HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一种先前未被记录的、功能丰富的恶意软件框架的详细信息，该框架代号为VoidLink，专门设计用于长期、隐蔽地访问基于Linux的云环境。 根据Check Point Research的一份新报告，这款云原生的Linux恶意软件框架包含一系列自定义加载器、植入程序、rootkit和模块化插件，使其操作者能够随时间推移增强或改变其功能，并在目标变化时进行”转向”。该框架于2025年12月首次被发现。 这家网络安全公司在今日发布的分析报告中称：”该框架包含多项专注于云的功能和模块，专为在云和容器环境中长时间稳定运行而设计。VoidLink的架构极其灵活且高度模块化，围绕一个自定义插件API构建，该API的灵感似乎源自Cobalt Strike的Beacon对象文件方法。默认情况下，超过30个插件模块均使用此API。” 这些发现反映了威胁行为者的关注点正从Windows系统转向已成为云服务和关键业务基石的Linux系统。VoidLink处于积极维护和演进中，评估认为其与中国有关联的威胁行为者有关。 作为一个使用Zig编程语言编写的”云优先”植入程序，该工具包能够检测主要的云环境，即亚马逊网络服务、谷歌云、微软Azure、阿里云和腾讯云，并能识别自身是否运行在Docker容器或Kubernetes Pod中，从而调整其行为。它还能收集与云环境以及Git等流行源代码版本控制系统相关的凭证。 瞄准这些服务表明，VoidLink很可能专门针对软件开发人员设计，意图窃取敏感数据或利用获得的访问权限发起供应链攻击。 其他部分功能列举如下： 利用LD_PRELOAD、可加载内核模块和eBPF隐藏自身进程的类Rootkit功能。 用于扩展功能的进程内插件系统。 支持多种命令与控制信道，如HTTP/HTTPS、WebSocket、ICMP和DNS隧道。 在被攻陷主机之间形成点对点或网状网络。 一个基于Web的中文控制面板，允许攻击者远程控制植入程序、动态创建定制版本、管理文件、任务和插件，并执行从侦察、持久化到横向移动和防御规避（通过清除恶意活动痕迹）的整个攻击周期的不同阶段。 VoidLink支持37个插件，涵盖反取证、侦察、容器、权限提升、横向移动等类别，使其成为一个功能全面的后渗透利用框架： 反取证：根据关键字擦除或编辑日志和shell历史记录，并对文件进行时间戳篡改以阻碍分析。 云：辅助进行Kubernetes和Docker发现与权限提升、容器逃逸，并探测配置错误。 凭证窃取：收集凭证和密钥，包括SSH密钥、Git凭证、本地密码资料、浏览器凭证与Cookie、令牌和API密钥。 横向移动：使用基于SSH的蠕虫进行横向传播。 持久化：通过滥用动态链接器、cron作业和系统服务来建立持久化访问。 侦察：收集详细的系统和环境信息。 Check Point将其描述为”令人印象深刻”且”远比典型的Linux恶意软件先进”，并指出VoidLink具有一个处理C2通信和任务执行的核心协调器组件。 它还融合了大量反分析功能以规避检测。除了能够标记各种调试器和监控工具外，一旦检测到任何篡改迹象，它还能自我删除。它还具备自我修改代码功能，可在运行时解密受保护的代码区域，并在不使用时将其加密，从而绕过运行时内存扫描器。 此外，该恶意软件框架会枚举受感染主机上安装的安全产品和加固措施，以计算风险评分并制定全面的规避策略。例如，这可能涉及在高风险环境中放慢端口扫描速度并进行更精确的控制。 Check Point指出：”开发者展现出高水平的技术专长，熟练掌握包括Go、Zig、C和React等现代框架在内的多种编程语言。此外，攻击者拥有对复杂操作系统内部原理的深入了解，从而能够开发出先进而复杂的解决方案。VoidLink旨在尽可能自动化地实现规避，对环境进行画像并选择最合适的策略在其中运作。结合内核模式的技巧和庞大的插件生态系统，VoidLink使其操作者能够以自适应的隐秘方式在云环境和容器生态系统中活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一款恶意谷歌Chrome扩展的详细信息，该扩展伪装成一个可在MEXC（一个在170多个国家可用的中心化加密货币交易所）平台上实现交易自动化的工具，实则能够窃取与之关联的API密钥。 这款名为”MEXC API Automator”（ID：pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展程序，截至发稿时在Chrome网上应用店仍可下载，已记录了29次下载。它由一位名为”jorjortan142″的开发者于2025年9月1日首次发布。 安全研究机构Socket的研究员Kirill Boychenko在一份分析报告中指出：”该扩展能以编程方式创建新的MEXC API密钥、启用提款权限、在用户界面中隐藏该权限，并将生成的API密钥和密钥外泄至威胁行为者控制的一个硬编码的Telegram机器人。” 根据Chrome网上应用店的列表描述，这款网页浏览器插件被宣传为一个扩展，可通过在API管理页面上生成具有必要权限的API密钥，”简化将您的交易机器人与MEXC交易所的连接”。 如此一来，安装此扩展后，威胁行为者就能控制从受感染浏览器访问的任何MEXC账户，从而能够执行交易、进行自动提款，甚至清空通过该服务可访问的钱包和余额。 Socket补充道：”实际上，一旦用户导航到MEXC的API管理页面，该扩展就会注入一个单一的内容脚本script.js，并在已认证的MEXC会话内开始操作。”为了实现这一目的，该扩展会检查当前URL是否包含字符串"/user/openapi"，该字符串指向API密钥管理页面。 随后，该脚本会以编程方式创建一个新的API密钥，并确保启用了提款功能。同时，它会篡改页面的用户界面，让用户误以为提款权限已被禁用。一旦生成访问密钥和密钥的过程完成，该脚本会提取这两个值，并通过HTTPS POST请求将它们传输到威胁行为者控制下的一个硬编码的Telegram机器人。 此威胁构成了严重风险，因为只要API密钥有效且未被撤销，它就会一直保持活跃状态，即使受害者从Chrome浏览器中卸载了该扩展，攻击者仍能不受限制地访问受害者的账户。 Boychenko指出：”实质上，威胁行为者利用Chrome网上应用店作为传播渠道，利用MEXC的Web UI作为执行环境，并利用Telegram作为外泄渠道。其结果就是一个专门构建的、旨在窃取MEXC API密钥的扩展，它在API密钥被创建和配置为拥有完全权限的瞬间发起攻击。” 这种攻击之所以能够实现，是因为它利用了浏览器已通过身份验证的会话来达到其目的，从而无需获取用户密码或绕过身份验证保护。 目前尚不清楚此次攻击背后的操纵者是谁，但”jorjortan142″这个名称指向了一个同名的X平台账号，该账号链接到一个名为”SwapSushiBot”的Telegram机器人，这个机器人也在TikTok和YouTube上进行了推广。关联的YouTube频道创建于2025年8月17日。 Socket表示：”通过在浏览器内劫持单个API工作流程，威胁行为者可以绕过许多传统控制措施，直接获取具有提款权限、长期有效的API密钥。同样的攻击手法可以很容易地适配到其他交易所、DeFi仪表板、经纪商门户以及任何在会话中发放令牌的Web控制台，并且未来的变种很可能会引入更重的混淆技术、请求更广泛的浏览器权限，并将支持多个平台的功能捆绑到一个扩展中。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  黑客正兜售一批据称是与亚美尼亚政府相关的海量数据，埃里温官方已针对这起数据泄露事件启动调查。化名为dk0m的数据售卖者声称，自己侵入了一个用于发布官方文书的政府通知系统。该数据集在某地下论坛标价 2500 美元出售，据称包含约 800 万条与官方通知相关的记录，其中涵盖警方和司法机构的相关文书。 亚美尼亚政府旗下战略传播机构 ——亚美尼亚公共关系与信息中心于周六发布声明，否认该国政府邮件系统遭到入侵，但表示攻击者有可能获取了另一政府平台的数据。 该中心称：“初步核查显示，泄露文件源自电子民事诉讼平台。” 同时补充道，正在进行内部调查以确认数据来源及其访问方式。 非政府组织亚美尼亚网络安全中心的研究人员指出，dk0m 是地下网络犯罪论坛上一名臭名昭著的信息中间商，至少从 2024 年起就有售卖各国政府相关数据的前科。 该黑客通常依靠信息窃取恶意软件，这类工具可从受感染设备中窃取已保存的账户凭证和会话 Cookie，获取敏感政府门户网站的访问权限，随后将窃取的数据打包转售牟利。 研究人员还提到，dk0m 此前曾兜售过阿根廷、乌克兰、巴西等多国部委的相关数据，且为提升可信度，常常会对外分享数据样本或数据库结构。 该组织表示，2024 年 8 月的相关截图显示，这名黑客当时可能就已获取亚美尼亚政府相关数据，此次兜售行为很可能是为了将早前窃取的资料变现。 研究人员警示，若该数据集属实，亚美尼亚公民面临的网络风险将大幅上升。 亚美尼亚网络安全中心指出：“源自法院、执法部门或警方的官方样式数据，会大大降低社会工程学攻击的实施门槛。” “不法分子可利用真实的案件编号、罚款信息或执法文书，向公民发送极具迷惑性的诈骗信息，极易引发民众恐慌性回应或让其乖乖落入圈套。” 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Struts 2中发现了一个关键的XML外部实体注入漏洞，可能导致数百万个应用程序面临数据窃取和服务器被攻击的风险。 该漏洞编号为CVE-2025-68493，影响了该广泛使用框架的多个版本，开发人员与系统管理员需立即采取行动。 漏洞概述 该安全漏洞存在于Apache Struts 2的XWork组件中，该组件负责处理XML配置解析。 该组件未能正确验证XML输入，导致应用程序容易受到XXE注入攻击。 CVE 编号 漏洞类型 受影响组件 受影响版本 CVE-2025-68493 XML外部实体（XXE）注入 XWork组件 Struts 2.0.0–2.3.37，2.5.0–2.5.33，6.0.0–6.1.0 威胁行为者可利用此弱点访问受影响服务器上存储的敏感信息，或发起拒绝服务攻击。 ZAST.AI的安全研究人员发现了该漏洞，并已向Apache Struts团队报告。 该漏洞因其对数据机密性和系统可用性的潜在影响，被评定为”重要”安全等级。 该漏洞影响了全球各组织当前正在使用的广泛的Struts 2版本： 受影响版本范围 状态 Struts 2.0.0 – 2.3.37 生命周期结束 Struts 2.5.0 – 2.5.33 生命周期结束 Struts 6.0.0 – 6.1.0 积极支持 运行任何这些版本的组织应立即优先进行安全更新。 成功利用CVE-2025-68493可能导致： 影响类型 描述 数据泄露 攻击者可提取敏感配置文件、数据库凭证和应用程序密钥 服务器端请求伪造（SSRF） 内部网络资源和系统可能被入侵 拒绝服务（DoS） 使用恶意XML负载可破坏应用程序可用性 Apache已发布Struts 6.1.1作为修复版本。组织应立即升级到此版本。 该补丁保持了向后兼容性，确保在不破坏现有应用程序的情况下顺利部署。 无法立即升级的组织可以实施临时缓解措施： 缓解措施 描述 自定义 SAXParserFactory 通过将 xwork.saxParserFactory 设置为一个禁用外部实体的工厂类，来配置自定义SAXParserFactory JVM 级别配置 使用JVM系统属性全局禁用外部实体： -Djavax.xml.accessExternalDTD="" -Djavax.xml.accessExternalSchema="" -Djavax.xml.accessExternalStylesheet="" 这些缓解措施为组织规划升级时间表提供了临时保护。CVE-2025-68493对全球范围内的Struts 2部署构成了严重威胁。 立即打补丁应成为安全团队的首要任务，其次是验证那些无法立即升级的系统是否已落实缓解措施。 组织应审查其Struts 2资产清单，并制定加急的修补计划，以消除此关键漏洞带来的风险。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者HawkSec声称正在拍卖一个包含78,541,207个文件的Discord数据集。该数据集按消息、语音会话、操作和服务器分类整理，源于一个已废弃、历时数月的开源情报（OSINT）/网络开源情报项目。 HawkSec在其名为”Hello Hawks Community”的Discord服务器中推广此数据集，宣布可通过指定渠道购买。 据称，这些文件涵盖了公开的Discord互动，截图中重点展示了诸如”ME文件”、语音数据和服务器元数据等细节。公开渠道未透露具体价格，但该行为者邀请潜在买家询价获取样本。 类似的销售行为此前也曾出现，例如2025年在网络犯罪论坛上曾出现一份清单，出售从近1000个公共服务器中抓取的3.48亿条消息。 研究人员也曾发布大型公共数据集，例如”Discord Unveiled”，其中包含通过Discord API从3,167个服务器获取的超过20亿条消息。 这7800万个文件表明数据抓取范围非常广泛，可能针对的是在Discord”探索”列表中列出的公共服务器，这些服务器平均每个拥有约1200名成员。HawkSec描述称，该项目最初旨在开发高级情报工具，后转而进行商业化。 虽然未经证实包含私人数据，但聚合的公开日志在与其它来源交叉引用时，会带来重新识别的风险。 Discord因公开数据抓取问题一直面临审查；过去的事件涉及诸如Spy.pet等出售数十亿条消息的工具。与地下销售不同，合法的学术数据抓取强调匿名化和API合规。 即使没有发生数据泄露，公开的Discord数据也可能助长骚扰、人肉搜索或针对性钓鱼攻击。可见服务器中的用户面临更大的暴露风险，这与2025年因20亿条消息数据集引发的隐私担忧如出一辙。没有证据表明此事与Discord的基础设施有关；这很可能属于通过API可访问的公开内容。 Discord坚持认为，公开频道是自由访问的，以此区分数据抓取与数据泄露。2025年，一家第三方供应商通过Zendesk泄露了7万份政府身份证件，但攻击者夸大其词，声称涉及550万用户。官方在泄露事件后敦促用户警惕钓鱼攻击。 截至2026年1月12日，Discord尚未就HawkSec事件作出回应。网络安全专家建议用户检查服务器的可见性设置，并监控数据的滥用情况。 除了一张共享的图片外，HawkSec的说法尚未得到证实，这突显了游戏社区中数据商品化带来的持续威胁。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Telegram移动客户端中存在一个隐蔽漏洞，允许攻击者仅需一次点击即可揭露用户的真实IP地址，即使是那些隐藏在代理之后的用户也不例外。该漏洞被称为”一键IP泄露”，它将看似无害的用户名链接变成了强大的追踪武器。 问题的核心在于Telegram的自动代理验证机制。当用户遇到一个伪装的代理链接时（通常隐藏在用户名后，例如 t.me/proxy?server=attacker-controlled），应用程序在添加代理服务器之前会先对其进行”ping”操作测试连通性。 至关重要的是，这个”ping”请求会绕过所有用户配置的代理，直接从受害者的设备路由出去，从而暴露其真实IP。此过程不需要密钥，类似于Windows上的NTLM哈希泄露——认证尝试本身就会暴露客户端信息。 网络安全专家 @0x6rss 在X上演示了一个攻击向量，并分享了一个概念验证：一键Telegram IP泄露。”Telegram在添加代理前会自动ping该代理，”他们指出。”该请求会绕过所有已配置的代理。你的真实IP会被立即记录。” 攻击如何展开 攻击者制作恶意代理URL，并将其伪装成聊天或频道中的可点击用户名。目标用户点击一次后，将触发： 自动代理测试：Telegram向攻击者的服务器发送连通性探测请求。 代理被绕过：该请求忽略SOCKS5、MTProto或VPN设置，使用设备的原生网络栈。 IP被记录：攻击者的服务器捕获来源IP、地理位置和元数据。 Android和iOS客户端均受影响，波及数百万依赖Telegram进行敏感隐私通信的用户。除了点击外，无需任何其他用户交互；该漏洞隐蔽且有效，可用于人肉搜索、监控或使活动人士去匿名化。 在政府资助的追踪活动日益增加的背景下，这一漏洞凸显了重度依赖代理的应用程序所面临的风险。Telegram拥有超过9.5亿用户，目前尚未公开修补此漏洞。过去，Signal等应用程序也曾受到类似旁路问题的困扰。 缓解措施： 在设置中禁用自动代理检测（如果可用）。 避免点击未知的用户名/链接。 使用防火墙规则阻止出站代理ping请求（例如，在iOS上使用Little Snitch或在Android上使用AFWall+）。 通过Telegram的更新日志监控补丁发布。 研究人员敦促立即修复。截至发稿时，Telegram尚未对置评请求作出回应。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新一波GoBruteforcer攻击瞄准了加密货币和区块链项目的数据库，将其纳入僵尸网络，该网络能够对Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务进行用户密码暴力破解。 “当前这一波攻击活动由两个因素驱动：大量重复使用人工智能生成的服务器部署示例，这些示例传播了常见的用户名和脆弱的默认设置；以及XAMPP等遗留Web堆栈的持续存在，这些堆栈暴露了FTP和管理界面，且安全加固程度极低。”Check Point Research在上周发布的分析报告中表示。 GoBruteforcer最初由Palo Alto Networks Unit 42于2023年3月记录，其能够针对运行x86、x64和ARM架构的类Unix平台，部署一个互联网中继聊天僵尸程序和一个用于远程访问的Web Shell，同时获取暴力破解模块以扫描易受攻击的系统并扩大僵尸网络的覆盖范围。 Lumen Technologies的Black Lotus Labs团队在2025年9月的一份后续报告中发现，由另一个名为SystemBC的恶意软件家族控制的大量受感染僵尸机器，也属于GoBruteforcer僵尸网络的一部分。 Check Point表示，他们在2025年年中识别出一个更复杂的Golang恶意软件版本，该版本包含一个用跨平台编程语言重写的、经过深度混淆的IRC僵尸程序，改进了持久化机制、进程伪装技术和动态凭证列表。 凭证列表包含了可以接受远程登录的常见用户名和密码组合（例如：myuser:Abcd@123 或 appeaser:admin123456）。选择这些名称并非偶然，因为它们曾在数据库教程和供应商文档中使用，而这些资料都被用于训练大型语言模型，导致模型生成的代码片段带有相同的默认用户名。 列表中的其他一些用户名则专注于加密货币（例如：cryptouser、appcrypto、crypto_app 和 crypto）或针对phpMyAdmin面板（例如：root、wordpress 和 wpuser）。 “攻击者在每次活动中重复使用一个稳定的小型密码池，从该池中刷新每个任务的列表，并每周数次轮换用户名和特定领域的补充内容，以追求不同的目标，”Check Point称。”与其他服务不同，FTP暴力破解使用的是硬编码在破解程序二进制文件中的一小套凭证。这套内置的凭证指向网络托管堆栈和默认服务账户。” 根据Check Point观察到的活动，攻击者利用运行XAMPP的服务器上暴露在互联网的FTP服务作为初始入侵载体，上传一个PHP Web Shell，然后使用基于系统架构的Shell脚本来下载并执行更新版的IRC僵尸程序。一旦主机被成功感染，它可以用于三种不同的用途： 运行暴力破解组件，尝试对互联网上的FTP、MySQL、Postgres和phpMyAdmin进行密码登录。 托管并向其他被入侵的系统分发有效负载，或者 托管IRC风格的控制端点，或充当备用命令与控制（C2）服务器以增强弹性。 对该攻击活动的进一步分析确定，其中一台被入侵的主机被用来部署一个模块，该模块遍历TRON区块链地址列表，并使用 tronscanapi[.]com 服务查询余额，以识别资金非零的账户。这表明了针对区块链项目的协同努力。 “GoBruteforcer例证了一个更广泛且持久的问题：暴露的基础设施、脆弱的凭证和日益自动化的工具的组合，”Check Point表示。”虽然该僵尸网络在技术上相对简单，但其运营者受益于大量在线且配置不当的服务。” 这一披露正值GreyNoise透露，威胁行为者正在系统地扫描互联网，寻找可能提供对商业LLM服务访问权限的配置不当的代理服务器。 在这两个攻击活动中，有一个在2025年10月至2026年1月期间，利用了服务器端请求伪造（SSRF）漏洞，针对Ollama的模型拉取功能和Twilio SMS webhook集成。基于对ProjectDiscovery OAST基础设施的使用，推测该活动可能源于安全研究人员或漏洞赏金猎人。 第二组活动始于2025年12月28日，据评估是一次大规模枚举尝试，旨在识别与阿里巴巴、Anthropic、DeepSeek、Google、Meta、Mistral、OpenAI和xAI相关的暴露或配置不当的LLM端点。扫描源自IP地址 45.88.186[.]70 和 204.76.203[.]125。 “从2025年12月28日开始，两个IP地址启动了对超过73个LLM模型端点的系统性探测，”该威胁情报公司称。”在十一天内，他们生成了80,469个会话——这是对可能泄露商业API访问权限的配置不当代理服务器进行的系统性侦察。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被发现在npm注册表上上传了八个软件包，这些软件包伪装成针对n8n工作流自动化平台的集成工具，旨在窃取开发者的OAuth凭证。 其中一个名为 “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit” 的软件包模仿了Google Ads集成，它会提示用户在看似合法的表单中关联其广告账户，随后将凭证窃取到攻击者控制的服务器上。 “这次攻击代表了供应链威胁的新升级，”Endor Labs在上周发布的一份报告中表示。”与通常针对开发者凭证的传统npm恶意软件不同，这次活动利用了作为集中式凭证库的工作流自动化平台——这些平台将OAuth令牌、API密钥以及用于Google Ads、Stripe和Salesforce等数十种集成服务的敏感凭证集中存储在一个位置。” 已发现的软件包清单（目前已被移除）如下： n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (下载量：4,241，作者：kakashi-hatake) n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (下载量：1,657，作者：kakashi-hatake) n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (下载量：1,493，作者：kakashi-hatake) n8n-nodes-performance-metrics (下载量：752，作者：hezi109) n8n-nodes-gasdhgfuy-rejerw-ytjsadx (下载量：8,385，作者：zabuza-momochi) n8n-nodes-danev (下载量：5,525，作者：dan_even_segler) n8n-nodes-rooyai-model (下载量：1,731，作者：haggags) n8n-nodes-zalo-vietts (下载量：4,241，作者：vietts_code 和 diendh) 用户 “zabuza-momochi”、”dan_even_segler” 和 “diendh” 还被发现与其他仍可下载的库有关联： n8n-nodes-gg-udhasudsh-hgjkhg-official (下载量：2,863) n8n-nodes-danev-test-project (下载量：1,259) @diendh/n8n-nodes-tiktok-v2 (下载量：218) n8n-nodes-zl-vietts (下载量：6,357) 目前尚不清楚这些库是否具有类似的恶意功能。然而，在ReversingLabs Spectra Assure上对前三个软件包的评估未发现安全问题。对于 “n8n-nodes-zl-vietts”，分析已将该库标记为包含具有恶意软件历史的组件。 就在三小时前，软件包 “n8n-nodes-gg-udhasudsh-hgjkhg-official” 的更新版本被发布到npm，这表明该攻击活动可能仍在进行中。 该恶意软件包一旦作为社区节点安装，其行为会像任何其他n8n集成一样，显示配置屏幕，并将Google Ads账户的OAuth令牌以加密格式保存到n8n的凭证存储中。当工作流执行时，它会运行代码，使用n8n的主密钥解密存储的令牌，并将其外泄到远程服务器。 这一事件标志着供应链威胁首次明确针对n8n生态系统，不良行为者利用社区集成的信任来实现其目标。 这些发现凸显了集成不受信任的工作流所带来的安全问题，这可能会扩大攻击面。建议开发者在安装软件包前对其进行审计，仔细检查软件包元数据是否存在异常，并使用官方的n8n集成。 n8n也警告了使用来自npm的社区节点所带来的安全风险，并表示这些节点可以在n8n服务运行的机器上执行恶意操作。对于自托管的n8n实例，建议通过将 N8N_COMMUNITY_PACKAGES_ENABLED 设置为 false 来禁用社区节点。 “社区节点拥有与n8n本身相同的访问权限。它们可以读取环境变量、访问文件系统、发起出站网络请求，最关键的是，在工作流执行期间接收解密的API密钥和OAuth令牌，”研究员Kiran Raj和Henrik Plate表示。”节点代码和n8n运行时之间没有沙盒化或隔离。” “正因如此，只需一个恶意的npm软件包，就足以深入洞察工作流、窃取凭证，并在不立即引起怀疑的情况下与外部通信。对于攻击者而言，npm供应链为进入n8n环境提供了一个隐蔽且高效的切入点。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为MuddyWater的伊朗黑客组织近日被指发动了一场针对中东地区外交、海事、金融及电信实体的鱼叉式钓鱼攻击，其使用的是一款基于Rust语言、代号为RustyWater的植入程序。 CloudSEK的研究员Prajwal Awasthi在本周发布的报告中表示：“此次攻击活动利用图标伪装和恶意Word文档，投放基于Rust语言开发的植入程序。该植入程序具备异步命令与控制（C2）通信、反分析、通过注册表实现持久化以及模块化扩展等能力。” 这一最新进展表明MuddyWater的攻击手法持续演变。该组织已逐步但稳步减少对合法远程访问软件作为入侵后工具的依赖，转而采用多样化的定制恶意软件库，包括Phoenix、UDPGangster、BugSleep和MuddyViper等工具。 该黑客组织被评估隶属于伊朗情报与安全部，其活动至少可追溯至2017年。 传播RustyWater的攻击链较为直接：伪装成网络安全指南的鱼叉式钓鱼邮件附带一个Microsoft Word文档。当受害者打开文档时，会收到“启用内容”的提示，一旦执行，便会激活一个负责部署Rust植入程序的恶意VBA宏。 RustyWater会收集受害者计算机信息、检测已安装的安全软件、通过Windows注册表项建立持久化，并与命令与控制（C2）服务器（”nomercys.it[.]com”）建立联系，以执行文件操作和命令。 值得注意的是，Seqrite Labs在上月底曾报告RUSTRIC被用于针对以色列的信息技术（IT）公司、管理服务提供商（MSP）、人力资源及软件开发公司的攻击活动中。这家网络安全公司将该活动追踪命名为UNG0801和Operation IconCat。 CloudSEK指出：“从历史手法看，MuddyWater一直依赖PowerShell和VBS加载程序进行初始入侵和后续操作。此次引入基于Rust语言的植入程序，标志着其工具链向更结构化、模块化和低噪声的远程访问木马能力显著演进。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI于周四发布安全通告，警告朝鲜国家支持的黑客正利用恶意QR码，针对美国境内的实体机构发起鱼叉式网络钓鱼攻击。 FBI在紧急通告中指出：“截至2025年，Kimsuky黑客组织已通过在鱼叉式钓鱼攻击中嵌入恶意二维码，针对智库、学术机构以及美国和外国政府实体发起攻击。此类攻击被称为‘QR码钓鱼攻击’。” 利用QR码进行钓鱼是一种迫使受害者从受企业安全策略保护的设备转移到可能缺乏同等防护水平的移动设备上的策略，这使得攻击者能够有效绕过传统防御。 背景与手法 Kimsuky（亦被追踪为APT43、Black Banshee、Emerald Sleet、Springtail、TA427、Velvet Chollima）是被评估隶属于朝鲜侦察总局的黑客组织。该组织长期以来一直精心策划专门旨在规避电子邮件身份验证协议的鱼叉式钓鱼攻击。 2024年5月，美国政府曾点名该黑客组织利用配置不当的基于域的消息认证、报告和一致性记录策略，发送看似来自合法域名的电子邮件。 具体攻击案例 FBI称，其在2025年5月和6月多次观察到Kimsuky组织在定向钓鱼攻击中使用恶意QR码，具体包括： 冒充外国顾问，向某智库负责人发送电子邮件，请求对方就朝鲜半岛近期动态提供见解，并要求扫描QR码以访问问卷。 冒充大使馆员工，向某智库高级研究员发送电子邮件，请求就朝鲜人权问题提供意见，并附上声称可访问安全云盘的QR码。 冒充智库员工，在电子邮件中附上QR码，意图将受害者引导至其控制的基础设施以进行后续攻击活动。 向一家战略咨询公司发送电子邮件，邀请其参加一个虚构的会议，并敦促收件人扫描QR码，将其重定向到一个旨在通过虚假登录页面窃取其谷歌账户凭据的注册登录页面。 攻击影响与特点 就在此披露不到一个月前，ENKI曾揭示Kimsuky在一次模仿首尔某物流公司的钓鱼邮件活动中使用QR码分发名为DocSwap的新型安卓恶意软件变种。 FBI指出：“QR码钓鱼攻击通常以窃取和重放会话令牌告终，这使得攻击者能够绕过多因素认证，并在不触发典型‘MFA失败’警报的情况下劫持云身份。随后，攻击者会在组织内建立持久存在，并从被入侵的邮箱发起二次鱼叉式钓鱼攻击。” “由于入侵路径始于常规端点检测与响应及网络监控边界之外的、不受管理的移动设备，QR码钓鱼攻击目前被视为企业环境中一种高成功率、能抵抗MFA的身份入侵途径。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文