HackerNews 编译，转载请注明出处： 多个凭证数据集曝光了史上最大规模的数据泄露事件之一，总计暴露了惊人的160亿条登录凭证。这些数据很可能源自各种信息窃取程序。 不必要地汇总敏感信息可能与主动窃取数据同样危险。例如，Cybernews研究团队发现了多个超大规模数据集，其中存储了数十亿条登录凭证。从社交媒体、企业平台到VPN和开发者门户，无一幸免。 自今年年初以来，我们的团队一直在密切监控网络活动。截至目前，他们已发现30个被暴露的数据集，每个数据集包含的记录从数千万条到超过35亿条不等。总体而言，研究人员揭露了难以想象的160亿条记录。 除一个数据集外，其他所有被暴露的数据集此前均未报告：今年5月下旬，《连线》杂志曾报道一名安全研究人员发现了一个包含1.84亿条记录的“神秘数据库”。但该数据库的规模在本团队发现的列表中勉强挤进前二十名。最令人担忧的是，研究人员声称每隔几周就会出现新的大规模数据集，这表明信息窃取恶意软件的传播程度远超想象。 研究人员表示：“这不仅仅是一次泄露——它是大规模利用的蓝图。超过160亿条登录记录的暴露，使网络犯罪分子现在能够以前所未有的规模获取个人凭证，这些凭证可用于账户接管、身份盗窃和高度针对性的网络钓鱼攻击。”他们补充道：“尤其令人担忧的是这些数据集的结构和时效性——它们并非回收利用的旧泄露数据。这是新鲜的、可直接用于攻击的大规模情报。” 唯一的一线希望是，所有这些数据集都只是短暂暴露：时间刚好足够研究人员发现它们，但不足以查明是谁在控制这些海量数据。大多数数据集是通过未采取安全措施的Elasticsearch实例或对象存储实例暂时可访问的。 数十亿条暴露的记录包含什么？ 研究人员称，泄露数据集中的大部分数据是窃取程序恶意软件（stealer malware）的详细信息、凭证填充（credential stuffing）数据集和重新打包的泄露数据的混合体。 无法有效比较不同数据集之间的数据，但可以肯定存在重复记录。换句话说，无法确切得知实际有多少人或账户被暴露。 然而，团队设法收集到的信息显示，大部分信息遵循清晰的结构：首先是URL，然后是登录详情和密码。大多数现代信息窃取程序——即窃取敏感信息的恶意软件——正是以这种方式收集数据。 泄露数据集中的信息几乎为任何能想到的在线服务敞开了大门，从苹果、Facebook和Google，到GitHub、Telegram以及各种政府服务。当160亿条记录摆在面前时，很难遗漏任何东西。 据研究人员称，如此规模的凭证泄露为钓鱼攻击、账户接管、勒索软件入侵和商业邮件诈骗（BEC）攻击提供了燃料。该团队表示：“新旧窃取程序日志的混合——通常包含令牌（tokens）、cookie和元数据——使得这些数据对缺乏多因素认证（MFA）或凭证管理措施的组织尤其危险。” 哪些数据集暴露了数十亿条凭证？ 团队发现的数据集差异很大。例如，最小的数据集以恶意软件命名，包含超过1600万条记录。而最大的一个数据集很可能与葡萄牙语人群相关，包含超过35亿条记录。平均而言，一个暴露凭证的数据集包含5.5亿条记录。 有些数据集命名泛泛，如“logins”（登录）、“credentials”（凭证）等类似术语，导致团队难以深入了解其内容。然而，另一些数据集的名称则暗示了它们关联的服务。 例如，一个包含超过4.55亿条记录的数据集，其名称表明其源于俄罗斯联邦。另一个包含超过6000万条记录的数据集则以Telegram命名，这是一个基于云的即时通讯平台。 该团队强调：“新旧窃取程序日志的混合——通常包含令牌、cookie和元数据——使得这些数据对缺乏多因素认证或凭证管理措施的组织尤其危险。” 虽然命名并非推断数据来源的最佳方式，但似乎部分信息与云服务、商业导向数据甚至加密文件有关。一些数据集的名称很可能指向用于收集数据的某种恶意软件。 目前尚不清楚谁拥有这些泄露的数据。虽然可能是安全研究人员为检查和监控数据泄露而汇编的数据集，但几乎可以肯定其中一些泄露的数据集归网络犯罪分子所有。网络犯罪分子钟爱大规模数据集，因为聚合的数据集能帮助他们扩大各种攻击的规模，例如身份盗窃、钓鱼诈骗和未经授权的访问。 即使成功率不足百分之一，也可能为攻击者打开通向数百万个人的大门，这些人可能被诱骗泄露更敏感的信息，例如金融账户。令人担忧的是，由于不清楚谁拥有这些暴露的数据集，用户能采取的防护措施影响甚微。 然而，基本的网络安全防护至关重要。强大且频繁更换的密码可能是账户安全与信息被盗之间的分水岭。用户还应检查其系统是否存在信息窃取程序，以避免数据落入攻击者之手。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的多阶段恶意软件活动，专门针对《我的世界》（Minecraft）玩家。该活动使用基于Java的恶意软件，并利用名为“Stargazers Ghost Network”的分发即服务（DaaS）平台进行传播。 Check Point公司的研究人员雅罗米尔·霍雷伊希（Jaromír Hořejší）和安东尼斯·特雷福斯（Antonis Terefos）在一份报告中指出：“这些攻击活动导致了一个针对《我的世界》玩家的多阶段攻击链。恶意软件假冒了名为Oringo和Taunahi的工具，这些是‘脚本和宏工具’（即作弊工具）。第一和第二阶段的恶意程序均使用Java开发，并且只能在目标主机上安装了《我的世界》运行环境时才能执行。” 攻击的最终目的是诱骗玩家从GitHub下载《我的世界》模组（mod），进而投放具有全面数据窃取能力的.NET信息窃取程序。该网络安全公司于2025年3月首次检测到此活动。 该活动的显著特点是利用了名为“Stargazers Ghost Network”的非法服务平台。该网络利用数千个GitHub帐户建立被污染的代码仓库（repository），这些仓库伪装成破解软件和游戏作弊工具。 特雷福斯表示，他们已标记了“大约500个GitHub仓库，包括被复刻（fork）或复制的仓库”，并补充说“我们还观察到大约70个帐户产生了700个点赞（star）”。 这些伪装成《我的世界》模组的恶意仓库，是感染这款热门视频游戏用户的渠道。它们会投放一个Java加载器（例如“Oringo-1.8.9.jar”），截至报告发布时，该加载器仍未被任何防病毒引擎检测到。 这些Java存档（JAR）文件实施了简单的反虚拟机（anti-VM）和反分析技术以规避检测。其主要目的是下载并运行另一个JAR文件，这是一个第二阶段窃取程序，当受害者启动游戏时，它会获取并执行一个.NET窃取程序作为最终有效载荷。 第二阶段组件是从一个IP地址（“147.45.79.104”）获取的，该地址以Base64编码格式存储在Pastebin上。这本质上将Pastebin工具变成了一个“死投解析器”（dead drop resolver）。 研究人员解释说：“若要将模组添加到《我的世界》游戏中，用户必须将恶意JAR文件复制到《我的世界》的模组文件夹（mods folder）中。启动游戏后，《我的世界》进程将加载该文件夹中的所有模组，包括恶意模组，该模组随后会下载并执行第二阶段程序。” 除了下载.NET窃取程序，第二阶段窃取程序还能窃取Discord和《我的世界》的令牌（token）以及Telegram相关数据。另一方面，.NET窃取程序则能够从各种网络浏览器中窃取凭证，并收集文件、加密货币钱包信息以及其他应用程序（如Steam和FileZilla）的数据。 它还可以截取屏幕截图，并收集有关正在运行的进程、系统的外部IP地址和剪贴板内容的信息。最终，捕获的信息会被打包，并通过Discord的Webhook传输回攻击者。 研究人员怀疑该活动是一个俄语威胁行为者的手笔，因为发现了多个俄语编写的文件残留，并且攻击者的代码提交时间戳显示为UTC+3时区。据估计，可能有超过1,500台设备成为该计划的受害者。 研究人员总结道：“此案例凸显了流行的游戏社区如何被利用为恶意软件分发的有效载体，强调了下载第三方内容时保持谨慎的重要性。Stargazers Ghost Network一直在积极分发这种恶意软件，目标是那些寻求模组来增强游戏体验的《我的世界》玩家。看似无害的下载，实则是基于Java的加载器，它们会部署另外两个窃取程序，能够窃取凭证和其他敏感数据。” KimJongRAT窃取程序新变种现身 与此同时，Palo Alto Networks公司Unit 42团队详细介绍了名为KimJongRAT的信息窃取程序的两个新变种。该恶意软件很可能与BabyShark和Stolen Pencil背后的朝鲜威胁行为者有关联。KimJongRAT早在2013年5月就已被检测到，在BabyShark攻击中作为次级载荷投放。 安全研究员多米尼克·赖歇尔（Dominik Reichel）表示：“一个新变种使用可移植可执行（PE）文件，另一个则使用PowerShell脚本实现。PE和PowerShell变种都是通过点击Windows快捷方式（LNK）文件触发的，该文件会从攻击者控制的内容分发网络（CDN）账户下载一个投放器（dropper）文件。” PE变种的投放器会部署一个加载器（loader）、一个诱饵PDF文件和一个文本文件；而PowerShell变种的投放器则部署一个诱饵PDF文件和一个ZIP压缩包。加载器接着会下载辅助载荷，包括KimJongRAT的窃取程序组件。 PowerShell变种投放器提供的ZIP压缩包中包含嵌入了基于PowerShell的KimJongRAT窃取程序和键盘记录器组件的脚本。 这两个新变种都能够收集并传输受害者信息、符合特定扩展名的文件以及浏览器数据（如凭证和加密货币钱包扩展的详细信息）。PE变种的KimJongRAT还被设计用于窃取FTP和电子邮件客户端信息。 Unit 42团队指出：“KimJongRAT的持续开发和部署，以及其不断变化的技术（例如使用合法的CDN服务器来伪装其分发），表明其构成明确且持续的威胁。这种适应性不仅展示了此类恶意软件带来的持久威胁，也突显了其开发者更新和扩展其功能的决心。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯网络安全研究人员发现首例本土化数据窃取攻击，攻击者使用经篡改的近场通信（NFC）合法软件进行作案，这似乎是更广泛攻击活动的测试阶段。 该报告涉及恶意软件SuperCard——此前已知的合法软件NFCGate的变种。NFCGate原设计用于在邻近设备间中继传输NFC数据，而网络犯罪分子长期滥用NFC技术盗取受害者银行资金。在先前针对欧洲银行的SuperCard攻击中，黑客通过被入侵的安卓手机，将受害者实体支付卡数据中继传输至攻击者控制的设备，随后利用窃取的数据实施ATM交易。若该方法失败，攻击者则直接将受害者账户资金转移至其他账户。 莫斯科网络安全公司F6在6月17日发布的报告中指出，SuperCard于2025年5月首次在俄罗斯境内针对安卓用户部署，而该恶意软件最初于同年4月在意大利被发现。意大利安全公司Cleafy曾披露，该工具以恶意软件即服务（MaaS）形式分发，由“中文使用者”操作。攻击者采用社会工程手段诱骗受害者下载伪装成合法应用的SuperCard。一旦安装，该恶意软件能识别受害者使用的支付系统（Visa、Mastercard、American Express、UnionPay或JCB），进而支持犯罪分子实施欺诈交易。 研究人员强调，SuperCard区别于以往基于NFCGate的恶意软件之处在于其商业化分发策略：首次通过Telegram中文频道公开推广，采用订阅制销售并提供客户支持。F6发现其广告宣称可针对美国、澳大利亚及欧洲主要银行的客户。F6早于2025年1月就在俄罗斯观察到基于NFCGate的攻击（早于SuperCard扩散）。此后攻击工具经多次篡改升级。据F6统计，2025年第一季度俄罗斯因NFCGate变种造成的总损失达4.32亿卢布（约合550万美元），超17.5万台安卓设备被感染。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意广告网络如同不死鸟，每次被打击后都会以新名称重生，犯罪团伙随即蜂拥而至。安全研究团队近期揭露：网站黑客与特定广告技术公司存在深度勾结。 自2015年底起，黑客劫持WordPress等网站后，会将访问者重定向至VexTrio——全球最大的犯罪流量分发系统（TDS）。该恶意联盟计划进而通过被劫持网站传播恶意软件、诈骗信息及非法内容。这套犯罪系统如同智能路由：在伪装无害的前提下，精准将用户引导至恶意站点。 安全公司Infoblox研究发现，多家表面独立的广告技术公司实际与该犯罪网络紧密交织。整个体系犹如多头蛇怪：一个广告技术节点被斩断，立即会有新节点补位。11月13日曝光的瑞士-捷克广告公司Los Pollos便是典型代表——该企业不仅参与犯罪活动，更被俄罗斯虚假信息组织Doppelganger用于宣传操作。 Los Pollos的推送链接变现服务关停后，被劫持的WordPress网站立即更新重定向机制，以完全相同的方式将用户导向新广告技术平台Help TDS。调查显示，Help TDS并非新生系统，而是与VexTrio勾结多年的老牌犯罪渠道。GoDaddy研究团队曾指出，Help与此前发现的“一次性TDS”高度相似，两者均长期为VexTrio输送犯罪流量。 深层溯源揭露更多广告技术公司与VexTrio存在惊人共性：共享代码架构的Partners House、BroPush、RichAds等平台，其URL结构、核心文件均指向同一技术源头。尽管这些企业均存在俄罗斯关联且长期互相引流，但至今未发现明确的共同股权关系。 犯罪链条的商业模式 为何黑客不自建网络而依赖广告平台？关键在于精细化欺诈：恶意流量分发系统按“用户行为”向被劫持网站支付佣金——当受害者提交邮箱、信用卡等敏感信息时，犯罪收益便自动生成。 这些所谓“广告内容”实为诈骗陷阱： 冠以“主流交友”、“抽奖活动”之名的加密货币骗局 成人内容与恶意软件下载站 通过欺诈性订阅推送通知实施持续诈骗 犯罪广告平台通常运营封闭的广告池，仅对特定恶意合作伙伴开放。 犯罪基础设施的双重布局 Infoblox通过分析450万次DNS查询，发现两套位于俄罗斯的独立控制服务器集群： 使用差异化主机服务 配置不同的重定向域名 采用分离的URL结构 共同点为最终均指向VexTrio犯罪网络。 追责困境与突破口 犯罪者身份仍隐匿于： 通过Cloudflare等代理服务隐藏行踪 利用防弹主机掩盖服务器位置 刻意分割技术特征规避溯源 广告平台常以“无法管控恶意合作方”推诿责任，强调其仅充当发布商与广告主的中介。但安全团队指出：这些平台掌握着犯罪联盟的会员信息与交易数据，实为追踪犯罪者的关键突破口。能否配合执法提交证据，将成为检验其是否“被动涉罪”的试金石——毕竟它们清楚知晓，每天将多少无辜访客引向了全球诈骗犯的陷阱。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个在合法网站上注入恶意 JavaScript 的大规模攻击活动。 据 Palo Alto Networks Unit 42 报告，这些恶意注入代码使用 JSFuck 进行混淆。JSFuck 指的是一种“深奥且具有教育意义的编程风格”，它仅使用有限的字符集来编写和执行代码。 由于涉及不雅用语，这家网络安全公司将该技术赋予了另一个名称“JSFireTruck”。 “已识别出多个网站被注入了使用 JSFireTruck混淆的恶意 JavaScript，该混淆主要由符号 [, ], +, $, {, } 构成，”安全研究员哈迪克·沙赫（Hardik Shah）、布拉德·邓肯（Brad Duncan）和普拉奈·查帕瓦尔（Pranay Kumar Chhaparwal）表示。“代码的混淆隐藏了其真实目的，阻碍了分析。” 进一步的分析确定，注入的代码旨在检查网站的引荐来源（“document.referrer”），该信息标识了发出请求的网页地址。 如果引荐来源是诸如 Google、Bing、DuckDuckGo、Yahoo! 或 AOL 这样的搜索引擎，JavaScript 代码就会将受害者重定向到可以传播恶意软件、漏洞利用程序、进行流量变现和传播恶意广告（malvertising）的恶意网址。 Unit 42 表示，其遥测数据显示，在 2025 年 3 月 26 日至 4 月 25 日期间，有 269,552 个网页被发现感染了使用 JS消防车技术的 JavaScript 代码。该活动在 4 月 12 日首次出现峰值，当天单日就发现了超过 5 万个受感染的网页。 “该活动的规模和隐蔽性构成了重大威胁，”研究人员说。“这些感染的普遍性表明存在一项协同努力，旨在通过攻陷合法网站作为攻击载体，以实施进一步的恶意活动。” 这一消息发布的背景是：Gen Digital 揭开了一种名为 HelloTDS 的复杂流量分发服务（Traffic Distribution Service, TDS）的面纱。该服务旨在通过注入网站的远程托管 JavaScript 代码，有条件地将网站访问者重定向到虚假验证码（CAPTCHA）页面、技术支持诈骗页面、虚假浏览器更新提示、不需要的浏览器扩展以及加密货币骗局。 该 TDS 的主要目标是将受害者设备采集指纹特征后，作为一个网关来确定要向他们投放的具体内容性质。如果用户未被认定为合适的目标，受害者会被重定向到一个良性网页。 “攻击活动的入口点是受感染或被攻击者控制的其他流媒体网站、文件共享服务，以及恶意广告（malvertising）活动。”研究员沃伊捷赫·克莱萨（Vojtěch Krejsa）和米兰·斯平卡（Milan Špinka）在本月发布的一份报告中表示。 “受害者的筛选会基于地理位置、IP地址和浏览器指纹特征；例如，通过VPN或无头浏览器的连接会被检测并拒绝。” 其中一些攻击链已被发现会提供虚假验证码页面，这些页面利用 ClickFix 策略欺骗用户运行恶意代码，从而使他们的机器感染一种名为“峰值之光”（PEAKLIGHT，也称为 Emmenhtal Loader）的恶意软件。已知该恶意软件会加载信息窃取程序，如 Lumma。 HelloTDS 基础设施的核心是使用 .top、.shop 和 .com 顶级域名来托管 JavaScript 代码，并在经过多阶段（旨在收集网络和浏览器信息）的指纹采集过程后触发重定向。 “这些虚假验证码活动背后的 HelloTDS 基础设施，展示了攻击者如何不断完善其方法，以绕过传统防护措施、逃避检测并有选择性地锁定受害者。”研究人员表示。 “通过利用复杂的指纹识别、动态域名基础设施和欺骗手段（例如模仿合法网站或向研究人员提供良性内容），这些活动既能保持隐蔽性，又能达到大规模。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Palo Alto Networks旗下Unit 42团队警告称，新型Windows恶意软件Blitz正通过含后门的游戏作弊工具包传播，对游戏作弊者发起攻击。该恶意软件诱使安卓游戏玩家在电脑模拟器上使用不公平优势手段。 Blitz恶意软件最早于2024年被发现，至今仍在持续更新版本进行攻击活动。需注意该恶意软件与正规游戏辅助工具Blitz.gg（提供实时数据统计的覆盖应用）无关。 Blitz恶意软件伪装成游戏作弊工具传播，其攻击分为两个阶段：下载器先获取僵尸程序载荷，使黑客获得计算机的全面远程控制权。网络犯罪分子还滥用合法代码托管平台散布虚假作弊工具，曾将恶意软件托管在人工智能代码库Hugging Face Spaces上，并在Telegram等社交平台活跃传播。 Unit 42研究人员在报告中指出：“Blitz幕后操纵者疑似俄语使用者，社交媒体使用代号sw1zzx，此人很可能就是开发者。其通过Telegram渠道散布含后门的游戏作弊工具作为初始感染载体。” 至少存在两波Blitz攻击活动：早期通过仿冒正规软件破解安装包传播，后期转为游戏作弊工具包传播。主要针对热门手游《Standoff 2》玩家（该游戏下载量超1亿次）。 当用户下载含虚假作弊工具的压缩包，解压并运行.exe文件后，Blitz下载器将在后台激活。该工具包内含实际作弊程序（可能是黑客破解所得），针对《Standoff 2》的作弊工具需在安卓模拟器BlueStacks上运行。下载器通过加密和反沙盒检测规避查杀，通过验证后即连接远程服务器获取Blitz僵尸程序。 该僵尸程序可实现全面感染： 键盘记录：窃取密码等敏感数据 屏幕监控：截取用户活动画面 加密货币挖矿：利用CPU秘密挖掘门罗币 DDoS攻击：将设备变为僵尸网络节点 远程命令执行：运行任意指令或下载更多恶意软件 研究人员从某命令控制服务器提取的289个已注册僵尸主机显示，俄罗斯用户占比最高（166例），其次为乌克兰（45例）、白俄罗斯（23例）和哈萨克斯坦（12例）。当Unit 42发布威胁情报后，恶意软件运营者在Telegram发布告别声明并提供了木马清除工具。 Unit 42强调：“强烈建议用户避免下载破解软件及游戏作弊工具，此类行为不仅违反法律伦理，更会使系统面临包括Blitz在内的重大安全风险。”       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）就Badbox 2.0僵尸网络发布安全警报后，敦促智能家居用户警惕联网设备中的入侵指标（IoCs）。 该执法机构在公共服务公告（PSA）中称，威胁行为者要么在用户购买前给设备预装恶意软件，要么通过设置过程中必须下载的含后门“必要应用”实施感染。受影响设备主要包括电视流媒体设备、数字投影仪、售后车辆信息娱乐系统、电子相框等产品。 公告补充道：“一旦这些受感染的物联网设备接入家庭网络，便可能沦为Badbox 2.0僵尸网络的一部分，成为已知用于恶意活动的住宅代理服务节点。” Badbox 2.0是原始Badbox僵尸网络在2024年遭打击后出现的第二代变种。与前代相同，它主要针对安卓系统产品。FBI指出：“Badbox 2.0僵尸网络由数百万受感染设备组成，其维护的众多代理服务后门被网络犯罪分子出售或免费提供，用于实施各类犯罪活动。” 公告特别警示用户需警惕两类设备：要求禁用Google Play Protect安全设置的设备，以及宣传具备“解锁”或“免费访问内容”功能的通用电视流媒体设备。同时建议用户避免使用非官方应用市场和陌生品牌产品，若发现无法解释的可疑网络流量应立即采取行动。 为降低网络风险，FBI建议家庭互联网用户采取以下措施： 监控家庭网络的互联网流量 检查所有接入家庭网络的物联网设备是否存在可疑活动 避免从宣传免费流媒体内容的非官方市场下载应用 保持所有操作系统、软件和固件更新，优先修补防火墙漏洞及暴露于互联网的系统中已知被利用的漏洞 据Human Security早前监测，2023年10月的原始Badbox活动中已发现74,000台安卓手机、平板和联网电视盒存在感染迹象。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 威胁行为者正利用Wazuh服务器中一个现已修复的关键安全漏洞，部署两种不同的Mirai僵尸网络变种，并利用它们发动分布式拒绝服务（DDoS）攻击。 Akamai于2025年3月下旬首次发现了这些利用活动，该公司称该恶意活动针对的是CVE-2025-24016（CVSS评分：9.9）。这是一个不安全反序列化漏洞，允许在Wazuh服务器上远程执行代码。 该漏洞影响了服务器软件4.4.0及以上所有版本，已于2025年2月通过发布4.9.1版本得到修复。在补丁发布的同时，概念验证（PoC）漏洞利用代码也被公开披露。 该问题的根源在于Wazuh API中，分布式API（DistributedAPI）的参数被序列化为JSON格式，并使用文件 framework/wazuh/core/cluster/common.py 中的 “as_wazuh_object”函数进行反序列化。威胁行为者可通过注入恶意JSON负载来利用此漏洞远程执行任意Python代码。 Akamai表示，在漏洞及其PoC公开披露仅仅几周后，他们就发现了两个不同的僵尸网络试图利用CVE-2025-24016。这些攻击分别发生在2025年3月初和5月。 “这是僵尸网络运营商针对新发布的CVE所采用的漏洞利用时间窗口不断缩短的最新例证。”安全研究人员Kyle Lefton和Daniel Messing在分享给The Hacker News的一份报告中表示。 在第一种情况下，成功的漏洞利用为执行一个shell脚本铺平了道路，该脚本充当下载器，从外部服务器（“176.65.134[.]62”）为不同架构下载Mirai僵尸网络负载。据评估，这些恶意软件样本是自2023年就已存在的LZRD Mirai的变种。 值得注意的是，LZRD最近也被部署在利用已终止支持（EoL）的GeoVision物联网（IoT）设备的攻击中。然而，Akamai告诉The Hacker News，没有证据表明这两个活动集群是同一个威胁行为者所为，因为LZRD被众多僵尸网络运营商使用。 对 “176.65.134[.]62” 及其关联域名的进一步基础设施分析，导致了其他Mirai僵尸网络版本的发现，包括名为 “neon” 和 “vision” 的LZRD变种，以及一个更新版的V3G4。 该僵尸网络利用的其他安全漏洞还包括Hadoop YARN中的漏洞、TP-Link Archer AX21（CVE-2023-1389）的漏洞以及中兴ZTE ZXV10 H108L路由器中的远程代码执行漏洞。 第二个滥用CVE-2025-24016的僵尸网络采用了类似的策略，使用恶意shell脚本来分发另一个称为Resbot（又名Resentual）的Mirai僵尸网络变种。 “我们注意到关于这个僵尸网络的一个有趣之处是它使用的关联语言。它使用了各种域名来传播恶意软件，这些域名都带有意大利语命名法，”研究人员说。“这种语言命名约定可能表明这是一场专门针对意大利语用户拥有和运行的设备发起的活动。” 除了试图通过端口21上的FTP传播以及进行telnet扫描外，该僵尸网络还被发现利用了针对华为HG532路由器（CVE-2017-17215）、Realtek SDK（CVE-2014-8361）和TrueOnline ZyXEL P660HN-T v1路由器（CVE-2017-18368）等多种漏洞进行传播。 “Mirai的传播相对而言仍在持续，因为重新利用和重用旧源代码来建立或创建新的僵尸网络仍然相当简单，”研究人员表示。“而且僵尸网络运营商通常只需利用新发布的漏洞就能取得成功。” CVE-2025-24016远非唯一被Mirai僵尸网络变种滥用的漏洞。在最近的攻击中，威胁行为者还利用了CVE-2024-3721（一个影响TBK DVR-4104和DVR-4216数字录像设备的中等严重性命令注入漏洞）将设备招募进僵尸网络。 该漏洞被用来触发一个shell脚本的执行，该脚本负责从远程服务器（“42.112.26[.]36”）下载Mirai僵尸网络并执行它，但在执行前会检查自身是否在虚拟机或QEMU中运行。 俄罗斯网络安全公司卡巴斯基表示，感染主要集中在中国、印度、埃及、乌克兰、俄罗斯、土耳其和巴西，并补充说他们识别出超过50,000台暴露在互联网上的DVR设备。 “利用未修补的物联网设备和服务器中的已知安全漏洞，加上针对基于Linux系统的恶意软件的广泛使用，导致大量僵尸程序不断扫描互联网以寻找要感染的设备。”安全研究员Anderson Leite说。 此消息披露之际，根据StormWall分享的统计数据，在2025年第一季度，中国、印度、新加坡、日本、马来西亚、香港地区、印尼、韩国和孟加拉国已成为亚太地区受攻击最多的目标。 “API洪水攻击和地毯式轰炸攻击比传统的TCP/UDP容量攻击增长更快，促使公司采用更智能、更灵活的防御措施，”该公司表示。“与此同时，不断升级的地缘政治紧张局势推动了对政府系统和台湾地区的攻击激增——突显了黑客活动分子和国家资助的威胁行为者活动的增加。” 此前，美国联邦调查局（FBI）发布警告称，BADBOX 2.0僵尸网络已感染了数百万台互联网连接设备（其中大部分是中国制造），以将其变成住宅代理（residential proxies）来促进犯罪活动。 “网络犯罪分子通常在用户购买前就在产品中预装恶意软件进行配置，或者在设备下载含有后门的必要应用程序（通常在设置过程中）时感染设备，从而未经授权访问家庭网络，”FBI表示。 “BADBOX 2.0僵尸网络由数百万台受感染设备组成，并维护着众多通往代理服务的后门。网络犯罪分子通过出售或免费提供对受感染家庭网络的访问权限来利用这些后门进行各种犯罪活动。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对GlueStack相关组件的供应链攻击，超过12个软件包被植入恶意代码。据Aikido Security向The Hacker News透露，攻击者通过篡改“lib/commonjs/index.js”文件注入恶意程序，可执行shell命令、截取屏幕截图并上传受感染设备文件，这些软件包周下载量合计近100万次。 未授权访问权限可被用于加密货币挖矿、窃取敏感信息甚至关闭服务等后续攻击。Aikido表示首次检测到软件包被入侵发生在2025年6月6日21:33（GMT）。受影响软件包及版本如下： @gluestack-ui/utils 0.1.16（101次下载） @react-native-aria/button 0.2.11（174次下载） 恶意代码与上月npm软件包“rand-user-agent”被攻破后分发的远程访问木马相似，表明可能系同一攻击者所为。该木马升级版新增两条指令：收集系统信息（“ss_info”）和获取主机公网IP（“ss_ip”）。项目维护方已撤销访问令牌并将受影响版本标记为弃用，建议用户回退至安全版本。 Aikido声明强调：“潜在影响规模巨大，木马的持久化机制尤其危险——即使维护者更新软件包，攻击者仍能持续访问受感染设备。” 恶意npm软件包具备破坏性功能 安全机构Socket同期发现两个伪装成合法工具的恶意npm包——express-api-sync（下载量112次）和system-health-sync-api（下载量861次）。前者在收到硬编码密钥“DEFAULT_123”的HTTP请求后，会执行“rm -rf *”命令递归删除当前目录所有文件。后者则兼具信息窃取与破坏功能，并根据操作系统切换删除命令（Windows执行“rd /s /q .”，Linux执行“rm -rf *”）。 安全研究员Kush Pandya指出：“express-api-sync是钝器，system-health-sync-api则是配备情报收集功能的瑞士军刀级破坏工具。”该软件包通过硬编码SMTP凭证（用户名auth@corehomes[.]in，Base64编码密码）以邮件为隐蔽通信信道，所有关键事件均会发送至anupm019@gmail.com。攻击者可通过“//system/health”和“//sys/maintenance”端点触发破坏命令，后者作为主后门被封锁时的备用机制。 PyPI软件包伪装Instagram工具窃取凭证 软件供应链安全公司同时在Python包索引（PyPI）发现名为imad213的凭证窃取程序，下载量达3,242次。该程序冒充Instagram涨粉工具，使用Base64编码隐藏恶意行为，并通过Netlify托管文件实现远程紧急停止开关。执行时会诱导用户输入Instagram凭证，随后将凭证发送至10个第三方机器人服务。 该程序由用户im_ad__213（又名IMAD-213）上传，其同期发布的其他三个恶意软件包包括： taya（930次下载）：窃取Facebook/Gmail/Twitter/VK凭证 a-b27（996次下载）：功能同上 poppo213（3,165次下载）：利用Apache Bench发动DDoS攻击 攻击者在GitHub文档中声称该库“仅用于教育研究”，并建议用户使用临时账户避免主账户风险。安全人员指出这实为制造虚假安全感。程序启动后先验证外部服务器文本文件内容是否为“imad213”，通过验证才继续执行。凭证除本地保存为“credentials.txt”外，同时发送至多个土耳其Instagram涨粉工具关联域名（注册于2021年6月）。 Socket警告：“10个机器人服务同时接收凭证，显示凭证洗白（credential laundering）的早期迹象——通过多服务分发掩盖凭证来源。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科Talos最新报告显示，俄罗斯威胁组织再次使用破坏性恶意软件瞄准乌克兰关键基础设施。2022年1月至2月俄乌冲突爆发期间，攻击者曾协调部署WhisperGate、HermeticWiper、IsaacWiper及CaddyWiper等擦除器恶意软件；同年4月，Industroyer2被用于攻击工业控制系统。 随着俄罗斯在网络空间加剧活动，2023年12月乌克兰最大移动运营商Kyivstar的IT基础设施遭部分摧毁。最新事件中，乌克兰某关键基础设施实体成为新型擦除器PathWiper的攻击目标。 该恶意软件与HermeticWiper存在相似性——后者被归因于俄罗斯军事情报总局（GRU）关联的APT组织沙虫（亦被追踪为Seashell Blizzard、APT44、Iridium、TeleBots和Voodoo Bear），在2024年2月俄罗斯全面入侵乌克兰时被发现。Talos指出，两者均以主引导记录（MBR）和NTFS相关构件为破坏目标，但机制存在差异：PathWiper会扫描所有连接的驱动器与卷，识别卷标并记录有效数据；而HermeticWiper仅遍历0到100编号的物理驱动器。 攻击者利用合法端点管理框架执行恶意命令并部署PathWiper，其使用的文件名和操作均模仿该管理工具的控制台特征。Talos解释称：“管理工具控制台发出的指令会被终端客户端接收，并以批处理文件形式执行。其命令行部分与Impacket命令执行相似，但此类命令不一定表明环境中存在Impacket。” PathWiper运行时尝试卸载卷，并用随机数据覆盖文件系统构件，每个驱动器和卷对应独立线程。目标构件包括MBR、MFT（主文件表）、MFTMirr（镜像文件）、LogFile（日志文件）、Boot（引导文件）、Bitmap（位图）、TxfLog（事务日志）、Tops（拓扑文件）及AttrDef（属性定义）。 2022年部分针对乌克兰的擦除器攻击被归因于GRU下属APT组织“Cadet Blizzard”，该组织成员已于去年被美国司法部起诉。研究人员警示：“擦除器恶意软件的持续演进，凸显俄乌战争长期化背景下乌克兰关键基础设施面临的威胁未减。”       消息来源：  securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文