HackerNews 编译，转载请注明出处： 非洲 19 个国家的执法机构联手打击网络犯罪，取得重大胜利。在为期一个月的 Operation Sentinel中，警方于 11 月 27 日行动结束时，共逮捕 574 名嫌疑人，并成功捣毁 6 种勒索软件变种。 该行动于 10 月 27 日启动，11 月 27 日结束，重点打击三大日益猖獗的网络威胁：企业邮箱入侵诈骗（BEC）、数字勒索和勒索软件攻击。执法部门已禁用 6000 多个恶意链接，追回约 300 万美元非法资金，而此次行动调查的案件相关损失估计超过 2100 万美元。“哨兵行动” 充分展现了快速国际合作在防范重大经济损失方面的巨大成效。 典型案例 塞内加尔：一家大型石油企业遭遇精密的企业邮箱入侵诈骗，诈骗分子入侵企业内部邮件系统，伪装成高管批准了一笔 790 万美元的电汇。塞内加尔当局在数小时内冻结了收款账户，成功阻止了转账。 加纳：一家金融机构遭到勒索软件攻击，100 太字节数据被加密，约 12 万美元被盗。加纳当局通过先进的恶意软件分析，锁定了勒索软件类型，开发出解密工具，成功恢复近 30 太字节数据，并逮捕多名嫌疑人。行动还捣毁了一个横跨加纳与尼日利亚的网络诈骗团伙，该团伙通过仿冒知名快餐品牌的专业网站和移动应用，骗取 200 多名受害者共 40 万美元。加纳警方逮捕 10 名嫌疑人，缴获 100 多台电子设备，关闭 30 台诈骗服务器。 贝宁：执法部门关闭 43 个恶意域名，禁用 4318 个与勒索相关的社交媒体账户，逮捕 106 人。 喀麦隆：警方迅速阻止了一场针对汽车销售平台的钓鱼攻击，并在数小时内紧急冻结相关银行账户。 国际刑警组织网络犯罪部主任尼尔・杰顿表示：“非洲地区网络攻击的规模和复杂程度正不断升级。‘哨兵行动’体现了非洲执法部门保护民众生计与关键基础设施安全的坚定决心。” 此次行动的成功离不开行业领军企业的协作支持，包括西姆鲁团队（Team Cymru）、影子服务器基金会（The Shadowserver Foundation）、趋势科技（Trend Micro）、TRM 实验室（TRM Labs）和乌普萨拉安全公司（Uppsala Security），这些机构为追踪攻击源头和冻结非法资产提供了关键技术支持。“哨兵行动” 有 19 个国家参与，并得到英国外交、联邦和发展办公室通过非洲联合打击网络犯罪计划（AFJOC）提供的支持。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Seqrite Labs的安全研究人员发现了一场代号为Operation IconCat的网络攻击活动，攻击者利用伪装成合法安全工具的恶意文档，专门针对以色列各类机构发起攻击。 该攻击活动始于 2025 年 11 月，已致使以色列信息技术、人力资源服务及软件开发等多个行业的多家企业遭受入侵。 此次攻击的核心手段是心理诱导：攻击者伪造酷似 Check Point、SentinelOne 等知名杀毒软件厂商的文档，用户打开这些伪装文件后，会在不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。这一案例充分体现了社会工程学与复杂技术手段相结合，足以绕过传统安全防护体系。 两大攻击链路 图标猫行动包含两条独立的攻击链路，二者战术相似，但投放的恶意软件变种不同。第一条链路以 PDF 文档为传播载体，第二条则借助隐藏了程序代码的 Word 文档发起攻击。赛格瑞特的分析师通过分析 2025 年 11 月 16-17 日来自以色列的可疑文件上传记录，成功识别出这些恶意软件。 链路一：PDF 文档传播 PYTRIC 恶意软件 第一轮攻击中，攻击者使用名为help.pdf的文件，伪装成 Check Point 安全扫描器说明书。文档诱导用户从 Dropbox 下载一款名为 “安全扫描器” 的工具，该文件的解压密码为 “cloudstar”。文档中还附有看似真实的截图和详细的安全扫描操作指南。 这份 PDF 文件是传播 PYTRIC 恶意软件的入口，该恶意软件基于 Python 开发，通过 PyInstaller 打包生成可执行程序。 PYTRIC 具备远超普通恶意软件的危害能力。分析显示，它可扫描整个系统文件、检查管理员权限，并能执行删除系统数据、清除备份文件等破坏性操作。该恶意软件通过名为 “Backup2040” 的 Telegram 机器人进行通信，使攻击者能够远程控制受感染的设备，其目的不仅是窃取信息，更在于彻底销毁数据。 链路二：Word 文档传播 RUSTRIC 植入程序 第二条攻击链路流程类似，但使用了名为 RUSTRIC 的 Rust 语言植入程序。攻击者通过仿冒的以色列人力资源公司 L.M. 集团的邮箱（伪造域名 l-m.co.il）发送钓鱼邮件，邮件附件是一个被篡改的 Word 文档，文档中的隐藏宏会提取并执行最终的恶意载荷。 RUSTRIC 拥有先进的侦察能力，可检测 28 款主流杀毒软件的存在，包括 Quick Heal、CrowdStrike 和卡巴斯基等。该程序通过 Windows 管理规范（WMI）执行后，会运行系统命令识别受感染计算机，并与攻击者控制的服务器建立连接。 安全团队应将此类攻击活动列为最高优先级威胁，需立即开展调查并采取补救措施。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯洛伐克网络安全公司 ESET 发布数据显示，名为 “诺曼尼（Nomani）” 的投资诈骗活动增幅达 62%，其传播范围也已从脸书扩展至YouTube等其他社交媒体平台。 该公司透露，今年已拦截超 6.4 万个与该诈骗相关的独立恶意链接，检测到的诈骗活动主要集中在捷克、日本、斯洛伐克、西班牙和波兰等国。 诺曼尼诈骗最早于 2024 年 12 月由 ESET 首次披露，诈骗分子通过社交媒体恶意广告、仿冒企业官方帖文以及人工智能生成的视频推荐，诱导用户投资不存在的虚假项目，并以高额回报为诱饵实施诈骗。 当受害者申请提取承诺收益时，诈骗分子会以各种理由要求其支付额外费用，或提供身份证、信用卡信息等更多个人资料。与这类投资诈骗的常见套路一致，其最终目的都是造成受害者的经济损失。 更严重的是，诈骗分子还会在社交媒体上以欧洲刑警组织和国际刑警组织相关名义设下二次陷阱，谎称可协助受害者追回被骗资金，诱导受害者再次遭受财产损失。 ESET 指出，该诈骗活动近期又有显著升级，其中包括优化 AI 生成视频的逼真度，降低潜在受害者识别诈骗的概率。 该公司称：“用于诱导用户填写钓鱼表单或访问钓鱼网站的名人换脸视频，如今分辨率更高，人物动作与呼吸的不自然感大幅减少，音视频同步效果也显著提升。” 诈骗分子制作的虚假内容还常常借助热点事件或公众熟知的人物来增加可信度。例如在捷克发现的一起案例中，一篇虚假新闻称政府正通过该诈骗团伙运营的某加密货币平台进行投资并获利丰厚。 为避免恶意广告被平台系统拦截，诈骗分子仅在短时间内投放广告，通常仅持续数小时。另一关键手段是，当用户不符合定向投放条件时，会将其重定向至正常的伪装页面，而非直接跳转到外部钓鱼表单。 ESET 表示：“为进一步降低被发现的风险，诈骗分子越来越多地滥用社交媒体广告系统提供的合法工具，如用表单和问卷替代外部网页来收集受害者信息。” 研究人员还发现，钓鱼页面模板也有明显改进，代码注释中的复选框等特征表明诈骗分子很可能使用 AI 工具编写 HTML 代码。此外，托管这类投资诈骗模板的 GitHub 代码库，其开发者多为俄罗斯或乌克兰用户。 尽管诈骗手段不断翻新，但 2025 年下半年诺曼尼诈骗的检测量有所下降，这表明在执法部门加大打击力度的情况下，诈骗分子可能被迫调整作案策略。 ESET 称：“值得欣慰的是，尽管与 2024 年相比，今年的总检测量有所上升，但 2025 年下半年的检测量较上半年下降了 37%，这是一个积极信号。” 该报告发布之际，路透社的一项新调查显示，元宇宙公司去年在中国的 180 亿美元广告收入中，有 19% 来自诈骗、非法赌博、色情等违禁内容广告，这些广告由该公司在中国的广告代理合作伙伴投放，部分代理商甚至允许商家发布违禁广告。报道发布后，元宇宙公司已宣布对相关合作项目展开审查。 此前路透社的另一篇报道也曾披露，该公司曾预计 2024 年来自此类广告的收入将占其全球总收入的 10%，约 160 亿美元，其中包括诺曼尼诈骗团伙投放的广告，这一数据凸显了此类问题的严重性。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款名为MacSync的新型 macOS 窃密木马变种，该木马通过一款经过数字签名与公证的 Swift 应用传播，此应用伪装成即时通讯软件安装程序，以此绕过苹果的 Gatekeeper 安全验证机制。 “不同于早期主要依赖‘拖拽至终端’或‘一键修复’类技术的 MacSync 窃密木马变种，该样本采用了更具欺骗性、无需用户手动操作的攻击手段。”Jamf 公司安全研究员泰斯・哈夫莱尔表示。 这家苹果设备管理与安全企业指出，该最新变种以经过代码签名和公证的 Swift 应用形式，封装在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像文件中，文件托管于恶意域名zkcall[.]net/download。 由于这款应用经过签名和公证，它可以在苹果设备上运行，且不会被 Gatekeeper、XProtect 等系统内置安全工具拦截或标记。即便如此，研究人员发现该安装程序仍会显示引导用户右键打开应用的说明 —— 这是一种绕开系统安全防护的常用手段。目前苹果已吊销了该程序对应的代码签名证书。 这款基于 Swift 语言开发的释放器，在通过辅助组件下载并执行编码脚本前，会执行一系列前置检查操作，包括验证网络连接状态、设置约 3600 秒的最小执行间隔以限制运行频率、移除文件的隔离属性，以及在执行前对文件进行有效性验证。 “值得注意的是，该变种用于获取载荷的 curl 命令，与早期版本存在明显差异。” 哈夫莱尔解释道，“它没有使用常见的-fsSL参数组合，而是拆分为-fL和-sS两个参数，同时新增了--noproxy等额外选项。” “这些改动，再加上动态填充变量的使用，表明攻击者在载荷的获取与验证方式上进行了刻意调整，其目的很可能是提升攻击可靠性或规避检测。” 该攻击活动还采用了另一种规避手段：制作异常大容量的磁盘镜像文件。通过嵌入无关的 PDF 文档，将镜像文件的大小扩充至 25.5MB。 经解析，这款经 Base64 编码的恶意载荷正是 MacSync 窃密木马，它是 2025 年 4 月首次出现的 Mac.c 木马的更名版本。据 MacPaw 公司月锁实验室分析，MacSync 内置了功能完备的 Go 语言代理程序，其功能已不局限于简单的数据窃取，还可实现远程控制操作。 值得一提的是，研究人员还发现攻击者曾使用伪装成谷歌会议（Google Meet）、带代码签名的恶意磁盘镜像文件，传播奥德赛（Odyssey）等其他 macOS 窃密木马。不过就在上个月，威胁攻击者仍在通过未签名的磁盘镜像文件传播数字窃密木马（DigitStealer）。 Jamf 公司指出：“这种传播方式的转变，折射出 macOS 恶意软件领域的一个普遍趋势 —— 攻击者正越来越多地尝试将恶意程序植入经过签名和公证的可执行文件中，使其外观更接近合法应用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对中东和北非地区多国的协同性虚假网络招聘广告骗局被揭露，诈骗分子借该地区远程办公模式的持续普及伺机作恶。 这类骗局依托制作精良的社交媒体广告，以 “轻松完成简单线上任务即可赚取收入” 为诱饵，背后实则暗藏窃取钱财与个人信息的有组织诈骗活动。 国际网络安全公司 Group-IB 于今日发布调查报告，详细披露了这一诈骗活动。报告指出，诈骗分子正是利用了新冠疫情后远程办公普及所引发的用工行为转变，伺机实施诈骗。 研究中引用的一份 Rcademy 报告显示，中东地区超 60% 的劳动者如今更倾向于全职远程工作，这一趋势为诈骗行为提供了可乘之机。 此类诈骗并非零散作案，而是规模化运作。Group-IB 的研究人员发现，2025 年全年共出现 1500 余条诈骗招聘广告，其中埃及、海湾地区国家、阿尔及利亚、突尼斯、摩洛哥、伊拉克和约旦成为主要目标区域。 每一轮诈骗攻势都经过精心的本地化适配：诈骗分子使用地区方言、本地货币单位，并植入受众熟悉的品牌元素，以此提高广告可信度，增强用户参与度。 骗局运作流程 虚假招聘广告通常出现在脸书、照片墙和抖音等社交平台，且往往冒用知名电商平台、银行或政府机构的名义发布。一旦有用户作出回应，诈骗分子会迅速将沟通转移至 WhatsApp 或 Telegram 等私人即时通讯软件，并在这些平台上实施核心诈骗行为。 诈骗分子会以 “入职审核” 为借口，要求受害者提供个人信息及财务信息。在许多案例中，他们还会要求受害者缴纳押金，声称缴纳后可获取报酬更高的 “任务”。初期，诈骗分子会返还小额返利以骗取受害者信任，随后便会彻底失联。 研究显示，这些诈骗活动由有组织犯罪团伙操控。团伙在多个国家重复使用相同的诈骗脚本、品牌伪装模板、虚假网站以及 Telegram 群组架构。 这种高度协同的作案模式不仅让骗局得以快速规模化扩散，相比传统的单次诈骗行为，其追踪难度也大幅提升。 对用户及平台造成的影响 诈骗分子利用用户对知名机构的信任，以及社交媒体广告的低成本特性实施诈骗。广告宣称 “仅需几分钟完成任务，日薪可达 10 至 170 美元”，所承诺的收入水平普遍高于当地平均薪资，以此诱骗经济状况较为脆弱的群体入局。 Group-IB 警示称：“总体而言，这类骗局绝非零散广告的简单堆砌，而是一场协同运作、分步骤实施的犯罪活动，拥有统一的基础设施、重复使用的钓鱼手段以及固定的作案模式。” “防御方可通过整合广告关键词、平台传播路径、品牌冒用特征、网站识别指标及诈骗分子身份信息等多维度数据，更高效地在多国范围内追踪、拦截并瓦解此类诈骗活动。” 为防范此类威胁，该公司建议用户提高警惕，同时呼吁平台方加强安全防护措施。 个人层面，应避免向未经验证的招聘方泄露个人及财务信息；对不切实际的高薪承诺保持质疑；通过官方网站或可信招聘平台核实招聘方资质；发现可疑广告及时举报。 企业及社交平台层面，则需加强招聘类广告的审核力度，密切监测品牌或政府部门名义被冒用的情况，并开展多语言反诈宣传活动，提醒高危用户群体提高防范意识。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威科法律信息库旗下法律人工智能助手文森特，存在文档隐藏式提示注入攻击漏洞，攻击者可通过在用户浏览器生成虚假登录页面实施凭证窃取。攻击者在案件文件中植入白底白字的隐形代码，触发恶意超文本标记语言程序运行。文森特人工智能漏洞波及全球超 20 万家律所及威科法律信息库用户。 上述漏洞由 “提示防护” 公司的研究人员发现，他们已于本周一发布博客文章披露相关情况。 研究人员表示，这款专为律师打造的人工智能助手文森特，可能被黑客钻空子。黑客会在文档中植入隐藏文本，律所法务团队在不知情的情况下将文档上传至威科法律信息库平台，就会触发人工智能输出恶意超文本标记语言代码，随后该代码会在用户浏览器中加载运行。 这种间接提示注入攻击存在远程代码执行风险，最终会对毫无防备的威科法律信息库用户发起 “屏幕覆盖式” 钓鱼攻击。 屏幕覆盖式攻击是一种 “复杂攻击手段”，指在合法应用或网站界面上覆盖一层虚假界面 —— 本事件中具体表现为虚假登录页面，以此诱骗用户泄露敏感信息。 威科法律信息库官方称，这是一个综合性法律智能平台，旨在帮助法律从业者完成 “各类工作中的研究、分析及法律实务操作”。 该人工智能平台已被全球排名前十的八家律所采用。就在上月，全球领先的法律科技解决方案供应商克利欧公司以 10 亿美元的里程碑式交易收购威科法律信息库，使得使用该平台的律所、律师协会及政府机构数量突破 20 万家。 “我们已通过负责任的方式向威科法律信息库披露了这一漏洞。” 提示防护公司联合创始人兼董事总经理尚卡尔・克里希南表示，威科法律信息库 “迅速采取了有效行动，并依照我们的修复建议完成了系统更新”。 恶意弹窗可窃取登录信息 提示防护公司指出，这一新型远程代码执行漏洞可能被黑客操控，以未经授权的方式访问律所内部系统，进而可能导致大量敏感客户文件外泄。 研究人员将攻击流程拆解为 “三步攻击链”：首先通过提示注入手段，在网络来源的文档中植入 “白底白字” 的隐藏文本；随后，法务团队在案件研究过程中上传这些文档。 在本次研究案例中，隐藏文本以伪造证人证言的形式植入，且研究人员预先设定文森特人工智能需解析文档中的所有直接引语。 而当 “文森特人工智能读取文档并解析‘直接引语’—— 包括攻击者用白底白字植入的伪造证言时”，隐藏的恶意超文本标记语言代码会在受害者的浏览器中自动执行。 “当这段代码在聊天界面输出时，用户浏览器会将其当作文森特人工智能网页的一部分进行处理。” 克里希南表示，“恶意代码会加载攻击者的网站，并将其覆盖在用户的聊天界面之上。” 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库的登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 强化威科法律信息库安全防护的建议 研究还指出，文森特人工智能模型还可能被诱导输出 “存储在标记语言超链接或超文本标记语言元素中的恶意脚本程序”。 克里希南称，这一漏洞可支持攻击者通过 “零点击数据窃取” 方式盗取信息、劫持用户会话、强制用户下载文件或进行加密货币挖矿，且 “每次打开聊天界面，攻击程序都会自动运行”。 会话令牌也存在被盗风险，一旦失窃，攻击者便可 “代表用户在威科法律信息库平台执行操作”，包括访问平台内存储的数据。 配图：提示防护公司 文森特人工智能钓鱼漏洞示意图 之四 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 提示防护公司建议相关机构采取以下防护措施： 确保在威科法律信息库的 “文件集” 功能中，所有来源不可信的文档均被清晰标记； 将不可信文档的可见权限设置为 “仅授权人员可见”，而非 “全组织可见”； 明令禁止用户上传来源未经核实的网络文档。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本汽车制造商日产公司披露了一起数据泄露事件，该事件与Red Hat公司使用的自托管 GitLab 实例存在关联。威胁行为者获得了该GitLab实例的访问权限，窃取了2.1万名客户的数据。 Red Hat系统遭入侵 今年 10 月，黑客组织Crimson Collective宣称，已从Red Hat私有GitHub代码仓库中窃取了570GB的数据，其中包含2.8万个项目文件，以及约800份带有敏感网络数据的客户互动报告CER。这类报告通常包含基础设施细节、系统配置信息和各类令牌等敏感内容，攻击者可利用这些信息对客户网络发起针对性攻击。 Red Hat确认发生数据泄露，但并未证实Crimson Collective黑客组织的相关说法。 9月24日，该黑客组织在一个Telegram频道上，公布了完整的文件目录、客户互动报告清单及相关截图，以此作为入侵成功的证据。 “顺带提一句，我们还获取了部分客户的基础设施访问权限，虽然已经向他们发出警告，但他们选择无视我们。” Crimson Collective在Telegram上写道。 该文件目录中包含数千个代码仓库的相关信息，涉及多家大型银行、电信运营商、航空公司及公共部门机构，例如花旗集团、威瑞森通信、西门子、博世、摩根大通、汇丰银行、梅里克银行、澳大利亚电信、西班牙电信，甚至还提及了美国参议院。 此外，Crimson Collective还公布了其试图联系Red Hat的相关证据。 Red Hat方面表示，保护系统与数据安全是公司的首要任务，并补充称，此次事件未对公司其他服务或产品造成影响，供应链也依旧保持安全稳定。 日产数据泄露 日产此次的数据泄露，源于其一个存储着示例代码、内部通信记录及项目技术规格的GitLab实例遭到未授权访问。 日产发布的一份数据泄露通知中写道：“日产汽车株式会社收到合作方Red Hat的报告，称该公司的数据服务器遭到非法访问，数据已泄露。经后续核实，此次泄露的数据中包含日产福冈销售公司的部分客户信息。” 日产表示，从遭入侵的Red Hat GitLab实例中被盗的数据，涵盖日产福冈销售公司约2.1万名客户的个人信息，包括姓名、住址、电话号码、部分电子邮箱地址以及与销售相关的信息。 日产指出，此次事件未涉及客户财务数据，也未造成其他客户记录泄露。红帽于事件发生约一周后的 2025 年 10 月 3 日，将数据泄露情况告知日产。 “日产于10月3日收到Red Hat的报告后，立即向个人信息保护委员会进行了报备。同时，日产正直接联系那些个人信息可能已遭泄露的客户。” 截至目前，尚无证据表明泄露的数据已被不法分子滥用，但日产仍敦促客户提高警惕，留意可疑来电与邮件。 通知最后强调：“日产高度重视此次事件，未来将加强对分包商的监督力度，并进一步采取措施强化信息安全防护。对于此次事件给客户带来的不便，我们再次致以最诚挚的歉意。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 凤凰城大学披露，该校于今年夏季遭遇黑客未授权入侵系统事件，近 350 万人的信息因此泄露。 此次事件导致在校学生、往届校友、教职工及供应商的敏感个人信息与财务信息遭窃取。 凤凰城大学是一所总部位于亚利桑那州凤凰城的私立营利性院校，该校表示，此次信息泄露源于其甲骨文电子商务套件（Oracle E-Business Suite，简称 EBS）财务应用程序遭到攻击。 调查人员确认，黑客入侵行为发生在 2025 年 8 月 13 日至 22 日期间，但校方直至 11 月 21 日才检测到这一事件 —— 而在前一天，该校刚被克洛普（Clop）勒索软件团伙列入其数据泄露网站的攻击名单。 12 月初，凤凰城大学在其官网发布相关公告，其母公司凤凰教育伙伴公司则向美国证券交易委员会提交了一份 8-K 文件（上市公司重大事项报告）。 校方于本周一向缅因州总检察长办公室及受影响人员提交的通知函证实，此次事件的受害者共计3489274 人，其中包括 9131 名缅因州居民。 遭泄露的数据具体包含以下内容： 姓名及联系方式 出生日期 社保号码 银行账户号码及路由号码 凤凰城大学称，上述信息均被黑客非法访问，但同时指出，黑客获取的银行账户信息 “不具备实际使用权限”。 大规模系列攻击事件 据悉，此次攻击是克洛普勒索软件团伙发起的系列攻击的一部分。该团伙利用了甲骨文电子商务套件中一个编号为CVE-2025-61882的零日漏洞实施攻击。这一系列攻击于今年 10 月初被公开曝光，已波及多个行业的超 100 家机构。 “根据我们的数据统计，这是今年全球范围内波及人数第四多的勒索软件攻击事件。” 数据研究机构 Comparitech 的数据研究主管丽贝卡・穆迪表示。 “这一事件凸显出企业持续面临的勒索软件威胁 —— 这种威胁不仅源于针对企业自身系统的攻击，像甲骨文这类第三方平台遭遇攻击时，黑客往往能通过这一集中式入口，获取多家企业的访问权限及数据。” 尽管克洛普团伙已宣称对此次事件负责，但部分安全研究人员仍不愿将攻击方完全归咎于 FIN11 威胁组织。 经证实，同样因甲骨文电子商务套件漏洞遭攻击的美国高校还包括哈佛大学、宾夕法尼亚大学及达特茅斯学院。 值得注意的是，尽管此次事件波及范围甚广，但截至本文撰写时，攻击者虽已公布据称从其他受害者处窃取的大量文件，凤凰城大学的相关数据却未被公开泄露。 教育行业仍是攻击重灾区 凤凰城大学表示，将为受影响人员提供免费的身份信息保护服务，具体包括为期 12 个月的信用监控、身份盗用恢复协助、暗网监测，以及一份保额达 100 万美元的欺诈赔偿保险。 “我强烈建议所有受此次泄露事件影响的人员，充分利用校方提供的免费身份保护服务。” 隐私保护机构 Pixel Privacy 的消费者隐私维权专员克里斯・豪克说。 “这项服务能帮助他们及时察觉不法分子是否正利用泄露的数据实施恶意行为。” 安全领域负责人指出，此次事件暴露出高等教育行业普遍存在的系统性安全漏洞。 “这起信息泄露事件，凸显了我们在 2025 年全年观察到的一个令人担忧的趋势。” 网络安全公司 SOCRadar 的首席信息安全官恩萨尔・塞克尔解释道。 “像克洛普这样的威胁组织，持续将零日漏洞和大规模数据窃取攻击作为武器，针对大型集中式教育平台发起攻击。” 此次事件跻身 2025 年已披露的最严重教育行业信息泄露事件之列，同时也表明，高校作为海量个人及财务数据的存储库，对网络犯罪分子的吸引力有增无减。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美亚保险（Aflac）发布的最新声明显示，该公司今年 6 月发生的一起数据泄露事件，已导致超 2200 万客户的个人信息遭泄露。 这家总部位于美国佐治亚州的保险巨头于上周五发布声明，公布了针对今年年初披露的一起网络安全事件展开的、历时数月的调查结果。 美亚保险此前曾向美国证券交易委员会预警称，尽管公司在 “数小时内” 就成功阻止了黑客入侵，但部分文件仍已被网络犯罪分子窃取。 该公司重申，此次事件未受到勒索软件的影响。目前，美亚保险已着手向各州监管机构通报这起攻击事件，并向受害者发送数据泄露通知函。 得克萨斯州相关部门表示，该州超 200 万居民受此次事件波及；经统计，本次信息泄露事件的受害者总数约达2270 万人。 此次网络攻击未对美亚保险的日常运营造成影响，但被盗文件中包含其美国业务涉及的客户、受益人、员工、代理人及其他相关人员的保险索赔信息、健康数据、社保号码以及其他个人详细信息。 事发后，美亚保险已向联邦执法部门报案，并聘请网络安全专家处理此次事件。 通知函指出，相关调查已于 12 月 4 日结束，受害者可免费享受为期两年的身份信息保护服务，而该服务的注册截止日期为 2026 年 4 月 18 日。 此次数据泄露事件，发生于黑客组织 Scattered Spider针对保险业发起的一系列攻击行动期间。该组织由一群松散结盟的英语系网络犯罪分子组成，其惯用手法是伪装成信息技术人员，以此侵入大型企业网络。同期，伊利保险、费城保险公司以及斯堪尼亚金融服务公司均曾报告遭受网络攻击。 自这些攻击事件发生以来，执法部门已关停该黑客组织用于泄露数据的网站，且两名组织成员在英国被逮捕并提起诉讼。美国司法部于今年 9 月公开的一份起诉书显示，过去三年内，“分散蜘蛛” 这一网络犯罪团伙通过勒索，已从数十名受害者处榨取至少 1.15 亿美元的赎金。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 工作流自动化平台 n8n 被曝存在一处高危安全漏洞，该漏洞若被成功利用，在特定条件下可导致攻击者执行任意代码。 该漏洞编号为CVE-2025-68613，通用漏洞评分系统（CVSS）评分为 9.9 分。据 npm 平台统计数据显示，该软件包周下载量约达 5.7 万次。 该 npm 软件包维护团队指出：“在特定条件下，已完成身份验证的用户在配置工作流时提交的表达式，可能会在未与底层运行环境充分隔离的执行上下文中被解析执行。” 漏洞危害与影响范围 “已通过身份验证的攻击者可利用这一漏洞，以 n8n 进程的权限执行任意代码。漏洞一旦被成功利用，可能导致受影响的平台实例被完全攻陷，包括敏感数据遭未授权访问、工作流被篡改，以及系统级操作被恶意执行等后果。” 该漏洞影响所有版本号≥0.211.0 且≤1.120.4的 n8n 程序，目前官方已在 1.120.4、1.121.1 和 1.122.0 三个版本中完成漏洞修复。据攻击面管理平台 Censys 监测数据，截至 2025 年 12 月 22 日，全球范围内存在潜在漏洞风险的 n8n 实例多达 103476 个，其中大部分分布于美国、德国、法国、巴西及新加坡等国家。 鉴于该漏洞的高危等级，相关部门建议用户尽快为 n8n 程序安装更新补丁。若暂时无法立即完成补丁部署，建议将工作流的创建与编辑权限仅开放给可信用户，同时在权限受限的操作系统环境中部署 n8n，并限制其网络访问范围，以此降低漏洞被利用的风险。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文