多家安全厂商近期接连发出预警，npm 代码仓库正遭遇新一轮网络攻击。此次攻击手法与此前的 “沙虫” 攻击如出一辙，这轮被命名为 “沙虫二号” 的供应链攻击事件已入侵数百个 npm 软件包。据艾基多、螺旋卫士、锦鲤安全、赛克特、斯特普安全及维兹安全等机构报告， 维兹安全的研究人员指出：“此次攻击推出了恶意代码的新型变种，其会在软件预安装阶段执行恶意程序，这使得代码构建与运行环境面临的安全风险大幅上升。” 今年 9 月，“沙虫” 攻击事件浮出水面。与该事件类似，此次攻击也会将窃取的机密信息上传至代码托管平台吉特哈伯，且相关代码仓库的描述标注为 “沙虫二号：卷土重来”。...

在乌克兰东部被占领土运营的一家俄罗斯国有邮政机构宣称，其系统因遭遇 “外部干扰” 陷入瘫痪。此前，一个亲乌黑客组织声称已清除该机构数千台设备的数据。 这家名为顿巴斯邮政（Donbas Post）的机构，业务范围覆盖顿涅茨克与卢甘斯克的俄控区域。该机构表示，此次事件已影响其企业内网、网络平台及电子邮件系统。目前公司已限制多项服务的访问权限以控制漏洞影响范围，同时正全力推进系统恢复工作。 此前在周五，乌克兰网络联盟就已宣称发动了此次攻击。该组织称，攻击共摧毁了 1000 多台工作站、约 100 台虚拟机，还销毁了数十太字节的数据，并公开了多张据称来自顿巴斯邮政内部系统的截图。...

哈佛大学宣布，其校友事务与发展系统遭语音钓鱼（vishing）攻击入侵，导致学生、教职工、校友的联系信息、捐赠记录及个人履历数据泄露。 哈佛方面表示，受影响系统未存储社会安全号码、密码、支付卡数据或财务账户信息。 校方官员称，此次泄露可能波及的群体包括：校友、校友配偶 / 伴侣及遗属、大学捐赠者、在校及往届学生家长，以及部分在校学生、教职员工。...

近期发现一起将第二代窃取型恶意软件（StealC V2）植入 Blender 项目文件的攻击行动，该行动针对受害者的攻击时长已至少达六个月。 据莫菲塞克网络安全公司发布的最新预警显示，攻击者将篡改后的.blend 格式文件发布在 CGTrader 等平台上，用户会将这些文件当作常规的三维素材下载使用。 当用户开启 Blender 软件的自动运行功能并打开这类文件时，文件中隐藏的 Python 脚本就会自动执行，进而发起多阶段恶意程序入侵流程。...

威胁行为者声称已入侵美国一级结构钢制造巨头库珀钢铁制造公司（Cooper Steel Fabricators），并将该公司 FTP 服务器的 “完整镜像数据” 挂牌出售。 根据该威胁行为者在暗网发布的帖文，被盗数据包含高度详细的技术文档和专有项目信息。 威胁行为者表示，此次出售的是库珀钢铁 FTP 服务器的 “完整镜像”，数据总量达 330GB，“无任何删除或无关文件”，索求 2.85 万美元加密货币作为赎金。...

HackerNews 编译，转载请注明出处： 房地产金融科技公司 SitusAMC 已发布数据泄露通知，披露其遭遇黑客攻击的相关情况。该公司表示，其在11月12日获悉此时，最终确认恶意攻击者可能已访问了敏感数据。
事件披露
SitusAMC 是房地产解决方案市场的主要参与者，营收超过 11 亿美元，在全球 25 个地区拥有 4000 多名员工。...

伊比利亚航空成立于 1927 年，总部位于马德里，是西班牙国家航空公司。该公司以马德里巴拉哈斯机场为枢纽，运营着庞大的国际航线网络，飞往欧洲、美洲、非洲、中东及亚洲的 140 多个城市。作为国际航空集团（IAG）的成员企业，其旗下还包括英国航空、伏林航空、LEVEL 航空及爱尔兰航空等品牌， 该公司向受影响客户发送的数据泄露通知中写道：“尊敬的客户，很遗憾地告知您，西班牙伊比利亚航空已检测到一起安全事件 —— 我们的一家供应商系统遭到未授权访问，导致部分数据的保密性受损。”...

SolarWinds 修复了其 Serv-U 文件传输解决方案中的三个关键漏洞，这些漏洞可能允许远程代码执行。 第一个漏洞，追踪编号为 CVE-2025-40549（CVSS 评分 9.1），是一个影响 Serv-U 的路径限制绕过问题。拥有管理员权限的攻击者可利用此漏洞在目录上执行代码。公告中写道："Serv-U 中存在一个路径限制绕过漏洞，若被滥用，...

HackerNews 编译，转载请注明出处： 意大利国家铁路集团（FS Italiane Group）是意大利国有铁路公司，负责客运、货运、基础设施及物流业务，业务覆盖国内外，提供高速列车、区域列车及货运服务。该集团旗下包括意大利铁路公司、意大利铁路网公司等多家子公司，每年为数百万客户提供服务。 Almaviva 是意大利领先的 IT 及数字服务提供商，业务涵盖客户关系管理、外包服务及云解决方案等。公司现有 4.1 万名员工，2024 年营收达 14.11 亿欧元。
黑客声称窃取的2.3TB敏感数据包括：

意大利国家铁路 2017-2035 年投资与产业规划
内部机密文件
公司...

本周，美国两个州的地方执法机构成为黑客攻击目标，多套 IT 系统受影响。 俄克拉荷马州克利夫兰县警长办公室于周四发布声明称，机构遭遇勒索软件攻击，部分内部计算机系统受到影响。 官方表示，公共安全服务未受中断，警员仍能正常响应 911 紧急呼叫。...