HackerNews 编译，转载请注明出处： 网络安全研究人员指出，针对 Go 生态系统的软件供应链攻击中出现了一种恶意包，该包能够使攻击者远程访问受感染系统。 据 Socket 称，该包名为 github.com/boltdb-go/bolt，是对合法 BoltDB 数据库模块（github.com/boltdb/bolt）的拼写混淆。恶意版本（1.3.1）于 2021 年 11 月发布到 GitHub，随后被 Go 模块镜像服务无限期缓存。...

在Pwn2Own Automotive 2025黑客大赛的第二天，安全研究人员两次攻破了特斯拉的Wall Connector电动汽车充电器。 此外，他们还发现了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger、Phoenix Contact CHARX、EMPORIA电动汽车充电器，以及Alpine iLX-507、Kenwood DMX958XR、Sony XAV-AX8500车载信息娱乐系...

QNAP已修复六项rsync漏洞，这些漏洞可能导致攻击者在未打补丁的网络附加存储（NAS）设备上执行远程代码。 Rsync是一款开源文件同步工具，支持通过其守护进程进行直接文件同步、通过SSH进行SSH传输以及节省时间和带宽的增量传输。它被Rclone、DeltaCopy、ChronoSync等许多备份解决方案广泛使用，同时也应用于云和服务器管理操作以及公共文件分发。...

黑客正在分发近1000个假冒Reddit和WeTransfer文件共享服务的网页，这些网页会诱导用户下载Lumma Stealer恶意软件。 在假冒网页上，威胁行为体滥用Reddit品牌，展示一个关于特定话题的虚假讨论线程。线程创建者请求帮助下载特定工具，另一名用户则通过WeTransfer上传该工具并分享链接，第三名用户表示感谢，以使整个过程看似合法。 假冒Reddit站点（来源：BleepingComputer）...

Google周三揭露了一个名为TRIPLESTRENGTH的以获利为目的的威胁行为体，该行为体伺机针对云环境进行加密货币劫持和本地勒索软件攻击。 这家科技巨头的云部门在其第11期《威胁地平线报告》中表示：“该行为体从事了多种威胁活动，包括在被劫持的云资源上进行加密货币挖掘操作和勒索软件活动。” TRIPLESTRENGTH从事三类恶意攻击，包括非法加密货币挖掘、勒索软件和敲诈，并向其他威胁行为体提供访问包括Google Cloud、Amazon Web Services、Microsoft Azure、Linode、OVHCloud和Digital Ocean在内的各种云平台的途径。...

网络安全研究人员披露了一款新BackConnect（BC）恶意软件的详细信息，该软件由与臭名昭著的QakBot加载程序相关的威胁行为者开发。 沃尔玛网络情报团队向The Hacker News表示：“BackConnect是威胁行为者用来保持持久性和执行任务的一种常见功能或模块。正在使用的BackConnect包括‘DarkVNC’和IcedID的BackConnect（KeyHole）。” 该公司指出，BC模块是在同一基础设施上发现的，该基础设施还用于分发另一种名为ZLoader的恶意软件加载程序，该程序最近已更新，纳入了域名系统（DNS）隧道，用于命令与控制（C2）通信。...

在一场名为“J-magic”的攻击活动中，企业级Juniper Networks路由器成为了定制后门的攻击目标。 据Lumen Technologies旗下的Black Lotus Labs团队称，该活动之所以得名如此，是因为后门程序会不断监测威胁行为者在TCP流量中发送的“魔术包”。 该公司在向The Hacker News提供的一份报告中表示：“J-magic活动标志着专为JunoOS设计的恶意软件罕见出现，JunoOS服务于类似市场，但依赖于FreeBSD的一个变种操作系统。”...

安全厂商Eclypsium在一份向The Hacker News提供的报告中指出：“这些并非罕见或边缘案例的漏洞，而是非常知名的问题，甚至在消费级笔记本电脑上都不应出现。如果被利用，这些问题可能让攻击者绕过最基本的安全保护机制，如安全启动，并修改设备固件。 消息来源：The Hacker News, 编译：zhongx；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文...

使用图片截屏链接钓鱼页面 | 来源：CloudSEK 其中一种情况是发送伪装成票单分配邮件的网络钓鱼页面。报告指出：“所有电子邮件通信（票据）都会登陆主收件箱，而不是被标记为垃圾邮件。这一点相当令人担忧，因为员工可能会误以为由可信机构分发的类似脉络的精心策划的活动。”

这些攻击的主要目的是窃取登录凭证或财务数据等敏感信息。...

HackerNews 编译，转载请注明出处： 入侵教育科技巨头PowerSchool的黑客在勒索要求中声称，他们窃取了6240万学生和950万教师的个人数据。 PowerSchool是为K-12学校和学区提供云计算软件解决方案的供应商，提供包括注册、沟通、考勤、员工管理、学习系统、分析和财务等工具。...