HackerNews 编译，转载请注明出处： 欧洲监管机构正考虑对埃隆·马斯克的社交媒体平台X采取行动，因其人工智能工具Grok被用于生成未成年人的色情图像。 这是欧盟、英国与X平台（原Twitter）之间日益激烈的冲突中的最新焦点。美国政府指责其跨大西洋伙伴通过对该平台的监管实施非关税贸易壁垒。 本周，Grok在回应用户提示对一名14岁女演员图像进行”脱衣”后引发广泛愤怒。类似行为近期激增，该工具被用于”脱去”女性衣物并让她们身着比基尼摆拍。 马斯克未直接回应批评，但似乎通过Grok生成的一张穿着比基尼的烤面包机图像来淡化担忧。 巴黎检察官办公室周五向Recorded Future News证实，已收到法国两名议员的报告，指控“Grok生成并传播含未成年人在内的色情’深度伪造’内容”。该事件已被纳入检察官办公室对X平台的持续调查中，调查重点是该平台涉嫌未能遏制诈骗和外国干涉的传播。 英国政府发言人表示，计划全面禁止包括AI模型在内的各种形式的”裸体化工具”。”私密图像滥用是一种毁灭性犯罪，对妇女和女童的影响尤为严重。根据这项新刑事罪行，任何设计或提供此类裸体化工具的个人或公司都将面临监禁和巨额罚款。” 根据英国《网络安全法》，私密图像滥用目前属于优先处理罪行，这意味着大型科技平台负有法律责任首先防止其出现，并在发布后予以删除。 英国通信管理局发言人在声明中表示：”未经同意创建或分享私密图像或儿童性虐待材料（包括AI生成的色情深度伪造内容）属于非法行为，实施此类网络犯罪行为的个人将面临执法部门的起诉。” 此次Grok事件发生前，欧盟委员会上月已因X平台违反欧盟法律对其处以1.2亿欧元（约1.39亿美元）罚款。在罚款之前，X平台的全球政府事务团队曾指责欧盟委员会的执法行动是”前所未有的政治审查行为和对言论自由的攻击”。 在2024年总统大选前，特朗普的竞选搭档JD·万斯曾暗示欧盟对马斯克的对待将影响美国对北约的政策。就在罚款公布前，万斯在X平台声称欧洲计划因该公司”未进行审查”而罚款，并表示：”欧盟应该支持言论自由，而不是用垃圾理由攻击美国公司。” 美国联邦贸易委员会曾在8月警告国内科技公司，遵守欧盟和英国法规可能构成”为遵守外国法律而审查美国人”，这可能被视为违反禁止商业中不公平或欺骗性行为的法律。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  特朗普上周五下令撤销一项价值290万美元的计算机芯片交易，他认为如果当前所有者HieFo公司继续控制该技术，将威胁美国安全利益。 这项行政命令将焦点投向了一笔在2024年5月拜登政府时期宣布时几乎未引起关注的商业交易。该交易涉及航空航天与防务专业公司Emcore将其计算机芯片及晶圆制造业务以292万美元的价格出售给HieFo公司——此价格包含承担约100万美元的债务。 但特朗普现要求HieFo在180天内剥离该技术，理由是有”可信证据”表明当前所有者是中华人民共和国公民。 HieFo由张根造博士和哈里·摩尔共同创立。根据交易完成后发布的新闻稿，从Emcore收购的技术计划将由位于加利福尼亚州阿尔罕布拉市的原班员工团队主要负责监督。 在担任HieFo首席执行官之前曾任Emcore工程副总裁的张根造承诺，将利用包括人工智能在内的技术，”继续追求最具创新性和颠覆性的解决方案”。 HieFo未立即回应就特朗普行政令置评的请求。 在与HieFo交易时，Emcore是一家上市公司，但去年已被投资公司Charlesbank Capital Partner私有化。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部本周宣布，两名美国网络安全行业从业者，已就其参与BlackCat（又名Alphv） 勒索软件攻击 相关指控认罪。 去年 10 月，美方曾指控三名人员针对多家美国本土企业实施勒索软件攻击。其中两名嫌疑人分别为来自得克萨斯州、36 岁的凯文・马丁，以及一名未公开身份的人士 —— 二人此前均在威胁情报与事件响应公司数字明特担任勒索软件谈判专员。第三名嫌疑人是来自佐治亚州、40 岁的瑞安・戈德堡，他曾任职于网络安全企业赛格尼娅，担任事件响应经理。 美方指控这三人非法入侵多家企业系统，窃取核心机密信息，并投放BlackCat勒索软件。 据司法部对该犯罪团伙运作模式的描述，这三名嫌疑人实为BlackCat勒索软件的附属成员。他们会将从受害者处获取的赎金抽取 20%，上缴给该勒索软件运营组织的管理者，以此换取文件加密恶意软件的使用权，以及专用敲诈勒索管理平台的访问权限。 司法部透露，三人曾从一名受害者处，通过比特币收取了 120 万美元赎金。 戈德堡与马丁均承认犯有敲诈勒索共谋罪—— 二人利用勒索软件瘫痪企业运营，以此实施敲诈。他们或将面临最高 20 年监禁，案件量刑听证会定于 2026 年 3 月 12 日举行。 2021 年 11 月至 2023 年 12 月期间，执法部门开展专项行动瓦解了该网络犯罪团伙，而在此期间，BlackCat勒索软件运营组织已针对超 1000 家机构发起攻击。该团伙并未就此销声匿迹，而是继续活动数月之久，直至从全康医疗处榨取 2200 万美元赎金后，才以 “跑路骗局” 的方式彻底收手。 自 2024 年初起，美国政府已悬赏 1000 万美元，征集与BlackCat 勒索软件团伙核心成员有关的线索，但截至目前，尚未公布相关抓捕指控进展。 值得注意的是，就在戈德堡与马丁认罪消息公布的数天前，乌克兰籍人士阿尔乔姆・斯特里扎克，也已在美国一家法院就其涅斐勒姆”勒索软件附属成员 的相关指控认罪。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 发现澳大利亚政府系统中的关键漏洞，使一名英国道德黑客获得了最难申请的签证类型之一。 36岁的雅各布·里格斯是一家大型软件即服务公司的全球信息安全总监，他获得了邀请制的858国家创新签证（原全球人才签证）。 据SWNS报道，该签证要求申请者具备卓越的专业能力，仅有不到1%的申请人（如诺贝尔奖得主和奥运奖牌获得者）能够获得。 在签证申请审查期间，里格斯发现并披露了澳大利亚外交贸易部运营的一个实时系统中的关键漏洞。 里格斯于7月从伦敦贝克斯利的家中进行了此次黑客行为，他表示这只是作为常规安全评估处理，并采用了与平时相同的方法。 在发现该机构未意识到的漏洞之前，他测试了多个入口点。 “发现漏洞大约用了一小时五十分钟。”他说。 DFAT将里格斯的名字列入了该部门的漏洞披露计划荣誉名单，正式认可了他的成就。 澳大利亚网络安全中心在2024-25财年收到了超过84,700份网络犯罪报告，企业每份报告的平均自报网络犯罪成本为80,850美元。 与此同时，国家支持的网络攻击者针对政府运营的关键基础设施和网络。 去年11月，澳大利亚政府对两家俄罗斯服务提供商（Media Land LLC和ML. Cloud LLC）实施制裁，原因是它们为恶意网络行为者和网络犯罪分子提供了勒索软件基础设施。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 昨日，美国对委内瑞拉发动 “大规模军事打击”，抓获委内瑞拉总统尼古拉斯・马杜罗及其夫人，目前二人已被押解至美国纽约，面临联邦指控。特朗普暗示，美国动用了网络攻击及其他技术手段切断了当地电力供应。 互联网监测机构NetBlocks在Mastodon上发文称：“已确认：监测数据显示，委内瑞拉加拉加斯部分地区的互联网连接中断，时间点与美国军事行动期间的停电情况吻合。此次行动对首都实施了打击，并将马杜罗总统拘捕带离委内瑞拉。” 据美国政治新闻网POLITICO报道：“唐纳德・特朗普总统表示，在对委内瑞拉首都加拉加斯发起军事打击、抓获委内瑞拉总统尼古拉斯・马杜罗的行动中，美方动用了网络攻击或其他技术手段切断了当地电力供应。”若该消息属实，这将是美国网络作战力量少有的一次公开实战应用。 特朗普在海湖庄园举行的新闻发布会上详述此次行动时称：“当时的加拉加斯一片漆黑，全城电力基本中断，这正是我们技术优势的体现。那是一个黑暗之夜，也是一场致命行动。” Tor的监测数据可以呈现，美军军事行动期间，委内瑞拉境内使用该匿名网络的用户数量是否出现显著变化。下图数据显示，该国 Tor 网络用户量出现急剧攀升。 委内瑞拉 Tor 用户数量的激增，是社会陷入严重政治与信息危机的典型信号。当民众意识到常规网络渠道已不再安全可靠时，便会转向具备匿名性、抗审查能力的工具，以此突破本土信息壁垒。 此次事件后，多重因素共同推动了这一趋势。 首先，有报道称社交媒体、即时通讯软件及独立新闻网站遭遇封锁、限流或选择性屏蔽，民众被迫使用 Tor 绕过网络过滤，获取境外媒体、非政府组织及流亡群体发布的信息。 其次，随着压制力度不断升级，活动人士、记者及普通民众愈发担忧自身网络浏览与通讯内容遭到监控。Tor 能够隐藏用户 IP 地址，并通过多节点中继传输网络数据，成为少数能保障用户安全组织活动、披露证据，甚至只是安全浏览新闻的工具。 最后，面对当局的网络管控，海外侨民网络与数字权利组织通常会迅速行动，推广 Tor 等工具并发布使用指南，一旦形成传播规模，用户数量便会出现爆发式增长。 图表呈现的趋势显示，前期使用量量平稳波动，后期突然跃升至此前基准线的数倍，与其他危机事件中的情况高度吻合，例如部分国家爆发大规模抗议活动或选举后动荡，当局随即实施网络管控时。这一变化并非临时性技术故障，而是民众网络行为的根本性转变：数万委内瑞拉人试图在常规网络渠道风险高企的当下，重新掌控自身的网络浏览、言论表达与信息分享权利。 值得一提的是，2025年12 月中旬，委内瑞拉国家石油公司PDVSA曾遭遇网络攻击，其石油出口业务一度受扰。该公司当时宣称，此次攻击仅波及部分行政系统，未对生产运营造成实质影响。 委内瑞拉国家石油公司强调，其安全防护机制有效避免了供应链及出口业务中断，并将此次网络攻击定性为一次蓄意挑衅，直指美方试图通过网络手段夺取委内瑞拉石油资源。该油气企业明确指控，美国政府是此次网络攻击的幕后黑手。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 索赔管理公司Sedgwick证实，其专注于政府业务的子公司正在处理一起网络安全事件。 在新年前夕，TridentLocker勒索软件团伙声称攻击了Sedgwick政府解决方案公司，并窃取了3.4千兆字节的数据。 Sedgwick的一位发言人证实，公司目前正在处理该子公司的一起安全事件。该子公司为国土安全部、移民和海关执法局、海关和边境保护局、公民及移民服务局、劳工部以及网络安全和基础设施安全局等联邦机构提供索赔和风险管理服务。 该发言人称：”在发现该事件后，我们立即启动了事件响应预案，并通过外部法律顾问聘请了外部网络安全专家，协助对受影响的隔离文件传输系统进行调查。” “重要的是，Sedgwick政府解决方案公司的系统与公司其他业务系统是隔离的，更广泛的Sedgwick系统或数据未受影响。此外，没有证据表明索赔管理服务器被访问，Sedgwick政府解决方案公司为客户提供服务的能力也未受影响。” 公司已通知执法部门，并正在就此事与客户保持沟通。 网络安全和基础设施安全局与国土安全部没有回应置评请求。该公司还为美国所有50个州的市政机构以及史密森尼学会和纽约与新泽西港务局提供服务。 网络安全专家表示，TridentLocker是一个于2023年11月新出现的勒索软件团伙。该团伙此前曾声称对比利时邮政与包裹服务公司bpost的攻击负责，bpost已证实近期遭遇了数据泄露。 自出现以来，该团伙在其数据泄露网站上总共列出了12个受害者。 勒索软件团伙曾多次针对像Sedgwick这样的联邦政府承包商。一年前，知名政府承包商Conduent遭受攻击后，超过1000万人的信息被泄露。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月，与伊朗有关的黑客组织Handala声称，已完全入侵了两名以色列政要的移动设备。 然而，Kela网络情报研究人员的详细分析揭示，实际入侵范围更有限——攻击目标是特定的Telegram账户，而非完全获取设备访问权限。 该组织声称，在”章鱼行动”中入侵了前总理纳夫塔利·贝内特的iPhone 13，并泄露了联系人列表、照片、视频以及约1900条聊天记录。 此后不久，他们声称以类似方式访问了以色列参谋长察希·布拉弗曼的设备。尽管这些声称十分惊人，但实际的入侵暴露了账户安全方面的严重漏洞，而非设备层面的入侵。 Kela的分析师对泄露的材料进行了取证检查，发现大多数被曝光的对话是Telegram在同步过程中自动生成的空联系人卡片。 只有大约40个对话包含实际消息，其中显示实质性交流的对话更少。所有被曝光的联系人都链接到活跃的Telegram账户，证实数据来源于Telegram本身。 Kela的研究人员和分析师指出，该事件凸显了会话管理和账户安全实践中的严重漏洞，即使在加密消息平台上也是如此。 了解感染和账户接管机制可以揭示Handala是如何在没有完全设备访问权限的情况下入侵这些账户的。 该组织可能采用了多种攻击向量，包括SIM卡交换攻击——攻击者控制受害者的电话号码以接收登录验证码。 他们也可能利用电信基础设施中SS7协议的漏洞，在网络层面拦截短信。此外，Handala可能使用了复杂的钓鱼活动，通过虚假登录页面或恶意二维码窃取一次性密码。 会话劫持是另一种可能的攻击向量，即攻击者从Telegram Desktop复制tdata文件夹——该认证文件包含活跃会话数据，当在其他地方恢复时，可绕过一次性密码和多因素认证，提供完整的账户访问权限。 该组织的操作手法还包括通过多种技术获取一次性验证码：通过语音通话触发验证、利用未更改的默认PIN码从语音信箱提取验证码，或冒充Telegram支持人员，通过社会工程手段诱使工作人员泄露凭据。 Telegram的默认设置显著放大了这些风险。云密码功能是可选的，且默认禁用，这意味着仅凭一次性密码即可获得完整的账户访问权限。 标准聊天缺乏端到端加密，数据以云聊天的形式存储在Telegram服务器上，而非本地存储，这大大扩展了攻击面。 Handala最早于2023年12月出现，在多个网络犯罪论坛建立存在，并运营多个Telegram频道和社交媒体账户。 他们的行动主要针对以色列公司和组织，一贯在其活动中表现出对伊朗和巴勒斯坦事业的支持，这表明其具有国家支持或亲国家的动机。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 5 月，Covenant Health遭遇Qilin勒索软件团伙攻击，导致超过 47.8 万名个人的数据安全受到影响。 总部位于马萨诸塞州安多弗市的Covenant Health, Inc.是一家提供医疗服务和患者护理的医疗机构，其运营的医院、诊所及相关医疗设施遍布多个州，包括马萨诸塞州、缅因州、新罕布什尔州、宾夕法尼亚州和佛蒙特州。 该机构的网络攻击始于 2025 年 5 月 26 日，导致旗下多家医院、诊所及医疗网点的系统被迫关闭。起初，尚不清楚是否存在数据被盗或勒索软件植入情况，Covenant Health随即聘请顶尖网络安全专家遏制事件影响并展开调查。尽管部分系统和门诊实验室受到波及，但医疗服务仍基本未中断，新罕布什尔州的圣约瑟夫医院及缅因州的两家医院也受到了此次攻击的影响，院方建议患者按原计划就诊。 目前，该医疗机构已通知相关用户，其个人信息和健康数据可能因 2025 年 5 月 18 日发生的网络攻击而泄露。 Covenant Health曾在 7 月报告称，有 7800 人受到此次数据泄露事件影响，但在 2025 年 12 月更新数据显示，受影响总人数已达 478188 人。 提交给缅因州总检察长办公室的数据泄露通知中写道：“2025 年 12 月 31 日，圣约健康公司已根据《健康保险流通与责任法案》（45 CFR § 164.404）及《缅因州修订法规》第 10 篇第 1348 条规定，向可能受影响的患者（包括缅因州居民）邮寄了通知函（随附通知函样本）。对于社会保障号码可能涉及此次泄露的马萨诸塞州居民，圣约健康公司将提供免费的信用监控和身份保护服务。”“同时，圣约健康公司已设立专属免费呼叫中心，解答与该事件相关的咨询。我们已加强信息技术环境的安全性，以防止此类事件再次发生。” 此次泄露的数据包括患者姓名、出生日期、住址、社会保障号码（SSN）、病历编号、健康保险信息，以及诊疗相关信息（如诊断结果、诊疗日期和治疗类型等）。 2025 年 6 月，Qilin勒索软件团伙宣布对该起攻击负责，并声称窃取了 850GB 的敏感数据。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 在发布的报告中称：“2025 年圣诞假期期间，GreyNoise 监测到一场针对 Adobe ColdFusion 服务器的协同漏洞利用攻击活动。此次攻击似乎由单一威胁行为者发起，其使用的基础设施位于日本（归属 CTG Server Limited 公司）。该攻击源贡献了约 98% 的攻击流量，系统性地利用了 2023 – 2024 年间披露的 10 余个 ColdFusion 相关 CVE 漏洞。” 这名单一威胁行为者借助日本的基础设施，产生了约 98% 的攻击流量，且利用了 2023 – 2024 年间的 10 余个 ColdFusion CVE 漏洞。攻击采用 ProjectDiscovery Interactsh 工具进行带外验证，主要攻击向量为 JNDI/LDAP 注入。大部分攻击活动发生在圣诞节当天，这一刻意选择的时间点，显然是为了利用假期期间安全监控力度减弱的漏洞。 研究人员共监测到 5940 条利用 2023 – 2024 年间 ColdFusion 漏洞的恶意请求，攻击峰值出现在 12 月 25 日。 这些请求的攻击目标主要集中在美国（4044 次）、西班牙（753 次）和印度（128 次）的服务器。 GreyNoise 已锁定该主导威胁行为者所使用的两个 IP 地址（134.122.136 [.] 119、134.122.136 [.] 96），这两个 IP 均由 CTG Server Limited 公司（自治系统编号 AS152194）托管，几乎所有已监测到的 ColdFusion 漏洞利用流量都来自这两个 IP。它们占总请求量的 98% 以上，在多数情况下同步运作，共享 Interactsh 会话，展现出自动化、协同化的行为特征，会循环使用多种攻击类型。少量攻击活动来自加拿大、印度、美国及 Cloudflare 网络中的其他几个次要 IP。CTG Server Limited 是一家在香港注册的服务商，其 IP 地址资源近期增长迅速，且此前就与钓鱼攻击、垃圾邮件、伪造路由以及薄弱的滥用行为管控存在关联，这使其作为 “纵容性托管环境” 的角色引发担忧。 以下是此次攻击所针对的 ColdFusion 漏洞清单： 分析表明，此次 ColdFusion 相关攻击活动，仅占这两个 IP 所发起的大规模漏洞扫描活动的约 0.2%。总体而言，该操作共产生超过 250 万条请求，针对 2001 – 2025 年间披露的 767 个 CVE 漏洞，涉及 1200 余种攻击特征码，以及数千个独特指纹和带外应用安全测试（OAST）域名。 该攻击活动以侦察为主要目的，随后开展漏洞利用、本地文件包含（LFI）及远程代码执行（RCE）尝试。攻击目标涵盖 47 余种技术栈，包括 Java 应用服务器、Web 框架、内容管理系统（CMS）平台、网络设备及企业级软件。从活动规模、覆盖漏洞的广度以及自动化特征来看，这是一场系统性、基于模板的侦察行动，覆盖了全球范围内的漏洞环境。 专家已发布此次攻击活动的入侵指标（IOC），供相关方参考防御。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ShadyPanda和GhostPoster背后的威胁行为体，目前被确认与第三项攻击活动有关，该活动代号为DarkSpectre，已影响了Google Chrome、Microsoft Edge和Mozilla Firefox的220万用户。 此活动经评估系一个中国威胁行为者所为，Koi Security以代号DarkSpectre对其进行追踪。总体而言，这三项活动在超过七年的时间里，总共影响了超过880万用户。 本月初，网络安全公司Koi Security首次揭露了ShadyPanda活动，该活动针对所有三种浏览器的用户，以促进数据窃取、搜索查询劫持和联盟欺诈。据发现，它影响了560万用户，其中包括130万新发现的受害者，这些受害者源自被标记为属于同一集群的100多个扩展程序。 这还包括一个名为”New Tab – Customized Dashboard”的Edge插件，该插件包含一个逻辑炸弹，在触发其恶意行为前会等待三天。这种延时激活的企图是为了在审查期间给人以合法的印象，从而获得批准。 其中9个扩展目前处于活跃状态，另有85个是”休眠潜伏者”，它们目前是良性的，旨在吸引用户基础，然后通过恶意更新将其武器化。Koi表示，在某些情况下，恶意更新是在扩展存在超过五年后才引入的。 第二项活动GhostPoster主要针对Firefox用户，通过看似无害的实用工具和VPN工具向他们投放恶意JavaScript代码，旨在劫持联盟链接、注入跟踪代码以及实施点击和广告欺诈。对此活动的进一步调查发现了更多浏览器插件，包括一个用于Opera的Google Translate扩展（开发者”charliesmithbons”），其安装量接近一百万。 最近的发现，”The Zoom Stealer”（Zoom窃取者），是DarkSpectre发起的第三次此类活动，其使用一组横跨Chrome、Edge和Firefox的18个扩展程序，通过收集在线会议相关数据（如包含密码的会议URL、会议ID、主题、描述、预定时间、注册状态等）来协助企业情报搜集。 已识别的扩展及其对应ID列表如下： Google Chrome: Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp) ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep) X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha) Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga) Zoom.us Always Show “Join From Web” (aedgpiecagcpmehhelbibfbgpfiafdkm) Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf) CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo) GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme) Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai) Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn) Mute All on Meet (adjoknoacleghaejlggocbakidkoifle) Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj) Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn) Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl) Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi) Microsoft Edge: Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj) Mozilla Firefox: Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, 发布者：”invaliddejavu”) x-video-downloader (xtwitterdownloader@benimaddonum.com, 发布者：”invaliddejavu”) 正如扩展名称所示，其中大多数被设计成模仿面向企业的视频会议应用工具（如Google Meet、Zoom和GoTo Webinar），通过WebSocket连接实时外泄会议链接、凭据和参与者列表。 每当用户通过安装了这些扩展之一的浏览器访问网络研讨会注册页面时，它还能收集关于网络研讨会演讲者和主持人的详细信息，例如姓名、职位、简介、个人资料照片、公司关联信息，以及徽标、宣传图片和会话元数据。 研究发现，这些插件会请求访问超过28个视频会议平台，包括Cisco WebEx、Google Meet、GoTo Webinar、Microsoft Teams、Zoom等，无论它们是否真的需要这些访问权限。 研究人员Tuval Admoni和Gal Hachamov表示：”这不是消费者欺诈——这是企业间谍基础设施。’Zoom窃取者’代表着更具针对性的东西：对企业会议情报的系统性收集。用户得到了广告宣传的功能。这些扩展赢得了信任和正面评价。与此同时，监控在后台悄然运行。” 网络安全公司表示，收集到的信息可能被用来推动企业间谍活动（将数据出售给其他不良行为者），并支持社会工程和大规模冒充行动。 此活动与中国相关联的线索基于以下几点：持续使用托管在阿里云上的命令与控制（C2）服务器；与中国省份（如湖北）相关的互联网内容提供商（ICP）备案；包含中文字符串和注释的代码工件；以及专门针对京东、淘宝等中国电子商务平台的欺诈计划。 Koi表示：”DarkSpectre现在很可能部署了更多的基础设施——那些看起来完全合法的扩展，因为它们目前确实是合法的。它们仍处于建立信任的阶段，积累用户、获得徽章、等待时机。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文