有朝鲜背景的黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件，冒充 Coinbase 招聘信息并吸引金融技术领域的员工。Lazarus 组织此前就曾使用虚假的工作机会做诱饵，而在近期的恶意活动中，该机构使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。 这个虚假的招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后，就会显示上图这样的诱饵 PDF 文件，然后就会调用恶意 DLL，最终允许威胁攻击者向受影响的设备发送命令。...

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞，该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏( CVE-2022-21233 ) 是第一个架构上的CPU 错误，它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU，并且不依赖于启用的超线程。 英特尔发布的公告：“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。”...

Hackernews 编译，转载请注明出处： 网络安全公司卡巴斯基的最新发现显示，超过131万用户至少一次试图安装恶意或不需要的Web浏览器扩展。 该公司表示：“从2020年1月到2022年6月，超过430万独立用户受到隐藏在浏览器扩展中的广告软件的攻击，约占所有用户中受恶意和不需要的附加组件影响的70%。”...

宣传新 BlackByte 数据泄露网站的推文 新的BlackByte 数据勒索方案（来源：BleepingComputer） BlackByte 是何方神圣？...

根据身份盗用资源中心 (ITRC) 的数据，谷歌语音诈骗在 2021 年的身份相关欺诈案例中创下新纪录。这家非营利组织表示，在2021年它收到了 14,947 份来自消费者的报告，比 2020 年增加了 26%，这也是有史以来处理的最多的。在这些报告中， 欺诈者通常会寻找在网上销售商品的受害者。他们会向目标发送一个谷歌验证码并要求受害者分享该代码——表面上是为了验证他们是一个“真正的”卖家。实际上，如果受害者这样做，他们的电话号码将与一个新创建的欺诈性 Google Voice 帐户相关联，然后欺诈者就会利用该账户继续诈骗下一个目标。...

据The Hacker News报道，攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马，该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出，这种恶意软件试图使用一种从未见过的新技术来感染设备，以传播极其危险的Xenomorph银行木马，允许犯罪分子在受害者的设备上进行欺诈攻击。...

Hackernews 编译，转载请注明出处： 谷歌周二推出了适用于桌面的Chrome浏览器补丁，来解决在野外积极利用的高严重性零日漏洞。 跟踪为CVE-2022-2856，该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。...

《CS:GO》（反恐精英：全球攻势）是近来最热门的多人第一人称射击游戏之一，由知名电子游戏开发商Valve Software发行。该游戏中的武器皮肤具有不同的稀有性，这就促使了使用Steamworks API的交易网站的创建，以方便玩家相互交易皮肤。 CS.MONEY就是其中最大的CS:GO皮肤交易平台之一，拥有53种武器的1696种独特皮肤，总资产价值为1650万美元。而该平台最近不幸被黑客盯上，在第一波攻击中大约600万美元的皮肤失窃，资产直接缩水了1/3以上。...

South Staffordshire Water 是一家平均每天为 消费者提供 3.3 亿升饮用水的公司，该公司发表了一份声明，确认网络攻击导致 IT 中断。 正如公告所解释的那样，安全和配水系统仍在运行，因此 IT 系统的中断不会影响向其客户或其子公司 Cambridge Water 和 South Staffs Water 的客户供应安全水。 “这一事件并未影响我们提供安全用水的能力，我们可以确认我们仍在为所有 Cambridge Water 和 South Staffs Water 客户提供安全用水。” 宣读公司发表的声明。“这要归功于我们一直以来对供水和质量的强大系统和控制，...

据The Verge报道，根据Mozilla研究人员的最新分析，大多数流行的月经和孕期跟踪应用程序没有强大的隐私保护功能。健康应用程序的隐私政策泄露一直是个问题，但现在堕胎在美国许多地方都是非法的，属于这一特定类别的问题尤其令人担忧。 经期和孕期跟踪应用程序收集的数据，理论上可以用来起诉在非法地方堕胎的人。来自经期跟踪应用程序的数据并不是目前用于将人们与堕胎联系起来的最大东西--最常见的是，这些案件中使用的数字数据来自短信、Google搜索或Facebook信息。但它们仍然是潜在的风险。...