HackerNews 编译，转载请注明出处： Transparent Tribe的威胁行为体近期发起了一系列新的攻击，针对印度政府、学术和战略实体部署远程访问木马，以获取对受感染主机的持久控制权。 网络安全公司CYFIRMA在一份技术报告中表示：“该攻击活动采用欺骗性投递技术，包括一个伪装成合法PDF文档的武器化Windows快捷方式文件，其中嵌入了完整的PDF内容以规避用户怀疑。” Transparent Tribe是一个已知对印度组织实施网络间谍活动的黑客组织。据评估，这个具有国家背景的对手源自巴基斯坦，至少自2013年以来一直活跃。 该威胁行为体拥有不断演进的RAT武器库以实现其目标。Transparent Tribe近年来使用的木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT。 最近的攻击始于一封鱼叉式钓鱼邮件，内含一个包含伪装成PDF的LNK文件的ZIP压缩包。打开该文件会触发使用”mshta.exe”执行远程HTML应用程序（HTA）脚本，该脚本会解密并将最终的RAT载荷直接加载到内存中。同时，HTA会下载并打开一个诱饵PDF文档，以免引起用户怀疑。 CYFIRMA指出：“建立解码逻辑后，HTA利用ActiveX对象与Windows环境交互。这种行为展示了环境分析和运行时操纵，确保了与目标系统的兼容性，并提高了执行可靠性——这些是滥用’mshta.exe’的恶意软件中常见的技术。” 该恶意软件的一个显著特点是能够根据受感染机器上安装的防病毒软件调整其持久化方法： 如果检测到卡巴斯基（Kapsersky），它会在”C:\Users\Public\core”下创建工作目录，将经过混淆的HTA有效载荷写入磁盘，并通过在Windows启动文件夹中投放一个LNK文件来建立持久性，该LNK文件进而使用”mshta.exe”启动HTA脚本。 如果检测到Quick Heal，它通过创建批处理文件和恶意LNK文件在Windows启动文件夹中建立持久性，将HTA有效载荷写入磁盘，然后使用批处理脚本调用它。 如果检测到Avast、AVG或Avira，它通过直接将有效载荷复制到启动目录并执行来工作。 如果未检测到可识别的防病毒解决方案，则回退到结合使用批处理文件执行、基于注册表的持久化以及载荷部署，然后再启动批处理脚本。 第二个HTA文件包含一个名为”iinneldc.dll”的DLL，该DLL充当功能齐全的RAT，支持远程系统控制、文件管理、数据窃取、屏幕截图捕获、剪贴板操纵和进程控制。 该网络安全公司表示：“Transparent Tribe仍然是一个高度持久且战略驱动的网络间谍威胁，持续专注于针对印度政府实体、教育机构和其他具有战略意义的部门进行情报收集。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球仍有超过10,000台Fortinet防火墙存在CVE-2020-12812漏洞，这是一个在五年半前披露的多因素身份认证绕过漏洞. Shadowserver近期将该问题纳入其每日”易受攻击HTTP服务报告”，表明该漏洞仍遭活跃利用，相关设备的暴露风险持续存在。 CVE-2020-12812源于FortiOS SSL VPN门户中的身份验证不当问题，影响版本6.4.0、6.2.0至6.2.3以及6.0.9及更早版本。攻击者只需在登录时更改合法用户名的大小写（例如将”user”改为”User”），即可绕过第二重身份验证因子（通常是FortiToken）。 这一漏洞的成因是大小写敏感性不匹配：FortiGate将本地用户名视为大小写敏感，而轻型目录访问协议服务器通常忽略大小写，使得攻击者可通过群组成员身份完成认证，无需触发多因素认证。 该漏洞的 CVSS v3.1 基础评分为 7.5（高危），具备网络可访问性、低攻击复杂度特点，可能对数据机密性、完整性和系统可用性造成影响。2021 年，勒索软件攻击者利用该漏洞实施攻击后，其被纳入美国网络安全与基础设施安全局的已知被利用漏洞目录。 近期攻击活动 2025年12月，Fortinet发布产品安全事件响应团队公告，详细说明该漏洞在野外的 “近期滥用情况”，且与特定配置相关：启用了MFA的本地FortiGate用户，关联到LDAP，并且属于映射到SSL VPN、IPsec或管理员访问身份验证策略的LDAP组。威胁行为者利用此漏洞获得未经授权的内部网络访问权限，促使Fortinet敦促立即进行检查和修补。 Shadowserver的扫描证实了该漏洞的持续性，其针对暴露端口上的易受攻击HTTP服务进行扫描。 Shadowserver的仪表盘显示，截至 2026 年 1 月初，存在该漏洞的设备数量超 10,000 台。世界地图可视化数据显示，漏洞暴露密集区域集中在北美、东亚和欧洲，非洲及南美洲部分地区的暴露程度相对较低。 Fortinet建议用户升级至修复后的 FortiOS 版本（6.0.10 及以上、6.2.4 及以上、6.4.1 及以上），并验证配置以避免本地 – LDAP 混合多因素认证部署模式。 同时，应禁用非必要的 SSL VPN 暴露面，执行最小权限原则，并监控日志中是否存在大小写变体登录尝试。企业应订阅影子服务器基金会的报告以获取定制化警报，并及时运行其易受攻击HTTP扫描。 这种持续存在的威胁凸显了企业防火墙中遗留漏洞带来的风险，这些漏洞可能为勒索软件攻击提供便利，或在被入侵的网络内实现横向移动。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场规模空前的网络侧录攻击席卷全球网络，专门针对网购用户及账户注册用户发起攻击。安全研究人员发现，这场全球性攻击行动动用了 50 多个恶意脚本，在用户支付结账与账户注册环节拦截敏感信息，标志着网络犯罪分子攻击电商平台的手段已大幅升级 —— 从单纯窃取信用卡信息，演变为窃取用户完整身份信息。 一、攻击核心特征与技术手段 模块化定制负载：攻击者针对 Stripe、Mollie、PagSeguro、OnePay、PayPal 等主流支付网关开发专属恶意程序模块，使恶意代码能与合法支付界面完美融合，大幅降低安全团队与用户的检测难度。 伪装域名与传播网络：Source Defense Research查明攻击者搭建了复杂的域名网络用于分发和控制攻击，如googlemanageranalytic.com、gtm-analyticsdn.com、jquery-stupify.com等域名均伪装成常用分析工具或脚本库，以规避怀疑。 多元攻击向量与反取证 注入虚假支付表单，构建逼真钓鱼界面；采用静默侧录技术，在用户输入时秘密记录信息。 内置隐藏表单输入、生成符合卢恩算法的无效信用卡号等反取证手段，阻碍事件响应与分析。 攻击目标全面升级：不再局限于信用卡信息，还主动窃取用户登录凭证、个人身份信息与邮箱地址，进而发起账户劫持攻击，通过创建恶意管理员账户获取长期控制权，实现从单纯盗刷到全面身份盗用的转变。 二、攻击影响与持久化机制 该攻击已发展为成熟的长期驻留攻击模式：攻击者窃取凭证并获取管理员权限后，可长期控制受影响网站，持续从各类交易流程中窃取数据。对电商企业而言，此类攻击不仅会造成用户数据泄露，还可能因长期数据窃取导致巨额经济损失与声誉崩塌。 三、防御建议 电商平台运营方需强化客户端安全防护，具体措施包括： 部署内容安全策略（CSP），限制脚本执行权限。 实施实时支付表单监控，提前拦截恶意注入代码。 加强第三方脚本审计，采用子资源完整性（SRI）验证机制，确保外部脚本来源可信。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 30 日消息，节日期间两所法国高校遭遇网络攻击，数千名学生的数据据称已被窃取。里尔大学与格勒诺布尔高等管理学院本周成为攻击目标，其校名于 12 月 29 日出现在某臭名昭著的黑客论坛上，或致数千名学生信息面临泄露风险。这波攻击使本就遭遇内政部网络攻击、正处于网络安全修复期的法国雪上加霜，同时也呼应了美国多所顶尖高校今年频发的网络安全事件。 一、两所院校数据泄露详情 格勒诺布尔高等管理学院 网名为 CZX 的攻击者称于 11 月入侵该校系统，窃取 1.35GB 数据，波及超 40 万人（该校实际在校学生 7000 余人，数据含学生及外部订阅者信息）。 泄露数据包括姓名、邮箱、电话、住址、学术与职业背景、活动参与情况、订阅偏好、IP 地址等，来源疑似学校客户关系管理或营销系统。该攻击者此前也曾宣称入侵过其他法国企业与机构。 里尔大学 知名黑客组织 “LAPSUS$ 团伙” 宣称入侵这所拥有 8 万余名学生的法国顶尖高校，窃取近 2000 名学生数据。 泄露信息包含学生校内身份标识（NIP）、姓名、出生日期、住址、个人及工作邮箱、电话与行政数据等。研究人员指出，出生日期与其他个人信息一同泄露，大幅提升了身份被盗用的风险。 二、黑客组织背景与攻击关联 **LAPSUS\(团伙**：今年与Scattered Spider、Shiny Hunters合并为Scattered LAPSUS$ Hunters。6 月被谷歌威胁研究人员锁定，涉嫌攻击 Salesforce 及帕洛阿尔托网络、Cloudflare 等多家知名网络安全企业，还宣称入侵过戴尔、威瑞森等公司，之后虽宣称 “达成目标” 停止活动，但研究人员认为这是其在成员被捕后进行重组的策略。 近期法国其他网络攻击事件：两周前法国内政部遭网络攻击，已确认并逮捕一名嫌疑人；11 月欧洲光纤通信公司法国分部的工单管理平台被入侵，部分客户信息被盗。 三、欧美高校网络安全态势 美国哥伦比亚大学、耶鲁大学、哈佛大学今年均遭网络攻击。10 月，黑客组织 Cl0p 利用甲骨文电子商务套件的零日漏洞入侵哈佛大学，泄露 1.4TB 数据，含校内支付系统日志、内部工具源代码等；8 月哥伦比亚大学数据泄露，波及近 90 万人；4 月耶鲁大学合作酒店集团遭勒索软件攻击，私密数据被窃。 研究人员指出，此类高校攻击多以核心个人联系信息泄露为特征，而里尔大学因泄露出生日期，其风险等级更高，学生面临身份盗窃等威胁。目前相关高校暂未回应媒体问询。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  2025 年 12 月 30 日消息，黑客已污染数百万开发者常用的 Open VSX 插件市场，植入一款可窃取加密货币、凭证及各类敏感数据的恶意软件，最新一波恶意插件仅针对 macOS 用户发起攻击。 一、恶意攻击浪潮与伪装手段 Koi Security研究人员发出警告，这已是 GlassWorm这款危险的自复制恶意软件出现的第四波攻击，其活跃时长仅两个半月。该恶意软件伪装成实用开发工具潜入 Open VSX 市场，此平台是 Visual Studio Code 及 Cursor 等多款衍生代码编辑器的开源插件市场。 攻击演进：该恶意软件于 10 月首次被发现时，主要针对 Windows 系统，而此次新变种则专门锁定苹果 macOS 用户。 伪装插件：锦鲤安全在 Open VSX 平台检测到三款恶意插件，下载量已达 5 万次，其中一款伪装成智能代码格式化插件 “Prettier Pro”，另外两款则冒充提升开发效率的工具。 攻击动机：研究人员称，黑客专挑 “有鱼的地方下钩”，macOS 是加密货币、Web3 领域及初创企业开发者的常用系统，正是该恶意软件的核心攻击目标群体。 二、玻璃蠕虫 3.0 核心特性与攻击流程 技术升级与隐匿设计 采用 AES – 256 – CBC 强加密算法，将恶意程序嵌入插件附带的 JavaScript 文件中，区别于前三个针对 Windows 版本依赖不可见 Unicode 字符和 Rust 编译二进制文件的方式。 插件安装后，恶意程序会等待 15 分钟再执行恶意代码，以此规避多数 5 分钟后就会超时的自动化沙箱环境检测。 借助索拉纳区块链发布含 Base64 编码 URL 的交易备注来控制恶意软件，这种方式难以被摧毁，无域名可供拉黑。 窃币与窃密手段 检测 Ledger Live、Trezor Suite 等硬件钱包应用，用植入木马的版本替换它们；同时可攻击 MetaMask、Phantom 等 50 多种浏览器插件与桌面钱包。 窃取 GitHub 令牌、Git 凭证等以实现自我复制；还会窃取 macOS 钥匙串密码、数据库文件、VPN 配置等敏感数据。 顽固攻击特征：第四波攻击沿用此前的基础设施（主控制服务器 IP 为 45.32.151.157），且所有恶意功能均正常运行，研究人员预测第五波攻击大概率会接踵而至。 三、安全警示与应对建议 研究人员指出，攻击者会快速借鉴安全研究成果并更新攻击手段，基于区块链的控制基础设施让传统特征码检测与域名拉黑策略失效。开发者可通过以下方式降低风险： 仅从可信来源安装 Open VSX 插件，安装前核查插件开发者背景与用户评价。 及时轮换 GitHub、NPM 等平台的令牌，定期备份 SSH 密钥并限制其权限。 启用硬件钱包二次验证，定期清理浏览器扩展与桌面钱包中的敏感数据。 若发现恶意或存在漏洞的插件，可通过邮箱 openvsx@eclipse – foundation.org向 Open VSX 平台举报。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  2025 年 12 月 30 日消息，两款经谷歌 “精选” 认证的 Chrome 浏览器插件被爆出暗中窃取用户在 ChatGPT 与DeepSeek平台的对话记录，目前累计安装量已超 90 万。 该恶意软件攻击活动潜藏于 Chrome 网上应用店，涉事插件伪装成 AITOPIA 公司开发的合法侧边栏工具，宣称可在任意网站添加侧边栏以实现大语言模型对话功能。网络安全公司 OX Security 研究人员发现，这些插件虽功能正常，却内置间谍程序。 涉事插件与窃取行为 Chat GPT for Chrome with GPT – 5, Claude Sonnet & DeepSeek AI：安装量超 60 万，带有谷歌 “精选” 标识。 AI Sidebar with Deepseek, ChatGPT, Claude, and more：安装量超 30 万。 插件安装后，每 30 分钟就会窃取一次用户与 ChatGPT、深度求索的对话记录及浏览行为数据，并向外传输。研究人员指出，AI 对话常包含专有代码、个人信息等敏感内容，这些数据可能被用于企业间谍活动、身份盗窃、定向钓鱼攻击，或在暗网交易，企业员工安装后可能泄露知识产权与商业机密。 处置进展与安全提醒 OX 团队已向谷歌通报情况，但截至 12 月 30 日，谷歌响应团队仍在审查，涉事插件尚未下架。研究人员呼吁用户立即卸载相关插件，并提醒安装插件时需谨慎，即便带有 “精选” 标识，非可信来源插件也存在风险。 这并非 Chrome 商店首次出现功能性插件窃取数据事件，此前曾有一款安装量超 600 万、评分 4.7 星且获 “精选” 认证的插件被发现窃取 AI 对话内容。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一、变种发现与溯源 Aikido 恶意软件研究员查理・埃里克森于发现 30 分钟后发布报告称，该变种虽与前两版差异明显，但可确定攻击者掌握原始蠕虫源代码，且对代码重新混淆处理，排除模仿攻击可能。沙虫攻击始于 8 月针对 nx 包的 S1ngularity 行动，首波攻击 9 月 16 日爆发，11 月 24 日出现 2.0 版本 “再临” 攻击。 二、攻击机制与危害 沙虫区别于传统恶意包，直接嵌入开发者工作流，目标窃取开发环境敏感凭证： 安装时执行，扫描开发机与 CI/CD 环境密钥； 将被盗凭证上传至公开 GitHub 仓库； 利用凭证进一步入侵更多 npm 包。 首波攻击曾影响超 500 个常用 npm 包与数万个 GitHub 仓库，促使 GitHub 收紧包发布认证机制。第二波则利用漏洞披露至强制可信发布迁移的窗口期发动。 三、3.0 变种新特征与漏洞 结构与隐匿升级 重构文件结构，重命名安装器与载荷组件； 改用新 GitHub 仓库描述防字符串检测； 新增 5 类泄露文件名，聚焦环境变量、云凭证等； 移除 “失效开关”，优化错误处理，适配 Windows 系统，调整数据收集顺序。 致命漏洞 代码存在文件名错误，本应读取c0nt3nts.json，却错误保存为c9nt3nts.json，导致功能异常。 四、行业警示与防护建议 漏洞管理公司 Mondoo 首席安全官帕特里克・芒奇指出，沙虫 3.0 是 “无差别攻击武器”，其快速迭代凸显供应链仍是攻击重灾区，类似高影响攻击将增多。美国网络安全与基础设施安全局等机构已发布预警。 防护建议： 排查受影响包，轮换环境密钥； 监控 GitHub 新描述仓库，限制 npm 安装生命周期脚本； 启用发布流程多因素认证与范围令牌。 埃里克森强调，事件仍在进展中，需持续关注动态。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国电商巨头Coupang宣布，将出资约 11.7 亿美元（约合 1.685 万亿韩元），以购物代金券形式补偿 3370 万名受近期数据泄露事件影响的用户。 Coupang在新闻稿中表示：“公司计划于明年 1 月 15 日起，向 11 月末接到个人信息泄露通知的 3370 万账户用户发放总价值 1.685 万亿韩元的购物代金券。Coupang会员与普通会员将获得同等补偿，此前接获通知后注销账户的用户也包含在内。公司将通过短信逐步通知所有 3370 万账户用户代金券兑换流程。” Coupang素有 “韩国亚马逊” 之称，是韩国头部电商及物流平台。该公司 2024 年营收约 303 亿美元，2025 年第三季度净收入达 93 亿美元，同比增长 18%；全球员工约 6 万 – 6.5 万人，活跃用户约 2470 万。 12 月初，Coupang披露这起大规模数据泄露事件，影响持续超 5 个月。公司 11 月 18 日最初监测到 4500 个账户遭未授权访问，后续调查确认韩国地区约 3370 万个用户账户受影响，泄露信息包括姓名、邮箱、手机号、配送地址及部分订单记录，但支付数据、信用卡号、登录凭证等敏感信息未遭泄露。 Coupang称，此次泄露始于 2025 年 6 月 24 日，攻击者通过境外服务器非法入侵。事发后，公司阻断了攻击路径、强化内部监控，并聘请顶级独立安全机构专家协助调查。韩国副总理兼科学技术信息通信部长官裴京勋在首尔紧急召集政府核心官员召开会议。 Coupang已向美国证券交易委员会通报其涉案情况。Coupang创始人兼董事长金范锡宣布，所有被盗数据已全部追回，嫌疑人的存储设备也已被缴获。 Coupang韩国临时首席执行官哈罗德・罗杰斯表示：“每位受影响用户将获得四张总价值 5 万韩元的代金券，可在全平台通用。用户自 1 月 15 日起可在Coupang App 中查询领取资格。” 他还称：“此次事件将成为Coupang践行‘以客户为中心’理念、切实履行责任的契机，助力公司转型为用户信赖的企业。我再次向所有用户致以诚挚歉意。” 此次数据泄露是韩国近期多起网络安全事件之一。Coupang此前也曾多次遭遇安全事故，包括 2020-2021 年期间用户及配送员信息泄露，以及 2023 年 12 月发生的影响超 2.2 万名用户的数据泄露事件。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名立陶宛籍男子因涉嫌传播一款基于 KMSAuto 的剪贴板窃密恶意软件被捕，该恶意程序已感染全球约 280 万台 Windows 及 Office 系统设备。 这名 29 岁男子在国际刑警组织协调下，由格鲁吉亚引渡至韩国。韩方当局表示，该男子对盗版激活工具 KMSAuto 进行木马化改造，植入剪贴板窃密恶意程序。这款恶意软件会暗中监控受害者剪贴板中的加密货币钱包地址，并将其替换为攻击者控制的钱包地址，在用户毫无察觉的情况下劫持加密货币转账交易。 韩国警察厅指出，嫌疑人将恶意程序捆绑在 KMSAuto 工具中，诱导用户下载运行。这类专门窃取剪贴板中加密货币地址的恶意程序被称为剪贴板窃密器。 警方发布的新闻稿显示：“2020 年 4 月至 2023 年 1 月期间，嫌疑人以盗版 Windows 激活工具 KMSAuto 为伪装，在全球范围内传播该恶意软件，下载量累计约达 280 万次，韩国境内也出现感染案例。” 调查数据显示，共有 3100 个加密货币钱包地址遭到篡改，涉及 8400 笔交易，被盗虚拟资产价值约合 17 亿韩元；韩国境内已确认 8 名受害者，累计损失约 1600 万韩元。 案件的调查始于 2020 年 8 月。当时一名受害者在进行加密货币转账时，恶意软件自动将目标钱包地址替换为黑客地址，导致其价值约 1200 万韩元的 1 枚比特币被盗，而该用户的感染源正是从网上下载的盗版激活工具 KMSAuto。经深入侦查，警方发现这是一起针对 6 个国家的交易所及企业发起的大规模跨国网络犯罪，随即追踪非法加密货币资金流向，最终锁定这名立陶宛籍嫌疑人。在国际合作伙伴协助下，警方查获嫌疑人相关设备，通过国际刑警组织发布红色通缉令，并于格鲁吉亚将其抓获。 韩国警察厅网络调查局局长朴宇铉表示：“为防范恶意程序造成各类危害，民众需警惕来源不明的软件程序。未来，警方将与全球各国执法机构开展合作，通过引渡等手段，对这类无国界网络犯罪进行严厉打击。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两名网络安全从业人员上周认罪，他们此前受业已解散的 “阿尔法 HV / 黑猫” 网络犯罪组织指使，发起多起勒索软件攻击，相关行为已构成犯罪。 瑞安・戈德堡与凯文・马丁均承认一项 “合谋以勒索手段妨碍商业活动” 罪名，最高可面临 20 年监禁，二人的量刑听证会定于 3 月 12 日举行。 40 岁的戈德堡来自佐治亚州，曾任职于网络安全事件响应公司西格尼亚；36 岁的马丁来自得克萨斯州，曾是数字铸币公司的勒索软件谈判专家。两人于三个月前被提起公诉，戈德堡于 9 月 22 日被捕，马丁则在 10 月 14 日落网。 法庭文件显示，2023 年 4 月至 12 月期间，二人与另一名未公开身份的同伙联手，借助 “阿尔法 HV / 黑猫” 勒索软件对多家机构发动攻击 —— 他们利用自身在网络安全事件响应领域的职务便利，向多名受害者实施勒索。 检察官透露，受害者包括佛罗里达州一家医疗企业、马里兰州一家制药公司、加利福尼亚州一家诊所、弗吉尼亚州一家无人机企业以及加利福尼亚州一家工程公司。 起诉书指出，三人发起的攻击导致诊所的患者照片被窃取，并被发布在该勒索软件团伙的泄密网站上。 两人从佛罗里达州那家医疗企业勒索得约 120 万美元，并将其中 20% 上交 “阿尔法 HV” 组织管理人员，其余攻击均未得逞。据悉，戈德堡在接受联邦调查局问话 10 天后，便于 6 月与其妻子购买了飞往巴黎的单程机票。 美国司法部助理部长泰森・杜瓦表示：“这两人利用自身精湛的网络安全专业能力实施勒索软件攻击，而这类犯罪本应是他们职责所在、全力阻止的行为。” 美国联邦检察官贾森・雷丁・基尼奥内斯补充道：“戈德堡与马丁利用受信任的权限和技术能力，对美国受害者实施勒索，从数字胁迫行为中牟利。” 数字铸币公司发表声明称，对马丁的行为予以强烈谴责，其行为均是 “在公司毫不知情、未获许可且未参与的情况下擅自实施”。 声明指出：“他的行为严重违背公司价值观与道德准则。调查期间，我们全程配合美国司法部的工作，并支持这一判决结果，认为这是追究责任的关键一步。” 西格尼亚公司此前向Recorded Future News透露，公司得知相关情况后，立即解雇了戈德堡。 该公司于 11 月表示：“尽管西格尼亚并非本次调查对象，但我们正与联邦调查局保持密切合作。” 由于案件属于正在进行的联邦调查，公司暂无法提供更多信息。 “阿尔法 HV / 黑猫” 曾是业内极为猖獗的勒索软件团伙，2024 年遭执法部门打击后宣告解散。该团伙曾对拉斯维加斯最大酒店、某市值数十亿美元的房地产巨头发动破坏性攻击，后续又通过勒索软件摧毁了联合健康集团的核心系统，最终选择关闭运营。 美国司法部称，该团伙通过 “勒索软件即服务” 模式，在全球范围内攻击了超 1000 名受害者。联邦调查局为此研发了解密工具，据称帮助受害者避免了 9900 万美元的赎金损失。 戈德堡与马丁的案件，让网络保险及勒索软件谈判行业再次陷入舆论焦点。该行业长期以来饱受诟病，其与网络犯罪团伙的复杂互动关系以及在网络安全事件中的应对策略，一直存在较大争议。 联邦调查局特工负责人布雷特・斯基尔斯提醒：“机构在委托第三方处理勒索软件事件响应时，应开展尽职调查；发现可疑或违规行为需及时举报；一旦遭遇勒索软件攻击，应立即向联邦调查局及其他执法伙伴报告，以保障自身的安全与隐私。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文