HackerNews 编译，转载请注明出处： Palo Alto Networks修复了一个高危漏洞，该漏洞被追踪为CVE-2026-0227（CVSS评分：7.7），影响GlobalProtect网关与门户，且已有公开的概念验证利用代码。 GlobalProtect是Palo Alto Networks的VPN和安全远程访问解决方案。它通过将用户流量路由至Palo Alto防火墙，为其提供受保护的连接到组织网络的路径，该防火墙会应用与企业内部环境中相同的安全控制措施。 该漏洞影响Palo Alto Networks PAN-OS，允许攻击者在未经身份验证的情况下中断防火墙运行。 “Palo Alto Networks PAN-OS软件中的一个漏洞使未经身份验证的攻击者能够导致防火墙拒绝服务，”公告中写道。“反复尝试触发此问题将导致防火墙进入维护模式。” 通过反复利用此漏洞，攻击者可以强制设备进入维护模式，造成拒绝服务状态，中断网络流量和防火墙保护，直到管理员进行干预。 以下是受影响版本的列表：  版本 受影响版本 不受影响版本 Cloud NGFW 无 所有 PAN-OS 12.1 < 12.1.3-h3, < 12.1.4 >= 12.1.3-h3, >= 12.1.4 PAN-OS 11.2 < 11.2.4-h15, < 11.2.7-h8, < 11.2.10-h2 >= 11.2.4-h15 (预计时间：2026年1月14日), >= 11.2.7-h8, >= 11.2.10-h2 PAN-OS 11.1 < 11.1.4-h27, < 11.1.6-h23, < 11.1.10-h9, < 11.1.13 >= 11.1.4-h27, >= 11.1.6-h23, >= 11.1.10-h9, >= 11.1.13 PAN-OS 10.2 < 10.2.7-h32, < 10.2.10-h30, < 10.2.13-h18, < 10.2.16-h6, < 10.2.18-h1 >= 10.2.7-h32, >= 10.2.10-h30, >= 10.2.13-h18, >= 10.2.16-h6, >= 10.2.18-h1 PAN-OS 10.1 < 10.1.14-h20 >= 10.1.14-h20 Prisma Access 11.2 < 11.2.7-h8* >= 11.2.7-h8* Prisma Access 10.2 < 10.2.10-h29* >= 10.2.10-h29* 该网络安全供应商声明，此漏洞仅影响启用了GlobalProtect网关或门户的PAN-OS或Prisma Access配置。 该漏洞不影响云下一代防火墙。截至本文撰写时，Palo Alto Networks尚未发现在野利用此漏洞的攻击活动。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

2025年，全球网络安全形势依然复杂多变。 从软件漏洞到僵尸网络，从勒索组织到国家级黑客，攻击手段不断升级，影响范围也越来越广。网络安全风险的扩散使企业运营和服务稳定面临更大压力，也为防护和治理提出了新的挑战。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2025年备受关注的网络安全热点事件，以期为安全治理与风险应对提供参考。   1.Aisuru超大规模物联网僵尸网络持续升级 自2024年起，基于Mirai变种的Aisuru僵尸网络开始活跃。2025年Aisuru逐渐演变为能持续攻击全球关键平台、并不断刷新攻击规模纪录的超级僵尸网络，成为年度最具破坏性的网络安全威胁之一。 2025年1月，研究人员发现，黑客组织利用Cambium Networks cnPilot路由器中的未披露零日漏洞，部署名为AIRASHI的AISURU僵尸网络变种，发动DDoS攻击。 5月，网络安全博客KrebsOnSecurity披露近期遭遇峰值达6.3Tbps的DDoS攻击，创下Google防御系统处理流量的新纪录。 10月，全球两大游戏平台Steam与Riot Games出现大范围故障，导致多款热门游戏无法运行，专家普遍认为是由Aisuru发起的大规模DDoS攻击所致。 11月，微软披露，Aisuru于10月24日对其Azure云平台发动了多向量攻击，峰值达15.72 Tbps、36.4亿包/秒，这是有记录以来针对云服务的最大规模DDoS攻击。 12月，研究人员发现一个由至少180万台安卓设备组成的Kimwolf僵尸网络，可能与Aisuru存在关联。 事件详情： https://hackernews.cc/archives/57035 https://hackernews.cc/archives/58865 https://hackernews.cc/archives/61013 https://hackernews.cc/archives/61297 https://hackernews.cc/archives/61576 https://hackernews.cc/archives/61962   2.2025年朝鲜黑客再次蝉联全球加密货币盗窃榜首 2025年，朝鲜黑客继续瞄准加密货币发起连锁攻击。 2月，加密货币平台Bybit遭受攻击，约15 亿美元以太坊被盗，攻击被指向朝鲜Lazarus组织。 4 月，朝鲜黑客悄然利用Zoom，在加密货币交易员及风险投资人士工作站植入信息窃取恶意软件。 12 月，韩国最大加密货币交易所Upbit遭黑客入侵，约3000万美元加密货币被窃。韩国政府介入调查，入侵手法及资金洗钱路径均指向朝鲜Lazarus组织。 年末，区块链情报公司Chainalysis在《加密犯罪报告》中披露，2025年朝鲜黑客共窃取20.2亿美元加密货币，再次蝉联全球加密货币盗窃榜首。 事件详情： https://hackernews.cc/archives/57622 https://hackernews.cc/archives/57890 https://hackernews.cc/archives/58427 https://hackernews.cc/archives/58120 https://hackernews.cc/archives/61751 https://hackernews.cc/archives/61965   3.韩国电信三大运营商相继失守 2025年，韩国三大电信运营商连续遭遇重大网络攻击。 4月，韩国电信运营商SK Telecom披露其遭遇恶意软件攻击，攻击者成功获取了部分客户的通用用户识别模块相关信息，2300多万用户信息泄露。 9月，KT Telecom确认，国际移动用户身份数据泄露，影响5561名用户。 10月，LG Uplus确认发生数据泄露事件，成为继 SK Telecom和KT Telecom之后，2025年内第三家遭遇网络攻击的韩国主要电信运营商。 事件详情： https://hackernews.cc/archives/58449 https://hackernews.cc/archives/61314   4.俄航遭史上最狠攻击：7000台服务器被毁，40余次航班停飞 2025年7 月 28 日，俄罗斯航空公司（俄航）遭到亲乌克兰黑客组织Silent Crow与白俄罗斯“网络游击队”联合发起的大规模网络攻击。攻击导致约7000台服务器遭到破坏，航空公司的核心信息系统严重受损，至少40余架次航班被迫取消或延误，部分旅客行程受到明显影响。 此次攻击正值旅游旺季，莫斯科谢列梅捷沃机场的航班信息显示屏因大量航班取消而出现大面积飘红，现场运行秩序一度承压。且乘客信息面临外泄风险。 受此次攻击事件影响，截至格林尼治时间28日13 时，俄航股价下跌3.9%，跌幅明显高于同期大盘约1.4%的下行水平。 事件详情： https://hackernews.cc/archives/59972 https://hackernews.cc/archives/60060 https://hackernews.cc/archives/61883   5.捷豹路虎遭重大网络攻击，全球生产中断 2025年9月2日，捷豹路虎发布公告：“公司受到一起网络事件的影响。并已采取积极措施暂时关闭相关系统，以第一时间降低事件带来的风险和影响。”同日发送给员工的内部邮件称，管理层已达成一致，决定生产相关人员暂时停工。 9月3日，黑客组织 Scattered LAPSUS$ Hunters认领了此次攻击事件。黑客声称已经获取员工账户信息、部分内部文件以及可能涉及研发数据在内的敏感信息，并在暗网上威胁公开数据以迫使公司支付赎金。 事件详情： https://hackernews.cc/archives/60586 https://hackernews.cc/archives/60644 https://hackernews.cc/archives/60660   6.Scattered Lapsus$ Hunters黑客联盟登场 2025年8月8日，Scattered Spider、Shiny Hunters两大黑客组织合并成为Scattered Lapsus$ Hunters。 9月，Scattered Lapsus$ Hunters认领了对路虎捷豹的攻击事件。 同月，Scattered Lapsus$ Hunters在Telegram上宣称，获取了谷歌执法请求系统及美国联邦调查局电子背景调查系统的访问权限。 10月15日，Scattered Lapsus$ Hunters公布从澳航窃取的信息数据。 10月22日，Scattered Lapsus$ Hunters联合Com黑客组织，“开盒”千名联邦执法人员，以抗击特朗普移民政策。 事件详情： https://hackernews.cc/archives/60660 https://hackernews.cc/archives/60798 https://hackernews.cc/archives/61113 https://hackernews.cc/archives/61196   7.国家级黑客入侵 F5 系统，窃取 BIG-IP 源代码及未公开漏洞数据 2025年8月，网络安全厂商 F5 披露，其内部系统曾遭到一名高度复杂的国家级威胁行为者长期渗透。调查显示，该威胁行为者并非一次性入侵，而是通过隐蔽手段持续维持访问权限，在较长时间内对部分 F5 系统进行未授权访问，并分阶段下载大量敏感资料。 泄露的数据范围广泛，涉及F5多项核心资产，包括 BIG-IP 产品相关源代码、尚未公开的漏洞信息、产品研发与测试环境，以及工程与知识管理平台中的内部技术文档。这类信息可能被用于开发高质量的漏洞利用工具，或对F5客户的关键基础设施发动更具针对性的攻击。 事件详情： https://hackernews.cc/archives/61130   8.Oracle EBS 零日漏洞被Cl0p勒索组织大规模利用 2025年8月9日，Oracle E-Business Suite中一个此前未公开的零日漏洞遭到利用，该漏洞编号为CVE-2025-61882，CVSS评分高达9.8。谷歌云威胁情报小组指出，早在2025年7月10日，攻击者已开始针对Oracle EBS部署环境进行探测和攻击尝试。2025年下半年，Clop勒索组织围绕该漏洞展开大规模利用行动，相关事件逐渐披露。 11月，罗技向美国证券交易委员会提交文件披露其遭遇网络安全事件，黑客利用某第三方软件平台的漏洞，从公司内部IT系统中复制了特定数据；同一时期，马自达、佳能以及英国国家医疗服务体系再次被曝遭到Cl0p勒索攻击。美国区域航空公司Envoy Air也证实，其Oracle电子商务套件应用程序遭入侵并导致信息被窃取。随后哈佛大学披露遭遇语音钓鱼攻击，校友及捐赠者的联系信息发生泄露。11月21日，凤凰城大学披露一起大规模数据泄露事件，约350万人个人信息受到影响。 事件详情： https://hackernews.cc/archives/61061 https://hackernews.cc/archives/61166 https://hackernews.cc/archives/61570 https://hackernews.cc/archives/61640 https://hackernews.cc/archives/61672 https://hackernews.cc/archives/62020   9.React2Shell 前端生态漏洞引发关注 12月3日，React 服务器组件中披露了一个最高严重级别的安全漏洞，漏洞编号为 CVE-2025-55182，CVSS 评分为 10.0。React 团队当日发布安全警报指出，该漏洞源于 React 在解码发送至服务器函数端点的负载时存在缺陷，攻击者可借此绕过身份验证实现远程代码执行，并强调即使应用本身未实现任何 React 服务器函数端点，只要支持 React 服务器组件，均可能面临攻击风险。 12月中下旬，新型恶意软件PCPcat针对性利用Next.js和React框架中的高危漏洞，在不到48小时内成功攻陷了 5.9万余台服务器。随后，PeerBlight的Linux后门、CowTunnel的反向代理隧道工具，以及基及Go语言的攻陷后植入程序ZinFoq陆续利用该漏洞，投递加密货币挖矿程序及一系列此前未被记录的恶意软件家族。 事件详情： https://hackernews.cc/archives/61778 https://hackernews.cc/archives/61880 https://hackernews.cc/archives/61919   10.AI 驱动网络攻击显著上升 2025年，攻击者利用生成式 AI 加速恶意软件、钓鱼诱饵和漏洞探测等活动，企业与安全服务提供者则利用 AI 提升威胁检测与响应能力，形成新的攻防态势。 8月，ESET安全团队识别出全球首款AI驱动勒索软件PromptLock。 11月，谷歌宣布发现PROMPTFLUX恶意软件通过与谷歌 Gemini AI模型的 API 交互，自主编写源代码，以增强代码混淆效果并提升规避检测能力。 同月，Cybernews团队通过系统性对抗测试，揭示了ChatGPT-5、ChatGPT-4o、谷歌Gemini Pro 2.5、Gemini Flash 2.5、Claude Opus 4.1及Claude Sonnet 4六款主流模型的安全风险。通过“提示词攻击”模拟真实风险场景，证明即使不入侵系统，仅通过语言重构即可突破AI伦理护栏。当恶意请求被包装为学术研究、文学创作或第三方观察时，模型防御机制容易出现误判。 12月，研究人员披露了多款 AI 驱动的集成开发环境中存在的 30 余个安全漏洞。这些漏洞通过将提示注入技术与工具合法功能相结合，可实现数据窃取与远程代码执行攻击。 事件详情： https://hackernews.cc/archives/60509 https://hackernews.cc/archives/61416 https://hackernews.cc/archives/61537 https://hackernews.cc/archives/61830   2025年10大网络安全事件表明，网络攻击已不再局限于单一系统或组织，部分事件能在短时间内对上下游业务产生连锁影响。从事件频发领域来看，软件漏洞、远程接入和基础网络服务仍是高风险领域。更值得注意的是，AI 的应用在提升效率的同时，也可能被攻击者利用，增加防御难度。随着系统复杂度增加，安全问题往往涉及运维管理、供应链协作和应急响应。 未来，网络安全不仅需技术防护，更应加强整体风险管理和跨部门协作，提高系统韧性与应对能力。     作者：知道创宇404实验室 （数据来源 https://hackernews.cc/，转载请注明出处。）

HackerNews 编译，转载请注明出处：  Linux 内核中存在一处高危竞争条件漏洞（漏洞编号CVE-2025-38352），其验证性利用代码已在GitHub 上公开发布。  该漏洞于今年年初被发现，攻击目标直指内核的POSIX CPU 定时器实现模块，此前曾被用于针对 32 位安卓设备的小规模定向攻击。 CVE-2025-38352 是 Linux 内核handle_posix_cpu_timers()函数中存在的释放后使用漏洞。 此漏洞的触发条件为内核配置项CONFIG_POSIX_CPU_TIMERS_TASK_WORK处于关闭状态 —— 该配置是大多数 32 位安卓内核的默认选项，但 64 位系统一般不会采用。 漏洞的成因是僵尸进程触发 POSIX CPU 定时器时引发的竞争条件：攻击者通过精准把控僵尸进程的创建、父进程对其的回收操作以及定时器的删除时机，可诱导内核访问已释放的内存区域，进而实现权限提升或内核代码执行。 区块链安全公司 Zellic 的研究员Faith发布了一款名为Chronomaly的全功能漏洞利用工具，专门针对 Linux 内核 5.10.x 版本发起攻击。 该研究员还同步发布了一个分为三部分的系列技术博客，详细拆解漏洞的发现过程、技术原理及利用手法，借此对外公布这款漏洞利用工具。 这款漏洞利用工具的一大显著优势是无需依赖内核符号偏移量或特定内存地址，因此可跨不同内核配置环境移植使用。 工具中集成了两项核心技术：一是通过操控 CPU 定时器实现的竞争时间窗口延长技术，二是针对sigqueue结构体的跨缓存区分配策略。 需要注意的是，该漏洞利用工具需在至少配备双核 CPU 的多核系统中运行，才能稳定触发竞争条件漏洞。 经测试验证，该工具可成功攻击运行 5.10.157 版本内核的 QEMU 虚拟化 Linux 系统，且其参数可根据不同运行环境灵活调整。 目前，该漏洞已被列入CISA的已知被利用漏洞目录，这意味着该漏洞已存在真实的在野攻击活动。 尽管漏洞威胁目前主要集中于 32 位安卓设备，但相关内核组件同样存在于其他基于 Linux 的 32 位操作系统中，这些系统也面临潜在风险。 GitHub 上的漏洞公告指出，用户应尽快将内核更新至已修复该漏洞的版本，或启用内核配置项CONFIG_POSIX_CPU_TIMERS_TASK_WORK以规避风险。 Linux 主线内核已通过编号为f90fff1e152dedf52b932240ebbd670d83330eca的提交记录完成漏洞修复，修复的核心逻辑为禁止内核对僵尸进程执行定时器处理操作。 设备制造商及系统管理员应将内核更新列为优先事项，以缓解这一高危漏洞带来的安全风险。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  2025 年 12 月 30 日消息，黑客已污染数百万开发者常用的 Open VSX 插件市场，植入一款可窃取加密货币、凭证及各类敏感数据的恶意软件，最新一波恶意插件仅针对 macOS 用户发起攻击。 一、恶意攻击浪潮与伪装手段 Koi Security研究人员发出警告，这已是 GlassWorm这款危险的自复制恶意软件出现的第四波攻击，其活跃时长仅两个半月。该恶意软件伪装成实用开发工具潜入 Open VSX 市场，此平台是 Visual Studio Code 及 Cursor 等多款衍生代码编辑器的开源插件市场。 攻击演进：该恶意软件于 10 月首次被发现时，主要针对 Windows 系统，而此次新变种则专门锁定苹果 macOS 用户。 伪装插件：锦鲤安全在 Open VSX 平台检测到三款恶意插件，下载量已达 5 万次，其中一款伪装成智能代码格式化插件 “Prettier Pro”，另外两款则冒充提升开发效率的工具。 攻击动机：研究人员称，黑客专挑 “有鱼的地方下钩”，macOS 是加密货币、Web3 领域及初创企业开发者的常用系统，正是该恶意软件的核心攻击目标群体。 二、玻璃蠕虫 3.0 核心特性与攻击流程 技术升级与隐匿设计 采用 AES – 256 – CBC 强加密算法，将恶意程序嵌入插件附带的 JavaScript 文件中，区别于前三个针对 Windows 版本依赖不可见 Unicode 字符和 Rust 编译二进制文件的方式。 插件安装后，恶意程序会等待 15 分钟再执行恶意代码，以此规避多数 5 分钟后就会超时的自动化沙箱环境检测。 借助索拉纳区块链发布含 Base64 编码 URL 的交易备注来控制恶意软件，这种方式难以被摧毁，无域名可供拉黑。 窃币与窃密手段 检测 Ledger Live、Trezor Suite 等硬件钱包应用，用植入木马的版本替换它们；同时可攻击 MetaMask、Phantom 等 50 多种浏览器插件与桌面钱包。 窃取 GitHub 令牌、Git 凭证等以实现自我复制；还会窃取 macOS 钥匙串密码、数据库文件、VPN 配置等敏感数据。 顽固攻击特征：第四波攻击沿用此前的基础设施（主控制服务器 IP 为 45.32.151.157），且所有恶意功能均正常运行，研究人员预测第五波攻击大概率会接踵而至。 三、安全警示与应对建议 研究人员指出，攻击者会快速借鉴安全研究成果并更新攻击手段，基于区块链的控制基础设施让传统特征码检测与域名拉黑策略失效。开发者可通过以下方式降低风险： 仅从可信来源安装 Open VSX 插件，安装前核查插件开发者背景与用户评价。 及时轮换 GitHub、NPM 等平台的令牌，定期备份 SSH 密钥并限制其权限。 启用硬件钱包二次验证，定期清理浏览器扩展与桌面钱包中的敏感数据。 若发现恶意或存在漏洞的插件，可通过邮箱 openvsx@eclipse – foundation.org向 Open VSX 平台举报。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  2025 年 12 月 30 日消息，两款经谷歌 “精选” 认证的 Chrome 浏览器插件被爆出暗中窃取用户在 ChatGPT 与DeepSeek平台的对话记录，目前累计安装量已超 90 万。 该恶意软件攻击活动潜藏于 Chrome 网上应用店，涉事插件伪装成 AITOPIA 公司开发的合法侧边栏工具，宣称可在任意网站添加侧边栏以实现大语言模型对话功能。网络安全公司 OX Security 研究人员发现，这些插件虽功能正常，却内置间谍程序。 涉事插件与窃取行为 Chat GPT for Chrome with GPT – 5, Claude Sonnet & DeepSeek AI：安装量超 60 万，带有谷歌 “精选” 标识。 AI Sidebar with Deepseek, ChatGPT, Claude, and more：安装量超 30 万。 插件安装后，每 30 分钟就会窃取一次用户与 ChatGPT、深度求索的对话记录及浏览行为数据，并向外传输。研究人员指出，AI 对话常包含专有代码、个人信息等敏感内容，这些数据可能被用于企业间谍活动、身份盗窃、定向钓鱼攻击，或在暗网交易，企业员工安装后可能泄露知识产权与商业机密。 处置进展与安全提醒 OX 团队已向谷歌通报情况，但截至 12 月 30 日，谷歌响应团队仍在审查，涉事插件尚未下架。研究人员呼吁用户立即卸载相关插件，并提醒安装插件时需谨慎，即便带有 “精选” 标识，非可信来源插件也存在风险。 这并非 Chrome 商店首次出现功能性插件窃取数据事件，此前曾有一款安装量超 600 万、评分 4.7 星且获 “精选” 认证的插件被发现窃取 AI 对话内容。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本汽车制造商日产公司披露了一起数据泄露事件，该事件与Red Hat公司使用的自托管 GitLab 实例存在关联。威胁行为者获得了该GitLab实例的访问权限，窃取了2.1万名客户的数据。 Red Hat系统遭入侵 今年 10 月，黑客组织Crimson Collective宣称，已从Red Hat私有GitHub代码仓库中窃取了570GB的数据，其中包含2.8万个项目文件，以及约800份带有敏感网络数据的客户互动报告CER。这类报告通常包含基础设施细节、系统配置信息和各类令牌等敏感内容，攻击者可利用这些信息对客户网络发起针对性攻击。 Red Hat确认发生数据泄露，但并未证实Crimson Collective黑客组织的相关说法。 9月24日，该黑客组织在一个Telegram频道上，公布了完整的文件目录、客户互动报告清单及相关截图，以此作为入侵成功的证据。 “顺带提一句，我们还获取了部分客户的基础设施访问权限，虽然已经向他们发出警告，但他们选择无视我们。” Crimson Collective在Telegram上写道。 该文件目录中包含数千个代码仓库的相关信息，涉及多家大型银行、电信运营商、航空公司及公共部门机构，例如花旗集团、威瑞森通信、西门子、博世、摩根大通、汇丰银行、梅里克银行、澳大利亚电信、西班牙电信，甚至还提及了美国参议院。 此外，Crimson Collective还公布了其试图联系Red Hat的相关证据。 Red Hat方面表示，保护系统与数据安全是公司的首要任务，并补充称，此次事件未对公司其他服务或产品造成影响，供应链也依旧保持安全稳定。 日产数据泄露 日产此次的数据泄露，源于其一个存储着示例代码、内部通信记录及项目技术规格的GitLab实例遭到未授权访问。 日产发布的一份数据泄露通知中写道：“日产汽车株式会社收到合作方Red Hat的报告，称该公司的数据服务器遭到非法访问，数据已泄露。经后续核实，此次泄露的数据中包含日产福冈销售公司的部分客户信息。” 日产表示，从遭入侵的Red Hat GitLab实例中被盗的数据，涵盖日产福冈销售公司约2.1万名客户的个人信息，包括姓名、住址、电话号码、部分电子邮箱地址以及与销售相关的信息。 日产指出，此次事件未涉及客户财务数据，也未造成其他客户记录泄露。红帽于事件发生约一周后的 2025 年 10 月 3 日，将数据泄露情况告知日产。 “日产于10月3日收到Red Hat的报告后，立即向个人信息保护委员会进行了报备。同时，日产正直接联系那些个人信息可能已遭泄露的客户。” 截至目前，尚无证据表明泄露的数据已被不法分子滥用，但日产仍敦促客户提高警惕，留意可疑来电与邮件。 通知最后强调：“日产高度重视此次事件，未来将加强对分包商的监督力度，并进一步采取措施强化信息安全防护。对于此次事件给客户带来的不便，我们再次致以最诚挚的歉意。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 工作流自动化平台 n8n 被曝存在一处高危安全漏洞，该漏洞若被成功利用，在特定条件下可导致攻击者执行任意代码。 该漏洞编号为CVE-2025-68613，通用漏洞评分系统（CVSS）评分为 9.9 分。据 npm 平台统计数据显示，该软件包周下载量约达 5.7 万次。 该 npm 软件包维护团队指出：“在特定条件下，已完成身份验证的用户在配置工作流时提交的表达式，可能会在未与底层运行环境充分隔离的执行上下文中被解析执行。” 漏洞危害与影响范围 “已通过身份验证的攻击者可利用这一漏洞，以 n8n 进程的权限执行任意代码。漏洞一旦被成功利用，可能导致受影响的平台实例被完全攻陷，包括敏感数据遭未授权访问、工作流被篡改，以及系统级操作被恶意执行等后果。” 该漏洞影响所有版本号≥0.211.0 且≤1.120.4的 n8n 程序，目前官方已在 1.120.4、1.121.1 和 1.122.0 三个版本中完成漏洞修复。据攻击面管理平台 Censys 监测数据，截至 2025 年 12 月 22 日，全球范围内存在潜在漏洞风险的 n8n 实例多达 103476 个，其中大部分分布于美国、德国、法国、巴西及新加坡等国家。 鉴于该漏洞的高危等级，相关部门建议用户尽快为 n8n 程序安装更新补丁。若暂时无法立即完成补丁部署，建议将工作流的创建与编辑权限仅开放给可信用户，同时在权限受限的操作系统环境中部署 n8n，并限制其网络访问范围，以此降低漏洞被利用的风险。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 尼日利亚当局宣布逮捕了三名“知名网络诈骗嫌疑人”，据称他们参与了针对大型企业的钓鱼攻击，其中包括RaccoonO365钓鱼即服务计划的主要开发者。 尼日利亚警察部队国家网络犯罪中心表示，在与微软和联邦调查局的合作调查下，确认了奥基蒂皮·塞缪尔（又名摩西·费利克斯）是该钓鱼基础设施的主要嫌疑人和开发者。 “调查显示，他运营着一个Telegram频道，通过该频道出售钓鱼链接以换取加密货币，并利用窃取或欺诈获得的邮箱凭证在Cloudflare上托管欺诈性登录门户。”尼日利亚警方在社交媒体上发布的帖子中称。 此外，在对他们住所进行的搜查行动中，查获了与该活动相关的笔记本电脑、移动设备和其他数字设备。据尼日利亚警方称，另外两名被捕者与该钓鱼即服务的创建或运营无关。逮捕行动是在拉各斯州和埃多州进行的突击搜查后执行的。 RaccoonO365是一个以经济利益为动机的威胁组织及其钓鱼即服务工具包的名称，该工具包使攻击者能够通过模仿微软365登录页面的钓鱼页面进行凭证窃取攻击。微软在追踪该威胁组织时将其命名为Storm-2246。 早在2025年9月，这家科技巨头就表示与Cloudflare合作，查封了RaccoonO365使用的338个域名。据估计，自2024年7月以来，归因于该工具包的钓鱼基础设施已导致来自94个国家的至少5000个微软凭证被盗。 尼日利亚警方称，RaccoonO365被用来建立欺诈性的微软登录门户，旨在窃取用户凭证，并利用这些凭证非法访问企业、金融机构和教育机构的邮箱平台。联合调查发现了2025年1月至9月期间多起未经授权的微软365账户访问事件，这些事件源于模仿合法微软身份验证页面的钓鱼消息。 尼日利亚警方补充说，这些活动导致了跨多个司法管辖区的商业邮箱入侵、数据泄露和经济损失。 微软和Health-ISAC在9月提起的民事诉讼指控被告约书亚·奥贡迪佩和另外四名化名被告“出售、分发、购买和实施”该钓鱼工具包，以推动复杂的鱼叉式钓鱼并窃取敏感信息，从而运营网络犯罪活动。 诉讼称，被盗数据随后被用来助长更多网络犯罪，包括商业邮箱入侵、金融诈骗、勒索软件攻击，以及侵犯知识产权。 诉讼还指认奥贡迪佩是该行动的幕后主使。他目前下落不明。当被要求置评时，微软发言人告诉The Hacker News，调查正在进行中。 事态发展的同时，谷歌起诉了Darcula钓鱼即服务的运营者，将中国公民张宇程指认为该组织的头目，并列出另外24名成员。谷歌正寻求法院命令，查封该组织背后的服务器基础设施，这些基础设施一直是一波冒充美国政府机构的大规模短信钓鱼活动的源头。 据挪威广播公司和网络安全公司Mnemonic的调查，Darcula及其同伙估计窃取了近90万张信用卡号码，其中近4万张来自美国人。该中文钓鱼工具包于2023年7月首次出现。 该诉讼的消息由NBC新闻于2025年12月17日首次报道。事态发展距离谷歌起诉与另一个名为Lighthouse的钓鱼即服务相关的、据信已影响超过120个国家100万用户的、位于中国的黑客，仅过去一个多月。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据奇安信XLab的研究，一个名为Kimwolf的新型分布式拒绝服务僵尸网络已组建了一支由至少180万台受感染设备组成的大军，这些设备包括基于安卓系统的电视、机顶盒和平板电脑，并且可能与另一个名为 AISURU 的僵尸网络存在关联。 “Kimwolf是一个使用NDK编译的僵尸网络，” 该公司在今天发布的一份报告中表示。”除了典型的DDoS攻击能力外，它还集成了代理转发、反向Shell和文件管理功能。” 据估计，这个超大规模僵尸网络在2025年11月19日至22日的三天内发出了17亿条DDoS攻击命令。大约在同一时间，其一个C2域名曾登顶Cloudflare的全球前100域名榜单，甚至一度短暂超越谷歌。 Kimwolf的主要感染目标是部署在家庭网络环境中的电视盒子。部分受影响的设备型号包括TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV和MX10。感染分布在全球，其中巴西、印度、美国、阿根廷、南非和菲律宾的感染密度较高。然而，恶意软件传播到这些设备的具体方式目前尚不清楚。 XLab表示，其调查始于2025年10月24日从一位可信的社区合作伙伴处收到Kimwolf的”第四版”样本。自那以后，上月又发现了另外八个样本。 “我们观察到，Kimwolf的C2域名至少被未知方成功关闭了三次，迫使其升级策略，转而使用ENS来强化其基础设施，这展示了其强大的进化能力，” XLab研究人员说。 不仅如此，本月早些时候，XLab成功夺取了其中一个C2域名的控制权，从而得以评估该僵尸网络的规模。 Kimwolf一个有趣的方面是它与臭名昭著的AISURU僵尸网络有关联，后者是过去一年中一些破纪录DDoS攻击的幕后黑手。据推测，攻击者在早期阶段重用了AISURU的代码，后来才选择开发Kimwolf僵尸网络以规避检测。 XLab表示，其中一些攻击可能并非仅来自AISURU，Kimwolf可能参与甚至主导了这些攻击。 “这两个主要的僵尸网络在9月至11月期间通过相同的感染脚本传播，共存于同一批设备中，” 该公司表示。”它们实际上属于同一个黑客组织。” 这一评估基于上传到VirusTotal平台的APK包的相似性，在某些情况下甚至使用了相同的代码签名证书。2025年12月8日发现了更确凿的证据：一个活跃的下载服务器被发现包含一个同时引用Kimwolf和AISURU APK文件的脚本。 恶意软件本身相当直接。一旦启动，它会确保在受感染设备上只运行一个进程实例，然后继续解密嵌入的C2域名，使用基于TLS的DNS获取C2 IP地址，并连接到该地址以接收和执行命令。 截至2025年12月12日检测到的最新版本僵尸网络恶意软件引入了一种名为EtherHiding的技术，该技术利用ENS域名从相关的智能合约中获取实际的C2 IP地址，旨在使其基础设施对打击行动更具弹性。 具体来说，这涉及到从事务的”lol”字段中提取IPv6地址，然后取该地址的最后四个字节，并用密钥”0x93141715″进行异或运算以得到实际的IP地址。 除了加密与C2服务器和DNS解析器相关的敏感数据外，Kimwolf还使用TLS加密进行网络通信以接收DDoS命令。总体而言，该恶意软件支持13种基于UDP、TCP和ICMP的DDoS攻击方法。根据XLab的数据，攻击目标位于美国、中国、法国、德国和加拿大。 进一步分析确定，超过96% 的命令涉及使用僵尸节点提供代理服务。这表明攻击者试图利用受感染设备的带宽并最大化利润。作为这项工作的一部分，一个基于Rust的命令客户端模块被部署以形成代理网络。 同时分发给节点的还有ByteConnect SDK，这是一个允许应用程序开发者和物联网设备所有者将其流量货币化的变现解决方案。 “巨型僵尸网络起源于2016年的Mirai，感染目标主要集中在家庭宽带路由器和摄像头等物联网设备上，” XLab表示。”然而，近年来，诸如Badbox、Bigpanzi、Vo1d和Kimwolf等百万级别的巨型僵尸网络信息被披露，这表明一些攻击者已经开始将注意力转向各种智能电视和电视盒子。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以牟利为目的的 “黄金工厂”（GoldFactory）网络犯罪团伙近期以伪装政府服务机构的方式，向印度尼西亚、泰国和越南的移动用户发起新一轮攻击。 总部位于新加坡的数字风险防护企业 IB 集团在周三发布的技术报告中指出，该攻击活动始于 2024 年 10 月，犯罪团伙通过传播植入安卓恶意软件的篡改版银行应用实施攻击。 据悉，“黄金工厂” 早在 2023 年 6 月就已开始活动，该团伙于去年年初逐渐进入公众视野。当时 IB 集团披露，该团伙开发了 “掘金铲”（GoldPickaxe）、“淘金者”（GoldDigger）及 “增强版淘金者”（GoldDiggerPlus）等多款定制恶意软件，同时针对安卓与苹果移动设备发动攻击。 此轮攻击最早在泰国被发现，2024 年末至 2025 年初蔓延至越南，2025 年年中起又波及印度尼西亚。 IB 集团表示，已排查出 300 多个不同版本的篡改版银行应用样本，仅在印度尼西亚就造成近 2200 起设备感染事件。经进一步调查，该团伙相关的恶意攻击载体超 3000 个，导致的感染案例不少于 1.1 万起，其中约 63% 的篡改版银行应用面向印度尼西亚市场。 该攻击流程其实很简单：犯罪团伙先伪装成政府机构或当地知名可靠品牌，接着致电潜在受害用户实施诈骗，诱导他们点击在 zalo（越南主流即时通讯软件）等通讯应用中发送的链接，进而安装恶意软件。 IB 集团记录的一起案例显示，诈骗分子冒充越南国家电力集团，以逾期未缴电费将立即断电为由催促受害用户缴费。通话过程中，诈骗分子还要求受害用户添加其 zalo 好友，以便接收用于下载应用并绑定账户的链接。 这些链接会将受害用户导向仿冒谷歌应用商店页面的虚假诱导界面，进而植入 “巨型芽”“移动监控木马”“雷莫” 等远程控制木马。其中 “雷莫” 木马于今年早些时候被发现，其攻击手法与 “黄金工厂” 如出一辙。这些植入程序会为核心恶意程序的安装铺路，核心程序会恶意滥用安卓系统的辅助功能，以实现对设备的远程操控。 安德烈・波洛夫金、沙明・洛、阮氏秋源与帕维尔・瑙莫夫等研究人员指出：“这类恶意软件以正规手机银行应用为基础，仅向应用的部分模块注入恶意代码，因此正规应用的正常功能得以保留。不同攻击目标所植入的恶意模块功能或许存在差异，但核心目的均是绕过原应用的安全防护机制。” 具体来说，该恶意软件通过劫持应用程序逻辑来启动恶意代码。研究人员根据篡改版应用中用于运行时劫持的框架，发现了三类不同的恶意程序组件，分别是 “弗瑞劫持器”“天空劫持器” 和 “派恩劫持器”。尽管它们存在差异，但核心功能高度重合，均可实现以下操作： 隐藏已开启辅助功能的应用列表 规避屏幕录制检测 伪造安卓应用的数字签名 隐藏应用安装来源 配置自定义完整性令牌验证程序 窃取用户账户余额信息 其中，“天空劫持器” 借助开源的多平台挂钩框架实现代码劫持功能；“弗瑞劫持器” 会向正规银行应用中注入弗瑞动态插桩工具；而 “派恩劫持器” 顾名思义，采用的是基于 Java 语言开发的派恩挂钩框架。 IB 集团在分析 “黄金工厂” 搭建的恶意攻击架构时，还发现了一款名为 “巨型花” 的安卓恶意软件测试版，这款软件很可能是 “巨型芽” 的升级版。 该恶意软件支持约 48 条操控指令，具体功能包括通过网页实时通信技术实现设备屏幕画面与运行状态的实时传输；滥用系统辅助功能记录键盘输入内容、读取界面信息并模拟手势操作；弹出仿冒系统更新、验证码输入及账户注册的虚假界面以窃取个人信息；借助内置文本识别算法提取身份证等证件图片中的信息。目前该软件还在开发二维码扫描功能，用于识别越南身份证上的二维码，其目的很可能是更便捷地获取证件信息。 值得注意的是，“黄金工厂” 已停用其定制开发的苹果设备恶意程序，转而采用一种特殊攻击方式 —— 指示受害用户向亲友借用安卓设备继续操作以完成诈骗。目前其变更攻击方式的具体原因尚不清楚，但外界普遍认为，这与苹果系统更为严格的安全防护机制及应用商店审核制度密切相关。 研究人员表示：“该团伙早期攻击主要以恶意利用客户身份验证流程为目标，而近期则转为直接篡改正规银行应用实施诈骗。他们借助弗瑞、多平台挂钩、派恩等正规框架篡改可信银行应用，这种攻击手段技术成熟且成本低廉，既能避开传统安全检测，还能助力犯罪团伙快速扩大攻击规模。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文