HackerNews 编译，转载请注明出处： 法国外交部今日指控与俄罗斯军事情报局（GRU）相关的APT28黑客组织在过去四年内入侵或攻击了十多个法国机构。 周二发布的声明称：“法国以最强烈措辞谴责俄罗斯军事情报局（GRU）使用APT28攻击程序实施多起针对法国利益的网络攻击。这些破坏性活动不可接受，有损联合国安理会常任理事国身份，也违背俄罗斯曾承诺遵守的《联合国网络空间负责任国家行为规范》。” 法国国家信息系统安全局（ANSSI）同日发布的报告显示，遭APT28军方黑客攻击的法国机构包括： 部委级政府机构、地方政府及行政单位 国防工业基础相关组织 航空航天机构 研究机构及智库 经济与金融领域机构 ANSSI特别指出，自2021年以来APT28多次利用Roundcube邮件服务器漏洞实施攻击，并频繁使用免费网络服务发起钓鱼攻击。攻击者还大量采用“低成本现成外包基础设施”——包括免费托管服务、VPN服务、租用服务器及临时邮箱创建服务——以增强隐蔽性。 2024年至今，该组织的攻击重点转向窃取法国、欧洲、乌克兰及北美政府、外交机构、研究组织和智库的“战略情报”。这并非法国首次指控APT28：2023年10月报告显示，该组织自2021年下半年已渗透法国政府、高校、研究所、企业及智库的关键网络。 作为活跃逾20年的俄罗斯国家级黑客组织（亦被追踪为Strontium、Fancy Bear），APT28隶属GRU第26165军事部队，曾参与多起重大网络攻击： 2015年入侵德国联邦议会 2016年美国大选前渗透民主党国会竞选委员会（DCCC）及民主党全国委员会（DNC） 2018年美国起诉多名APT28成员，2020年欧盟因议会黑客事件对其实施制裁 2023年波兰政府机构遭大规模钓鱼攻击 2024年北约与欧盟共同谴责其针对德国、捷克等国的长期间谍活动 北约指出，近期俄罗斯的“混合行动”包括破坏、暴力行为、网络干扰、虚假信息等，已影响捷克、爱沙尼亚、德国、拉脱维亚、立陶宛、波兰及英国。法国外交部强调：“法国将与伙伴国共同运用一切手段，在必要时预见、威慑并应对俄罗斯在网络空间的恶意行为。”         消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新发现的iOS漏洞可让攻击者仅用一行代码远程破坏并锁死iPhone。苹果目前已修复这个漏洞。 应用开发者兼安全研究人员Guilherme Rambo协助苹果发现并修复了与Darwin通知相关的严重漏洞，这是苹果操作系统中底层的进程间通信机制。 发送和接收Darwin通知无需特殊权限，且没有机制验证发送者身份。该功能作为公共API开放，iOS上的任何进程（包括沙盒应用）都能通过发送这些通知实现基本更新和状态变更。 尽管传输的数据量非常有限，但研究人员发现Darwin通知可能干扰系统运行，因为某些组件会以破坏设备正常功能的方式响应这些通知。 Rambo首先开发了名为“EvilNotify”的概念验证应用进行演示。该应用可实现以下破坏： 在状态栏显示特定图标（如“液体检测”） 在动态岛触发Display Port连接状态 禁用全局手势（如下拉控制中心、通知中心和锁屏） 强制系统使用蜂窝网络而非Wi-Fi 锁定屏幕 触发设备进入“恢复中”模式 研究人员指出：“由于我正在寻找拒绝服务攻击手段，最后这个‘恢复中’模式最有效，因为除了点击‘重启’按钮外别无退出方式，而重启总会导致设备重新进入该状态。” 应用中仅需加入一行代码即可引发崩溃。即使应用不在前台运行，通知仍会生效，导致设备无限重启。Rambo还开发了“VeryEvilNotify”小组件扩展，可有效软锁iOS设备，迫使用户必须抹除数据并从备份恢复。 “如果恶意应用被包含在备份中，设备从该备份恢复后漏洞会再次触发，这将极大增强拒绝服务攻击的效果。”Rambo补充道。 该漏洞于2024年6月26日提交给苹果。苹果确认漏洞并在后续安全更新中修复，并向研究人员解释称：“敏感通知现在需要受限权限。”Rambo证实：“越来越多的进程开始采用受限通知的新权限，随着iOS 18.3的发布，我的概念验证中演示的所有问题都已解决。” 研究人员因此获得17,500美元漏洞赏金。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌透露，2024年观察到75个在野利用的零日漏洞，较2023年的98个有所下降。 在这75个零日漏洞中，44%针对企业产品。其中多达20个漏洞出现在安全软件和设备中。 “浏览器和移动设备的零日漏洞利用量大幅下降，与去年相比，浏览器漏洞利用减少约三分之一，移动设备漏洞利用减少约一半，”谷歌威胁情报小组（GTIG）在提供给《The Hacker news》的报告中表示，“由多个零日漏洞组成的攻击链仍几乎完全（约90%）用于攻击移动设备。” 2024年被利用的零日漏洞中，微软Windows占22个，苹果Safari有3个，iOS有2个，安卓有7个，Chrome有7个，Mozilla Firefox有1个。安卓的7个零日漏洞中有3个存在于第三方组件中。 在企业软件和设备中被利用的33个零日漏洞中，有20个针对Ivanti、Palo Alto Networks和思科等厂商的安全和网络产品。 “安全与网络工具和设备设计用于连接广泛的系统和设备，需要高权限来管理产品及其服务，这使得它们成为威胁行为者寻求高效入侵企业网络的宝贵目标。”GTIG研究人员指出。 2024年共有18家不同企业供应商成为攻击目标，而2021年为12家，2022年17家，2023年22家。被攻击最多的公司包括微软（26个）、谷歌（11个）、Ivanti（7个）和苹果（5个）。 此外，75个漏洞中的34个零日漏洞利用可归因于六大威胁活动集群： 国家资助的间谍活动（10个）（例如CVE-2023-46805、CVE-2024-21887） 商业监控供应商（8个）（例如CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748） 非国家金融动机组织（5个）（例如CVE-2024-55956） 具有国家资助间谍和金融动机的组织（5个），全部来自朝鲜（例如CVE-2024-21338、CVE-2024-38178） 同时从事间谍活动的非国家金融动机组织（2个），全部来自俄罗斯（例如CVE-2024-9680、CVE-2024-49039） 谷歌表示，2024年11月发现乌克兰外交学院网站（online.da.mfa.gov[.]ua）存在恶意JavaScript注入，触发CVE-2024-44308漏洞实现任意代码执行。攻击者随后利用WebKit的Cookie管理漏洞CVE-2024-44309发起跨站脚本（XSS）攻击，最终收集用户Cookie以未授权访问login.microsoftonline[.]com。 谷歌还独立发现了针对Firefox和Tor浏览器的攻击链，该攻击链结合利用CVE-2024-9680和CVE-2024-49039突破Firefox沙箱，以提升权限执行恶意代码，为部署RomCom远控木马铺平道路。此前被ESET披露的该活动被归因于RomCom组织（又名Storm-0978、Tropical Scorpius等），谷歌将其追踪为CIGAR——兼具金融和间谍动机的双重威胁组织。 这两个漏洞还被另一个疑似金融动机的黑客组织作为零日漏洞利用。攻击者通过入侵合法的加密货币新闻网站作为水坑攻击平台，将访问者重定向到托管攻击链的恶意域名。 “零日漏洞利用继续以缓慢但稳定的速度增长，但我们也开始看到厂商缓解零日漏洞的工作初见成效，”GTIG高级分析师Casey Charrier在声明中表示，“例如针对历史高发产品的零日攻击有所减少，这得益于大型厂商投入的防护资源。同时，零日攻击正转向更多企业级产品，这要求更广泛的供应商提升主动安全措施。零日攻击的未来最终将取决于厂商能否有效遏制威胁行为者的目标。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于本周一将两个高危安全漏洞纳入其“已知被利用漏洞”（KEV）目录。这两个漏洞分别影响博科（Broadcom Brocade）光纤通道操作系统和Commvault Web服务器，已有证据表明其已被主动利用。 具体漏洞信息如下： CVE-2025-1976（CVSS评分：8.6） 博科光纤通道操作系统（Fabric OS）的代码注入漏洞，允许拥有管理员权限的本地用户以root权限执行任意代码。 CVE-2025-3928（CVSS评分：8.7） Commvault Web服务器中未公开具体细节的漏洞，允许经过身份验证的远程攻击者创建并执行Web Shell。 关于Commvault漏洞，该公司在2025年2月的安全公告中指出：“利用此漏洞需要攻击者已通过身份验证获取Commvault软件环境内的用户凭证。未经认证的访问无法利用此漏洞。对于软件用户而言，这意味着您的环境必须同时满足：(i) 可通过互联网访问；(ii) 已通过其他途径被入侵；(iii) 攻击者持有合法用户凭证。” 该漏洞影响以下Windows和Linux版本： 11.36.0 – 11.36.45（已在11.36.46修复） 11.32.0 – 11.32.88（已在11.32.89修复） 11.28.0 – 11.28.140（已在11.28.141修复） 11.20.0 – 11.20.216（已在11.20.217修复） 针对CVE-2025-1976漏洞，博科公司表示由于IP地址验证缺陷，拥有管理员权限的本地用户可在Fabric OS 9.1.0至9.1.1d6版本中通过root权限执行任意代码，该漏洞已在9.1.1d7版本修复。公司在2025年4月17日的公告中强调：“虽然利用此漏洞需首先获取管理员权限，但该漏洞已在真实环境中被主动利用。攻击者不仅可以执行现有系统命令，还能修改操作系统内核，甚至植入自定义子程序。” 目前，关于这两个漏洞被利用的具体方式、攻击规模及幕后组织的信息尚未公开。CISA建议联邦民事行政部门（FCEB）机构分别于2025年5月17日（Commvault）和5月19日（博科）前完成相关补丁安装。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zimperium在《2025全球移动威胁报告》中披露，超50%的移动设备仍在使用过时操作系统，极易遭受网络攻击。报告同时强调，随着企业移动化进程加速，攻击者正利用智能手机的广泛部署特性，推动针对移动终端的恶意攻击及应用程序漏洞数量正在显著增加。 短信钓鱼（Smishing）目前占所有移动钓鱼事件的69.3%。与此同时，语音钓鱼（vishing）和短信钓鱼攻击总量分别上升28%和22%。 Keeper Security首席执行官Darren Guccione表示：“复杂且大规模的移动钓鱼活动兴起反映了不断演变的威胁态势。网络犯罪分子利用看似官方的钓鱼页面来剥削用户信任。” 报告概述了影响移动设备安全性的多个关键因素，包括： 50%的移动设备运行过时操作系统 超过25%的移动设备无法升级至最新操作系统 60%以上的iOS应用和34%的Android应用缺乏基本代码保护 近60%的iOS应用和43%的Android应用存在个人身份信息（PII）数据泄露风险 恶意软件仍是攻击者的主要工具，木马程序使用量同比增长50%。研究人员已识别出Vultur、DroidBot、Errorfather和BlankBot等新型恶意软件家族。 尽管对移动威胁的认知度有所提高，移动应用安全性仍是持续存在的弱点。通过非官方商店下载的应用尤其危险，使用户和组织暴露于木马和数据泄露风险。 Sectigo高级研究员Jason Soroko表示：“侧载（Sideloading）绕过了官方应用商店的严格审查流程，使设备暴露于恶意软件和未授权代码。” 内部开发的应用也持续面临严重风险。Salt Security网络安全战略总监Eric Schwake评论称：“威胁行为者认为移动应用具有吸引力，因为它们通常管理敏感用户数据。”设计缺陷、不安全的API接口和薄弱的安全措施被列为导致漏洞持续存在的主要因素。 为防范此类威胁，建议组织和个人采用实时移动威胁检测、确保定期更新和补丁管理，并实施零信任模型等综合安全框架。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SAP NetWeaver是用于运行和连接SAP与非SAP应用程序的开发平台。 上周，SAP披露了其Visual Composer组件的元数据上传器（Metadata Uploader）中的漏洞。该漏洞允许远程攻击者在未认证的情况下向暴露实例上传任意可执行文件，实现代码执行并完全控制系统。 包括ReliaQuest、watchTowr和Onapsis在内的多家网络安全公司确认该漏洞正被用于攻击，威胁行为者利用其在易受攻击的服务器上部署网页后门程序。 SAP发言人向BleepingComputer表示，已知悉攻击尝试，并于2024年4月8日发布临时缓解方案，随后在4月25日发布修复CVE-2025-31324的安全更新。SAP称目前未发现攻击影响客户数据或系统的案例。 研究人员证实，大量存在漏洞的SAP Netweaver服务器暴露于互联网，成为攻击主要目标。 Shadowserver Foundation发现427台暴露服务器，警告其存在巨大的攻击面且利用后果严重。多数漏洞系统位于美国（149台）、印度（50台）、澳大利亚（37台）、中国（31台）、德国（30台）、荷兰（13台）、巴西（10台）和法国（10台）。 网络安全搜索引擎Onyphe则指出，目前有1,284台漏洞服务器在线暴露，其中474台已被植入网页后门。Onyphe首席技术官Patrice Auffret向BleepingComputer透露：“约20家《财富》500强/全球500强企业存在漏洞，其中多家已遭入侵。” 研究人员发现攻击者使用名为“cache.jsp”和“helper.jsp”的网页后门，但Nextron Research指出其也采用随机文件名以增加检测难度。尽管受影响服务器总量不大，但由于SAP NetWeaver广泛应用于大型企业与跨国公司，风险仍然显著。 建议用户根据SAP公告应用最新安全更新。若无法立即更新，可采取以下临时措施： 限制对/developmentserver/metadatauploader 端点的访问 若未使用Visual Composer，考虑彻底关闭该组件 将日志转发至SIEM系统并扫描servlet路径下的未授权文件 RedRays已发布针对CVE-2025-31324的扫描工具，可协助大型环境中的风险定位。 BleepingComputer已就漏洞活跃利用问题联系SAP，将在获得回应后更新报道。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 员工福利管理公司VeriSource Services发出警告称，一起数据泄露事件暴露了400万人的个人信息。 VeriSource总部位于美国得克萨斯州，是一家为全美各行业客户提供员工福利管理和人力资源外包解决方案的服务商。 该公司已于近期向受影响个体发送数据泄露通知，涉及2024年2月发生的网络安全事件。然而，其影响范围直到2025年4月才完成评估。 根据VeriSource的调查，该事件导致敏感信息被外部威胁行为者获取。 公司在向监管机构提交的通知中表示：“2024年2月28日，VSI（VeriSource）发现异常活动导致部分系统访问中断。我们立即采取网络加固措施，并聘请领先的第三方数字取证和事件响应公司调查事件经过及数据影响范围。” 调查显示，未知攻击者可能于2024年2月27日前后未经授权获取了部分个人信息。 确定受影响个体的流程于2025年4月17日完成，数据泄露通知于4月23日发出。 根据VeriSource向缅因州总检察长办公室提交的样本，泄露数据类型包括员工全名、住址、出生日期、性别和社会安全号码（SSN）。该公司现为受影响者提供12个月的信用监测、身份保护和身份恢复服务。 需特别说明的是，VeriSource曾于2024年5月向5.5万人、9月向11.2万人发送过通知，但远低于此次披露的400万总量。 若收到通知（即便存在延迟），建议立即启用提供的信用保护服务，并警惕钓鱼攻击。 BleepingComputer核查发现，当前勒索网站尚未出现VeriSource相关条目，因此该网络安全事件的具体性质仍不明确。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售巨头玛莎百货（Marks & Spencer）持续的系统中断已被确认由勒索软件攻击引发。BleepingComputer从多个消息来源获悉，此次攻击被认为是由名为Scattered Spider的黑客组织实施的。 玛莎百货（M&S）是一家英国跨国零售商，拥有64,000名员工，在全球超过1,400家门店销售服装、食品和家居用品等各类商品。 上周二，M&S确认其遭受网络攻击，导致包括非接触式支付系统和在线订购在内的广泛服务中断。今日，Sky News报道称中断仍在持续，约200名仓库员工被要求居家待命，公司正在应对此次攻击。 BleepingComputer现已获悉，持续中断是由加密公司服务器的勒索软件攻击导致。据悉，威胁行为者最早在2月首次入侵M&S，当时他们窃取了Windows域的NTDS.dit文件。 NTDS.dit文件是Windows域控制器上运行的Active Directory服务的主数据库，包含Windows账户的密码哈希。攻击者可提取这些哈希并离线破解以获取明文密码。 利用这些凭证，威胁行为者可在Windows域内横向移动，同时从网络设备和服务器窃取数据。 消息人士告诉BleepingComputer，攻击者最终于4月24日在VMware ESXi主机上部署DragonForce加密器以加密虚拟机。 BleepingComputer了解到，玛莎百货已请求CrowdStrike、微软和Fenix24协助调查与应对此次攻击。 目前的调查表明，此次攻击的幕后黑手是被称为Scattered Spider的组织（微软称其为Octo Tempest）。当被问及此事时，M&S表示无法透露网络事件的具体细节。 Scattered Spider是谁？ Scattered Spider（又名0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest、Muddled Libra）是一群擅长使用社会工程攻击、钓鱼、多因素认证（MFA）轰炸（定向MFA疲劳攻击）和SIM卡劫持技术入侵大型组织的威胁行为者。 该组织成员包括以英语为母语的年轻人（最小16岁），他们活跃于相同的黑客论坛、Telegram频道和Discord服务器，并实时策划攻击。部分成员被认为是“Comm”的一员——“Comm”是一个松散社区，涉及引发广泛媒体关注的暴力行为和网络事件。 尽管媒体和研究人员常将Scattered Spider视为一个紧密团伙，但他们实际上是由不同个体组成的网络，每次攻击的参与者不同。这种流动性使其难以追踪。该组织最初从事金融诈骗和社交媒体入侵，后发展为针对个人的加密货币盗窃或企业勒索的复杂社会工程攻击。 2023年9月，该组织通过假冒员工致电米高梅度假村（MGM Resorts）IT服务台的社会工程攻击入侵系统，并部署BlackCat勒索软件加密超过100台VMware ESXi虚拟机。这是勒索软件领域的关键时刻，标志着英语系威胁行为者首次与俄语系勒索团伙合作。 此后，Scattered Spider已知作为RansomHub、Qilin以及现在的DragonForce的附属组织活动。DragonForce是2023年12月启动的勒索软件组织，近期开始推广一项允许网络犯罪团队白标其服务的新业务。 研究人员通常通过特定入侵指标将攻击归因于Scattered Spider，包括针对单点登录（SSO）平台的凭证窃取钓鱼攻击、假冒IT服务台的社会工程攻击等战术。网络安全公司Silent Push本月早些时候发布的报告概述了Scattered Spider最近的钓鱼攻击。 过去两年，执法机构正加大对该组织的打击力度，在美国、英国和西班牙逮捕了多名据称是成员的人员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员观察到，攻击者利用Craft CMS中两个新披露的关键漏洞（零日漏洞）入侵服务器并获取未授权访问。 Orange Cyberdefense SensePost于2025年2月14日首次观测到此类攻击，其通过链式利用以下漏洞实现入侵： CVE-2024-58136（CVSS评分：9.0）：Craft CMS使用的Yii PHP框架中“备用路径保护不当”漏洞，可被利用访问受限功能或资源（此为CVE-2024-4990的回归漏洞） CVE-2025-32432（CVSS评分：10.0）：Craft CMS内置图像转换功能中的远程代码执行（RCE）漏洞（已在3.9.15、4.14.15和5.6.17版本修复） 网络安全公司指出，CVE-2025-32432存在于允许站点管理员将图像转换为特定格式的内置功能中。 安全研究员Nicolas Bourras表示：“CVE-2025-32432的利用依赖于未认证用户可向负责图像转换的端点发送POST请求，且服务器会解析POST数据。在Craft CMS 3.x版本中，资产ID会在创建转换对象前被检查，而4.x和5.x版本则在创建后检查。因此，攻击者需找到有效资产ID才能在所有版本中成功利用此漏洞。” 在Craft CMS中，资产ID（Asset ID）指管理文档文件和媒体的唯一标识符。攻击者通过批量发送POST请求直至发现有效资产ID，随后执行Python脚本验证服务器漏洞状态，并从GitHub仓库下载PHP文件至服务器。 研究人员称：“2月10日至11日期间，攻击者通过Python脚本多次测试下载filemanager.php文件至Web服务器以改进攻击脚本。2月12日，该文件被重命名为autoload_classmap.php，并于2月14日首次投入使用。” 截至2025年4月18日，全球已发现约13,000个存在漏洞的Craft CMS实例，其中近300个确认遭入侵。 Craft CMS在公告中强调：“若在防火墙或Web服务器日志中发现向actions/assets/generate-transform端点发送的异常POST请求（请求体中包含__class字符串），则表明您的站点已被扫描探测。但此现象仅说明漏洞被探测，不意味着已遭入侵。” 若确认遭入侵，建议用户刷新安全密钥、轮换数据库凭证、重置用户密码（作为额外防护），并在防火墙层面拦截恶意请求。 此漏洞披露之际，Active! Mail零日栈溢出漏洞（CVE-2025-42599，CVSS评分：9.8）正被活跃用于攻击日本企业以实现远程代码执行。该漏洞已在6.60.06008562版本修复。 Qualitia在公告中警告：“若远程第三方发送特制请求，可能导致任意代码执行或拒绝服务（DoS）。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，针对WooCommerce用户的大规模钓鱼活动正在蔓延。攻击者通过伪造“关键安全补丁”警报，诱骗用户下载后门程序。 WordPress安全公司Patchstack将此次行动描述为“复杂攻击”，并指出其与2023年12月观察到的另一项活动存在关联——当时攻击者同样利用虚构的CVE漏洞入侵网站。 鉴于钓鱼邮件话术、伪造网页及恶意软件隐藏手法的高度相似性，研究人员认为最新攻击可能出自同一威胁组织，或是模仿此前攻击的新团伙。 安全研究员Chazz Wolcott表示：“攻击者声称目标网站存在（不存在的）‘未认证管理访问’漏洞，并诱导用户访问通过国际化域名同形异义字攻击（IDN homograph）伪装的虚假WooCommerce官网。”钓鱼邮件中的“下载补丁”链接会将用户重定向至域名“woocommėrce[.]com”（注意用‘ė’替代‘e’），并下载名为“authbypass-update-31297-id.zip”的恶意ZIP文件。 受害者按提示安装该“补丁”（实为恶意WordPress插件）后，将触发以下恶意行为： 创建隐藏管理员账户：通过随机命名的定时任务（每分钟运行一次），生成混淆用户名和随机密码的管理员账号； 注册受感染站点：向外部服务器“woocommerce-services[.]com/wpapi”发送HTTP GET请求，传递账号密码及网站URL； 获取第二阶段载荷：从“woocommerce-help[.]com/activate”或“woocommerce-api[.]com/activate”下载混淆处理的后续攻击载荷； 部署网页后门：解码载荷后安装P.A.S.-Fork、p0wny和WSO等网页后门； 隐藏攻击痕迹：从插件列表中删除恶意插件，并隐藏创建的管理员账户。 攻击最终使黑客获得网站远程控制权，可实施广告注入、用户重定向、组建DDoS僵尸网络，甚至加密服务器资源进行勒索。 研究人员建议用户立即扫描可疑插件和管理员账户，并确保所有软件更新至最新版本。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文