HackerNews 编译，转载请注明出处： 纽约地标麦迪逊广场花园（MSG）确认遭数据泄露，涉及2025年针对甲骨文电子商务套件（EBS）的大规模网络犯罪活动。 MSG是全球著名多功能室内场馆，位于纽约市，承办体育赛事、演唱会及娱乐活动，为NBA尼克斯队和NHL游骑兵队主场。 该事件于攻击发生数月后披露，MSG成为利用甲骨文EBS环境漏洞实施大规模黑客行动的众多受害组织之一。 2025年11月，Cl0p勒索软件组织利用零日漏洞入侵包括MSG在内的100多家机构。MSG拒绝支付赎金后，该勒索组织泄露超210GB公司存档文件。 MSG向缅因州总检察长办公室提交的通知信显示：”甲骨文EBS由供应商托管管理，用于部分人力和财务运营。甲骨文通知客户，应用程序中此前未披露的条件被未经授权者利用以获取数据，据称超过100家公司受影响。供应商于2025年11月下旬调查确定，未经授权者于2025年8月获取部分应用数据。经审查，涉及招聘或付款相关的业务记录文件，并于2025年12月确认包含姓名和社会保障号的文件受影响。” 2025年10月，甲骨文发布紧急补丁修复EBS中关键漏洞CVE-2025-61882（CVSS评分9.8）。该漏洞被Cl0p利用实施数据窃取，未经身份验证的远程攻击者可借此控制甲骨文并发处理组件。 MSG已报警并开始通知受影响个人，同时通过TransUnion旗下Cyberscout为受害者提供免费一年信用监控、报告及评分服务，以检测个人信息滥用并提供身份盗窃保护。 MSG表示：”已确认供应商成功实施甲骨文推荐的应用防护措施以防止再次发生，并已通知执法部门。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks研究人员发现谷歌Chrome浏览器漏洞（CVE-2026-0628），恶意扩展程序可利用该漏洞控制Gemini Live AI助手，实施用户监控并窃取敏感文件。 报告指出：”我们在Chrome新版Gemini功能实现中发现高危安全漏洞，攻击者可借此侵入浏览器环境并访问本地操作系统文件。具体而言，该漏洞允许拥有基础权限的恶意扩展劫持Chrome浏览器面板中的Gemini Live。” Chrome侧边栏AI助手Gemini Live用于实时内容摘要、执行任务及理解网页上下文。作为”AI浏览器”核心组件，其深度集成带来便利的同时也产生风险。 该漏洞于Chrome 143版本修复。拥有declarativeNetRequests权限的恶意扩展可向Gemini面板注入JavaScript代码，而非仅限于标准Gemini标签页。由于面板是可信浏览器组件，劫持后可获得超越普通扩展的提权能力，包括访问本地文件、截图、摄像头和麦克风，无需用户额外授权即可实施钓鱼或监控。 研究人员向谷歌演示了普通扩展劫持Gemini面板后可执行的操作：实施钓鱼攻击、未经同意启动摄像头和麦克风、访问底层操作系统本地文件和目录、对HTTPS网站标签页截图。 基于扩展的攻击常被低估，但AI浏览器功能提升了风险等级。该漏洞于2025年10月23日负责任披露给谷歌，2026年1月初修复。报告结论称：”尽管AI浏览器功能可改善用户体验，持续监控潜在安全漏洞至关重要。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全公司Resecurity披露，伊朗加密货币平台Ariomex数据库发生泄露，涉及2022至2025年的用户及交易数据。 泄露数据显示，部分用户通过该平台进行大额美元交易。例如，一名叫Seyyed Younes Shokori Bilankouhi的用户曾请求”通过伊朗使馆协助”存入300万美元；另一用户Ramin Lak欲兑换500万美元。部分用户将Ariomex当作”银行”使用，如用户Eyraj Jaafari多次购买价值10万美元数字资产，但选择”稍后套现”。 专家指出，部分大额余额记录缺乏身份验证（KYC），或信息已被篡改。Resecurity发现多笔涉数百万美元的可疑交易。 泄露的1.18万条记录中，约7710条源自伊朗，涵盖用户身份、邮箱、IP地址及加密货币操作详情。数据还显示伊朗持币者分布于美国、英国、德国、法国、荷兰、罗马尼亚、俄罗斯、瑞典、土耳其等国。 Resecurity在暗网发现被盗数据库，初步判断泄露源于客户支持系统（helpdesk）遭入侵。该公司利用AI技术重建了用户完整画像。 值得注意的是，去年伊朗另一大型交易所Nobitex遭网络攻击，约9000万美元数字资产被毁。 Resecurity将Ariomex视为与伊朗政权关联的影子金融机构，强调切断相关金融流动、控制服务恶意利益的加密交易所，应成为识别威胁行为体及其活动的战略优先事项。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗无人机本周袭击了亚马逊在阿联酋和巴林的三座数据中心设施，导致中东部分地区云服务中断，地区紧张局势持续升级。 亚马逊称，阿联酋两座数据中心被无人机”直接击中”，巴林设施则因”近距离无人机袭击”受损。公司确认约60项亚马逊云服务（AWS）中断，影响网络流量及依赖云服务的业务。 袭击发生在美以联合打击导致伊朗最高领袖哈梅内伊及多名高级官员身亡后，伊朗对阿联酋及邻国发动报复。据报道，伊朗反击目标超越美军基地，涵盖机场、酒店及关键油气基础设施。 “由于中东持续冲突，两个受影响地区的基础设施因无人机袭击遭受物理破坏，”亚马逊声明。 公司表示，袭击造成结构损坏、电力中断，并触发消防系统导致室内水损。当地消防部门在扑灭残骸引发火灾时关闭了电源和发电机。 亚马逊未披露是否有员工受伤，称正与地方当局合作，优先保障员工安全。公司建议中东客户备份关键数据，将应用迁移至其他AWS区域。 “全面恢复取决于受影响基础设施修复，团队正持续努力，”亚马逊周二表示，并补充称地区整体运营环境因持续冲突仍不可预测。 亚马逊本周早些时候首次披露服务中断，最初归因于连接和电力问题，随后确认设施遭无人机物理袭击。 亚马逊在每个区域运营多个”可用区”——物理隔离、拥有独立电力、网络和冷却系统的数据中心，通过高速连接互联。该设计允许客户跨站点分配工作负载，确保单一设施中断时服务持续运行。在阿联酋，三个可用区中的两个被击中；巴林则有一个可用区遭遇长时间停电和持续连接问题，进一步扰乱海湾地区服务。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着美以与伊朗冲突升级，双方展开大规模网络作战，包括广泛断网、网站及应用攻击、基础设施干扰，西方实体同时防范伊朗潜在网络袭击。 冲突于2月28日爆发，美以联合对伊朗军事设施、导弹基地、核设施及高层官员发动协调空袭，导致最高领袖哈梅内伊及多名领导人死亡。伊朗则以导弹和无人机密集袭击波斯湾地区美军基地，并直接攻击以色列，造成军民设施有限伤亡。 针对伊朗的网络攻击 据美以媒体报道，美以部队实施的网攻导致伊朗大规模混乱，包括新闻/宣传网站（如伊通社IRNA）、伊斯兰革命卫队通信基础设施、本地应用及数字政府服务中断。对革命卫队指挥控制系统的攻击旨在限制其反击协调能力。 报道称，对伊网攻包括DDoS攻击及针对能源、航空基础设施系统的”深度渗透”，被部分人士称为”史上最大规模网络攻击”。 亲西方黑客还劫持热门祈祷应用，推送”援助已抵达！”的通知。 互联网观测机构NetBlocks 3月2日报告称，伊朗断网已超48小时，并指出长期断网在该国并不罕见，通常由政权触发以掩盖人权侵犯。 来自伊朗的网络攻击 冲突爆发后，伊朗及亲伊威胁行为体亦加强行动。某组织声称攻击了一家以色列公司的防空系统。 网络安全公司Flashpoint向SecurityWeek透露，伊朗正发动黑客所称的”伟大史诗”网络战役。 威胁组织声称攻击约旦燃料基础设施，并扩大行动至以色列工业控制系统（ICS），声称已扰乱制造和能源分配系统。其他组织则专注于DDoS攻击和数据擦除行动，据称目标为美以军事物流供应商。 CrowdStrike反对手行动负责人Adam Meyers在邮件声明中表示，公司”已观察到符合伊朗关联威胁行为体和黑客组织进行侦察并发起DDoS攻击的活动”。 他指出：”这些行为通常预示更激进的行动。过去冲突中，德黑兰网络行为体的活动常与更广泛战略目标保持一致，对能源、关键基础设施、金融、电信和医疗等目标加大压力和曝光度。” Sophos报告称：”与伊朗情报安全部（MOIS）关联的黑客组织声称在约旦发动攻击，并威胁该地区其他国家。该组织惯常夸大其能力和攻击影响，但偶尔确实能够执行数据窃取和擦除攻击。” 前FBI网络部副助理主任、现任Halcyon勒索软件研究中心高级副总裁Cynthia Kaiser表示，Halcyon情报团队观察到中东活动增加，注意到”DDoS僵尸网络HydraC2、黑客组织Handala和勒索软件组织Sicarii的动员号召”。 Kaiser在领英帖文中写道：”伊朗长期使用网络行动报复 perceived 政治冒犯——2011至2013年瘫痪美国金融网站，2014年抹除拉斯维加斯金沙赌场数据，在伊朗军事指挥官苏莱曼尼死后篡改网站，2020及2021年对美国选举官员发出在线死亡威胁，德黑兰的网络策略一直激进且不断演变。” 她指出，勒索软件日益被纳入伊朗网络活动，破坏性工具可能在未来数周用于美国网络。”去年，一名伊朗国民对瘫痪巴尔的摩及其他美国市政机构的勒索软件攻击认罪，造成数千万美元损失，”她提醒道，”自2017年起，伊朗运营商就瞄准美国关键基础设施——包括一次针对波士顿儿童医院的未遂行动——发动勒索软件战役，模糊犯罪勒索与国家资助破坏的界限。” 对网络攻击影响声明的谨慎态度 伊朗黑客以攻击ICS及其他关键基础设施著称。支持政权的威胁行为体亦被观察到利用黑客手段为物理打击做准备。然而，他们也以夸大网络行动影响闻名。 美以均拥有高度发达的网络攻击工具，但冲突期间关于网攻影响的报告可能存在夸大。 尽管部分混乱或损害声明经仔细审查后可能证明被夸大，但国家关联行为体在动能行动同时实施复杂网络入侵的 demonstrated 能力，凸显了真实且不断演变的威胁，需要持续警惕和准备。 美国网络安全公司SentinelOne在冲突开始后立即报告称，”未将重大恶意网络活动直接归因于这些近期事件”。 但该公司警告：”我们高度确信，以色列、美国及盟国组织可能面临直接或间接攻击——特别是政府、关键基础设施、国防、金融服务、学术和媒体部门。” 《华尔街日报》周六晚间报道称，美国在Anthropic AI协助下对伊朗发动大规模空袭，此前不久特朗普总统刚下令所有联邦机构逐步停用Anthropic技术，因该公司拒绝允许其AI无限制军事使用。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI上周发布威胁报告称，已封禁一批与亲克里姆林宫媒体Rybar关联的ChatGPT账户。该网络利用人工智能生成社交媒体内容，并起草针对非洲的秘密影响力行动方案。 这一名为”鱼食”的行动批量生成多语言内容，随后在Telegram和X平台发布。OpenAI研究人员表示，至少部分账户可能源自俄罗斯。 研究人员指出：”本质上，这些ChatGPT活动似乎是为这些账户提供内容农场服务”，但无法独立核实AI生成材料最终如何被发布上网。 该行动主要使用俄语提示词，但产出内容涵盖英语、西班牙语等多种语言。部分提示词用于生成批量英文评论，随后由一系列与Rybar（俄语意为”渔民”）无公开关联的Telegram和X账户发布。 除内容生成外，研究人员披露，有用户要求ChatGPT协助为Rybar制定非洲秘密干预活动的商业计划，包括管理X和Telegram账户、创办聚焦非洲的双语调查新闻网站，以及在法语媒体安排付费投放。 另一提示词涉及编辑一份疑似选举干预团队的提案，内容涵盖建立本地网络、组织大规模活动及配合在线影响力行动。提示词还涉及布隆迪和喀麦隆的选举程序信息查询，并讨论马达加斯加的竞选选项，包括煽动抗议的建议。报告称，最宏大的项目预算高达60万美元/年。 研究人员表示：”该行动生成的内容具有典型的俄罗斯秘密影响力行动特征——通常赞扬俄罗斯及其盟友（如白俄罗斯），批评乌克兰，并指责西方国家干涉内政。” Rybar主Telegram频道拥有约140万订阅者。OpenAI指出，尽管受众规模可观，但未观察到该网络内容被主流媒体显著放大，也未发现非洲当地有与之匹配的实际活动证据。 Rybar为亲战军事博客，由前俄罗斯国防部新闻官米哈伊尔·兹温丘克及其同事杰尼斯·休金创立。俄罗斯独立媒体报道称，已故瓦格纳私人军事公司创始人叶夫根尼·普里戈任曾参与资助该项目。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oasis Security报告显示，OpenClaw AI助手存在漏洞，攻击者可通过诱导受害者访问恶意网站劫持AI代理。 该漏洞利用无需安装恶意扩展或用户交互，仅依赖OpenClaw自身功能即可成功。 OpenClaw作为自托管AI代理，运行本地WebSocket服务器作为网关，负责身份验证、代理编排、会话管理及配置存储。应用和设备以节点身份连接网关以暴露功能、执行命令和访问能力，身份验证通过令牌或密码完成。 Oasis指出：”网关默认绑定localhost，基于本地访问天然可信的假设。正是这一假设导致了安全问题。” 该安全公司发现，当AI代理的网关绑定至localhost且受密码保护时，若开发者访问恶意网站，代理可能被劫持。 由于浏览器跨源策略未阻止对localhost的WebSocket连接，恶意网站上的JavaScript代码可使用代理端口打开此类连接。随后可暴力破解密码——localhost连接不受网关速率限制器约束——进而注册为可信设备，而来自localhost的设备配对会自动批准，无需用户确认。 Oasis说明：”网关的速率限制器完全豁免回环连接，失败尝试不计数、不节流、不记录。实验室测试中，我们仅通过浏览器JavaScript就达到了每秒数百次密码猜测的持续速率。在此速度下，常见密码列表不到一秒即可穷举，大型字典也只需数分钟。” 一旦猜中密码，攻击者即可获得具有管理员权限的认证会话，完全控制OpenClaw。这使得攻击者可与代理交互、提取配置、枚举节点及读取日志。 Oasis表示：”实践中，这意味着攻击者可指示代理搜索开发者的Slack历史获取API密钥、读取私信、从连接设备外泄文件，或在任何配对节点执行任意shell命令。对于具备典型OpenClaw集成的开发者而言，这相当于从浏览器标签页发起的工作站完全沦陷。” OpenClaw安全团队在收到Oasis报告后24小时内修复了该漏洞，并将其归类为高危问题。建议用户更新至OpenClaw 2026.2.25或更高版本。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）周一发布预警，要求英国各机构审视并加强网络防御，以应对中东持续冲突带来的网络威胁。 NCSC在咨询警报中表示：”目前伊朗对英国的直接网络威胁可能尚未发生显著变化，但考虑到冲突的快速演变，这一评估可能会调整。” 此前美以于上周末发动联合空袭，导致伊朗最高领袖哈梅内伊及其他高级官员身亡，伊朗随后向该地区发射导弹和无人机进行报复。 英国首相斯塔默周日在讲话中明确表示，英国武装力量未参与针对伊朗的打击行动。他补充称，英国战机正在空中拦截伊朗袭击，英军基地则为美军摧毁伊朗导弹阵地提供支持。 据《卫报》报道，一架疑似伊朗攻击无人机周日袭击了塞浦路斯皇家空军基地，另有无人机于周一上午被拦截。 NCSC指出，”对于在中东地区有业务存在或供应链的组织及实体，间接网络威胁风险升高”，伊朗国家及国家关联行为体均具备一定网络能力。 该机构国家韧性主管乔纳森·埃里森在声明中强调：”鉴于中东局势快速演变，所有英国机构必须对潜在网络入侵风险保持警惕，特别是那些在地区紧张区域拥有资产或供应链的机构。” 警报为英国机构提供了应对网络威胁的”实际步骤”，包括”参考我方指南以降低在风险升高时遭受攻击的可能性”，以及”关键国家基础设施机构如何准备和应对严重网络威胁”。 NCSC此前曾呼应美国政府去年6月发布的情况说明，该文件指出伊朗国家资助或关联的威胁行为体对美国关键基础设施及其他实体构成的风险正在增加。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf周一披露，去年一场针对巴基斯坦、孟加拉国和斯里兰卡政府机构及关键基础设施运营商的间谍活动，被归因于一个名为”SloppyLemming”的印度关联威胁组织。这是Cloudflare 2024年9月所识别威胁活动的扩展。 该活动自2025年1月起持续一年，采用两种攻击方式：一是投递含BurrowShell恶意软件的PDF文件——该后门程序可截屏并操控文件系统；二是发送携带具备键盘记录与侦察功能恶意软件的Excel文档。 研究人员指出，该组织技术能力中等：多阶段执行链显示其掌握防御规避技术并熟悉Windows内部机制，但开放目录暴露等运营安全漏洞表明其手法不及更严谨的对手。这与组织名称中的”Sloppy（ sloppy 意为 sloppy/ sloppy ）”相符，指其历史上不稳定的运营安全。 攻击者使用去年注册的112个Cloudflare域名托管恶意软件，域名采用巴基斯坦和孟加拉国政府主题名称以诱骗受害者。 事件响应人员确认，活动目标包括巴基斯坦核监管局等核监管机构、国防后勤组织及电信基础设施，以及孟加拉国能源公用事业和金融机构。巴基斯坦海军、国家后勤公司、DESCON电力公司、孟加拉国电网公司，以及特殊通信组织和巴基斯坦电信公司均在目标之列。 研究人员称，SloppyLemming自2021年起持续实施网络间谍攻击，其目标与印度政府利益一致。 “PDF阅读器已禁用” 活动通常以含恶意文档的社会工程或鱼叉式钓鱼邮件开场。文档打开后，受害者看到模糊内容被”PDF阅读器已禁用”字样覆盖，并被诱导执行进一步操作以允许黑客访问。 恶意软件包含键盘记录功能及持久化机制、网络扫描、截屏等功能。至少有一封恶意邮件冒充孟加拉国金融机构。 Arctic Wolf发现其调查结果与Trellix 2025年10月披露的内容存在部分重叠。 Cloudflare此前表示，SloppyLemming活动始于2022年末，主要针对巴基斯坦，同时攻击斯里兰卡、尼泊尔、孟加拉国、印度尼西亚和中国，重点瞄准政府、执法、能源、电信及技术实体。Cloudflare未将该活动与印度行为者直接关联，但称其与CrowdStrike追踪的”Outrider Tiger”威胁组织相符。CrowdStrike将该组织描述为”印度关联针对性入侵对手”，采用复杂凭据收集技术，”支持印度国家情报收集需求”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络司令部对伊朗通信网络实施了网络攻击。美军最高将领表示，这一行动为美国与以色列联合发动的历史性轰炸行动创造了条件。 参谋长联席会议主席丹·凯恩将军周一在五角大楼记者会上披露，代号”史诗狂怒”的行动中，网络司令部与太空司令部率先”叠加非动能效应”，支援本次导致伊朗最高领袖哈梅内伊及多名高级官员丧生的军事行动。 凯恩表示：”协同太空与网络作战有效干扰了责任区内的通信与传感器网络，使敌方丧失侦察、协调和有效反击能力。”这些行动共同”扰乱、迷惑并混淆了敌人”。 这是军方迄今对网络司令部在特朗普第二任期标志性军事行动中所扮演角色的最公开承认。 此前Recorded Future News曾报道，该司令部去年为支持针对伊朗核设施的成功轰炸，曾瘫痪伊朗导弹防御系统。凯恩与特朗普总统今年早些时候也曾暗示，网络司令部参与了对委内瑞拉首都的断电行动，以及为抓捕马杜罗而实施的防空雷达与手持无线电干扰。 自美以周六联合打击伊朗目标以来，已出现多起疑似网络行动，包括以色列数字部队攻击多家新闻网站和宗教日历应用，发布劝降与反政府信息。 华盛顿与耶路撒冷官员正防范伊朗代理组织或盟友的报复性网络攻击。伊朗过往曾发动勒索软件、拒绝服务攻击等多种恶意活动。周一，约旦称其国家网络安全中心挫败了针对该国小麦储备系统的伊朗网络攻击。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文