹果尚未发布修复方案，预计需通过软件更新解决。

HackerNews 编译，转载请注明出处： 据西方研究人员、摩尔多瓦官员以及泄露文件的消息显示，在摩尔多瓦议会选举前夕，俄罗斯正加大虚假信息宣传及秘密影响力行动的力度，企图阻碍该国加入欧盟的进程。 摩尔多瓦将于 9 月 28 日选举产生新议会，届时总统玛雅・桑杜（Maia Sandu）领导的执政党 “行动与团结党”（PAS）将与亲俄反对派联盟展开对决。尽管有与俄罗斯相关的势力试图影响选举结果，但桑杜仍在 2024 年 11 月的第二轮总统选举中击败前摩尔多瓦总检察长亚历山大・斯托亚诺格洛（Alexandr Stoianoglo），成功连任总统。 美国战争研究所（ISW）在 9 月初发布的报告中指出，克里姆林宫正再次试图干预 2025 年议会选举，以阻止执政党继续占据议会多数席位。 研究人员表示：“这些选举影响力行动，是莫斯科为实现其长期战略目标 —— 阻止摩尔多瓦与西方融合 —— 所采取的整体举措的一部分。” 虚假信息网络 英国广播公司（BBC）周末报道称，一个由俄罗斯资助的网络正招募摩尔多瓦人在 TikTok 和 Facebook 上发布宣传内容，每月通过已遭制裁的俄罗斯普罗姆斯维亚兹银行（Promsvyazbank）向他们支付约 3000 列伊（折合 170 美元）报酬。 招募方要求参与者使用人工智能生成内容，以毫无根据的指控攻击桑杜及行动与团结党，例如声称政府计划操纵选举、加入欧盟要求公民改变性取向、桑杜与儿童贩卖活动有关联等。 BBC 指出，该网络与逃亡寡头伊兰・肖尔（Ilan Shor）存在关联。肖尔因协助克里姆林宫实施影响力行动，已受到美国和英国的制裁。报道确认，至少有 90 个 TikTok 账号参与其中，这些账号今年已发布数千条视频，累计观看量超过 2300 万次。 战争研究所还表示，自 4 月以来，俄罗斯还强化了 “套娃”（Matryoshka）和 “过载”（Overload）两项虚假信息行动 —— 前者旨在传播亲俄虚假叙事，后者则通过大量编造内容让事实核查机构应接不暇。 这些行动均隶属于俄罗斯规模更大的 “分身”（Doppelganger）行动，该行动的核心是 “克隆” 合法媒体机构及公共机构的网站，以此传播宣传内容。 摩尔多瓦的应对措施 摩尔多瓦执法部门正针对涉嫌参与亲俄影响力行动的人员展开搜查。 上周，当局在一系列突袭行动中查获约 30.2 万美元资金，称这些资金与俄罗斯支持的洗钱计划有关；同时还关停了一家被指控传播与肖尔相关宣传内容的媒体机构。 本周一，当地警方拘留了数十人，此次行动是针对一起涉嫌由俄罗斯支持、旨在煽动大规模骚乱的阴谋所开展的调查的一部分。警方表示，突袭行动覆盖多个地区，涉及超过 100 名相关人员。 克里姆林宫的 “行动手册” 彭博社周一援引泄露的克里姆林宫文件报道称，莫斯科已制定一项战略，旨在削弱桑杜在议会选举中的影响力，并最终将其赶下台。 泄露文件中披露的该计划详细列出了多项举措：动员摩尔多瓦海外侨民选民、组织街头抗议活动，以及在 TikTok、Telegram 和 Facebook 上发起协调一致的虚假信息宣传。尽管彭博社无法证实该计划是否已付诸实施，但两名了解此事的欧洲官员表示，“几乎可以肯定” 俄罗斯有意推进计划中的大部分内容。 战争研究所指出，俄罗斯似乎从 2024 年罗马尼亚总统选举干预行动中吸取了经验，尤其是在 TikTok 的广泛使用方面。此前，亲俄极端民族主义者卡林・乔治斯库（Calin Georgescu）曾利用该平台推广其竞选活动 —— 他在后来被宣布无效的首轮选举中获胜。 研究人员表示，俄罗斯影响力行动的主要目标是确保摩尔多瓦议会中出现一个对克里姆林宫友好的多数派。 战争研究所补充道：“若基希讷乌（摩尔多瓦首都）和蒂拉斯波尔（德涅斯特河沿岸地区自称的首都）均出现对克里姆林宫友好的政府，莫斯科将能同时对摩尔多瓦西部的北约（成员国）和东部的乌克兰构成威胁。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521的含义及其常见原因。该错误通常与Cloudflare服务相关，表示服务器无法连接到源站服务器。常见原因包括源站服务器关闭、网络问题或配置错误等。解决方法包括检查源站状态、确认网络连接以及联系相关技术支持。

广州业余课外小组「爪巴」与少数派合作，在九龙湖举办户外音乐节及田野录音工作坊。活动以音乐与自然声音为核心，参与者可学习声音捕捉技巧，并通过创作传递情感与场景记忆。

关键词违反网络安全法一、上海某跨国公司违规出境用户信息案2025年5月，某国际时尚品牌被曝数据泄露，其中国公司

关键词违反网络安全法一、上海某跨国公司违规出境用户信息案2025年5月，某国际时尚品牌被曝数据泄露，其中国公司

关键词违反网络安全法一、上海某跨国公司违规出境用户信息案2025年5月，某国际时尚品牌被曝数据泄露，其中国公司

微软正在为 Windows 11 加入将视频设为桌面墙纸的功能。最新的 Windows 11 预览版包含了该功能，允许用户将 MP4、MOV、AVI、WMV、M4V 或 MKV 文件设置为墙纸，用户查看桌面时视频就会播放。视频墙纸并非是新特性，Windows 操作系统早就支持该功能。Windows Vista 的终极版通过 DreamScene 功能支持视频墙纸，很多 Linux 发行版都支持，macOS 也支持将移动背景设为锁屏墙纸。

Steam游戏BlockBlasters被发现植入恶意软件窃取加密货币，导致癌症主播RastalandTV损失3.2万美元。该游戏在8月30日更新后添加恶意组件，已从261个账户窃取15万美元。Steam已下架该款游戏。

英伟达计划向 OpenAI 投资 1,000 亿美元，助力其构建超大规模 AI 数据中心以降低对微软的依赖，并与其他云计算供应商合作获取更多资源支持。

基于数据保护的AI治理

HackerNews 编译，转载请注明出处： 自 2025 年 4 月起，一个此前未被记录的黑客组织 ComicForm 发起了钓鱼攻击活动，白俄罗斯、哈萨克斯坦和俄罗斯的多家机构成为其攻击目标。 网络安全公司 F6 在上周发布的分析报告中指出，此次攻击活动主要针对工业、金融、旅游、生物技术、科研及贸易行业。 该攻击链的具体流程如下：首先发送主题为 “等待签署文件”“付款发票” 或 “待签署对账单” 的电子邮件，诱导收件人打开一个 RR 压缩文件；压缩文件内包含一个伪装成 PDF 文档的 Windows 可执行文件（例如 “Акт_сверки pdf 010.exe”，俄语 “对账单” 相关文件名）。这些邮件分别以俄语或英语撰写，发送邮箱地址的顶级域名为.ru（俄罗斯）、.by（白俄罗斯）和.kz（哈萨克斯坦）。 上述可执行文件是一个经过混淆处理的.NET 加载器，其作用是启动恶意动态链接库（DLL）“MechMatrix Pro.dll”；随后，该动态链接库会运行第三阶段有效载荷 —— 另一个名为 “Montero.dll” 的动态链接库，该文件实为 Formbook 恶意软件的投放器。在投放恶意软件前，“Montero.dll” 会先创建计划任务，并配置微软防御者（Microsoft Defender）的排除项，以躲避检测。 有趣的是，研究人员发现该可执行文件中还包含指向 Tumblr 平台的链接，这些链接指向蝙蝠侠等漫画超级英雄的完全无害 GIF 动图，黑客组织 “ComicForm” 的名称也正源于此。F6 公司研究员弗拉季斯拉夫・库甘（Vladislav Kugan）表示：“这些图片并未用于任何攻击行为，仅作为恶意软件代码的一部分存在。” 对 ComicForm 组织基础设施的分析显示，2025 年 6 月该组织曾向哈萨克斯坦某未具名企业发送钓鱼邮件，2025 年 4 月则针对白俄罗斯某银行发起过类似攻击。 F6 公司还透露，就在 2025 年 7 月 25 日，他们检测到并拦截了一批钓鱼邮件：这些邮件伪装成来自哈萨克斯坦某工业企业的邮箱地址，发送给俄罗斯的制造企业。邮件诱导潜在目标点击内置链接 “验证账户”，以避免账户 “可能被冻结”。 用户点击链接后，会被重定向至一个伪造的登录页面 —— 该页面模仿当地某文档管理服务的登录界面。一旦用户输入账户信息，这些信息就会通过 HTTP POST 请求发送至黑客控制的域名，从而实现账号窃取。 库甘解释道：“此外，研究人员在该钓鱼页面的代码中发现了一段 JavaScript 脚本，其功能包括：从 URL 参数中提取用户邮箱地址，并自动填充到 ID 为‘email’的输入框中；从邮箱地址中提取域名；通过 screenshotapi [.] net 接口获取该域名官网的截图，并将其设为钓鱼页面的背景（以增强伪装性）。” 针对白俄罗斯某银行的攻击则采用了 “发票主题诱饵”：黑客发送钓鱼邮件，诱导用户在一个表单中输入邮箱地址和手机号，这些信息随后会被捕获并发送至外部黑客域名。 F6 公司指出：“该组织针对俄罗斯、白俄罗斯和哈萨克斯坦多国不同行业的企业发起攻击；而英语版本钓鱼邮件的存在表明，攻击者还将目标拓展到了其他国家的机构。攻击者采用的手段包括两种：一是通过钓鱼邮件分发 FormBook 恶意软件，二是搭建伪装成正规网络服务的钓鱼平台，以窃取账号凭证。” 亲俄组织针对韩国发起攻击，部署 Formbook 恶意软件 与此同时，新加坡网络安全公司 NSHC 的 ThreatRecon 团队披露了另一起事件：一个亲俄网络犯罪组织针对韩国的制造、能源及半导体行业发起了攻击。该攻击活动被归因于名为 SectorJ149（又称 UAC-0050）的黑客集群。 2024 年 11 月，研究人员观测到了上述攻击活动。其流程始于针对企业高管及员工的鱼叉式钓鱼邮件，邮件以 “生产设备采购” 或 “报价请求” 相关内容作为诱饵；收件人一旦打开邮件附件，会触发一个伪装成微软压缩包（CAB 格式）的 Visual Basic 脚本（VBScript），该脚本进而执行 Lumma Stealer（ Lumma 窃取器）、Formbook（Formbook 恶意软件）和 Remcos RAT（Remcos 远程访问木马）等常见恶意软件。 该 Visual Basic 脚本被设计为执行一条 PowerShell 命令，通过访问 Bitbucket 或 GitHub 代码仓库获取一个 JPG 图片文件 —— 该图片中隐藏着一个加载器可执行文件，最终由该加载器启动窃取器和远程访问木马（RAT）等恶意有效载荷。 NSHC 公司表示：“在内存区域直接执行的可移植可执行文件（PE 格式）恶意软件属于加载器类型。它会通过预设参数中包含的 URL，下载伪装成文本文件（.txt 格式）的额外恶意数据，对其进行解密后，生成并执行新的 PE 格式恶意软件。” “过去，SectorJ149 组织的活动主要以获取经济利益为目的，但近期针对韩国企业的黑客活动则被认为具有强烈的黑客行动主义（hacktivist）属性 —— 攻击者通过黑客技术传递政治、社会或意识形态相关信息。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文