HackerNews 编译，转载请注明出处： Trust Wallet 官方证实，12 月 24 日发布的 Chrome 扩展程序更新被植入恶意代码，已造成约 700 万美元的加密资产失窃。 币安创始人赵长鹏（CZ）在 X 平台发文称：“截至目前，此次攻击已影响约 700 万美元。Trust Wallet 将全额赔付，用户资金 SAFU。对造成的不便深表歉意。”“团队仍在调查黑客是如何提交了新版本。” 与此同时，BleepingComputer 发现攻击者趁火打劫，注册钓鱼域名，假借“漏洞修复”之名继续洗劫受害用户钱包。 平安夜更新后钱包被掏空 12 月 24 日起，大量用户在社交媒体反映，刚升级 Trust Wallet Chrome 扩展后资产瞬间被转走。现已确认，这起供应链攻击至少造成 700 万美元损失。 Trust Wallet 是一款热门非托管钱包，支持移动端与 Chrome 浏览器扩展，用于管理多链资产并与 dApp 交互。 早先有用户发帖：“越来越多人抱怨，浏览器扩展一授权，钱就消失了……损失已超 200 万美元？” 安全分析师 Akinator 提醒：“在官方结论出炉前，请立即停用 Trust Wallet Chrome 扩展。” BleepingComputer 确认，Trust Wallet 于 12 月 24 日发布了 2.68.0 版本，随后钱包被盗报告激增。舆论发酵后，Trust Wallet 悄然在 Chrome 商店推送 2.69 版。 研究人员很快在 2.68.0 的打包文件 4482.js 中发现可疑代码：“新版偷偷加入了一段‘分析’代码，一旦导入助记词，就把钱包数据外发到 api.metrics-trustwallet[.]com。”该域名系事发前几天刚注册，现已无法访问。 安全研究员 Andrew Mohawk 最初持怀疑态度，最终证实该接口确实用于窃取密钥。 WHOIS 显示，metrics-trustwallet[.]com 与后续出现的钓鱼域名 fix-trustwallet[.]com 注册商相同，极可能由同一团伙操控。 官方确认安全事件 昨晚，Trust Wallet 公告承认 2.68.0 版扩展“遭遇安全事件”，呼吁用户立即升级至 2.69。对于受影响人数及具体损失，官方尚未回应媒体问询。 钓鱼网站趁火打劫 恐慌期间，多个 X 账号诱导用户访问 fix-trustwallet[.]com。该站仿冒官网，声称“修复漏洞”，实则弹窗索要助记词。一旦输入，攻击者可立即转走全部资产。 用户应立即执行以下操作 若未升级，切勿打开桌面端扩展。 在浏览器地址栏输入： chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph 关闭 Trust Wallet 扩展开关。 打开右上角“开发者模式”。 点击左上角“更新”按钮，确保版本号为 2.69。 若怀疑已泄露，立即新建钱包并转移剩余资产，旧助记词永久作废。 Trust Wallet 表示客服已主动联系受损用户，其他问题可提交至： https://twtholders.trustwallet.com   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LangChain Core（langchain-core）是 LangChain 生态的核心 Python 包，为构建大模型应用提供通用接口与模型无关工具。安全研究员 Yarden Porat 于 2025 年 12 月 4 日披露了一个严重漏洞（CVE-2025-68664，CVSS 9.3），代号“LangGrinch”。 公告指出： “LangChain 的 dumps() 与 dumpd() 函数存在序列化注入缺陷。函数在序列化自由格式字典时，未对含有内部保留键 ‘lc’ 的字典做转义。’lc’ 被 LangChain 用于标记已序列化的对象。当用户可控数据携带该键结构时，在反序列化阶段会被当成合法的 LangChain 对象，而非普通用户数据。” 漏洞根因： dumps()/dumpd() 未转义用户可控字典中的 “lc” 键；当后续用 load()/loads() 反序列化时，这些数据被当作有效 LangChain 对象实例化，而非普通输入。攻击者可通过 metadata、response 等字段注入恶意对象结构。虽然无法加载任意外部类，但可在受信任的 LangChain 命名空间（如 langchain_core、langchain_community）内实例化 Serializable 子类，其中部分类在初始化时会产生副作用。 Cyata 研究员 Yarden Porat 强调： “一旦攻击者能让 LangChain 的编排循环先序列化、再反序列化带有 ‘lc’ 键的内容，就能实例化任意不安全对象，打开多种攻击面。” 潜在危害： 从环境变量泄露机密 在受信任命名空间实例化危险类 通过 Jinja2 模板造成代码执行 借助提示注入，把恶意对象藏进用户可控字段（如 metadata） Porat 指出，该漏洞尤为严重： 位于 langchain-core 本体，而非外围工具或极端场景； dumps()/dumpd() 是框架核心 API，全球累计安装量数亿； 单条提示即可间接触发——LLM 输出可能影响后续被序列化的 metadata，正常业务流程就能完成攻击，隐蔽且影响面广。 修复版本：1.2.5、0.3.81 已发布补丁，请立即升级。 消息来源： securityaffairs.com ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客“Lovely”宣称攻破康泰纳仕系统，泄露 230 万《WIRED》订阅者数据，并威胁将曝光旗下其他品牌多达 4000 万用户的信息。 据称，这批数据于 2025 年 12 月 20 日被发布在新兴黑客论坛 Breach Stars 上，附带下载链接与文件哈希值。黑客指责《WIRED》母公司康泰纳仕在收到多次安全警告后仍置之不理。 Lovely 在论坛留言中写道： “康泰纳仕根本不在乎用户数据安全。我们花了一个月时间才说服他们修复网站漏洞。接下来几周，我们会陆续泄露超过 4000 万用户的数据，敬请期待！” 起初，Lovely 假扮安全研究员，声称希望协助康泰纳仕进行负责任的漏洞披露；但随后承认已下载完整数据库并威胁公开，误导了 DataBreaches.net。 黑客声称已侵入康泰纳仕的集中式账户体系，覆盖旗下《纽约客》《WIRED》《Vogue》《GQ》等主要品牌，总计逾 4000 万用户，并扬言将分批公开这些用户的个人资料。 Hackread 报道称，泄露文件中还包含近 950 万条标记为“NIL”的记录以及若干国际小型子集，进一步佐证了“统一身份基础设施”的存在。 被泄信息包括：姓名、邮箱地址、用户 ID、显示昵称、账户创建与更新时间戳，部分记录还含最后登录时间。 数据集中既有系统生成的测试邮箱，也有真实个人邮箱，确认最早可追溯到 2011 年的真实用户账户；创建时间跨度为 2011–2022 年，登录活跃度不一。 未涉及密码或支付信息。 Hudson Rock 联合创始人 Alon Gal 通过将泄露记录与窃密木马日志比对，验证了数据真实性。 “Hudson Rock 利用窃密木马感染数据，确认这 230 万条《WIRED》记录属实。更令人担忧的是，黑客声称即将公开一份包含 4000 万行的康泰纳仕更大规模数据库，预计波及《Vogue》《纽约客》《名利场》等知名刊物。”公司官网 Infostealers 发布的报告指出。 “我们验证发现，当前数据真实且新鲜，最新条目截至 2025 年 9 月 8 日。” Gal 强调，超 10.2 万条家庭地址的泄露已带来严重风险，若更大规模数据发布，可能引发人肉搜索、报假警（swatting）以及利用康泰纳仕品牌背景实施精准鱼叉式钓鱼攻击。 目前，该数据集已被收录进“Have I Been Pwned”泄露查询库。   消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 披露了一个高危安全漏洞，可能允许未认证用户读取未初始化的堆内存。 该漏洞编号为 CVE-2025-14847（CVSS 评分：8.7），被描述为“长度参数不一致处理不当”的问题。当程序未能正确处理长度字段与实际数据长度不一致的情况时，就会触发该漏洞。 根据 CVE.org 的描述：“Zlib 压缩协议头中的长度字段不匹配，可能允许未认证客户端读取未初始化的堆内存。” 受影响的数据库版本包括： MongoDB 8.2.0 至 8.2.3 MongoDB 8.0.0 至 8.0.16 MongoDB 7.0.0 至 7.0.26 MongoDB 6.0.0 至 6.0.26 MongoDB 5.0.0 至 5.0.31 MongoDB 4.4.0 至 4.4.29 所有 MongoDB Server v4.2 版本 所有 MongoDB Server v4.0 版本 所有 MongoDB Server v3.6 版本 该问题已在以下 MongoDB 版本中得到修复： 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 MongoDB 官方表示：“攻击者可在未认证的情况下，通过客户端利用服务器的 zlib 实现，返回未初始化的堆内存。我们强烈建议尽快升级至已修复版本。” 如果无法立即更新，建议通过启动 mongod 或 mongos 时设置 networkMessageCompressors 或 net.compression.compressors 参数，显式排除 zlib 来禁用 MongoDB 服务器的 zlib 压缩。MongoDB 支持的替代压缩算法包括 snappy 和 zstd。 安全公司 OP Innovate 指出：“CVE-2025-14847 允许远程、未认证的攻击者触发 MongoDB 服务器返回其堆中的未初始化内存。这可能导致敏感内存数据泄露，包括内部状态信息、指针或其他有助于进一步攻击的数据。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 又名 Bronze Highland、Daggerfly、StormBamboo 的 Evasive Panda APT 组织自 2022 年 11 月起持续发动定向攻击，通过“中间人（AitM）+ DNS 投毒”组合手法，向土耳其、中国、印度等多国目标植入 MgBot 后门，行动至少延续至 2024 年 11 月。 攻击者将恶意程序伪装成搜狐影音、爱奇艺、IObit Smart Defrag、腾讯 QQ 等主流应用的“升级包”。当用户点击更新时，DNS 响应被篡改，域名解析指向攻击者服务器，例如 p2p.hd.sohu.com[.]cn 被解析为恶意 IP，下载到的 sohuva_update_10.2.29.1-lup-s-tp.exe 实为木马。 Securelist 分析指出，黑客先通过 DNS 投毒劫持合法更新请求，再把加密后的恶意组件存放在自己服务器，并借特定域名解析返回，加大溯源难度。 初始加载器使用单字节 XOR 解密配置，若当前用户为 SYSTEM，则复制自身并追加 ext.exe 后缀。随后解密 9556 字节 shellcode，因 .data 段默认不可执行，调用 VirtualProtect 改权限以隐蔽运行。 多阶段感染与混合加密 1. 第一段 shellcode 在安装目录寻找指定 DAT 文件，存在则调用 CryptUnprotectData 本地解密，用完即删； 2. 若无 DAT，则通过被 DNS 投毒的 dictionary[.]com（按受害者地理位置返回不同恶意 IP）下载加密数据； 3. 第二段载荷伪装成 PNG，采用 DPAPI+RC5 混合加密：RC5 密钥先被 DPAPI 加密并存放于 perf.dat 前 16 字节，剩余部分为 RC5 加密内容； 4. 次级加载器 libpython2.4.dll 借助合法签名程序 evteng.exe 进行 DLL 侧载，进一步隐蔽； 5. 最终解密出的 MgBot 被注入 svchost.exe，实现长期驻留。配置内含战役名、硬编码 C2 地址及加密密钥，部分服务器已活跃多年。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为巩固美国在人工智能领域的领先地位，美国国家标准与技术研究院（NIST）宣布投入 2000 万美元启动一项大型 AI 安全计划，用于新建两大研发中心——“美国制造业生产力 AI 经济安全中心”和“保护美国关键基础设施免受网络威胁 AI 经济安全中心”。两家机构均由非营利组织 MITRE 运营。 NIST 在 12 月 22 日的公开声明中表示，这些中心将开发必要的技术评估与进步，“有效保护美国在 AI 创新中的主导地位，应对对手利用 AI 带来的威胁，并降低对不安全 AI 依赖的风险”。该院期望借此实现应用科学与先进技术的突破，为国家最紧迫的挑战提供颠覆性创新解决方案。 美国商务部副部长保罗·达巴尔称，这笔投资将“推动美国制造业复兴”，提升制造商竞争力并吸引国内外资本。兼任商务部标准与技术代理副部长、NIST 代理院长的克雷格·伯克哈特亦指出：“与 MITRE 的新协议将聚焦提升美国企业高效生产高价值产品的能力，满足国内外市场需求，并催化新技术、新设备的发现与商业化。” 该投资是 NIST《21 世纪美国技术领先战略》的一部分，旨在加速关键与新兴技术从研发到落地的进程，并与白宫 2025 年 7 月发布的《美国人工智能行动计划》中“加速 AI 创新”和“建设美国 AI 基础设施”两大支柱相契合。 两大中心将承接 NIST 主导的一系列 AI 与安全项目，包括前身为“美国 AI 安全研究所”的“AI 标准与创新中心”（CAISI）。此外，NIST 即将公布 Manufacturing USA 项目下的“韧性制造 AI 研究院”，拟投入 7000 万美元联邦资金并撬动私人投资，强化 AI 驱动的供应链与制造韧性。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 本周三表示，在特定配置下，已观察到五年前披露的一个 FortiOS SSL VPN 安全缺陷（CVE-2020-12812）被“近期滥用”。该漏洞评分 5.2，属于认证不当：若登录时改变用户名大小写，可在启用 2FA 的情况下跳过第二因素验证。 Fortinet 早在 2020 年 7 月就解释过：当用户本地启用 2FA，且认证类型指向远程 LDAP 时，本地与远程对大小写敏感度不一致，即可触发绕过。该漏洞随后被多家威胁组织利用，美国政府也在 2021 年将其列入“边界设备被武器化漏洞”清单。 2025 年 12 月 24 日，Fortinet 更新公告，给出精确触发条件： 1. FortiGate 上存在引用 LDAP 并启用 2FA 的本地用户条目； 2. 这些用户同时是 LDAP 服务器某组成员； 3. FortiGate 配置了对应 LDAP 组，并把它用在管理、SSL 或 IPsec VPN 等认证策略中。 一旦满足，LDAP 用户即可绕过 2FA，直接走 LDAP 完成登录。原因在于 FortiGate 把用户名当大小写敏感，而 LDAP 不区分。若用户用 “Jsmith”“jSmith” 等非完全匹配的大小写形式登录，FortiGate 找不到本地条目，就会按其他策略继续匹配，最终落到 LDAP 组，凭正确密码即可成功，无视本地 2FA 或禁用状态。 Fortinet 已在 2020 年 7 月发布 6.0.10、6.2.4、6.4.1 修复。若无法升级，可为所有本地账户执行： set username-case-sensitivity disable 对于 6.0.13、6.2.10、6.4.7、7.0.1 及更高版本，应使用： set username-sensitivity disable 关闭后，FortiGate 会把所有大小写形式视为同一用户，避免回落到错误配置的 LDAP 组。进一步缓解可删除不必要的 LDAP 组，彻底阻断攻击路径。 新公告未透露攻击细节或是否得手，仅建议客户如发现管理员或 VPN 用户未经 2FA 成功登录，立即联系支持并重置全部凭据。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 区块链情报公司 TRM Labs 最新调查显示，2022 年 LastPass 数据泄露事件中被窃的加密备份文件，因部分用户主密码强度不足，至今仍在被黑客离线破解，导致加密货币资产持续失窃，最近一次盗币发生在 2025 年 10 月。 链上证据显示，俄罗斯网络犯罪集团深度参与：相关资金多次与俄罗斯关联基础设施交互，混币前后控制权一致，且持续使用高风险俄系交易所套现。TRM Labs 指出，评估结论“基于完整的链上证据链”。 2022 年，LastPass 遭重大入侵，攻击者获取大量客户加密密码库，内含加密货币私钥、助记词等敏感信息。英国信息专员办公室（ICO）本月早些时候以“未采取足够技术和安全措施”为由，对 LastPass 处以 160 万美元罚款。事发后 LastPass 曾警告，黑客可能用暴力破解手段还原主密码；TRM Labs 证实这一预言已成现实。 “任何主密码薄弱的密码库都可能被离线爆破，2022 年的一次入侵为攻击者打开了持续数年的盗窃窗口。由于用户未更换密码或加固库文件，黑客在数年后仍能破解并转走资产，最晚一批盗币发生在 2025 年底。” 资金流向凸显俄罗斯背景：混币后主要通过 Cryptomixer.io 洗白，再经 Cryptex、Audia6 两家俄系交易所套现。其中 Cryptex 已于 2024 年 9 月被美国财政部制裁，理由是其接收逾 5120 万美元勒索软件赃款。TRM Labs 目前已追踪到 3500 万美元被盗数字资产：2800 万美元在 2024 年末至 2025 年初通过 Wasabi Wallet 混币并换成比特币；另 700 万美元于 2025 年 9 月的新一轮盗币中被发现。 尽管攻击者采用 CoinJoin 混币技术，TRM Labs 仍通过聚类提款与“剥皮链”手法还原资金路径，将混合后的比特币锁定至上述两家交易所。 TRM Labs 全球政策主管 Ari Redbord 表示：“这是单一泄露演变为多年盗窃的典型案例。即便使用混币器，操作习惯、基础设施复用及套现行为仍会暴露幕后黑手。高风险俄系交易所仍是全球网络犯罪的核心出口，此案再次证明‘去混币’与生态级分析对追踪和执法至关重要。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将影响 Digiever DS-2105 Pro 网络硬盘录像机（NVR）的安全漏洞（CVE-2023-52163，CVSS 8.8）列入“已知被利用漏洞”目录，并指出已有活跃攻击证据。 该漏洞属于命令注入类，可在认证后实现远程代码执行。CISA 公告称：“Digiever DS-2105 Pro 存在缺失授权漏洞，攻击者可通过 time_tzsetup.cgi 注入命令。” Akamai 与 Fortinet 的多份报告显示，该漏洞已被用于投递 Mirai、ShadowV2 等僵尸网络。TXOne Research 安全研究员颜达伦指出，由于设备已进入生命周期终止（EoL）状态，CVE-2023-52163 及其伴随的任意文件读取漏洞（CVE-2023-52164，CVSS 5.1）均未获得官方补丁。 成功利用需先登录设备并发送特制请求。在补丁缺失的情况下，用户应避免将设备暴露于互联网，并立即修改默认口令。 CISA 同时要求联邦文职行政机构（FCEB）在 2025 年 1 月 12 日前采取缓解措施或停用该产品，以抵御持续威胁。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 官方警告 IT 管理员立即修复一个严重漏洞（CVE-2025-14847），该漏洞可被攻击者远程利用，直接执行任意代码并控制服务器。 漏洞成因在于长度参数处理不一致，无需认证、无需用户交互即可发动低复杂度攻击。受影响版本覆盖 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29，以及所有 4.2、4.0、3.6 系列。 官方给出的安全版本为：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暂时无法升级，应立即关闭 zlib 压缩功能，即在启动 mongod/mongos 时通过 networkMessageCompressors 或 net.compression.compressors 参数显式排除 zlib。 MongoDB 安全团队周五公告称：“攻击者可在无需认证的情况下，利用服务端 zlib 实现缺陷返回未初始化的堆内存。强烈建议尽快升级。” MongoDB 是全球主流的非关系型数据库，数据以 BSON（二进制 JSON）文档形式存储，客户超 6.25 万家，包括数十家《财富》500 强企业。此前，美国网络安全与基础设施安全局（CISA）曾将 MongoDB 组件 mongo-express 的远程代码执行漏洞（CVE-2019-10758）列入“已知被利用漏洞”清单，并要求联邦机构限期修复。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文