HackerNews 编译，转载请注明出处：  密码管理器 LastPass 警告称，当前正发生一起冒充该服务的钓鱼攻击活动，攻击者试图窃取用户的主密码（Master Password）。 LastPass 表示，这一钓鱼活动大约始于 2026 年 1 月 19 日。攻击者通过冒充 LastPass 官方发送电子邮件，声称系统即将进行紧急维护，并要求用户在 24 小时内备份其密码库。 这些邮件使用了涉及基础设施更新、密码库安全以及“错过截止期限”等主题词，诱骗受害者泄露主密码。 LastPass 在警告中写道： “LastPass 威胁情报、缓解与升级团队提醒客户注意一项于 2026 年 1 月 19 日左右开始的活跃钓鱼活动。这些钓鱼邮件来自多个电子邮箱地址，使用不同的主题行，声称 LastPass 即将进行维护，并敦促用户在接下来的 24 小时内备份其密码库。已知的发件地址和主题行列表如下。” 钓鱼攻击手法 该活动通过钓鱼邮件中的链接，声称可帮助用户备份 LastPass 密码库。 链接首先指向一个托管在 Amazon S3 上的钓鱼页面： group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf 随后重定向至一个伪造的 LastPass 网站： mail-lastpass[.]com 攻击者特意选择在美国假期周末发起攻击，以利用人员配置不足的时机，延缓安全团队的发现和响应。 LastPass 的应对与提醒 LastPass 强调，官方绝不会要求用户提供主密码，并敦促用户对任何可疑邮件保持警惕。公司正在努力关闭恶意域名，并请求用户将可疑邮件转发至 abuse@lastpass.com。 此外，LastPass 还分享了相关的入侵指标，包括： 伪造域名 IP 地址 发件人信息 钓鱼邮件主题行 报告总结称： “该活动发生在美国假期周末，这是威胁行为者常用的策略，目的是利用人员减少的情况，延迟被发现并拉长应对时间。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare 已修复其 ACME 验证逻辑中的一项漏洞，该漏洞可能允许攻击者绕过安全检查并访问受保护的源站服务器。 Cloudflare 表示，其 ACME HTTP-01 验证流程中存在缺陷，问题出在Cloudflare 边缘节点对 /.well-known/acme-challenge/ 路径请求的处理方式上。该公司称，未发现该漏洞被恶意利用的迹象。 ACME 是一种用于让证书颁发机构验证域名所有权的协议。在 HTTP-01 验证方式下，CA 会访问一个包含一次性令牌的特定 URL；如果返回内容匹配，即可签发证书。按设计，该过程只应允许访问这一精确路径，而不能访问其他任何资源。 漏洞是如何被发现的 研究人员在测试部署在 Cloudflare 之后、且 WAF 仅允许特定来源访问的应用时发现，对/.well-known/acme-challenge/{token}的请求绕过了 WAF，并直接到达源站服务器。 在演示主机上的测试证实了这一行为： 对普通路径的访问会返回 Cloudflare 的拦截页面； 而对 ACME 路径的访问，即使没有真实的令牌，也会返回由源站生成的响应。 研究人员通过自定义主机名创建了一个稳定、处于待验证状态的 HTTP-01 令牌，从而能够在全球范围内可靠地测试 WAF 的行为。 潜在风险与影响 当 Cloudflare 的 WAF 允许 /.well-known/acme-challenge/... 路径绕过防护时，信任边界从 WAF 转移到了源站。演示应用显示了由此带来的多种风险，包括： Spring / Tomcat 端点泄露敏感的环境变量 Next.js SSR 页面暴露运行和运维细节 PHP 路由因本地文件包含漏洞暴露文件 此外，账户级 WAF 规则在该路径上被忽略，使基于请求头的攻击成为可能，例如 SSRF、SQL 注入和缓存投毒。 Cloudflare 已于 2025 年 10 月 27 日 修复该问题，恢复了对该路径的一致性 WAF 防护。 研究人员的警告 安全研究机构 FearsOff 在报告中指出： “当用于检查请求头的 WAF 规则被跳过时，许多漏洞类型就重新获得了通往源站的通道：例如遗留代码中基于请求头的 SQL 拼接、通过 X-Forwarded-Host 或 X-Original-URL 实现的 SSRF 和主机混淆、当缓存因请求头变化而产生的缓存键投毒、利用 X-HTTP-Method-Override 的方法覆盖技巧，以及通过自定义请求头触发的调试开关。显而易见的问题是——还有多少应用对请求头的信任程度超出应有范围？又有多少应用依赖 WAF 来充当这种信任与互联网之间的防线？” AI 时代下的 WAF 绕过风险 报告还强调，随着 AI 驱动攻击的发展，这类 WAF 绕过漏洞的危险性正在上升。AI 能够迅速发现并利用暴露的路径，将多个小漏洞串联成大规模攻击。与此同时，防御方也在使用 AI 进行攻击模拟和防御部署，使强健、全面的 WAF 防护变得愈发关键。 报告总结称： “在 AI 驱动攻击不断演进的背景下，这类 WAF 绕过漏洞显得尤为紧迫。由机器学习驱动的自动化工具可以快速枚举并利用诸如 /.well-known/acme-challenge/ 这样的暴露路径，在大规模环境中探测特定框架的弱点或配置错误。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom 已修复一个严重安全漏洞（编号 CVE-2026-22844），该漏洞可能导致远程代码执行。 云端视频会议与在线协作平台 Zoom 发布了安全更新，修复了多个漏洞，其中包括存在于 Zoom Node 多媒体路由器中的命令注入漏洞。该漏洞编号为 CVE-2026-22844，CVSS 评分高达 9.9，攻击者可借此在远程执行任意代码。 Zoom 在安全公告中表示： “在 5.2.1716.0 版本之前的 Zoom Node 多媒体路由器（MMR）中存在一项命令注入漏洞，可能允许会议参与者通过网络访问对 MMR 执行远程代码。使用 Zoom Node Meetings Hybrid 或 Meeting Connector 部署的客户，建议其管理员尽快更新至最新可用的 MMR 版本。” 该漏洞由 Zoom 攻防安全团队发现。 受影响产品 该漏洞影响以下产品版本： Node Meeting Connector（MC） 的 MMR 模块 版本 低于 5.2.1716.0 Node Meetings Hybrid（ZMH） 的 MMR 模块 版本 低于 5.2.1716.0 Zoom 表示，目前尚未发现该漏洞在现实环境中被利用的迹象。 相关历史漏洞 2025 年 8 月，Zoom 曾修复另一个严重安全漏洞 CVE-2025-49457（CVSS 评分 9.6），该漏洞存在于 Windows 版 Zoom 客户端中。 攻击者可在无需身份验证的情况下，通过网络访问方式利用该漏洞实现权限提升。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  近日发现的一款高度复杂的 Linux 恶意软件框架 VoidLink，被评估为由单一开发者在AI模型辅助下完成。 这一判断来自 Check Point Research 的最新发现。研究人员指出，恶意软件作者在操作安全上的失误泄露了其开发来源线索。最新分析使 VoidLink 成为首批主要由 AI 生成的高级恶意软件实例之一。 Check Point 表示：“这些材料清楚地表明，该恶意软件主要通过 AI 驱动的开发方式完成，并在不到一周内形成首个可运行的植入体。”截至 2025 年 12 月初，其代码量已超过 88,000 行。 VoidLink 于上周首次被公开披露。这是一套以 Zig 语言编写、功能丰富的恶意软件框架，专门用于对 Linux 云环境实施长期、隐蔽的控制。研究人员认为该恶意软件源自一个与中国有关的开发环境。截至目前，其具体用途尚不明确，也未发现任何真实世界中的感染案例。 AI 辅助开发的证据 云安全公司 Sysdig 的后续分析最早指出，该工具包可能是在一名具备深厚内核开发经验和红队背景的人类操控下，借助大语言模型完成的，并提出了四项关键证据： 调试输出过度系统化，且在所有模块中格式完全一致 诱饵响应模板中嵌入了典型 LLM 训练示例占位符（如 “John Doe”） API 版本命名高度统一，全部为 _v3（如 BeaconAPI_v3、docker_escape_v3、timestomp_v3） 类模板化的 JSON 响应，几乎涵盖所有可能字段 Sysdig 指出：“最可能的情况是，一名精通中文的高技能开发者利用 AI 加速开发过程（生成样板代码、调试日志和 JSON 模板），同时由其本人提供安全专业知识和整体架构设计。” Check Point 周二发布的报告进一步印证了这一假设，称其发现的痕迹表明：AI 不仅被用于编写代码，还被用来构建、执行和测试整个框架，使一个概念在极短时间内转化为可用工具。 VoidLink 项目的高层开发模式 Check Point 将 VoidLink 的开发方式描述为一种“规格驱动开发”（Spec Driven Development, SDD）：“在这种工作流中，开发者首先明确要构建什么，然后制定计划、拆分任务，最后才让 AI 代理来执行实现。” 研究人员认为，威胁行为者在 2025 年 11 月下旬启动了 VoidLink 项目，并使用了一款名为 TRAE SOLO 的编码代理来完成任务。这一判断基于在其服务器上发现的 TRAE 生成的辅助文件，这些文件与源代码一同被复制，后来在一个暴露的开放目录中泄露。 此外，Check Point 还发现了多份用中文撰写的内部规划材料，内容涉及冲刺计划、功能拆分和编码规范，具有明显的 LLM 生成特征——结构清晰、格式统一、细节极其完善。其中一份详细的发展计划文档创建于 2025 年 11 月 27 日。 这些文档被重新用作 LLM 的执行蓝图，指导其构建并测试恶意软件。Check Point 复现了开发者使用的 TRAE IDE 工作流程，发现模型生成的代码与 VoidLink 源码高度相似。 代码与规范的高度一致 Check Point 指出：“将代码标准化指令与恢复出的 VoidLink 源码进行比对后，可以看到惊人的一致性。代码约定、结构和实现模式几乎完全吻合，几乎可以确定：整个代码库正是按照这些指令编写的。” 这一案例再次表明，AI 和 LLM 虽然未必为攻击者带来全新的能力，但正在显著降低网络犯罪的门槛。即便是单个个体，也能在极短时间内构想、创建并迭代复杂系统，实施以往只有国家级行为体才能完成的高级攻击。 AI 正在重塑网络威胁的经济学 Check Point Research 的研究经理 Eli Smadja 在接受《The Hacker News》采访时表示：“VoidLink 代表了高级恶意软件创建方式的一次真正转变。令人震惊的不只是其复杂性，而是它被构建出来的速度。AI 使得看似单一行为者也能在数天内规划、开发并迭代一个复杂的恶意软件平台——而这在过去需要协调的团队和大量资源。这清楚地表明，AI 正在改变网络威胁的规模和成本结构。” “第五波”网络犯罪 在本周发布的一份白皮书中，Group-IB 将 AI 描述为正在推动网络犯罪演进的“第五波”，为复杂攻击提供现成工具。 报告指出，自 2019 年以来，暗网论坛中包含 AI 关键词的帖子增长了 371%。威胁行为者正在兜售诸如 Nytheon AI 等“无伦理限制”的暗黑 LLM、越狱框架，以及合成身份工具包——包括 AI 视频演员、声音克隆，甚至生物特征数据集，最低仅售 5 美元。 Group-IB 总结称：“AI 已将网络犯罪工业化。过去需要高技能和时间的事情，如今可以被购买、自动化，并在全球范围内扩展。” 前国际刑警组织网络犯罪主管、现任独立战略顾问 Craig Jones 也指出：“AI 并未创造新的犯罪动机——金钱、杠杆和访问权限仍是核心驱动力——但它极大提升了这些动机被实现的速度、规模和复杂程度。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，尽管遭遇了执法部门的严厉打击，全球最危险的勒索软件组织之一 LockBit 仍然发布了其最新版本 5.0。 该组织的行动仍在持续推进，并展示出针对不同计算机系统和平台的全新变种。 近期泄露的材料和截图为安全专家提供了一个深入了解该犯罪组织如何管理攻击行动、以及如何与协助其在网络中传播恶意软件的加盟者协同运作的窗口。 核心功能基本不变，运营照常推进 在执法机构发起的重大打击行动 “克洛诺斯行动（Operation Cronos）”之后，LockBit 最新版本在核心设计和功能上基本没有变化。 不过，安全研究人员注意到其界面出现了一些轻微的外观变化，例如加入了节日主题装饰，这在一定程度上表明该组织依然毫不在意执法压力，持续运作。 该组织依旧维持着一套高度成熟的基础设施，用于管理与受害者的谈判流程，并在全球范围内、跨多个行业和领域协调实施攻击。 加盟体系仍在运转 Flare 分析师指出，LockBit 的加盟者计划仍在持续招募新合作伙伴，尽管该组织的声誉已因执法行动而受损。 许多网络犯罪分子已不愿再与 LockBit 合作，但该组织的运作方式仿佛执法打击从未发生过一样。 这种“韧性”展示了犯罪组织在遭受重大破坏后，依然能够迅速适应并维持其商业模式的能力。 LockBit 的快速恢复能力，也凸显了安全团队在打击有组织勒索软件行动时面临的长期挑战。 LockBit 5.0 的多平台攻击策略 LockBit 5.0 最令人担忧的方面在于，其攻击目标已扩展至多个操作系统和虚拟化环境。 安全研究人员获取的最新恶意软件样本显示，在 2026 年 1 月 14 日发现了四种不同的变种： LB_Black：针对传统 Windows 系统 LB_Linux：针对 Linux 环境 LB_ESXi：针对 虚拟化基础设施（VMware ESXi） LB_ChuongDong：另一种已发现的变种 这种多样化策略表明，LockBit 正在战略性地转向企业级环境，尤其是广泛使用虚拟机和云基础设施的组织。 对防御方的意义 这些最新样本的曝光，为安全团队提供了最新的入侵指标，有助于防御工作。 组织现在可以利用这些技术细节，识别自身网络是否遭遇过 LockBit 5.0 的攻击。深入理解这些变种，将帮助网络安全专业人员制定更有效的检测规则和防护策略。 此外，泄露的加盟者控制面板材料清晰展示了 LockBit 如何： 管理勒索赎金支付 制定加盟者行为规则 审核并吸纳新的合作伙伴 这些信息为外界提供了前所未有的视角，揭示了 “勒索软件即服务” 商业模式的具体运作方式。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，Everest在其暗网泄密网站上公布了此次入侵的相关信息，并威胁称，若企业未在其设定的期限内作出回应，将公开披露所窃取的数据。根据 Everest 勒索软件组织的说法，此次攻击导致大量公司内部文件及客户个人数据被泄露。 攻击者宣称：“你们客户的个人数据以及内部文件已被泄露并存储在我们的系统中”，其中包括“种类繁多的客户个人文件和信息”。 据称，被窃取的数据包含大量内部记录，可能在区域范围内引发严重的身份盗用和定向钓鱼攻击风险。 Everest是一个以俄语为主要交流语言的勒索软件组织，最早于2020年12月出现，起初以数据窃取为主，至2021年初发展为具备AES/DES双重加密能力的完整勒索软件体系。 该组织以“纯敲诈”策略而闻名，重点在于窃取并出售企业敏感数据，而不仅仅是对文件进行加密。其近期的高知名度受害者包括华硕、日产汽车，以及都柏林机场。 麦当劳在印度通过两家独立公司运营：负责北部和东部地区的Connaught Plaza Restaurants，以及负责西部和南部地区的 Hardcastle Restaurants。自1996年以来，这两家实体已为数百万印度消费者提供服务。 此前，该公司曾在 2017 年和 2024 年 遭遇过数据安全相关问题。 截至目前，麦当劳印度方面尚未确认此次数据泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一项严重的安全漏洞出现在广受欢迎的 Advanced Custom Fields: Extended WordPress 插件中，已使 10 万多个网站 面临被完全接管的风险。 该漏洞编号为 CVE-2025-14533，影响插件 0.9.2.1 及之前版本，CVSS 评分高达 9.8（严重）。 如果未及时修补，未认证的攻击者可以利用用户注册表单中角色处理机制的缺陷，直接获得管理员级别权限。 漏洞成因 该问题源于插件通过自定义表单创建用户的实现方式。网站管理员可使用字段组构建注册或用户资料表单，收集用户名、邮箱、密码以及用户角色等信息。 在正常情况下，新注册用户的角色应受到严格限制，通常只允许诸如“订阅者（subscriber）”等低权限角色。然而，在受影响的版本中，这一控制机制失效，为滥用打开了大门。 Wordfence 分析人员发现，当表单中映射了角色字段时，插件的 insert_user 表单动作并未正确限制注册过程中可分配的角色。 这意味着，攻击者可以提交一个精心构造的请求，即使前端界面限制了可选角色，也能在请求中将自己的角色设置为管理员。 一旦请求被处理，系统就会创建一个拥有完整管理员权限的账户。获得管理权限后，攻击者即可彻底控制受影响的 WordPress 网站。 潜在影响 攻击者在取得管理员权限后，可以： 上传带有后门的恶意插件或主题 篡改网站内容，将访客重定向至钓鱼或恶意网站 植入垃圾内容或 SEO 投毒代码 创建额外的管理员账户以维持长期访问权限 鉴于该插件安装量巨大，且在存在漏洞配置时利用门槛极低，只要网站将相关用户操作表单暴露在公网，就可能遭受严重影响。 修复与风险现状 在漏洞披露时，插件开发方已在 0.9.2.2 版本中发布修复补丁，安全厂商也在防火墙层面提供了针对利用行为的拦截措施。 然而，那些尚未更新插件、且仅依赖应用层防护的网站，仍然是攻击者进行自动化扫描和入侵的理想目标。 漏洞详情一览表 字段 说明 漏洞编号 CVE-2025-14533 插件名称 Advanced Custom Fields: Extended 插件标识 acf-extended 受影响版本 ≤ 0.9.2.1 修复版本 0.9.2.2 漏洞类型 未认证权限提升 攻击向量 恶意用户注册表单提交 触发条件 存在映射了角色字段的公开表单 CVSS 评分 9.8（严重） 受影响安装量 10 万+ 活跃安装 发现者 andrea bocchetti（Wordfence 漏洞悬赏） 权限提升是如何实现的？ 该漏洞的核心在于插件高度灵活的表单系统，其初衷是让站点管理员无需编写代码即可构建自定义的用户管理流程。 在典型配置中，管理员会定义一个字段组，包含用户信息字段，并将其关联到“创建用户”或“更新用户”的表单动作。其中一个字段可以是角色选择器，表面上受到“允许用户角色（Allow User Role）”设置的限制。 但在后台，当表单提交时，插件会在 acfe_module_form_action_user 类中调用 insert_user() 函数。该函数会收集所有提交的数据（包括角色字段），并直接传递给 WordPress 原生的 wp_insert_user() 函数。 问题在于，在受影响版本中，插件并未在后端强制执行字段组中配置的角色限制。前端设置营造了安全假象，但后端逻辑并未遵守这些规则。 因此，只要存在一个包含角色字段的公开表单，未认证攻击者就可以绕过可见的角色选项，在 HTTP 请求中自行指定角色（如 administrator）。由于插件未对该值进行校验或过滤，WordPress 会接受请求并创建一个拥有完整管理员权限的账户。 整个过程无需已有账号、社会工程学手段或密码猜测，直接构成一条通向网站完全失陷的通道。 一旦攻击者以管理员身份进入系统，便拥有与合法站点所有者相同的控制能力，可持续操纵和破坏网站。这使得 CVE-2025-14533 成为在特定配置存在时，导致 WordPress 网站被全面攻陷的高危漏洞。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  网络安全分析人员披露，一起通过 Linkedin 私信 传播的钓鱼攻击活动，正在滥用一款合法的开源渗透测试工具，意在向受害者投放远程访问木马。 该攻击活动由 ReliaQuest 的威胁研究人员披露。他们指出，此次行动“尤其令人担忧”，原因在于攻击者将正规软件工具与社交媒体平台的可信度相结合，大幅提高了攻击成功率。 研究人员表示，该活动主要面向被精心挑选的“高价值目标”，包括企业高管和 IT 管理员等关键岗位人员。 攻击最初利用 Linkedin 的职业社交属性，通过与目标行业相关的话术建立信任，随后发送精心设计的钓鱼链接，诱导受害者点击并最终中招。 该链接指向一个恶意的 WinRAR 自解压压缩包。一旦执行，该压缩包会释放一个合法的开源 PDF 阅读器，以及一个恶意 DLL 文件。该 DLL 被刻意伪装成与 PDF 阅读器所使用的正常文件同名，以此降低警惕。 研究人员指出，攻击者对文件命名进行了高度定制，使其与收件人的岗位或行业相匹配，从而增强可信度并提升攻击成功概率。 当受害者运行 PDF 阅读器时，恶意 DLL 会利用一种名为 DLL 侧加载 的技术，与合法应用程序位于同一目录下运行，从而增加检测和阻断难度。 随后，攻击者借助一款开源渗透测试工具在系统中建立持久化控制，使其能够长期驻留在受感染主机上，并具备数据窃取、权限提升以及在网络中横向移动等能力。 ReliaQuest 研究人员指出，此前已有多起利用社交媒体平台传播木马程序的案例。通过 Linkedin 等平台分发恶意载荷，攻击者试图利用企业网络安全防护中的“盲区”，这些渠道往往未被纳入传统防御体系的重点。 ReliaQuest 在博客中表示：“这次活动再次提醒我们，钓鱼攻击并不局限于电子邮件。攻击同样会发生在社交媒体、搜索引擎和即时通讯应用等替代渠道上——而这些平台仍然被许多组织的安全策略所忽视。” 研究人员还指出：“社交媒体平台，尤其是经常在公司设备上访问的平台，为攻击者直接接触高价值目标提供了渠道……因此对网络犯罪分子而言极具吸引力。” 为帮助用户避免成为社交媒体钓鱼攻击的受害者，ReliaQuest 建议企业开展针对社交媒体场景的网络安全培训，并提醒员工对通过 Linkedin 或其他平台收到的陌生链接或文件保持与电子邮件同等程度的警惕。 此外，研究人员还建议组织审计员工在公司设备上使用个人社交媒体账号的情况，并视业务需要实施相应的访问控制或限制。 ReliaQuest 总结称：“组织必须将社交媒体平台视为其攻击面不可分割的一部分，采取积极的纵深防御策略。通过结合员工培训、先进检测工具以及严格的平台使用政策，企业才能有效降低风险，并领先于不断演变的攻击手段。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  据区块链安全公司 Elliptic 披露，基于 Telegram 运作的东南亚大型非法交易平台 Tudou Guarantee 似乎正在停止其核心业务运作。研究人员发现，该平台在其公开群组中已停止交易活动，此前累计处理的交易金额超过 120 亿美元。不过，由于平台的其他服务仍在运行，其是否会彻底关闭仍有待观察。 Elliptic 在报告中指出：“自成立以来，Tudou（意为‘土豆’）已处理超过 120 亿美元的交易，使其成为有史以来第三大非法交易市场。Tudou Guarantee 的其他业务板块（如博彩业务）仍在运作，因此目前尚无法确定这是否意味着全面关停的开始，还是仅从诈骗相关活动中转型退出。” Tudou Guarantee 的迅速扩张，与此前另一大型非法市场 Huione Guarantee 的关闭密切相关。2025 年 5 月，Telegram 关闭了交易规模高达 270 亿美元 的 Huione 平台，促使大量商家转移至 Tudou。此后，Tudou 的用户数量迅速翻倍，交易规模激增，许多卖家继续提供被盗数据、洗钱和诈骗相关服务。事实上，Huione 早在 2024 年就已收购 Tudou 30% 的股份，为其成为“接班人”铺平了道路。 在 Tudou 平台上，商家几乎可以出售运行网络诈骗所需的一切要素，包括：洗钱服务、被盗个人数据、成套诈骗平台和钓鱼网站。此外，平台还兜售换脸技术、AI 语音克隆和深度伪造工具，用于欺骗受害者。Tudou 提供的担保（托管）服务在买卖双方之间建立信任，助推了一个庞大的犯罪生态系统。 Tudou 的停摆与 Prince Group 的瓦解密切相关。2025 年 10 月，美国和英国对 Prince Group 及其董事长 陈志（Chen Zhi） 实施制裁，指控其在柬埔寨经营诈骗园区并使用强迫劳动。随后，执法行动显著升级。2026 年 1 月 6 日，柬埔寨与中国执法部门联合行动，将陈志逮捕并引渡至中国。不久之后，Elliptic 监测到 Tudou 主要加密货币钱包的活动量急剧下降，表明此次逮捕对其运营产生了直接冲击。 报告最后指出：“Tudou 的关闭对东南亚诈骗经济体系是一次重大打击，但历史经验表明，这一真空不会长期存在。对调查人员而言，根本性的优势仍然存在：这些大型诈骗平台上的每一笔加密资产交易，都会在区块链上留下永久记录。正是这种透明性，使 Elliptic 能够追踪 Tudou 经手的 120 亿美元资金流向，也将继续帮助我们以及政府调查机构追踪这些活动下一步的迁移去向。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 已修复一个严重漏洞，该漏洞影响 32 款以上的 VIGI C 和 VIGI InSight 系列摄像头，可能导致监控系统被远程入侵。研究人员发现，互联网上至少有 2,500 台此类设备直接暴露在公网环境中。 此次漏洞被编号为 CVE-2026-0629，CVSS 评分为 8.7（高危），影响 32 款以上的 VIGI C 与 VIGI InSight 摄像头型号。该漏洞允许位于同一局域网内的攻击者滥用密码恢复功能绕过身份认证，直接重置管理员密码，从而完全控制摄像头。 安全公告指出：“VIGI 摄像头本地 Web 管理界面的密码恢复功能存在身份验证绕过问题。攻击者可通过操纵客户端状态，在无需任何验证的情况下重置管理员密码。”公告还称：“攻击者能够获得设备的完整管理权限，进而危及系统配置和网络安全。” TP-Link 的 VIGI 摄像头属于专业视频监控产品，面向商业和企业用户，而非家庭消费级市场。 该漏洞由 Redinent Innovations 的研究人员 Arko Dhar 披露。他在接受 SecurityWeek 采访时表示，攻击者可以远程利用这一漏洞，并且在 2025 年 10 月，他仅针对其中一款型号进行扫描，就发现有超过 2,500 台存在漏洞的摄像头直接暴露在互联网上。他强调，由于只检测了单一型号，实际受影响设备数量可能远高于这一数字。 一旦 TP-Link VIGI 摄像头遭到入侵，可能带来严重后果，包括：实时与历史视频内容被窃取、对人员和场所进行监控与间谍活动、协助实施物理入侵、作为跳板横向渗透企业内网、被纳入僵尸网络用于 DDoS 攻击、篡改监控证据、干扰业务运营，以及因侵犯隐私而引发法律和监管风险。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文