HackerNews 编译，转载请注明出处： RVTools的官方网站遭到黑客攻击，开始提供被篡改的流行VMware环境报告工具的安装程序。 “Robware.net和RVTools.com目前处于离线状态。我们正在紧急恢复服务，感谢您的耐心等待，”该公司在其网站上发布的声明中表示，“Robware.net和RVTools.com是唯一授权且受支持的RVTools软件下载网站。请勿从任何其他网站或来源搜索或下载所谓的RVTools软件。” 这一事件源于安全研究员Aidan Leon的披露：从该网站下载的受感染安装程序版本被用于侧载一个恶意DLL，该DLL最终被证实是名为Bumblebee的已知恶意软件加载器。目前尚不清楚这个被植入木马的RVTools版本可供下载的时间有多长，也不清楚在该网站下线前有多少用户安装了该版本。在此期间，建议用户验证安装程序的哈希值，并检查用户目录中任何version.dll的执行情况。 此次曝光恰逢另一事件：Procolored打印机提供的官方软件被发现包含一个基于Delphi的后门程序XRed，以及名为SnipVex的剪贴板劫持恶意软件。后者能够将剪贴板中的钱包地址替换为硬编码的攻击者地址。YouTube频道Serial Hobbyism的运营者Cameron Coward最早发现了这些恶意活动细节。 据信至少从2019年就开始活跃的XRed具备收集系统信息、记录键盘输入、通过连接的USB设备传播，以及执行来自攻击者控制服务器的命令（用于截取屏幕截图、枚举文件系统和目录、下载文件、删除系统文件）等功能。G DATA研究员Karsten Hahn对此事件进行了深入调查后指出：“[SnipVex]会搜索剪贴板中类似BTC地址的内容，并将其替换为攻击者的地址，从而使加密货币交易资金被转移到攻击者手中。” 值得注意的是，该恶意软件通过向.EXE文件注入剪贴板劫持功能进行传播，并在文件末尾使用感染标记序列0x0A 0x0B 0x0C以避免重复感染。截至目前，相关钱包地址已收到9.30857859 BTC（约合97.4万美元）。 Procolored公司承认，这些软件包是2024年10月通过USB设备上传至Mega文件托管服务的，恶意软件可能在此过程中被植入。目前仅限F13 Pro、VF13 Pro和V11 Pro产品提供软件下载。Hahn补充说明：“自2024年2月以来，该恶意软件的指挥控制服务器一直处于离线状态。因此XRed在此日期之后无法建立成功的远程连接。但与之配套的剪贴板银行木马SnipVex仍是严重威胁。尽管BTC地址在2024年3月3日之后未再收到交易，文件感染本身仍会对系统造成损害。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙成员越来越多地使用名为Skitnet（又名“Bossnet”）的新型恶意软件，在已入侵的网络中实施隐蔽的入侵后活动。 该恶意软件自2024年4月起在RAMP等地下论坛出售，但网络安全公司Prodaft的研究人员称，其真正在勒索团伙中流行始于2025年初。Prodaft向BleepingComputer证实，已观察到BlackBasta、Cactus等多个勒索组织在真实攻击中部署Skitnet，例如BlackBasta曾利用该工具通过微软Teams钓鱼攻击渗透企业网络。 Skitnet感染始于在目标系统上投放并执行的Rust语言编写的加载器，该加载器会解密经过ChaCha20算法加密的Nim语言二进制文件，并将其加载至内存运行。Nim模块随后建立基于DNS的反向Shell连接（通过随机生成DNS查询发起），与C2服务器通信。恶意软件启动三个独立线程： 发送心跳DNS请求的线程 监控并外传Shell输出的线程 监听并解密DNS响应指令的线程 通过Skitnet的C2控制面板，攻击者可查看目标IP地址、地理位置和设备状态，并通过HTTP或DNS协议发送执行指令。支持的核心命令包括： startup：通过下载三个文件（含恶意DLL）并在启动文件夹创建指向华硕合法程序ISP.exe的快捷方式实现持久化，触发DLL劫持执行PowerShell脚本pas.ps1维持C2通信。 Screen：使用PowerShell截取桌面截图，上传至Imgur图床后向C2发送图片链接。 Anydesk：静默安装AnyDesk远程工具并隐藏窗口和通知托盘图标。 Rutserv：静默安装另一款合法远程工具RUT-Serv。 Shell：启动PowerShell命令循环，每5秒轮询服务器获取新指令并通过Invoke-Expression执行。 Av：通过查询WMI（SELECT * FROM AntiVirusProduct in root\SecurityCenter2）枚举已安装杀毒软件信息并回传。 除基础指令外，攻击者还可利用.NET加载器在内存中执行PowerShell脚本，实现更深度的攻击定制。尽管勒索组织常使用低杀毒检出率的定制化工具，但这些工具开发成本高昂且需要稀缺的技术人才（尤其对中小型团伙而言）。使用Skitnet这类现成恶意软件成本更低、部署更快，且多团伙共用可增加溯源难度。Prodaft已在GitHub公开该恶意软件的入侵指标（IoCs）。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日警告称，一款名为HTTPBot的新型僵尸网络病毒正在中国境内活跃。该恶意软件主要针对游戏行业，同时也对科技公司及教育机构发起精准打击。绿盟科技在本周发布的报告中指出：“过去数月，该病毒通过持续感染设备扩大攻击规模，采用高度仿真的HTTP Flood攻击和动态特征混淆技术，成功绕过了传统基于规则的防护系统。” 这款于2024年8月首次现身的病毒因其使用HTTP协议发动分布式拒绝服务攻击而得名。值得注意的是，虽然采用Golang语言开发，但该病毒反常地将Windows系统作为主要攻击目标。作为一款基于Windows的僵尸网络木马，其最大特点是针对高价值业务接口（如游戏登录和支付系统）实施外科手术式打击。 “这种‘手术刀式’精准攻击对依赖实时交互的行业构成系统性威胁。”总部位于北京的绿盟科技强调，“HTTPBot标志着DDoS攻击已从‘无差别流量压制’转向‘高精度业务打击’的全新范式。”统计显示，自2025年4月以来，该病毒已发动至少200次攻击指令，主要打击目标为中国境内的游戏产业、科技企业、教育机构及旅游门户网站。 技术分析显示，该病毒运行时通过隐藏图形界面规避用户和安防工具的进程监控，并通过篡改Windows注册表实现开机自启。在连接C2服务器后，将根据指令对特定目标发起海量HTTP请求。其攻击模块包含七大武器库： 浏览器攻击模块（BrowserAttack）：通过隐藏Chrome实例模拟合法流量耗尽服务器资源 会话伪造模块（HttpAutoAttack）：基于Cookie技术精确复刻合法会话 负载增压模块（HttpFpDlAttack）：采用HTTP/2协议强制服务器返回大体积响应消耗CPU资源 WebSocket攻击模块（WebSocketAttack）：利用ws://和wss://协议建立长连接 POST强制攻击模块（PostAttack）：限定使用HTTP POST方式攻击 Cookie增强模块（CookieAttack）：在浏览器攻击基础上增加Cookie处理流程 “传统DDoS僵尸网络多活跃于Linux和物联网平台。”绿盟科技专家指出，“但HTTPBot家族却剑走偏锋，专门针对Windows平台。通过深度模拟协议层、模仿合法浏览器行为，该病毒成功突破依赖协议完整性的防御体系。其随机化URL路径和Cookie补充机制能持续占用服务器会话资源，而非单纯依赖流量压制。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场名为“Meta Mirage”的新型全球钓鱼攻击活动，该活动针对使用Meta商务套件的企业，专门劫持包含广告管理和品牌官方页面在内的高价值账户。 安全公司CTM360指出，攻击者通过伪造Meta官方通知诱导用户提交密码和安全验证码等敏感信息。研究人员已发现超过14,000个恶意链接，其中约78%在报告发布时仍未被浏览器拦截，这一规模令人担忧。 攻击者利用GitHub、Firebase和Vercel等可信云平台托管虚假页面以增强隐蔽性。该手法与微软近期披露的云服务滥用案例相似——攻击者通过托管服务平台渗透Kubernetes应用，这表明利用可信平台规避检测已成为常用手段。攻击者通过邮件和私信发送账户违规警告、暂停通知或紧急验证提示，利用伪造的Meta官方通信使信息显得紧急而权威。这种策略与近期利用Google Sites钓鱼活动中使用谷歌托管页面欺骗用户的手法高度相似。 主要攻击手段分为两种模式： 凭证窃取：引导用户在高仿真页面输入密码及OTP，通过伪造错误提示迫使重复提交以确保证据有效性。 Cookie劫持：窃取浏览器Cookie实现无密码持续访问，类似PlayPraetor恶意软件劫持社交媒体账户投放欺诈广告的模式。 CTM360报告揭示了攻击者为提高成功率采用的渐进式策略：初期通过非紧急的普通违规通知接触受害者，后续逐步升级为账户即时暂停或永久删除等严重威胁。这种焦虑诱导手法促使用户未经核实即快速响应。 安全防护建议包括： 仅使用专用设备管理企业社媒账户； 设置独立的工作邮箱；启用双因素认证（2FA）； 定期审查账户安全设置和活跃会话； 培训员工识别及报告可疑信息。 本次大规模钓鱼活动凸显了保持警惕并采取主动防护措施对保护线上资产的重要性。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的钓鱼攻击活动，旨在通过名为Horabot的恶意软件针对墨西哥、危地马拉、哥伦比亚、秘鲁、智利和阿根廷等拉丁美洲国家的Windows用户。 Fortinet FortiGuard Labs研究员Cara Lin表示，该活动“通过伪造发票或财务文档的精心设计邮件诱骗受害者打开恶意附件，能够窃取邮箱凭证、收集联系人列表并安装银行木马”。 该网络安全公司于2025年4月观测到这一活动，主要针对西班牙语用户。攻击还被发现利用Outlook COM自动化功能从受害者邮箱发送钓鱼信息，从而在企业或个人网络内部横向传播恶意软件。 攻击者通过执行多种VBScript、AutoIt和PowerShell脚本进行系统侦察、凭证窃取及投放额外恶意载荷。Horabot最早由思科Talos于2023年6月记录为针对拉丁美洲西班牙语用户的威胁，其攻击活动可追溯至至少2020年11月，评估认为攻击者来自巴西。 去年Trustwave SpiderLabs披露了另一起针对同一地区的钓鱼活动，其恶意载荷与Horabot存在相似性。 最新攻击始于以发票为诱饵的钓鱼邮件，诱使用户打开包含PDF文档的ZIP压缩包。实际上该ZIP文件内含恶意HTML文件，其中包含Base64编码的HTML数据，用于连接远程服务器下载第二阶段的恶意载荷。 第二阶段载荷是另一个包含HTML应用程序（HTA）文件的ZIP压缩包，该文件负责加载远程服务器托管的脚本。脚本随后注入外部VBScript代码，执行系列检测——若系统安装Avast杀毒软件或处于虚拟环境则终止攻击。 VBScript继续收集基础系统信息并外传至远程服务器，同时获取额外载荷，包括通过恶意DLL释放银行木马的AutoIt脚本，以及扫描Outlook联系人数据构建目标邮箱列表后传播钓鱼邮件的PowerShell脚本。 Cara Lin表示：“恶意软件随后从Brave、Yandex、Epic Privacy Browser、Comodo Dragon、Cent Browser、Opera、Microsoft Edge和Google Chrome等浏览器窃取相关数据。除数据窃取外，Horabot还监控受害者行为，注入伪造弹窗以窃取敏感登录凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁组织Konni APT被指与针对乌克兰政府机构的钓鱼活动有关，这表明该组织的攻击目标已扩展到俄罗斯以外的地区。企业安全公司Proofpoint表示，此次活动的最终目标是收集有关“俄罗斯入侵轨迹”的情报。 安全研究人员Greg Lesnewich、Saher Naumaan和Mark Kelly在分享给《黑客新闻》的报告中表示：“该组织对乌克兰的关注延续了其历史上针对俄罗斯政府机构进行战略情报收集的模式。” Konni APT（又称Opal Sleet、Osmium、TA406和Vedalia）是一个长期针对韩国、美国和俄罗斯实体的网络间谍组织，其活动至少可追溯至2014年。该组织通常通过钓鱼邮件分发Konni RAT（又名UpDog）恶意软件，并将收件人重定向至凭证窃取页面。Proofpoint在2021年11月发布的分析报告中评估称，TA406是被公开追踪为Kimsuky、Thallium和Konni集团活动的多个关联组织之一。 网络安全公司记录的最新攻击使用伪装成虚构智库“皇家战略研究院”高级研究员的钓鱼邮件，该智库本身也是不存在的机构。邮件包含托管在MEGA云服务的密码保护RAR压缩包链接。使用邮件正文中提供的密码打开压缩包后，会启动旨在对受感染设备进行广泛侦察的感染链。 具体而言，RAR压缩包内的CHM文件会显示与乌克兰前军事领导人瓦列里·扎卢日内相关的诱饵内容。如果受害者点击页面任意位置，嵌入HTML的PowerShell命令就会连接外部服务器下载第二阶段PowerShell载荷。 新启动的PowerShell脚本可执行多种命令收集系统信息，使用Base64编码后发送至同一服务器。研究人员指出：“当目标未点击链接时，攻击者连续多日发送多封钓鱼邮件，询问目标是否收到先前邮件并催促下载文件。” Proofpoint还观察到钓鱼邮件直接附加HTML文件的情况。在此攻击变种中，受害者被诱导点击HTML文件内的链接，下载包含良性PDF和Windows快捷方式（LNK）文件的ZIP压缩包。执行LNK文件时会运行Base64编码的PowerShell，通过Visual Basic脚本投放名为“Themes.jse”的JavaScript编码文件。该恶意软件随后联系攻击者控制的URL，并通过PowerShell执行服务器响应。当前有效载荷的具体性质尚不明确。 此外，TA406被曝通过ProtonMail账户向乌克兰政府机构发送伪造的微软安全警报邮件，警告存在来自美国IP地址的可疑登录活动，诱骗受害者访问链接验证登录信息。虽然凭证窃取页面尚未恢复，但据悉该域名此前曾被用于窃取Naver登录信息。Proofpoint表示：“这些凭证窃取活动发生在恶意软件部署尝试之前，部分目标用户后来也成为HTML投递活动的攻击对象。TA406极可能正在收集情报，帮助朝鲜领导人评估其已在战区部队的当前风险，以及俄罗斯请求更多部队或武器的可能性。” 此次披露正值Konni集团被指参与针对韩国实体的复杂多阶段恶意软件活动，攻击者使用包含LNK文件的ZIP压缩包，通过PowerShell脚本提取CAB压缩包，最终投放能够收集敏感数据并外泄至远程服务器的批处理脚本恶意软件。 这些发现与Kimsuky针对韩国政府机构的鱼叉式钓鱼活动相吻合，该活动通过投放能够建立命令与控制（C2）通信、窃取文件、浏览器数据和加密货币钱包信息的窃取程序实施攻击。 韩国网络安全公司AhnLab表示，Kimsuky还被观察到传播PEBBLEDASH恶意软件，该木马通过鱼叉式钓鱼启动多阶段感染链。美国政府于2020年5月将PEBBLEDASH归因于Lazarus集团。 该公司称：“虽然Kimsuky集团使用多种恶意软件，但在PEBBLEDASH案例中，他们通过初始访问阶段的鱼叉式钓鱼执行基于LNK文件的恶意软件发动攻击，随后利用PowerShell脚本创建任务计划程序实现自动执行，通过与Dropbox和基于TCP套接字的C2服务器通信，安装包括PEBBLEDASH在内的多种恶意软件和工具。” 专注于朝鲜问题的活动人士近期成为APT37（又称ScarCruft）攻击目标。据Genians安全中心（GSC）披露，这项名为“Operation ToyBox Story”的鱼叉式钓鱼攻击首次发现于2025年3月8日。 该韩国公司表示：“邮件中的Dropbox链接指向包含恶意LNK文件的压缩包，提取执行后会激活包含‘toy’关键词的附加恶意软件。”LNK文件被配置为启动诱饵HWP文件并运行PowerShell命令，依次执行toy03.bat、toy02.bat和toy01.bat文件，最终释放与APT37关联的RoKRAT木马。 RoKRAT能够收集系统信息、截取屏幕截图，并利用pCloud、Yandex和Dropbox三种云服务进行C2通信。Genians指出：“威胁分子利用合法云服务作为C2基础设施，持续修改LNK文件，同时专注于无文件攻击技术以规避目标终端杀毒软件的检测。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国高校常用课堂互动平台iClicker官网近期遭“ClickFix”攻击，黑客通过伪造验证码诱导师生执行恶意脚本。该平台隶属麦克米伦出版集团，服务全美5000余名教师与700万学生，用户包括密歇根大学、佛罗里达大学等知名院校。 据密歇根大学安全团队披露，2025年4月12日至16日期间，访问iClicker.com的用户会遭遇虚假CAPTCHA验证，提示点击“我不是机器人”按钮。当用户照做后，攻击者会将混淆处理的PowerShell指令复制至Windows剪贴板，诱导用户通过“运行”窗口执行。该脚本会连接远程服务器（http://67.217.228[.]14:8080）下载二级载荷——针对普通用户植入可实现设备完全控制的后门程序，对沙箱环境则伪装成微软VC++运行库安装包以规避检测。 安全机构SilentPush分析称，此类“ClickFix”社会工程攻击近年呈泛滥趋势，常伪装成Cloudflare验证、谷歌会议报错等界面。历史案例显示，最终载荷多为信息窃取程序，可盗取Chrome、Edge等浏览器的密码、Cookie、加密货币钱包及敏感文档（如seed.txt、metamask.txt等），并通过加密通道回传数据。考虑到攻击目标为高校群体，专家推测其最终目的可能是窃取凭证实施网络渗透或勒索攻击。 尽管iClicker于5月6日在官网发布安全公告，但BleepingComputer发现其页面嵌入了“noindex”元标签，致使公告无法被搜索引擎收录。公告称“登录前的虚假验证码由无关第三方植入，平台数据与核心功能未受影响”，建议4月12-16日期间点击过验证码的师生运行杀毒软件，并立即重置iClicker密码。若执行过恶意指令，需更换设备存储的所有密码，推荐使用BitWarden等密码管理器。 目前，移动端用户及未遭遇虚假验证码的访问者不受影响。平台母公司麦克米伦集团未回应媒体质询，安全研究人员正逆向分析攻击中使用的PowerShell混淆技术，以追溯攻击源头。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰与美国执法部门联合行动，成功瓦解一个由数千台感染物联网（IoT）设备及报废（EoL）路由器组成的犯罪代理网络。该网络通过组建僵尸网络为恶意攻击者提供匿名服务，四名涉案人员——三名俄罗斯公民（37岁的Alexey Viktorovich Chertkov、41岁的Kirill Vladimirovich Morozov、36岁的Aleksandr Aleksandrovich Shishkin）与一名哈萨克斯坦公民（38岁的Dmitriy Rubtsov）已被美国司法部起诉，指控其运营并利用代理服务非法牟利。 据司法部披露，用户需按月支付订阅费（9.95至110美元/月），攻击者通过售卖受感染路由器的访问权限累计获利超4600万美元。该服务疑似自2004年即开始运作。美国联邦调查局（FBI）在俄克拉荷马州发现，大量家用与商用路由器遭黑客入侵并植入恶意软件，用户对此毫不知情。 网络安全公司Lumen Technologies Black Lotus Labs在报告中指出，该僵尸网络每周平均有1000台受控设备与位于土耳其的指挥控制（C2）服务器通信，其中半数以上受害者位于美国，加拿大与厄瓜多尔次之。此次行动代号“月球登陆者”（Operation Moonlander），已成功查封相关代理服务网站anyproxy.net与5socks.net。Lumen表示，这两个平台指向“同一僵尸网络，以不同品牌运营”。 互联网档案馆的网页快照显示，5socks.net曾宣称每日提供“超7000个在线代理节点”，覆盖美国各州及全球多国，攻击者可通过加密货币支付匿名实施广告欺诈、DDoS攻击、暴力破解等非法活动。Lumen称，受感染设备被植入名为“TheMoon”的恶意软件，该软件此前还支撑另一名为Faceless的犯罪代理服务。目前，该公司已对僵尸网络基础设施实施流量黑洞处理，阻断所有已知控制节点的通信。 FBI在公告中表示，攻击者利用报废路由器中的已知安全漏洞植入恶意软件，获取持久远程控制权限。TheMoon恶意软件无需密码即可感染路由器——通过扫描开放端口并向存在漏洞的脚本发送指令完成入侵。受感染设备随后连接C2服务器接收指令，包括扫描其他易受攻击的路由器以扩散感染。该恶意软件最早于2014年被SANS技术研究院发现，主要针对Linksys路由器。 安全专家指出，用户购买代理服务后仅需通过IP地址与端口组合即可连接，且服务激活后无需额外认证，极易被滥用。为降低风险，建议用户定期重启路由器、安装安全补丁、修改默认密码，并在设备报废后及时更换新型号。Lumen警告称，代理服务将继续威胁互联网安全，因其允许攻击者隐匿于住宅IP背后，而全球大量报废设备与物联网终端的普及将为恶意活动提供源源不断的攻击目标。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现三个恶意npm软件包专门针对苹果macOS版人工智能驱动的源代码编辑器Cursor。这些伪装成“最便宜Cursor API”开发者工具的软件包会窃取用户凭证，从攻击者控制的服务器获取加密载荷，覆盖Cursor的main.js文件，并禁用自动更新机制以维持持久性驻留。 受影响的软件包包括： sw-cur（2,771次下载） sw-cur1（307次下载） aiide-cur（163次下载） 截至5月9日时，这三个软件包仍可在npm仓库下载。其中“aiide-cur”由用户“aiide”于2025年2月14日发布，自称是“macOS版Cursor编辑器的命令行配置工具”；另外两个软件包由别名“gtr2018”的用户提前一天发布，累计下载量已超3,200次。 安装后，这些软件包会窃取用户输入的Cursor凭证，并从远程服务器（t.sw2031[.]com或api.aiide[.]xyz）获取第二阶段载荷，用恶意代码替换合法Cursor文件。“sw-cur”还会禁用Cursor自动更新功能并终止所有相关进程，随后重启应用使恶意代码生效，使攻击者能在平台上执行任意代码。 Socket公司研究员基里尔·博延科指出，这反映出攻击者正通过恶意npm包篡改开发者系统现有合法软件的新趋势。这种“补丁式攻击”的阴险之处在于，即使删除恶意软件包，仍需重新安装被篡改的软件才能彻底清除威胁。 “攻击者不再局限于向软件包管理器植入恶意代码，而是发布看似无害的npm包来重写受害者计算机上的可信代码，”Socket向The Hacker News解释，“恶意逻辑通过合法父进程（如IDE或共享库）运行时，会继承应用程序信任，在被删后仍保持持久性，并自动获取软件权限——从API令牌、签名密钥到外网访问权限。” 攻击者还利用开发者对AI工具的兴趣实施钓鱼，以“最便宜Cursor API”为诱饵吸引用户安装后门。防御此类供应链攻击需监测安装后脚本、修改node_modules外文件、异常网络请求等行为，配合版本锁定、实时依赖扫描和关键文件完整性监控。 此次披露还包含另两个npm包——2024年9月由用户“olumideyo”发布的pumptoolforvolumeandcomment（625次下载）和debugdogs（119次下载）。后者通过调用前者传播混淆载荷，窃取加密货币平台BullX的密钥、钱包文件和交易数据，并通过Telegram机器人外传。安全研究员库什·潘迪亚指出，这种“包装器模式”使用多重名称传播相同恶意代码，能在数秒内清空数字资产。 此外，安全公司Aikido发现合法npm包“rand-user-agent”遭供应链攻击，恶意版本2.0.83、2.0.84和1.0.110会植入远程控制木马。这些版本通过与外部服务器通信实现目录切换、文件上传和命令执行，于2025年5月5日被检测到。目前该包已被标记为弃用，GitHub仓库重定向至404页面。维护方WebScrapingAPI称，攻击者通过未启用双因素认证的过期自动化令牌实施了此次入侵。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关的威胁行为者COLDRIVER被发现分发名为LOSTKEYS的新恶意软件，该行动采用类似ClickFix的社会工程诱饵实施网络间谍活动。谷歌威胁情报组（GTIG）表示：“LOSTKEYS能够从硬编码的扩展名和目录列表中窃取文件，并向攻击者发送系统信息和运行进程。” GTIG称，该恶意软件在2025年1月、3月和4月针对西方政府和军队现任及前任顾问、记者、智库、非政府组织以及乌克兰相关人士的攻击中被发现。LOSTKEYS是COLDRIVER继SPICA之后开发的第二个定制恶意软件，标志着该组织持续偏离其知名的凭证钓鱼活动。该黑客组织还被追踪为Callisto、Star Blizzard和UNC4057。 网络安全研究人员Wesley Shields表示：“他们以窃取凭证闻名，在获取目标账户访问权限后会窃取邮件和联系人列表。在特定案例中，COLDRIVER还会向目标设备投放恶意软件，并试图访问系统文件。” 最新攻击始于包含虚假验证码验证提示的诱饵网站，受害者被要求打开Windows运行对话框并粘贴复制的PowerShell命令。这种被广泛称为ClickFix的社会工程技术会下载并执行远程服务器（“165.227.148[.]68”）的第二阶段载荷，该载荷在可能进行虚拟机检测后才会下载第三阶段恶意软件。 经过Base64编码的第三阶段载荷被解码为PowerShell脚本，负责在受感染主机上执行LOSTKEYS，使攻击者能够收集系统信息、运行进程以及硬编码列表中的文件。与SPICA类似，该恶意软件被认为是选择性部署的，表明攻击具有高度针对性。 谷歌还发现了可追溯至2023年12月的LOSTKEYS伪装样本，这些样本假扮成Maltego开源调查平台的二进制文件。目前尚不清楚这些样本是否与COLDRIVER有关，或恶意软件是否从2025年1月开始被攻击者重新利用。 随着ClickFix技术被更多威胁行为者采用，包括传播银行木马Lampion和窃密软件Atomic Stealer，其应用范围持续扩大。根据Palo Alto Networks Unit 42的分析，传播Lampion的攻击使用带有ZIP附件的钓鱼邮件，压缩包内的HTML文件会将受害者重定向至包含ClickFix指令的虚假登录页面。 “Lampion感染链的另一个有趣之处在于其分为多个非连续阶段，作为独立进程执行，”Unit 42指出，“这种分散式执行使检测复杂化，因为攻击流程不会形成易于识别的进程树，而是由看似无害的独立事件组成复杂链条。”该活动主要针对葡萄牙语用户，涉及政府、金融和运输等多个领域。 近期ClickFix策略还与名为EtherHiding的隐匿技术结合使用，通过币安智能链（BSC）合约隐藏载荷，最终传播macOS窃密软件Atomic Stealer。化名Badbyte的研究人员表示：“点击‘我不是机器人’会触发币安智能合约，使用EtherHiding技术向剪贴板传递Base64编码命令，提示用户通过macOS快捷键（⌘ + Space, ⌘ + V）在终端运行。该命令下载的脚本会获取并执行经签名的Mach-O二进制文件，确认为Atomic Stealer。” 进一步调查发现，该活动可能已入侵约2,800个合法网站来提供虚假验证码提示。研究人员将这次大规模水坑攻击代号定为MacReaper。研究人员补充道。“攻击利用混淆JavaScript、三个全屏iframe和基于区块链的命令基础设施来最大化感染范围，”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文