HackerNews 编译，转载请注明出处： 漏洞赏金平台HackerOne正在通知数百名员工，其个人数据在第三方美国福利管理商Navia遭黑客入侵后被窃取。 HackerOne管理着超过1950个漏洞赏金项目，为通用汽车、高盛、Anthropic、GitHub、Uber等知名企业，以及美国国防部等政府机构提供漏洞披露、渗透测试和代码安全服务。 Navia是美国领先的消费者导向福利管理商，服务超过1万家雇主。 在向缅因州总检察长办公室提交的申报文件中，HackerOne披露此次数据泄露影响了287名员工。 “据我们目前掌握的信息，由于存在对象级授权失效（BOLA）漏洞，未知行为体于2025年12月22日至2026年1月15日期间访问了Navia数据，”该公司表示。”2026年1月23日，Navia发现其环境中存在可疑活动。Navia于2月20日向受影响公司发送了通知函。” 泄露信息包括：社会安全号码、姓名、地址、电话、出生日期、邮箱地址、参保日期、生效日期及终止日期——涵盖每位受影响员工及其家属。 HackerOne建议受影响员工警惕可疑信息，监控财务账户异常活动，并使用Navia提供的12个月免费身份保护和信用监控服务。”如果密码或密码提示/安全问题涉及上述个人数据，建议一并更改，”公司补充道。 Navia本月早些时候披露事件时强调，数据泄露未影响受影响个人的理赔或财务信息。 然而，泄露的数据足以让威胁行为体对事件受害者发起钓鱼和社交工程攻击。 尽管Navia将此事件标记为数据窃取攻击，但目前尚无网络犯罪团伙或勒索软件组织宣称对此次入侵负责。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TeamPCP黑客组织持续发动供应链攻击，现已入侵广受欢迎的Python库”LiteLLM”，并声称在攻击期间从数十万台设备窃取数据。 LiteLLM是一款开源Python库，作为统一API网关对接多个大语言模型（LLM）提供商。该包极为热门，日均下载量超340万次，过去一个月下载量超9500万次。 据Endor Labs研究，威胁行为体入侵该项目后，今日向PyPI发布了LiteLLM 1.82.7和1.82.8的恶意版本，部署信息窃取程序收集各类敏感数据。 此次攻击由TeamPCP认领，该组织此前高调入侵了Aqua Security的Trivy漏洞扫描器。那次入侵引发连锁反应，波及Aqua Security Docker镜像、Checkmarx KICS项目，如今又轮到LiteLLM。 该组织还被发现利用恶意脚本攻击Kubernetes集群——当检测到伊朗配置的系统时擦除所有机器，在其他地区设备上则安装新型CanisterWorm后门。 消息人士告诉BleepingComputer，数据外泄数量约50万条，其中大量为重复记录。VX-Underground报告的”感染设备”数量相近。但BleepingComputer未能独立核实这些数字。 LiteLLM供应链攻击详情 Endor Labs报告称，威胁行为体今日推送了两个恶意版本，均在包导入时执行隐藏载荷。 恶意代码以base64编码形式注入’litellm/proxy/proxy_server.py’文件，模块导入时即解码执行。1.82.8版本更进一步，向Python环境安装名为’litellm_init.pth’的.pth文件。由于Python解释器启动时会自动处理所有.pth文件，即使不专门使用LiteLLM，恶意代码也会在Python运行时执行。 执行后，载荷最终部署”TeamPCP Cloud Stealer”变种及持久化脚本。BleepingComputer分析显示，该载荷与Trivy供应链攻击中使用的凭证窃取逻辑几乎相同。 Endor Labs解释：”载荷触发后执行三阶段攻击：收集凭证（SSH密钥、云令牌、Kubernetes密钥、加密钱包和.env文件），尝试通过向每个节点部署特权Pod在Kubernetes集群内横向移动，并安装持久化systemd后门以轮询额外二进制文件。外泄数据经加密后发送至攻击者控制的域名。” 窃取范围 该窃取程序收集广泛的凭证和认证密钥，包括： 系统侦察：运行hostname、pwd、whoami、uname -a、ip addr、printenv命令 SSH密钥和配置文件 AWS、GCP、Azure云凭证 Kubernetes服务账户令牌和集群密钥 .env等环境文件 数据库凭证和配置文件 TLS私钥和CI/CD密钥 加密货币钱包数据 云窃取载荷还包含额外的base64编码脚本，伪装为”System Telemetry Service”安装为systemd用户服务，定期连接checkmarx[.]zone远程服务器下载执行额外载荷。 窃取数据打包为名为tpcp.tar.gz的加密档案，发送至攻击者控制的infrastructure models.litellm[.]cloud。 如怀疑已遭入侵，应将受影响系统上的所有凭证视为已暴露并立即轮换。 BleepingComputer多次报道过因企业未及时轮换先前泄露中发现的凭证、密钥和认证令牌而引发的入侵事件。研究人员和威胁行为体均告诉BleepingComputer，虽然轮换密钥困难，但这是防止连锁供应链攻击的最佳手段之一。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰政府官员周二表示，2025年该国遭受的网络攻击数量是前一年的2.5倍，且仍在持续上升。 这些攻击包括去年12月对波兰能源系统的破坏性渗透，据信这在北约和欧盟成员国中尚属首次，疑似源自俄罗斯。 波兰数字事务部副部长帕维尔·奥尔谢夫斯基周二透露，过去一年波兰共遭遇27万次网络攻击。 “多年来我们一直在网络空间作战，”该官员表示，”事件和攻击数量每年都在显著且急剧增加。” 自2022年2月24日俄罗斯全面入侵乌克兰以来，图斯克总理领导的政府已加强网络防御，以应对来自俄罗斯的日益增长的威胁。 能源系统遇袭 去年12月29日午后，协同网络攻击袭击了为近50万用户供热的联合热电厂，以及波兰多个风电和太阳能发电场。 波兰当局怀疑这些攻击由单一”威胁行为体”实施，多名专家指向与俄罗斯情报部门关联的幕后黑手。 电力供应未受中断，但破坏性质令波兰当局高度警觉。波兰计算机应急响应小组（CERT Polska）于1月底发布公开报告，披露事件技术细节，并向网络安全界征集线索。 “这次攻击是重大升级，”CERT负责人马尔钦·杜德克告诉美联社。 “过去我们也遇到过类似事件，但都是勒索软件类型，攻击者动机是经济利益，”杜德克说，”而这次没有经济动机——动机纯粹是破坏。” 他表示，波兰过去仅发生过少数破坏性事件，且均不涉及能源部门。 杜德克称，据他所知，北约或欧盟国家的能源部门此前尚未遭受过破坏性网络攻击。虽存在间谍事件和活动组织造成的轻微破坏，但像12月波兰事件这样的”高级攻击”可能尚属首次。 若攻击目标是更大规模的能源设施，可能严重影响波兰电网稳定，杜德克指出。 波兰情报部门尚未公开指认疑似幕后黑手。 杜德克的团队仅获授权描述作案手法并指向可能的”威胁行为体”——网络安全术语中指从事恶意活动的个人或团体。 Dragonfly还是Sandworm CERT分析研究了波兰攻击中使用的互联网基础设施，包括域名和IP地址，发现其此前曾被名为”Dragonfly”（又称”Static Tundra”或”Berserk Bear”）的俄罗斯威胁行为体使用。 杜德克表示，Dragonfly已知以能源部门为目标，但此前未发动过破坏性攻击。 根据美国FBI 2025年8月发布的警报，Dragonfly是与俄罗斯联邦安全局（FSB）关键单位Center 16关联的网络安全集群。 与波兰当局无关的专家一致认为，12月攻击的线索指向俄罗斯。 欧盟最大网络安全公司之一ESET分析了攻击中使用的恶意软件，得出结论认为幕后黑手可能是”Sandworm”——另一个可能与俄罗斯关联的行为体，此前曾参与乌克兰的破坏性攻击。 美国政府过去曾将Sandworm归因于俄罗斯联邦武装力量总参谋部情报总局（GRU）。 ESET高级恶意软件研究员安东·切列帕诺夫告诉美联社：”使用数据擦除恶意软件及其部署方式，都是Sandworm常用的技术手段。” “据我们所知，近期没有其他活跃威胁行为体在对欧盟国家的攻击中使用过数据擦除恶意软件，”切列帕诺夫补充道。 无论是Dragonfly还是Sandworm，都是此前与俄罗斯有关联的行为体。”是这批俄罗斯人还是那批俄罗斯人，只是细节问题，”切列帕诺夫说。 俄罗斯驻华沙大使馆未回应置评请求。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰财政部披露，3月19日检测到一起网络攻击，部分员工受到影响，目前调查仍在进行中。 该部门在第三方发出警报后发现攻击，入侵者突破了一些内部系统，”部分员工”的工作受到影响。 当局仍在调查事件详情及全部影响范围。 荷兰财政部在声明中表示：“3月19日周四，财政部ICT安全部门检测到政策部门若干核心流程的系统遭到未授权访问。接到警报后，我们立即启动调查，并于今日封锁了这些系统的访问权限。这影响了部分员工的正常工作。” 该部强调，面向公民和企业的服务未受影响：”税务海关总署、海关及福利部门提供的服务均未受到影响。” 荷兰财政部未披露攻击的技术细节，目前尚无网络犯罪团伙宣称对此次攻击负责。 2024年10月，荷兰警方曾将一起泄露警员联系方式的数据泄露事件归咎于国家支持的行为体。该事件发生于2024年9月26日，警方已向数据保护局报告。攻击者入侵警方系统，获取了多名警员的工作联系方式，包括姓名、邮箱、电话及部分私人信息。荷兰情报机构认为，国家行为体幕后操控的可能性极高。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Citrix发布安全更新修复两项NetScaler漏洞，其中包括一个可导致敏感信息泄露的关键内存越界读取漏洞CVE-2026-3055（CVSS评分9.3），允许未经认证攻击者窃取数据。 该漏洞源于输入验证不足导致的内存越界读取，仅在Citrix ADC或Citrix Gateway配置为SAML身份提供商（IDP）时触发。 用户可通过查找以下配置字符串确认设备是否设为SAML IDP： add authentication samlIdPProfile .* Rapid7研究人员在公告中指出：”CVE-2026-3055被归类为越界读取漏洞，CVSS评分9.3，允许远程未认证攻击者从设备内存泄露潜在敏感信息。Citrix公告明确，配置为SAML IDP的系统存在风险，默认配置不受影响。而SAML IDP配置在采用单点登录的组织中极为常见。” 目前CVE-2026-3055尚无野外利用案例或公开PoC。该漏洞由Citrix内部发现，但一旦利用代码公开，攻击可能激增。客户应立即修补——类似内存泄露漏洞”CitrixBleed”（CVE-2023-4966）曾在2023年遭大规模利用。 Citrix修复的另一项漏洞为CVE-2026-4368（CVSS评分7.7），是一个导致会话混淆的竞争条件漏洞。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场持续进行的钓鱼活动正针对法语企业环境，通过虚假简历投递加密货币挖矿程序和信息窃取工具。 Securonix研究人员Shikha Sangwan、Akshay Gaikwad和Aaron Beardslee在与The Hacker News分享的报告中指出：”该活动使用高度混淆的VBScript文件伪装成简历文档，通过钓鱼邮件投递。一旦执行，恶意软件即部署多功能工具包，集凭证窃取、数据外泄和门罗币挖矿于一体，实现收益最大化。” 这家网络安全公司将此活动命名为FAUX#ELEVATE。该活动的特点是滥用合法服务和基础设施：使用Dropbox存放载荷、摩洛哥WordPress站点托管C2配置、mail[.]ru SMTP基础设施外泄窃取的浏览器凭证和桌面文件。 这是典型的”离地生存”式攻击，展示了攻击者如何欺骗防御机制、悄无声息地渗透目标系统。 攻击链分析 初始投递文件为Visual Basic脚本（VBScript），打开时显示法语错误信息，诱使收件人以为文件损坏。实则高度混淆的脚本在后台运行一系列检查以规避沙箱，并进入持久的用户账户控制（UAC）循环，提示用户以管理员权限运行。 值得注意的是，脚本共224,471行中仅266行为实际可执行代码，其余均为填充的随机英文句子垃圾注释，将文件膨胀至9.7MB。 研究人员表示：”恶意软件还利用WMI（Windows管理规范）实施域加入检测，确保载荷仅在企业机器上投递，家用独立系统完全被排除。” 投递程序获取管理员权限后，立即禁用安全控制并掩盖痕迹：为所有主驱动器盘符（C至I）配置Microsoft Defender排除路径，通过修改Windows注册表禁用UAC，并自我删除。 随后从Dropbox获取两个受密码保护的7-Zip压缩包： gmail2.7z：包含数据窃取和加密货币挖矿的可执行文件 gmail_ma.7z：包含持久化和清理工具 凭证窃取组件利用ChromElevator项目，绕过应用绑定加密（ABE）保护从Chromium内核浏览器提取敏感数据。其他工具包括： mozilla.vbs：窃取Mozilla Firefox配置文件和凭证的VBScript walls.vbs：外泄桌面文件的VBScript载荷 mservice.exe：XMRig加密货币挖矿程序，从被入侵的摩洛哥WordPress站点获取挖矿配置后启动 WinRing0x64.sys：合法Windows内核驱动，用于解锁CPU完整挖矿性能 RuntimeHost.exe：持久化木马组件，修改Windows防火墙规则并定期与C2服务器通信 浏览器数据通过两个mail[.]ru发件账户（”olga.aitsaid@mail.ru“和”3pw5nd9neeyn@mail.ru“，共享相同密码）经SMTP外泄至威胁行为体控制的另一邮箱（”vladimirprolitovitch@duck.com“）。 凭证窃取和外泄完成后，攻击链立即清理所有投递工具以最小化取证痕迹，仅保留挖矿程序和木马组件。 Securonix总结：”FAUX#ELEVATE活动展示了一场组织严密的多阶段攻击行动，将多种技术整合为单一感染链。对企业安全团队而言，该活动尤为危险之处在于执行速度——从初始VBS执行到凭证外泄，完整感染链仅需约25秒；以及对企业域加入机器的选择性瞄准，确保每台被入侵主机都能通过企业凭证窃取和持久化资源劫持提供最大价值。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日发出警告，新型网络攻击正利用美国即将到来的报税季，大肆窃取用户凭证并传播恶意软件。 攻击者抓住报税邮件的紧迫性和时效性特点，发送伪装成退税通知、工资单、报税提醒及税务专业人士请求的钓鱼邮件，诱骗收件人打开恶意附件、扫描二维码或点击可疑链接。 微软威胁情报团队与Defender安全研究团队在上周发布的报告中指出：”多数攻击针对个人用户窃取财务信息，但部分攻击专门瞄准会计师等专业人士——这类人群掌握敏感文件、拥有财务数据访问权限，且习惯在报税季接收税务相关邮件。” 部分攻击将用户导向通过”钓鱼即服务”（PhaaS）平台搭建的虚假页面，另一些则直接部署合法的远程监控管理工具（RMM），如ConnectWise ScreenConnect、Datto和SimpleHelp，使攻击者得以长期控制受害设备。 主要攻击手法包括： 会计师诱饵：利用注册会计师（CPA）名义，通过Energy365钓鱼工具包发送钓鱼页面窃取邮箱密码。该工具包日均发送数十万封恶意邮件。 二维码与W2表单诱饵：针对约100家机构，主要为美国制造业、零售业和医疗行业，诱导用户访问仿冒Microsoft 365登录页面的钓鱼网站。该页面使用SneakyLog（又名Kratos）PhaaS平台搭建，专门窃取用户凭证和双因素认证（2FA）码。 税务主题域名：以获取更新版税务表格为幌子，诱骗用户点击虚假链接，实则分发ScreenConnect。 IRS加密货币诱饵：冒充美国国税局（IRS），针对美国高等教育 sector，诱导收件人通过恶意域名（”irs-doc[.]com”或”gov-irs216[.]net”）下载”加密货币税表1099″，进而部署ScreenConnect或SimpleHelp。 会计师定向攻击：以帮助报税为由，发送恶意链接诱导安装Datto。 微软披露，2026年2月10日监测到一场大规模钓鱼攻击，波及超过1万家机构的2.9万名用户。约95%的目标位于美国，涵盖金融服务（19%）、科技与软件（18%）、零售与消费品（15%）等行业。 “邮件冒充IRS，声称收件人的电子报税识别号（EFIN）存在异常报税记录，诱导其下载所谓的’IRS转录查看器’进行核实。” 这些通过亚马逊简单邮件服务（SES）发送的邮件包含”下载IRS转录查看器5.1″按钮，点击后跳转至smartvault[.]im——一个伪装成知名文档管理平台SmartVault的域名。 该钓鱼网站利用Cloudflare拦截机器人和自动扫描工具，确保仅向真实用户投放主要载荷：经过恶意打包的ScreenConnect，使攻击者远程访问系统，实施数据窃取、凭证收集及后续渗透活动。 防护建议：组织应强制所有用户启用2FA，实施条件访问策略，监控扫描 incoming 邮件和访问网站，并封禁恶意域名。 与此同时，安全研究人员还发现多起远程访问木马和数据窃取攻击活动： 虚假视频会议：伪造Google Meet和Zoom页面，以软件更新名义推送合法员工监控平台Teramind。 Avast退款诈骗：利用仿冒Avast品牌的欺诈网站，骗取法语用户完整信用卡信息。 山寨Telegram：通过仿冒官网（”telegrgam[.]com”）分发木马安装包，植入DLL启动内存载荷，建立持久化访问。 滥用Azure Monitor：利用微软Azure监控告警通知发送 callback 钓鱼邮件，嵌入虚假账单和攻击者控制的客服电话，从 legitimate 地址azure-noreply@microsoft.com发送钓鱼信息。 报价单诱饵：通过钓鱼邮件投递JavaScript下载器，连接外部服务器下载PowerShell脚本，启动受信任的微软程序”Aspnet_compiler.exe”并注入XWorm 7.1载荷。类似手法也被用于触发无文件Remcos远控木马感染链。 ClickFix伎俩：结合钓鱼邮件和ClickFix手段投递NetSupport远控木马，窃取数据并部署更多恶意软件。 滥用微软应用注册重定向URI：在钓鱼邮件中利用”login.microsoftonline[.]com”滥用信任关系、绕过垃圾邮件过滤，重定向至窃取凭证和2FA码的钓鱼网站。 多厂商链接重写链：滥用Avanan、Barracuda、Bitdefender、Cisco、INKY、Mimecast、Proofpoint、Sophos和Trend Micro等合法URL重写服务，嵌套多层重写链接隐藏恶意URL，大幅增加安全平台追踪难度。 恶意ZIP文件：伪装成AI图像生成器、变声工具、股票交易软件、游戏模组、VPN和模拟器等，投递Salat窃密木马或MeshAgent，并捆绑加密货币挖矿程序。主要瞄准美国、英国、印度、巴西、法国、加拿大和澳大利亚用户。 数字邀请函：通过钓鱼邮件发送虚假Cloudflare验证码页面，投递VBScript运行PowerShell代码，从Google Drive获取名为SILENTCONNECT的隐蔽.NET加载器，最终部署ScreenConnect。 据Huntress最新报告，攻击者对RMM工具的采用同比增长277%。 Elastic Security Labs研究员Daniel Stepanic和Salim Bitam指出：”由于这些工具被合法IT部门广泛使用，在企业环境中通常被视为’可信’而被忽视。组织必须保持警惕，审计环境中未经授权的RMM使用情况。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “Contagious Interview”行动背后的朝鲜黑客组织（又称WaterPlum）被曝利用恶意Visual Studio Code项目传播新型恶意软件家族StoatWaffle。 自2025年12月起，该组织开始采用VS Code “tasks.json”配置分发恶意软件这一新战术。攻击利用”runOn: folderOpen”选项，每当项目文件夹在VS Code中打开时即自动触发执行。 NTT Security在上周发布的报告中指出：”该任务配置会从Vercel上的Web应用下载数据，与操作系统无关。本文虽以Windows环境为例，但核心行为在各系统上基本一致。” 下载的载荷首先检查执行环境是否安装Node.js，若未安装则从官网下载并安装。随后启动下载器，定期轮询外部服务器获取下一阶段下载器，该下载器行为相同——访问同一服务器的另一端点，将接收到的响应作为Node.js代码执行。 StoatWaffle两大功能模块： 窃密模块：窃取Chromium内核浏览器和Mozilla Firefox中存储的凭证及扩展数据，并上传至C2服务器。若受感染系统为macOS，还会窃取iCloud钥匙串数据库。 远控木马（RAT）：与C2服务器通信，获取并在受感染主机执行命令。支持切换工作目录、枚举文件目录、执行Node.js代码、上传文件、递归搜索指定目录并列出或上传匹配关键词的文件、运行shell命令及自我终止。 这家日本安全厂商表示：”StoatWaffle是基于Node.js的模块化恶意软件，具备窃密和远控两大模块。WaterPlum持续开发新恶意软件并更新现有工具。” 与此同时，该组织针对开源生态的多次攻击活动也被曝光： 恶意npm包：分发PylangGhost恶意软件，系该 malware 首次通过npm包传播。 PolinRider行动：在数百个公共GitHub仓库中植入混淆的恶意JavaScript载荷，最终部署BeaverTail新版本——这是Contagious Interview关联的知名窃密下载器。其中包括Neutralinojs GitHub组织的四个仓库。攻击者疑似通过恶意VS Code扩展或npm包感染受害者后，篡夺了该组织长期贡献者的GitHub账户（拥有组织级写入权限），强制推送从Tron、Aptos和币安智能链（BSC）交易中获取加密载荷的JavaScript代码，以下载运行BeaverTail。 微软本月对Contagious Interview的分析显示，攻击者通过”精心伪装的招聘流程”实现初始访问——模拟真实技术面试，最终说服受害者在评估环节运行托管于GitHub、GitLab或Bitbucket的恶意命令或包。 部分情况下，攻击者通过LinkedIn接触目标。但被选中的并非初级开发者，而是加密货币或Web3领域的创始人、CTO及高级工程师——这些人很可能拥有公司技术基础设施和加密钱包的高级访问权限。近期一起事件中，攻击者试图通过虚假面试接触AllSecure.io创始人，但未得逞。 这些攻击链部署的主要恶意软件家族包括：OtterCookie（具备广泛数据窃取能力的后门）、InvisibleFerret（Python后门）和FlexibleFerret（Go和Python双版本模块化后门）。InvisibleFerret通常通过BeaverTail投递，但近期入侵中也发现通过OtterCookie获取初始访问后直接作为后续载荷分发。 值得注意的是，FlexibleFerret又称WeaselStore，其Go和Python变体分别被称为GolangGhost和PylangGhost。 攻击者正积极改进战术：新版VS Code项目已弃用Vercel域名，改用GitHub Gist托管脚本下载执行下一阶段载荷，最终部署FlexibleFerret。这些项目同样托管于GitHub。 微软指出：”通过将恶意软件投递嵌入开发者信任的面试工具、编程练习和评估流程，攻击者利用求职者在高动机和时间压力期间对招聘流程的信任，降低其警惕性和抵抗力。” 针对VS Code任务功能的持续滥用，微软在2026年1月更新（1.109版本）中引入缓解措施：新增”task.allowAutomaticTasks”设置，默认关闭，防止打开工作区时自动执行”tasks.json”中定义的任务。 Abstract Security表示：”该更新还禁止在工作区级定义此设置，因此恶意仓库自带的.vscode/settings.json文件无法覆盖用户全局设置。1.109版本及2026年2月更新（1.110版本）还引入二次提示，在新打开的工作区检测到自动运行任务时警告用户，作为用户接受工作区信任提示后的额外防护。” 近月来，朝鲜黑客还通过LinkedIn社交工程、虚假风投公司和欺诈视频会议链接，对加密货币从业者发起协同恶意软件攻击。该活动与GhostCall和UNC1069等集群存在重叠。 MacPaw旗下Moonlock Lab表示：”攻击链最终导向ClickFix式虚假验证码页面，诱骗受害者在终端执行剪贴板注入命令。该行动跨平台设计，针对macOS和Windows分别投递定制载荷。” 美国司法部（DoJ）近日宣布对三名男子判刑——25岁的Audricus Phagnasay、30岁的Jason Salazar和35岁的Alexander Paul Travis，三人因协助朝鲜欺诈性IT工作者计划、违反国际制裁而认罪，此前均于2025年11月认罪。 Phagnasay和Salazar均被判三年缓刑及2000美元罚款，并被没收参与电信诈骗所得非法收益。Travis被判一年监禁，并没收19.3265万美元——这是朝鲜人员冒用其身份所获金额。 佐治亚州南区联邦检察官Margaret Heap在声明中表示：”这些人实际上把网络王国的钥匙交给了疑似朝鲜海外技术工作者——他们试图为朝鲜政府筹集非法资金，而这些人只是为了看似轻松的金钱回报。” 上周，Flare和IBM X-Force详细披露了该IT工作者计划的内部结构，并指出这些工作者在加入计划前需就读朝鲜顶尖大学并通过严格面试。 两家公司指出：”他们被视为朝鲜社会精英成员，已成为朝鲜政府战略目标不可或缺的部分。这些目标包括但不限于：创收、远程就业活动、窃取企业和专有信息、勒索，以及为其他朝鲜组织提供支持。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）向网络防御人员发出警告，与伊朗情报与安全部（MOIS）有关联的黑客正利用Telegram进行恶意软件攻击。 FBI在周五发布的紧急警报中指出，Telegram被用作恶意软件的命令控制（C2）基础设施，攻击目标包括批评伊朗政府的记者、伊朗异见人士及全球各类反对派组织。 “鉴于中东地区当前的地缘政治形势和冲突态势，FBI特此强调MOIS的网络活动，”该局表示。 “该恶意软件导致情报收集、数据泄露及针对目标方的声誉损害。FBI发布此信息旨在最大限度提高对伊朗恶意网络活动的认知，并提供缓解策略以降低被入侵风险。” 该局将这些攻击与伊朗关联的亲巴勒斯坦Handala黑客组织（又称Handala Hack Team、Hatef、Hamsa），以及伊朗伊斯兰革命卫队（IRGC）支持的国家资助威胁组织Homeland Justice联系起来。 在这些攻击中，伊朗黑客利用社交工程感染目标设备，植入Windows恶意软件，使其能够从受感染计算机外泄截图或文件。 “不法分子会利用任何可用渠道控制恶意软件，包括其他通讯工具、电子邮件甚至直接网络连接，”Telegram发言人在文章发表后告诉BleepingComputer。”虽然使用Telegram控制软件并无特殊之处，但平台审核人员会例行删除任何涉及恶意软件的账户。” 该警告发布前一天，FBI刚刚查封了四个域名：handala-redwanted[.]to、handala-hack[.]to、justicehomeland[.]org和karmabelow80[.]org。 这些明网域名对应的网站被Handala、Homeland Justice威胁组织，以及被追踪为Karma Below的第三个威胁行为体用于攻击活动，并泄露在美国及全球网络攻击中窃取的敏感文件和数据。 这些行动紧随Handala对美国医疗巨头Stryker的网络攻击之后——该组织在入侵Windows域管理员账户并新建全局管理员账户后，利用Microsoft Intune擦除命令对约8万台设备（包括公司管理的员工个人电脑和移动设备）执行了出厂重置。 上周，FBI还警告称，与俄罗斯情报部门关联的威胁行为体正针对Signal和WhatsApp用户发起钓鱼活动，已入侵数千个账户。 “该活动瞄准高情报价值人员，如现任及前任美国政府官员、军事人员、政治人物和记者，”FBI在荷兰和法国网络安全机构描述类似账户劫持行动后发布的公共服务公告中表示。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本汽车制造商马自达株式会社（Mazda）近日披露，去年12月发现的一起安全事件导致员工及合作伙伴信息外泄。 作为日本最大汽车制造商之一，马自达年产车辆120万台，年收入近240亿美元。 公司表示，攻击者利用了泰国零部件采购仓库管理系统的漏洞。该系统不包含任何客户数据，泄露记录仅限692条。 马自达在公告中称：”公司已发现针对泰国零部件采购仓库管理系统的未授权外部访问痕迹。发现后，公司立即向个人信息保护委员会（日本内阁府外局）报告，并在外部专业机构协助下实施适当安全措施并展开调查。” 调查显示，可能泄露的信息包括：用户ID、姓名、电子邮箱、公司名称及合作伙伴ID。 尽管马自达表示尚未发现信息被滥用的情况，但建议受影响人员保持警惕，因为针对他们的钓鱼攻击和诈骗风险显著增加。 除通知当局外，马自达还实施了额外的IT系统安全措施，包括减少互联网暴露面、应用安全补丁、加强可疑活动监控及引入更严格的访问策略。 截至发稿，尚无勒索软件组织公开宣称对这家日本公司发动攻击。 BleepingComputer已联系马自达了解事件详情，将在收到官方回复后更新本文。 值得注意的是，虽然马自达从未正式确认数据泄露，但Clop勒索软件组织已于2025年11月在其数据泄露网站上列出Mazda.com和MazdaUSA.com，声称入侵了这家日本汽车制造商及其美国子公司。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文