HackerNews 编译，转载请注明出处： 网络安全研究人员近日警告称，一款名为HTTPBot的新型僵尸网络病毒正在中国境内活跃。该恶意软件主要针对游戏行业，同时也对科技公司及教育机构发起精准打击。绿盟科技在本周发布的报告中指出：“过去数月，该病毒通过持续感染设备扩大攻击规模，采用高度仿真的HTTP Flood攻击和动态特征混淆技术，成功绕过了传统基于规则的防护系统。” 这款于2024年8月首次现身的病毒因其使用HTTP协议发动分布式拒绝服务攻击而得名。值得注意的是，虽然采用Golang语言开发，但该病毒反常地将Windows系统作为主要攻击目标。作为一款基于Windows的僵尸网络木马，其最大特点是针对高价值业务接口（如游戏登录和支付系统）实施外科手术式打击。 “这种‘手术刀式’精准攻击对依赖实时交互的行业构成系统性威胁。”总部位于北京的绿盟科技强调，“HTTPBot标志着DDoS攻击已从‘无差别流量压制’转向‘高精度业务打击’的全新范式。”统计显示，自2025年4月以来，该病毒已发动至少200次攻击指令，主要打击目标为中国境内的游戏产业、科技企业、教育机构及旅游门户网站。 技术分析显示，该病毒运行时通过隐藏图形界面规避用户和安防工具的进程监控，并通过篡改Windows注册表实现开机自启。在连接C2服务器后，将根据指令对特定目标发起海量HTTP请求。其攻击模块包含七大武器库： 浏览器攻击模块（BrowserAttack）：通过隐藏Chrome实例模拟合法流量耗尽服务器资源 会话伪造模块（HttpAutoAttack）：基于Cookie技术精确复刻合法会话 负载增压模块（HttpFpDlAttack）：采用HTTP/2协议强制服务器返回大体积响应消耗CPU资源 WebSocket攻击模块（WebSocketAttack）：利用ws://和wss://协议建立长连接 POST强制攻击模块（PostAttack）：限定使用HTTP POST方式攻击 Cookie增强模块（CookieAttack）：在浏览器攻击基础上增加Cookie处理流程 “传统DDoS僵尸网络多活跃于Linux和物联网平台。”绿盟科技专家指出，“但HTTPBot家族却剑走偏锋，专门针对Windows平台。通过深度模拟协议层、模仿合法浏览器行为，该病毒成功突破依赖协议完整性的防御体系。其随机化URL路径和Cookie补充机制能持续占用服务器会话资源，而非单纯依赖流量压制。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家担忧人工智能（AI）代理将很快实施大规模复杂且难以检测的网络攻击。2022年ChatGPT的发布已通过自动化钓鱼、深度伪造和恶意软件开发改变了网络犯罪格局。网络安全公司Malwarebytes最新《ThreatDown报告》警告称，自主AI攻击者的崛起迫在眉睫，网络犯罪即将迎来根本性变革。 “网络犯罪正在经历转型。”Malwarebytes创始人兼CEO马尔钦·克列钦斯基表示，“我们不仅看到攻击数量的上升，还看到了几年前根本无法想象的全新欺骗形式和自动化手段。”报告指出，AI使网络犯罪分子能轻松研究漏洞、编写钓鱼邮件、生成代码，并通过声音克隆和形象伪造开发新型社会工程攻击。 典型案例与数据 2024年1月：某全球工程公司财务人员被完全由AI生成的深度伪造高管视频会议欺骗，向犯罪分子转账2500万美元 2023年：ChatGPT发布后，SlashNext研究人员观察到恶意钓鱼信息量激增1265% 2024年：The Transparency Company统计至少230万条产品评论由AI部分或全部生成 预计至2027年：Deloitte金融服务中心预测AI邮件欺诈损失将达115亿美元 虚假信息渗透：2024年“Pravda”虚假信息网络发布360万篇文章，成功将克里姆林宫宣传内容植入主流生成式AI工具 美国财政部FinCEN警示：金融机构遭遇AI生成虚假身份证明文件攻击激增 报告警告称，随着网络犯罪分子更熟练运用AI代理，最严峻的威胁尚未到来。“AI代理必然被用于扩展需要大量人力的攻击规模与速度——包括最具破坏性的‘大型猎物’勒索软件攻击。”自主AI将使黑客部署“恶意代理集群实现攻击规模指数级扩张”，并保持全天候运作。研究人员已成功演示AI代理如何用于攻击性网络安全：2023年开发的完全自主网络安全代理ReaperAI可在最少人工监督下执行攻击行动；另一款模拟勒索软件组织的AutoAttacker证明偶发攻击可转化为高速常规操作。谷歌的Big Sleep则成为首个自主发现真实世界零日漏洞的AI系统。 Malwarebytes研究人员认为，应对AI网络犯罪需采取三大措施：缩减攻击面、持续监控系统、即时响应警报。报告特别强调：“防御者必须建立超越AI攻击速度的实时威胁检测与响应机制，将自动化防御深度整合至安全运营中心（SOC）工作流。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现名为“os-info-checker-es6”的恶意npm包，其伪装成操作系统信息工具，在受感染系统中秘密投递下一阶段恶意载荷。Veracode在向《黑客新闻》提供的报告中指出：“该攻击活动采用基于Unicode的隐写术隐藏初始恶意代码，并通过Google Calendar短链接动态分发最终载荷。” “os-info-checker-es6”由用户“kim9123”于2025年3月19日上传至npm仓库，截至5月15日已被下载2001次。该用户还上传了另一个名为“skip-tot”的npm包（下载量94次），其中将“os-info-checker-es6”列为依赖项。虽然前五个版本未显现数据窃取或恶意行为，但2025年5月7日更新的版本在“preinstall.js”文件中植入混淆代码，通过解析Unicode“私有使用区”字符提取下一阶段载荷。 恶意代码通过向Google Calendar事件短链接（calendar.app[.]google/<字符串>）发送Base64编码字符串（解码后指向IP地址140.82.54[.]223的远程服务器）建立通信。Veracode指出：“攻击者利用Google Calendar这类受信任的合法服务作为中间层托管C2链接，这种策略能有效规避检测并增加攻击初始阶段的阻断难度。”目前尚未发现后续载荷分发，可能表明攻击活动仍处于测试阶段、暂时休眠或已结束，亦或C2服务器仅响应特定条件的设备。 应用安全公司Aikido补充指出，另有三个npm包（vue-dev-serverr、vue-dummyy、vue-bit）将“os-info-checker-es6”列为依赖项，怀疑属于同一攻击活动。Veracode强调：“该恶意包展现了npm生态中复杂的多阶段攻击威胁，攻击者从测试行为逐步升级至部署成熟恶意软件。” 此次披露恰逢软件供应链安全公司Socket发布2025上半年威胁报告，指出攻击者主要采用六类技术：typosquatting（拼写劫持）、Go仓库缓存滥用、混淆代码、多阶段执行、slopsquatting（相似包劫持）以及合法服务与开发工具滥用。安全研究员Kirill Boychenko与Philipp Burckhardt建议：“防御者需关注安装后脚本异常、文件覆写及未经授权外联等行为特征，采用静态/动态分析、版本锁定及CI/CD日志审查等手段，在恶意依赖项进入生产环境前实施阻断。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全厂商Action1基于对美国国家漏洞数据库（NVD）及CVEdetails.com的深度分析发布《2025年软件漏洞评级报告》显示，2024年Linux与macOS新发现漏洞数量激增。传统上被视为较安全平台的这两大基于UNIX的生态系统均出现异常波动：Linux漏洞数量同比暴增967%至3329个，macOS漏洞总量增长95%至508个。全年新发现漏洞总数达6761个，同比增长61%。 报告同时警示被实际利用的漏洞数量从2023年的101个上升至2024年的198个，增幅达96%。谷歌Chrome浏览器被利用漏洞数从5个飙升至97个（增长1840%），Microsoft Office相关漏洞利用数增长433%至32个，成为推动该趋势的主要因素。 其他关键发现包括：2024年新发现关键漏洞总数达2930个（同比增37%），其中Linux关键漏洞从499个增至851个，MSSQL数据库关键漏洞激增606%至120个；数据库领域新漏洞总量增长213%，关键漏洞激增505%（MySQL漏洞数量翻倍）；浏览器领域新被利用CVE数量增长657%，远程代码执行（RCE）漏洞增加107%。值得关注的是，Linux和macOS的RCE漏洞分别同比下降85%和44%。 “关键漏洞和被利用漏洞的持续增长印证了企业面临的网络安全风险正在升级。”报告强调，“企业必须建立强健的补丁管理流程、提升威胁检测能力、开展供应商与供应链风险评估，并持续优化安全策略。”Action1建议采取以下措施：优先修补操作系统、浏览器等关键系统及存在RCE风险的数据库；加强员工对常用软件风险的教育；确保全软件生态的漏洞管理；第三方软件引入前实施风险评估；部署持续威胁检测工具以维持系统韧性。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币交易所Coinbase（用户超1亿）披露称，与恶意客服人员勾结的网络犯罪团伙窃取了客户数据，并索要2000万美元赎金以阻止公开泄露信息。该公司表示拒绝支付赎金，但将设立2000万美元悬赏基金用于征集攻击者线索。 此次披露源于攻击者在5月11日向Coinbase发送的勒索邮件，其威胁若未收到2000万美元将公开部分客户账户数据及内部文件。据调查，攻击者通过收买海外客服承包商或支持人员非法访问内部系统窃取数据。Coinbase在发现这些内部人员未经授权访问系统后将其解雇，但此时数据已遭窃取。 尽管攻击者窃取了约1%客户（约100万人）的个人身份信息组合，但未能获取用户私钥、密码，也未侵入Coinbase Prime账户以及客户或交易所的热钱包/冷钱包。根据提交给美国证券交易委员会（SEC）的文件，泄露数据包括： 姓名、地址、电话及邮箱； 部分隐藏的社会保险号（仅显示末四位）； 部分隐藏的银行账号及账户标识符； 政府身份证件图像（如驾照、护照）； 账户数据（余额快照与交易记录）； 有限的企业数据（客服可访问的文档、培训材料及通信记录）。 “网络犯罪分子贿赂并招募海外恶意客服人员窃取数据，以实施社会工程攻击。这些内鬼滥用客服系统权限窃取了少量客户账户数据。”Coinbase在周四的博客声明中表示，“所有密码、私钥及资金均未泄露，Coinbase Prime账户未受影响。我们将赔偿因受骗向攻击者转账的客户。” 尽管财务影响仍在评估中，且Coinbase未透露受后续社会工程攻击影响的客户数量，但公司预计事件相关补救及赔偿费用将达1.8亿至4亿美元。为此，Coinbase将在美国新建客服中心，加强内部威胁检测、安全威胁模拟及自动化响应投入，并赔偿因社会工程攻击受骗转账的客户。 Coinbase建议客户警惕冒充其员工的诈骗行为，强调绝不会通过电话索要账户信息或要求转账。用户应启用双因素认证及提款白名单功能以确保交易安全。Coinbase表示：“对于受影响客户，我们对此事件造成的担忧与不便深表歉意。我们将持续解决问题并投资世界级防御体系——这正是我们保护客户、维护加密经济安全的承诺。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新斯科舍省电力公司（Nova Scotia Power）确认遭遇数据泄露事件。该事件最初于2025年4月28日被发现，攻击者通过未授权访问侵入其业务网络及服务器。 作为加拿大电力巨头Emera集团子公司，该公司服务新斯科舍省超过50万居民、商业和工业客户，市场占有率达95%，年发电量超1万吉瓦时，运营着总长3.2万公里的输电线网。 尽管电力生产与配送未受影响，但事件响应工作导致内部运营系统中断。2025年5月1日的深入调查显示客户信息可能遭窃，最新更新确认泄露数据包括：全名、电话号码、电子邮箱、邮寄与服务地址、参与公司项目的记录、出生日期、用电历史（含用电量、服务请求、付款记录、账单明细、信用历史及客户通信内容）、驾照号码、社会保险号以及部分客户的银行账号。 调查发现实际入侵时间早于最初判断，攻击始于2025年3月19日，这意味着从漏洞发生到通过邮寄信件通知受影响客户已过去近两个月。该公司表示目前未发现泄露数据遭滥用的迹象，但将为受影响用户提供为期两年的免费信用监控服务（由环联公司TransUnion提供），并在通知信中详细说明相关支持资源。 新斯科舍省电力公司提醒客户警惕钓鱼攻击，包括冒充该公司骗取敏感信息的行为。截至5月15日，尚无勒索软件组织宣称对此事件负责。值得注意的是，虽然电力供应未受波及，但客户服务热线与在线门户在事件响应期间瘫痪长达三周。调查显示攻击者可能利用了未公开漏洞，但具体技术细节尚未披露。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯洛伐克网络安全公司ESET最新研究发现，与俄罗斯有关联的威胁组织通过跨站脚本（XSS）漏洞对Roundcube、Horde、MDaemon和Zimbra等主流邮件系统实施网络间谍活动，其中针对MDaemon的漏洞在攻击初期属于零日漏洞。该行动被命名为“Operation RoundPress”，研究人员以中等置信度将其归因于俄罗斯政府支持的黑客组织APT28（又名BlueDelta、Fancy Bear、Sednit）。 ESET研究员Matthieu Faou在向《黑客新闻》提供的报告中指出：“此次行动的核心目标是窃取特定邮箱账户的机密数据。主要受害者集中于东欧政府机构及军工企业，但我们也观察到非洲、欧洲和南美洲的政府部门同样遭到攻击。”这并非APT28首次利用邮件系统漏洞——2023年6月，Recorded Future曾披露该组织滥用Roundcube的三个历史漏洞（CVE-2020-12641、CVE-2020-35730和CVE-2021-44026）进行侦察和数据收集。 自2023年以来，Winter Vivern、UNC3707（即GreenCube）等其他威胁组织也持续针对邮件系统发起攻击。ESET将RoundPress行动与APT28建立关联的依据包括：钓鱼邮件发件地址的重叠性，以及服务器配置手法的相似性。2024年的攻击目标主要涉及乌克兰政府机构、保加利亚与罗马尼亚的军工企业（部分企业正在为乌克兰生产苏制武器），其他受害者还包括希腊、喀麦隆、厄瓜多尔、塞尔维亚和塞浦路斯的政府、军事及学术机构。 攻击者通过Horde、MDaemon和Zimbra的XSS漏洞在网页邮箱界面执行任意JavaScript代码。值得注意的是，美国网络安全与基础设施安全局（CISA）已于2024年2月将Roundcube漏洞CVE-2023-43770列入已知被利用漏洞（KEV）目录。虽然Horde（2007年发布的Horde Webmail 1.0已修复的未公开旧漏洞）、Roundcube和Zimbra（CVE-2024-27443）的漏洞均属于已公开补丁的缺陷，但MDaemon的XSS漏洞（CVE-2024-11182，CVSS评分5.3）在被利用时尚未修复，该漏洞已于2023年11月发布的24.5.1版本完成修补。 Faou解释道：“Sednit通过电子邮件发送这些XSS漏洞利用程序。恶意JavaScript代码会在浏览器运行的网页邮箱客户端中执行，因此攻击者仅能读取和窃取受害者账户权限内的数据。”不过，攻击成功的必要条件是受害者需在存在漏洞的网页邮箱界面打开邮件，且邮件需绕过垃圾邮件过滤器进入收件箱。由于触发XSS漏洞的恶意代码隐藏在邮件正文的HTML代码中，邮件本身内容看起来完全正常。 漏洞成功利用后，名为SpyPress的混淆JavaScript有效载荷将执行窃取邮箱凭证、邮件内容和联系人信息的操作。该恶意软件虽不具备持久化机制，但每次打开被篡改的邮件时都会重新加载。ESET补充指出：“我们还检测到部分SpyPress.ROUNDCUBE变种具备创建Sieve规则的能力。该规则会将所有新邮件的副本转发至攻击者控制的邮箱地址，由于Sieve规则是Roundcube的固有功能，即使恶意脚本停止运行，规则仍将持续生效。” 窃取的数据通过HTTP POST请求发送至硬编码的命令与控制（C2）服务器。某些恶意软件变种还能捕获登录记录、双因素认证（2FA）代码，甚至为MDAEMON创建应用密码，确保在用户修改密码或2FA代码后仍能维持邮箱访问权限。Faou警告称：“过去两年间，Roundcube和Zimbra等网页邮箱服务器已成为Sednit、GreenCube和Winter Vivern等多个间谍组织的重点目标。由于许多机构未能及时更新邮件系统补丁，加之攻击者仅需发送邮件即可远程触发漏洞，此类服务器极易沦为邮件窃取的跳板。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 奥地利隐私非营利组织noyb（none of your business，意为“不关你的事”）已向Meta爱尔兰总部发出停止侵权函，警告若该公司坚持在未获得用户明确选择加入（opt-in）授权的情况下，继续使用用户数据训练其人工智能模型，将面临集体诉讼。 此举发生在该社交媒体巨头宣布新计划数周后。Meta曾于2024年6月在爱尔兰数据监管机构关切下暂停相关计划，现宣布将于2025年5月27日起重新启动，计划使用欧盟成年用户在Facebook和Instagram平台公开分享的数据训练其AI模型。 “Meta未寻求用户主动授权，而是妄称拥有‘合法利益’来攫取所有用户数据。”noyb在声明中指出，“由于采用‘选择退出’而非‘选择加入’机制进行AI训练，Meta可能面临重大法律风险。” 该维权组织强调，Meta的AI训练计划违反欧盟《通用数据保护条例》（GDPR）。除不当主张“合法利益”外，Meta还刻意限制用户在训练开始前行使拒绝权。 noyb特别指出，即便仅有10%的Meta用户明确同意数据使用，其数据量也足以覆盖欧盟各语言的学习需求。值得关注的是，Meta此前声称收集这些数据是为准确反映欧洲地区多元化的语言、地理和文化特征。 “Meta大费周章只为推行选择退出机制而非选择加入。”noyb创始人马克斯·施雷姆斯表示，“他们试图通过虚构的‘合法利益’来合理化数据掠夺行为，这既不合法也非必要。其他AI供应商无需社交网络数据就能开发出更优秀的模型，Meta所谓‘盗取数据是AI训练必需’的论调荒谬可笑。” 该隐私组织同时批评Meta将合规责任转嫁给用户，并指出欧盟各国数据监管机构对“未经同意的AI训练”合法性普遍保持沉默。“Meta显然在监管缺位下强行推进计划，这无异于在欧盟境内再次进行高风险法律赌博，严重践踏用户权利。”声明补充道。 针对路透社的质询，Meta否认所有指控，称noyb的指控在事实和法律层面均属错误，强调已为欧盟用户提供“清晰”的反对数据用于AI训练的选项。 这并非Meta首次因依赖GDPR“合法利益”条款规避用户明示授权而遭质疑。2023年8月，该公司曾迫于压力，同意将欧洲用户定向广告的数据处理法律依据从“合法利益”改为“用户授权”。 此次争议爆发之际，比利时上诉法院最新裁定由谷歌、微软、亚马逊等科技巨头采用的“透明与同意框架”（TCF）违反GDPR多项原则，宣布该个性化广告数据处理机制在欧洲全境非法。这项裁决或对Meta当前主张的合法性构成进一步挑战。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国奢侈品牌迪奥（通常简称为Dior）确认了一起暴露客户信息的网络安全事件。 该公司发言人向BleepingComputer表示，此次事件影响迪奥时装与配饰（Dior Fashion and Accessories）客户，网络安全专家正在调查事件范围。 “迪奥近期发现未经授权的外部方访问了我们为迪奥时装与配饰客户保存的部分数据，”发言人表示，“我们立即采取措施遏制此事件。迪奥团队在顶尖网络安全专家的支持下，持续调查并应对此事。” 迪奥向BleepingComputer澄清，此次事件未暴露账户密码或支付卡信息，因为这些数据存储在另一个未受影响的数据库中。 “受事件影响的数据库中不包含任何密码或支付信息，包括银行账户或支付卡信息。” “我们正在根据适用法律通知相关监管机构和客户。” “客户数据的保密性和安全性是迪奥的绝对优先事项。我们对此次事件可能给客户带来的担忧或不便深表歉意。” 尽管迪奥未具体说明受影响客户数量及地区，但已有一份通知确认其韩国网站受影响。另有一些报告称中国客户收到了该品牌的泄露通知。 根据网络上分享的通知截图，该事件发现于5月7日，涉及未经授权的人员访问，并暴露以下信息： 全名 性别 电话号码 电子邮箱 邮寄地址 购买记录 迪奥韩国官网发布的公告也将泄露日期定为2025年5月7日，表明这是一起具有国际影响的网络安全事件。但在该案例中，只有联系方式、购买数据以及客户与品牌共享的偏好信息被标记为可能暴露。 与此同时，韩国媒体报道称，迪奥因未向该国所有适用监管机构通报数据泄露事件而面临法律审查。 迪奥建议客户对要求提供个人信息的钓鱼尝试保持警惕，并立即联系他们举报品牌仿冒行为。目前，受影响客户数量及国家细节尚未公开披露。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大钢铁制造商纽柯钢铁公司（Nucor Corporation）近日披露遭遇网络攻击事件，导致部分系统断网隔离，多地工厂暂停生产。该公司通过向美国证券交易委员会（SEC）提交的8-K文件（重大事件报告）通报称，发现第三方未经授权访问其部分IT系统，已启动事件响应计划并采取隔离、修复措施。 纽柯钢铁在美国、墨西哥和加拿大拥有32,000名员工，今年第一季度营收达78.3亿美元，主营钢材生产及废金属回收业务，是美国建筑、桥梁、道路等基础设施用钢筋的主要供应商。此次攻击导致多地生产线临时中断，目前正逐步恢复运营。 公司表示已通报执法部门并聘请外部网络安全专家协助调查，但尚未透露攻击发生时间、具体类型及是否涉及数据窃取或加密。截至发稿，尚无勒索组织宣称对此事件负责。BleepingComputer已联系纽柯钢铁获取更多细节，尚未收到回复。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文