HackerNews 编译，转载请注明出处： 流行的开源工作流自动化平台n8n曝出多个关键安全漏洞，攻击者利用这些漏洞可突破沙箱限制，最终完全控制其所在的宿主服务器。 这些漏洞被统一追踪为CVE-2026-25049。任何能在该平台上创建或编辑工作流的认证用户，均可利用其在n8n服务器上执行不受限制的远程代码。 多家网络安全公司的研究人员报告了这些问题。漏洞根源在于n8l的输入净化机制存在缺陷，并成功绕过了此前针对另一个关键漏洞CVE-2025-68613（已于去年12月20日修复）所发布的补丁。 据Pillar Security介绍，利用CVE-2026-25049可完全攻陷n8n实例，进而在服务器上执行任意系统命令、窃取所有存储的凭据与密钥（如API密钥、OAuth令牌）以及敏感配置文件。 研究人员演示称，利用该漏洞还能访问文件系统与内部服务，横向渗透至相关联的云账户，甚至劫持AI工作流（例如拦截提示词、篡改响应内容、重定向流量）。由于n8n是多租户环境，攻击者一旦触及内部集群服务，便可能进一步窃取其他租户的数据。 “此攻击门槛极低。只要能创建工作流，就能掌控整个服务器。”Pillar Security在今日发布的报告中如是说。 报告将漏洞根源归结为基于抽象语法树（AST）的沙箱机制不完善，具体而言，是n8n对工作流中用户编写的服务器端JavaScript表达式沙箱隔离不足。2025年12月21日，研究人员向n8n团队演示了一种链式绕过方法，可成功逃逸沙箱并访问Node.js全局对象，从而实现远程代码执行（RCE）。 尽管n8n团队在两天后发布了修复补丁，但Pillar经分析发现修复并不彻底，攻击者仍可通过另一套使用等效操作的机制实现二次绕过。n8n开发者在12月30日确认了该绕过问题，最终于2026年1月12日发布了彻底修复漏洞的2.4.0版本。 Endor Labs的研究人员同样发现了净化绕过方法，并提供了一个简单的概念验证（PoC）利用代码来演示CVE-2026-25049如何导致远程代码执行。Endor Labs的Cristian Staicu指出：“在2.5.2和1.123.17之前的所有版本中，净化函数默认攻击者可控代码中的属性访问键为字符串。”然而，这项检查仅体现在TypeScript类型定义中，并未在运行时强制执行，从而引发了类型混淆漏洞，最终导致“净化控制被完全绕过，使得任意代码执行攻击成为可能。” 与此同时，SecureLayer7的研究人员今日发布了技术报告，详细说明了他们如何通过“使用Function构造函数”实现“服务器端JavaScript执行”。他们是在分析CVE-2025-68613及其补丁时发现了CVE-2026-25049，并经过超过150次尝试才最终完善了成功的绕过方法。该报告同样提供了PoC利用代码，以及从初始设置到创建恶意工作流以完全控制服务器的详细步骤。 修复与缓解建议 n8n用户应立即将平台升级至最新版本（当前为1.123.17和2.5.2）。Pillar Security还建议轮换N8N_ENCRYPTION_KEY及服务器上存储的所有凭据，并审查现有工作流中是否存在可疑表达式。 若无法立即升级，n8n团队提供了临时缓解方案，但该方案无法彻底消除风险： 仅向完全可信用户开放工作流创建与编辑权限。 在加固环境中部署 n8n，限制其操作系统权限与网络访问范围，降低漏洞被利用后的影响。 目前，尚未有公开报告显示CVE-2026-25049在野被利用。然而，n8n日益增长的影响力已吸引攻击者关注，此前曝出的Ni8mare漏洞（CVE-2026-21858）便是例证。 GreyNoise本周报告称，监测到针对暴露的、易受Ni8mare攻击的n8n端点的潜在恶意活动，在1月27日至2月3日期间记录至少33,000次相关请求。尽管部分探测可能源于安全研究，但对/proc文件系统的扫描行为表明，攻击者对其后续利用潜力表现出了兴趣。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙目前正利用 VMware ESXi 漏洞 CVE-2025-22225，该漏洞已于 2025 年 3 月由Broadcom公司修复。美国网络安全与基础设施安全局（CISA）证实，勒索软件团伙正利用 VMware ESXi 沙箱逃逸漏洞 CVE-2025-22225 实施攻击。 该漏洞是 VMware ESXi 中存在的任意写入问题，拥有 VMX 进程权限的攻击者可触发内核任意写入操作，进而实现沙箱逃逸。彼时，这家虚拟化巨头证实，已有相关信息表明该漏洞存在在野攻击利用行为。安全公告中指出：“拥有 VMX 进程权限的恶意攻击者可触发内核任意写入操作，进而实现沙箱逃逸。” VMware 在 2025 年 3 月发布的安全公告 VMSA-2025-0004 中，修复了三个已遭在野积极利用的零日漏洞，这些漏洞均可实现 ESXi 虚拟机逃逸与代码执行，具体包括： ·  CVE-2025-22226（CVSS 7.1）：HGFS 文件系统存在越界读取漏洞，可导致 VMX 进程内存泄露。 ·  CVE-2025-22224（CVSS 9.3）：VMCI 接口存在时间检查与使用不一致（TOCTOU）漏洞，可引发越界写入，攻击者可借此以 VMX 进程权限执行代码。 ·  CVE-2025-22225（CVSS 8.2）：ESXi 存在任意写入漏洞，可实现从 VMX 沙箱逃逸至内核层。 今年 1 月，Huntress 研究人员通报称，发现汉语区攻击者滥用遭入侵的 SonicWall VPN，投递针对 VMware ESXi 的攻击工具包。 该攻击链包含一套成熟的虚拟机逃逸方案，且其开发时间似乎比相关 VMware 漏洞公开披露时间早一年以上。对 2025 年 12 月观测到的攻击事件分析显示，该团伙提前掌握了 2025 年 3 月才披露的三款 ESXi 零日漏洞，可见其对未知漏洞存在长期隐秘利用行为。 2025 年 12 月，Huntress 研究人员检测到一起入侵事件，攻击者最终部署了 VMware ESXi 漏洞利用工具包，其初始入侵途径为遭攻陷的SonicWall VPN。工具包中存在简体中文字符及相关编译路径等证据，表明该工具包大概率在 VMware 公开漏洞前一年多就以零日漏洞利用工具的形式开发完成，可见幕后是一支资源充足的汉语区攻击团伙。 攻击者利用域管理员凭证开展横向渗透，实施侦察活动，修改防火墙规则以阻断外部访问、同时保留内网移动权限，并对拟窃取数据进行预处理。该工具包可针对多达 155 个 ESXi 版本发起攻击，通过禁用 VMCI 驱动、加载未签名内核驱动实现虚拟机逃逸，或为后续勒索软件部署铺路。该攻击最终在造成实质损失前被成功阻断。 该威胁团伙依靠一款名为 MAESTRO 的协调工具，管控完整的 VMware ESXi 虚拟机逃逸流程。该工具会禁用 VMCI 驱动，通过自带驱动（BYOD）技术加载未签名漏洞利用驱动，并统筹漏洞利用全流程。该驱动会泄露 VMX 进程内存以绕过地址空间布局随机化（ASLR）防护，滥用 HGFS 与 VMCI 接口漏洞，向 VMX 进程写入壳代码，最终逃逸至 ESXi 内核层。随后会部署一款基于 VSOCK 协议的隐蔽后门VSOCKpuppet，可从客户机虚拟机对虚拟机管理程序实现持久化远程控制，同时规避传统网络监控，并恢复相关驱动以降低被检测概率。 Huntress 研究人员发现证据表明，该攻击链至少自 2024 年 2 月起就已被使用。报告指出：“漏洞利用二进制文件中包含程序数据库（PDB）路径，可据此窥探其开发环境。” CISA 已更新已知被利用漏洞（KEV）目录中 CVE-2025-22225 的相关条目，确认该漏洞正被用于勒索软件攻击行动。   消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 已针对旗下 Archer BE230 Wi-Fi 7 路由器发布紧急固件更新，修复多款高危安全漏洞. 这些漏洞可使经过身份验证的攻击者执行任意操作系统（OS）命令，从而完全掌控设备管理权。 受影响的设备为 Archer BE230 v1.2 型号，其固件版本早于 1.2.4 Build 20251218 rel.70420。漏洞涉及 VPN 模块、云通信服务及配置备份功能等多个系统组件。 TP-Link OS命令注入漏洞分析 所有相关CVE漏洞的核心均为操作系统命令注入问题。该类漏洞的成因在于，应用程序将未经安全处理的用户输入数据（如表单数据、Cookie 或 HTTP 头）直接传递至系统 shell 执行。 具体而言，已获取高权限（即通过认证）的攻击者能够注入恶意命令，并由路由器以 root 权限执行。尽管攻击复杂度被评定为较低（AC:L），但其利用前提是攻击者需具备高权限（PR:H）。 然而，若攻击者已通过弱密码或会话劫持等方式获得初步管理员权限，便可利用这些漏洞实现权限升级，从基础管理访问跃升至对设备底层操作系统的完全控制。 尽管这些漏洞造成的最终影响相似，但它们源自不同的代码路径（具体CVE编号如下表所示）。成功利用后，攻击者能够篡改路由器配置、拦截网络流量、中断服务，甚至将受控设备作为跳板，攻击网络内的其他设备。 为应对威胁，TP-Link 已发布修复固件。网络管理员及用户务必立即更新设备固件。 用户可访问对应区域（美国、国际英文或新加坡）的 TP-Link 官方支持页面下载最新固件。如未能及时安装更新，网络基础设施将面临被攻陷的风险。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名老牌恶意软件家族 SystemBC 的相关攻击活动，已波及全球超 1 万个受感染 IP 地址，其中包括敏感政府基础设施关联设备。 据 Silent Push 发布的最新研究显示，该发现进一步印证了业界担忧 ——SystemBC 持续被用作入侵行动的早期渗透工具，且其出现往往预示着后续勒索软件的投放。 SystemBC（亦被称为Coroxy或DroxiDat）于 2019 年首次被公开披露，是一款多平台代理恶意软件，可将受感染设备改造为 SOCKS5 代理中继。这些代理中继可让威胁行为者通过受害者设备转发恶意流量，既隐藏自身基础设施，又能持续维持对内网的访问权限。 观测显示，部分 SystemBC 感染事件中还会附带投放其他恶意软件，进一步扩大攻击影响范围。Silent Push 分析师表示，因多次观测到 SystemBC 在勒索软件攻击事件前出现，团队于 2025 年开始对其活动进行系统化追踪。 为了更有效地监测，研究团队开发了专门的SystemBC追踪指纹，得以大规模识别受感染主机及其背后的支持设施。通过这种方法，他们发现了超过1万个独特的受感染IP地址，相关活动痕迹最早可追溯到2019年。 全球传播态势与持续威胁 受感染设备呈全球分布态势，美国感染数量最多，德国、法国、新加坡、印度紧随其后。多数受感染设备部署于数据中心环境而非家用网络，这也是其感染状态往往能持续数周甚至数月的原因之一。 最值得关注的发现之一是一款此前未被记录的 SystemBC 变种，该变种基于 Perl 语言开发。该变种专门针对 Linux 系统，分析当时在 62 款杀毒引擎中均未被检出。 研究还显示，SystemBC 的命令与控制（C2）基础设施常依托抗滥用高防托管服务商搭建，包括 BTHoster 及自治系统 213790（又称 BTCloud）关联的托管环境。仅在一个托管集群中，分析师就识别出超 10340 个受害者 IP 地址，平均感染时长 38 天，部分甚至超过 100 天。 该数据集包含布基纳法索、越南两国政府官方网站的托管 IP 地址，且这些 IP 已遭攻陷。这些政府关联设备不仅是攻击受害者，还被纳入代理网络供攻击者使用，大幅提升了此次攻击的潜在危害。 为防范同类威胁，Silent Push 建议开展主动监测，并警示：SystemBC 的活动往往出现在入侵链路早期，且通常先于勒索软件投放发生。 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过40,000个使用Quiz and Survey Master插件的WordPress站点受到一个SQL注入漏洞的影响，该漏洞允许经过身份验证的用户干扰数据库查询。 该漏洞存在于10.3.1及更早的版本中，可以被任何具有“订阅者”（Subscriber）级别或更高权限的登录用户利用，从而增加了未经授权访问数据的风险。 Quiz and Survey Master（也称为QSM）被广泛用于创建测验、调查和表单。其功能集包括多媒体支持和拖放式测验构建器，这促成了其庞大的安装基数。 该漏洞无需管理员权限即可利用，意味着大量普通用户账号均可能被滥用，进而触发漏洞风险。 漏洞如何暴露站点数据库 该漏洞位于一个负责检索测验题目数据的REST API函数中。一个名为is_linking的请求参数被假定为数字标识符，并在没有经过适当验证的情况下被插入到数据库查询中。该参数值在与其他题目 ID 拼接、作为 SQL 语句执行前，未经过任何数据净化处理。 这种处理方式使得恶意用户可提交特制输入内容，其中包含额外 SQL 命令。由于查询语句未采用预处理语句构建，数据库会将注入的恶意内容当作查询语句的一部分执行，进而导致数据窃取或其他恶意操作风险。 该漏洞已被分配编号 CVE-2025-67987。虽然没有迹象表明该漏洞曾被积极利用，但其存在凸显了信任请求数据的风险，即使这些数据本意并非由用户直接控制。 负贵披露后发布补丁 Patchstack在上周发布的一份公告中表示，该漏洞已在Quiz and Survey Master版本10.3.2中修复。 该更新通过 intval 函数强制将 is_linking 参数转换为整数，确保数据库查询仅处理数字类型值，以此实现漏洞缓解。 该漏洞由Patchstack Alliance社区成员Doan Dinh Van发现并报告。 Patchstack于2025年11月21日收到报告并通知了插件供应商。修复版本于2025年12月4日发布，相关公告于2026年1月下旬公开。 此事件再次凸显了在WordPress插件中处理数据库查询时，进行输入验证和使用预编译语句的重要性。 消息来源: infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露 Docker 旗下 Ask Gordon 人工智能助手存在一项高危安全漏洞，该漏洞揭示了未经验证的元数据可被转化为可执行指令的攻击路径。 这个问题被Noma Labs命名为DockerDash，它暴露了从模型解释到工具执行的完整AI执行链中的弱点，并突显了随着AI代理更深地嵌入开发工作流而出现的新兴风险。 研究表明，Docker 镜像中仅需一个恶意元数据标签，即可通过三阶段攻击流程攻陷 Docker 环境。 Ask Gordon 会读取该元数据，将解析后的指令转发至模型上下文协议（MCP）网关，网关随即通过 MCP 工具执行该指令。该元数据全程未经过任何验证环节。这种信任机制缺陷使得攻击者无需利用传统软件漏洞，即可绕过安全边界实施攻击。 单一漏洞触发两条攻击路径 Noma Labs发现该漏洞存在统一攻击载体，攻击后果会随 Docker 部署环境的不同而存在差异。 在云端及命令行（CLI）环境中，该漏洞可导致高危级远程代码执行（RCE）。在 Docker 桌面端环境中，Ask Gordon 仅具备只读权限，但通过相同攻击手法，攻击者可实现大规模数据窃取与网络侦察。 DockerDash的核心是Noma Labs所称的元上下文注入。MCP网关旨在将上下文信息传递给大型语言模型，但它无法区分描述性元数据和预先授权内部指令。 攻击者将命令嵌入看似无害的 Docker LABEL 字段中，即可操控 AI 的推理逻辑，将上下文信息转化为具体执行动作。 数据窃取风险与缓解策略 不同环境下攻击影响存在差异，但均具备严重危害性，具体包括： 云端或本地命令行环境下，可通过 Docker 命令行指令实现远程代码执行 容器配置、环境变量及网络配置信息泄露 枚举已安装的 MCP 工具、镜像及系统配置数据 在 Docker 桌面端，攻击者还可指令 Ask Gordon 将窃取的数据嵌入出站请求中实现外泄，以此绕过针对命令执行、而非未授权读取的安全管控。 Noma Labs于2025年9月17日向Docker报告了此问题。Docker于10月13日确认了该漏洞，并在2025年11月6日发布的Docker Desktop版本4.50.0中进行了修复。漏洞详情于近日对外公开。 Docker实施了两项关键的缓解措施。一是 Ask Gordon 不再解析用户提供的镜像 URL，阻断了一条数据外泄路径。二是调用任意 MCP 工具前均需用户明确确认，新增了人机协同防护机制。 官方强烈建议用户升级至 Docker 桌面端 4.50.0 及后续版本，降低遭受此类新型 AI 驱动供应链攻击的风险。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了一个新的勒索软件即服务（RaaS）组织，该团伙已攻陷巴西及南非多家机构。 据勒索软件专业公司Halcyon称，该团伙被命名为 “Vect”，于 2025 年 12 月启动招募计划后，目前正持续吸纳加盟攻击者。 该组织声称其恶意软件是使用C++独立开发的，而不是像多数同类团伙那样，重新利用Lockbit 3.0或Conti等知名勒索软件的泄露源代码。 该勒索软件采用 ChaCha20-Poly1305 认证加密算法，据称在无硬件加速的系统上，其加密速度是 AES-256-GCM 算法的 2.5 倍。其采用间歇加密技术部署，为提升加密速度，仅对部分数据块进行加密混淆。 Halcyon声称：“尽管该团伙成立时间较短，但展现出超乎寻常的成熟度，其宣称可提供跨平台勒索软件，覆盖 Windows、Linux 及 VMware ESXi 系统；支持安全模式执行以压制安全工具；还配备高速间歇加密功能，兼顾攻击速度与破坏性。” “Vect 目前似乎处于早期验证阶段，已宣称攻陷巴西、南非各一家机构，大概率在大规模扩张前测试自身攻击能力。” 加盟者的收入分成模式显然是“慷慨”的，入门费为 250 美元，且独立国家联合体（CIS）区域申请者可免缴该费用 —— 这一规则暗示了该团伙的藏身区域。 该行动的成熟度表明它是由一些有经验的RaaS参与者运营的，Red Piranha的另一项分析声称。 Red Piranha在一份研究报告中解释道：“该组织的操作安全措施引人注目，使用门罗币进行支付以保持财务匿名性，通过 TOX 协议实现加盟攻击者间的加密点对点通信；基础设施完全依托 TOR 隐藏服务搭建，未在公网留下任何痕迹。” “自主研发恶意软件、采用新型加密算法、具备跨平台攻击能力、搭配完善操作安全措施，这些特征共同表明，Vect 的操控者是资深威胁行为者，可能是老牌勒索软件加盟者的品牌转型或全新布局。” 该机构补充说，初始访问很可能是通过暴露的RDP/VPN、窃取的凭据、网络钓鱼或漏洞利用实现初始入侵。 Vect 采用经典双重勒索模式，目前已攻陷的两家机构均被列在其公开数据泄露平台上。 建议采取的防护措施 Halcyon建议网络防御者关注以下方面，以降低Vect带来的风险： 加固边界设备防范初始入侵：需重点防护飞塔（Fortinet）账号及管理界面（Vect 曾在俄语论坛求购被盗飞塔账号）；及时安装更新补丁，限制管理员权限暴露范围，对所有远程访问及特权访问强制要求高强度身份认证。 跨 Windows、Linux、VMware ESXi 系统开展威胁遏制：对管理网络进行分段隔离，限制虚拟机管理程序管理平面的访问权限，通过管控管理协议与文件共享，阻断攻击者横向渗透路径。 重点监测安全模式与间歇加密行为：加强对可疑安全模式启动、快速选择性文件加密（间歇加密典型特征）的监控；集中收集并核查相关日志与遥测数据，实现快速范围界定与威胁遏制。 部署反勒索软件防护方案：采用可在恶意二进制文件运行前阻断执行、能检测并阻止勒索软件运行时行为与数据窃取尝试、可拦截篡改操作及网络入侵的防护工具。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告，一场多阶段的网络钓鱼活动正在使用一种隐蔽的技术来规避安全工具的检测，并窃取知名云存储服务的公司凭证。 Forcepoint X-Labs于2月2日针对该持续开展的攻击活动发布预警，其通过组合多类手段窃取 Dropbox 账号登录凭证：伪造紧急公务相关钓鱼邮件、附带 PDF 附件、植入隐藏恶意链接、搭建伪造登录页面。 该攻击活动以钓鱼邮件为起点，邮件伪装成与采购需求或商务采购相关的内容。 邮件内容简短，但伪装得极具专业可信度，通常会定制成目标用户熟悉的机构或联系人发来的样式，并要求用户打开 PDF 附件了解详情。 Forcepoint指出，邮件的简洁特性使其可绕过 SPF、DKIM、DMARC 等邮件身份认证检测，同时邮件中隐含的紧急诉求，目的是诱导收件人按指令操作。 若用户打开该 PDF 文件，会被引导点击内嵌链接以配合相关需求。该链接基于 Acro 表单编写，大幅降低安全软件对其的扫描检测能力。 研究人员表示，该链接会将目标用户导向一个名为 “可信云存储” 的平台，随后该平台会跳转至伪造但极具迷惑性的 Dropbox 登录页面。 “攻击者借助合法云基础设施降低警惕性，在这一过程中绕过了许多基于信誉评级和已知恶意指标的自动化安全检测，” Forcepoint 高级安全研究员 Hassan Faizan 表示。 如果用户输入其登录凭证，该用户名和密码将被发送到攻击者运营的Telegram频道。攻击者获取合法登录凭证后，可登录目标账号，还可能将该初始访问权限作为起点，发起后续更多攻击。 “这些被盗凭证会被窃取至攻击者控制的命令与控制基础设施，进而被进一步滥用，包括账号劫持、内网渗透及后续更多欺诈行为。” Faizan 说。 2025 年期间，凭证窃取及身份仿冒类攻击呈激增态势，网络犯罪分子试图通过隐蔽方式获取企业账号及网络访问权限。有时，攻击者的最终目标仅仅是窃取数据。但这类入侵也可能是更具破坏性攻击活动的开端，其中就包括勒索软件攻击。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Step Finance 发布公告称，因公司高管团队设备遭黑客入侵，平台损失价值 4000 万美元的数字资产。 该平台于1月31日检测到此次入侵，并联系了网络安全研究人员，后者帮助其追回了部分被盗资产。 Step Finance是一个构建于Solana区块链上的去中心化金融（DeFi）平台和分析工具，允许用户可视化展示、跟踪、分析并管理自身加密资产及持仓情况。 该平台被视为最活跃且使用最广泛的Solana仪表板之一，还可通过自身界面支持交易执行、代币兑换、质押及其他去中心化金融操作。平台同时发行自有代币 $STEP，该代币交易量相对有限。 1 月 31 日，Step Finance 发布公告称，平台多个金库钱包遭入侵，威胁行为者利用了某一 “已知攻击载体” 实施攻击。 Step Finance 在初始声明中表示：“今日早些时候（亚太时段），我方多个金库钱包遭一名技术老练的攻击者入侵。” 该平台已向有关部门报备，并与网络安全专业团队紧密协作，快速制定漏洞修复及风险补救措施。 区块链分析机构 CertiK 当时通报，被盗资产折合 261854 枚 SOL 代币，价值约 2890 万美元，但 Step Finance 经调查确认，本次损失总额约为 4000 万美元。 得益于Token22保护机制和合作伙伴的协调，目前已追回价值约 370 万美元的 Remora 相关资产及 100 万美元的其他持仓。 受此次事件影响，平台已暂停部分业务，全力推进安全防护加固工作。Step Finance 指出，其旗下子平台 Remora Markets 未受此次事件波及，且所有 rToken 代币仍保持 1:1 全额储备。 平台建议用户在调查结束前，暂停所有 $STEP 代币相关操作。平台将对漏洞攻击前的系统状态进行快照留存，针对 $STEP 代币持有者的解决方案目前正在推进中。 Step Finance 未披露攻击细节及攻击者身份，这引发了外界对该事件可能是 “卷款跑路” 或 “内鬼作案” 的猜测，相关质疑目前尚未得到妥善回应。 该平台 4000 万美元的损失数额虽触目惊心，但仅占 1 月全球加密资产失窃总金额的约十分之一。CertiK 本周早些时候发布的数据显示，今年 1 月全球加密资产失窃总金额达 3.98 亿美元，其中仅约 436.6 万美元被追回。 2025 年全年共发生 147 起已确认的加密领域黑客攻击事件，总损失近 28.7 亿美元；而历史损失最高年份仍为 2022 年，当年 179 起成功攻击造成的损失达 37.1 亿美元。 消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家安全局（NSA）近日发布了一套新版《零信任实施指南》（ZIGs），该指南详细说明各类组织如何推进零信任建设，直至达到目标成熟度等级。 该指南包含了ZIGs的第一与第二阶段，其设计初衷是支持美国战争部（DoW，即原国防部）的零信任架构及更广泛的美国政府网络安全战略落地。 此次发布的两个阶段内容，目的是推动组织从零信任探索阶段逐步过渡至目标级落地实施阶段。指南明确了各阶段必备行动、依赖条件及预期成果，同时保留灵活性，允许企业结合自身业务需求与约束条件定制落地方案。 第一阶段聚焦搭建安全基准防线，该阶段明确了 36 项核心行动，支撑 30 项零信任核心能力落地，助力组织在深度集成前搭建或完善基础安全管控体系。第二阶段在第一阶段基础上推进，包含 41 项行动，可新增落地 34 项零信任能力，核心任务是实现核心零信任方案在各组件环境中的跨域集成。 这种分阶段的推进方式体现了一种模块化设计理念，而非僵化的固定路线。 AppOmni公司首席技术官兼联合创始人布莱恩·索比指出，这种结构强化了零信任并非一次性部署项目的观念。他强调：“（零信任）是一种运营模式，而非单纯的产品。”，同时强调，随着环境变化，相关策略决策必须持续评估并严格执行。 从边界防护转向持续评估 该指南进一步推动了安全理念的转变，即从依赖网络边界防护，转向对用户、设备及应用程序进行持续的身份验证与授权。零信任遵循 “永不信任、始终验证” 及 “默认已遭入侵” 的核心原则，随着网络威胁不断演变，该理念愈发被认为是安全防护的必要方案。 索比认为，该指南的一大亮点在于其重点关注身份验证之后的活动。“持续动态评估必须在用户登录后开展，而非仅在登录环节执行。”他表示。索比指出，当前许多成功的网络攻击均发生在身份认证之后，若无法对应用内部行为实现可视管控，仅靠基础身份核验与设备状态评估，能提供的防护能力十分有限。 该指南借鉴了美国第 14028 号行政令下出台的多项成熟框架，包括美国国家标准与技术研究院特别出版物 800-207、美国网络安全与基础设施安全局零信任成熟度模型 2.0 版本及美国战争部零信任参考架构。美国国家安全局与美国战争部首席信息官紧密协作制定该指南，将 152 项零信任相关行动梳理整合为结构化的实施阶段。 然而，索比也警告称，但索比警示，当前许多组织对零信任仍存在误用，仅过度聚焦网络访问管控这单一维度，若将零信任网络访问等同于完整的零信任解决方案，会忽略应用自身的访问决策制定与执行逻辑。 他表示：“任何零信任架构，若将应用策略决策点的可视性与管控能力排除在外，不仅实施成本高昂，防护效果也会严重不足。” 美国国家安全局表示，当前版本指南旨在帮助专业技术人员推动组织达成目标级零信任成熟度，未来或还将推出更多高级阶段的实施内容。     消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文