HackerNews 编译，转载请注明出处： 在最新一起软件供应链攻击事件中，不明威胁者成功入侵了 Toptal 的 GitHub 组织账户，并利用该权限向 npm registry 发布了 10 个恶意包。 Socket 在上周发布的一份报告中称，这些包包含的代码会窃取 GitHub 认证令牌并破坏受害者的系统。此外，该组织的 73 个相关仓库被公开。...

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，霍尼韦尔旗下Tridium公司开发的Niagara框架存在十余个安全漏洞。在特定配置下，处于同一网络的攻击者可利用这些漏洞攻陷系统。 Nozomi Networks Labs在上周发布的报告中指出：“如果Niagara系统配置错误，导致特定网络设备的加密功能被禁用，则这些漏洞均可被完全利用。若组合使用，处于同一网络（例如中间人位置）的攻击者将能攻陷整个Niagara系统。”...

HackerNews 编译，转载请注明出处： 纳斯卡赛车（NASCAR）本周向客户发出警告，称其因3月遭受网络攻击导致数据泄露。 此次事件导致数量不明的受害者社保号码遭泄露。在向缅因州、新罕布什尔州和马萨诸塞州监管机构提交的文件中，该公司未透露具体受影响人数。...

HackerNews 编译，转载请注明出处： 黑客在亚马逊生成式AI编程助手Amazon Q Developer的Visual Studio Code扩展中植入了数据擦除代码。 该免费扩展通过AI帮助开发者编写代码、调试、创建文档和自定义配置，在Microsoft Visual Studio Code市场的安装量已近百万。...

HackerNews 编译，转载请注明出处： 超过九国警方联合行动，于上周四查封了BlackSuit勒索团伙的暗网勒索站点。 访问该团伙主要TOR域名及其私密谈判页面时，用户将被重定向至“查封横幅”，声明这些网站“已被美国国土安全调查局（HSI）查封”，属于国际联合行动的一部分。横幅展示17家执法机构标识及网络安全公司Bitdefender的徽标，其中隶属移民与海关执法局（专注跨国犯罪调查）的HSI标识位于最显眼位置。...

HackerNews 编译，转载请注明出处： 安联人寿（Allianz Life）确认发生数据泄露事件，其140万客户中的“大部分”个人数据因第三方系统遭黑客入侵而暴露。 2025年7月16日，恶意威胁行为者通过社会工程技术，入侵了安联人寿使用的第三方云客户关系管理系统（CRM）。该公司发言人布雷特·温伯格向TechCrunch证实：“该威胁行为者通过社会工程技术，获取了与安联人寿大部分客户、金融专业人士及部分员工相关的个人身份信息。”...

HackerNews 编译，转载请注明出处： 打开银行应用时，您可能不会想到恶意软件。您关注的是余额、交易记录和房租。 然而，印度越来越多的安卓设备正遭受仿冒正规银行应用的恶意软件攻击。CYFIRMA威胁情报团队的调查揭露：此类恶意应用可清空银行账户、窃取凭证，甚至劫持短信与通话。...

HackerNews 编译，转载请注明出处： 尽管这是一项科学突破，该技术仍引发关于隐私与道德监控的争议。 罗马第一大学的研究团队发现，人体扰动WiFi信号形成的独特模式如同无形指纹——每个人的特征均独一无二。然而，这与手机人脸识别或健身房指纹扫描等传统生物识别技术截然不同：该方法既无需摄像头，也无需被识别者主动配合。...

HackerNews 编译，转载请注明出处： 网络安全威胁组织Patchwork被指针对土耳其国防承包商发起新一轮鱼叉钓鱼攻击，旨在窃取战略情报。 Arctic Wolf实验室本周发布的技术报告指出：“攻击者通过伪装成会议邀请函的恶意LNK文件实施五阶段攻击链，目标锁定对无人载具系统感兴趣的机构。”该行动还锁定了某未具名的精确制导导弹系统制造商，攻击时机正值巴基斯坦与土耳其深化防务合作、印巴军事冲突升级之际，显示其地缘政治动机。...

HackerNews 编译，转载请注明出处： 俄罗斯航空航天及国防工业正成为一场网络间谍活动的目标，该活动通过名为“EAGLET”的后门程序窃取数据。 这项代号为“货物利爪行动”（Operation CargoTalon）的活动被归因于一个追踪编号为UNG0901（Unknown Group 901的缩写）的威胁组织。...