HackerNews 编译，转载请注明出处： 网络安全研究人员已对官方扩展应用市场中一款新的恶意Microsoft Visual Studio Code（VS Code）扩展发出警示，该扩展针对Moltbot（原名Clawdbot），自称是免费的人工智能编码助手，却会在受感染主机上暗中植入恶意载荷。 该扩展名为“ClawdBot Agent – AI Coding Assistant”（标识符为“clawdbot.clawdbot-agent”），现已被微软下架。它由用户“clawdbot”于2026年1月27日发布。 Moltbot近期大受欢迎，截至本文撰写时，其在GitHub平台的标星量已超过8.5万。这一开源项目由奥地利开发者Peter Steinberger创建，支持用户在自有设备本地运行基于大语言模型（LLM）驱动的个人人工智能助手，并可通过WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams和WebChat等主流通信平台与其交互。 关键点在于，Moltbot本身并未提供官方的VS Code扩展，这意味着此次活动的幕后黑手利用该工具日益增长的热度，诱骗毫无戒心的开发者安装恶意扩展。 该恶意扩展被设计为在每次启动集成开发环境（IDE）时自动执行，它会暗中从外部服务器（“clawdbot.getintwopc[.]site”）获取名为“config.json”的文件，进而执行一个名为“Code.exe”的二进制程序，该程序会部署ConnectWise ScreenConnect 等合规远程桌面程序。 随后，该应用会连接至URL“meeting.bulletmailer[.]net:8041”，使攻击者获得对受感染主机的持续性远程访问权限。 “攻击者搭建了自己的ScreenConnect中继服务器，生成了预配置的客户端安装程序，并通过VS Code扩展进行分发，”Aikido研究员Charlie Eriksen表示。“受害者安装该扩展后，会获得一个功能完整的ScreenConnect客户端，并立即主动连接至攻击者的基础设施。” 此外，该扩展还包含一个后备机制：从“config.json”文件中列出的DLL获取数据，并通过侧载方式从Dropbox获取相同有效载荷。这个用Rust编写的DLL（“DWrite.dll”）确保即使命令与控制（C2）基础设施无法访问，ScreenConnect客户端仍能成功部署。 这并非该扩展内置的唯一恶意载荷投递备份机制。该伪造的Moltbot扩展还嵌入了硬编码URL，用于获取可执行文件及待侧加载的DLL。第二种替代方法则是通过批处理脚本从另一个域名（“darkgptprivate[.]com”）获取恶意载荷。   Moltbot的安全隐患 此次披露的背景是，安全研究员、Dvuln 公司创始人Jamieson O’Reilly发现网络上存在数百个未认证的 Moltbot 实例，导致配置数据、应用程序编程接口（API）密钥、开放授权（OAuth）凭证及私人聊天记录泄露给未授权主体。 “真正的问题在于Clawdbot代理拥有高度自主权，”O’Reilly解释道。“它们能以用户身份在Telegram、Slack、Discord、Signal和WhatsApp上发送消息，并能执行工具和运行命令。” 这进而可能导致攻击者冒充用户联系其通讯录好友、在持续对话中插入恶意消息、篡改代理回复内容，并在用户不知情下窃取敏感数据。更严重的是，攻击者可能通过MoltHub（原ClawdHub）分发植入后门的 Moltbot “技能组件”，从而发起供应链攻击并窃取敏感数据。 安全公司Intruder在同类分析中指出，已观察到大量配置不当案例，导致凭证泄露、提示注入漏洞以及跨多家云服务商的实例遭入侵。 “核心问题在于架构设计：Clawdbot将部署便捷性置于默认安全配置之上，”Intruder安全工程师Benjamin Marr在声明中表示。“非技术用户可快速部署实例并集成敏感服务，全程无需通过任何安全验证或障碍。系统未强制要求防火墙设置、未进行凭证验证，也未对不可信插件实施沙箱隔离。” 建议使用默认配置运行Clawdbot的用户尽快审计配置、撤销所有已集成的服务连接、检查已暴露的凭证、实施网络控制措施，并持续监控系统是否出现异常迹象。       消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Varonis报告称，一个地下网络犯罪论坛上出现的新型恶意软件工具包，可以在提供钓鱼页面时保持浏览器地址栏不被修改。 这款被称为Stanley的恶意软件即服务工具包，定价在2000至6000美元之间，首次于1月12日被发现，其发布帖子声称它可以创建绕过谷歌商店审核的扩展程序。 Varonis发现，其顶级的定价为威胁行为者提供了定制选项、一个管理面板，并保证能在Chrome网上应用商店上架。 这家网络安全公司指出：“这个保证是此次商业活动的核心：它将分发风险从买家身上转移，并暗示卖家拥有一种可重复通过谷歌审核流程的方法。” 一个基于网络的管理界面为不法分子提供了受感染主机的视图，显示诸如IP地址（用作标识符）、在线状态、浏览器历史状态以及最后活动时间戳等信息。 它还允许操作者选择单个目标并为其配置特定的URL劫持规则，这些规则包括源/合法URL和目标/钓鱼URL。 Varonis解释道：“每条规则可按感染实例激活或停用，使操作者能够分阶段部署攻击并按需触发。” 更重要的是，受害者会在浏览器的地址栏中看到他们试图访问的合法网址，而实际上却在与攻击者控制的内容进行交互。 Varonis解释道：“除了被动劫持，操作者还可以通过实时投递通知，主动引诱用户访问目标页面。这些通知来自Chrome浏览器本身，而非网站，因此它们承载着更多隐含的信任。” 对使用Stanley构建的极简笔记和书签扩展程序Notely的分析显示，其创建者在其中打包了合法功能，但也将其设计为请求必要的权限，以完全控制用户访问的网站。 该扩展包含一个持久的轮询机制，不断与其命令与控制服务器进行校验，实现了备用域名轮换，并拦截网站访问以覆盖一个包含钓鱼页面的全屏iframe。 Varonis解释道：“浏览器的地址栏继续显示合法域名（例如binance.com），而受害者看到并与之交互的却是攻击者的钓鱼页面。” 这家网络安全公司指出，Stanley的价格区间使其能够被广泛的网络犯罪分子获取，而潜入Chrome网上应用店的恶意扩展程序可能会活跃数月，悄无声息地窃取凭证。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Symantec与Carbon Black的研究人员发现了一种名为Osiris的新型勒索软件变种，该变种于2025年11月被用于攻击一家东南亚大型食品服务特许经营商。 根据Symantec和VMware Carbon Black威胁猎手的分析，攻击者部署了一个名为POORTRY的恶意驱动程序，用自带漏洞驱动技术来禁用安全软件。 目前对Osiris的开发者，或其是否以勒索软件提供服务知之甚少，但有证据表明其与INC勒索软件存在关联。 Symantec与Carbon Black发布的报告中指出：“虽然这款Osiris勒索软件与2016年出现的同名勒索软件家族（Locky勒索软件的一个变种）重名，但没有迹象表明这两个家族之间存在任何关联。” Osiris似乎是一种新型勒索软件变种，与2016年基于Locky的同名变种无关。其开发者及任何RaaS模式仍属未知，但博通研究人员发现了攻击者与INC勒索软件团伙有相关联的迹象。 Osiris是一款功能齐全的勒索软件，能够停止服务和进程、选择要加密的文件和文件夹，并投放勒索信。研究人员报告称，该软件支持多种命令选项来定义目标、设置日志记录、选择加密模式以及Hyper-V等相关操作。这个新的勒索软件家族会跳过特定文件类型和系统文件夹，为加密文件附加.Osiris扩展名，删除VSS快照，并终止数据库、备份和生产力相关进程。该恶意软件使用混合ECC和AES-128-CTR加密，每个文件使用唯一密钥，通过完成端口管理异步输入/输出操作，并留下一份名为Osiris-MESSAGE.txt的勒索信，并在勒索信中提及敲诈细节和谈判链接。攻击链在勒索软件部署的数天前便已启动，攻击者当时使用Rclone工具悄悄窃取数据，并将其上传到Wasabi云存储桶中。这种方法，连同重用的工具（如名为kaz.exe的Mimikatz变体），都与过去Inc勒索软件的操作手法如出一辙，表明这可能是模仿或由前Inc附属组织参与的行动。 报告继续指出：“攻击者还部署了Netscan、Netexec和MeshAgent等其他具有双重用途的工具。他们还使用了定制版的Rustdesk远程监控和管理工具，该工具被修改以伪装其功能，并加入了‘WinZip远程桌面’的文件描述和WinZip图标，企图隐藏其真实用途。” 攻击者使用常见的双重用途工具进行网络探测和访问，外加一个伪装成“WinZip远程桌面”的修改版RustDesk远程工具以隐藏其目的。为了瘫痪防御系统，他们在一次自带漏洞驱动攻击中，部署了伪装成Malwarebytes组件的Poortry驱动程序，用以关闭安全软件。KillAV也为了达成目的而被使用。最后，在启动勒索软件之前，他们启用了RDP以维持远程访问。 Osiris是技术娴熟的威胁行为者使用的一款能力强大的新型勒索软件。研究人员强调，工具的重复使用和战术表明其可能与Inc附属组织及Medusa活动存在潜在联系，尽管这样的关联尚不明确。 报告总结道：“勒索软件领域的形势不断变化，新勒索软件家族的出现始终值得密切关注。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GootLoader恶意软件使用由数百个串联归档文件组成的畸形ZIP文件来逃避检测。 GootLoader被勒索软件攻击者用于初始访问，然后移交给其他攻击者。该软件专为规避检测而设计，在过去几年中占所有绕过安全防护的恶意软件的11%。 GootLoader采用“访问即服务”模式运行，被不同团伙用来在受感染系统上投放额外的恶意负载。已知GootLoader曾使用无文件技术来传递诸如SunCrypt、REvil（Sodinokibi）勒索软件、Kronos木马以及Cobalt Strike等威胁。过去，GootLoader曾分发伪装成免费软件安装程序的恶意软件，并使用法律文件诱骗用户下载这些文件。 GootLoader是GootKit恶意软件家族的一部分，该家族自2014年以来一直活跃。Mandiant将GootKit背后的威胁行为者追踪为UNC2565。 在2025年11月重新出现后，它现在与Vanilla Tempest和Rhysida勒索软件有关联，在其第一阶段的加载器中使用畸形ZIP文件以规避分析。 GootLoader以包含恶意JScript文件的ZIP文件形式传播。在Windows系统上打开时，脚本运行并开始感染过程。该ZIP文件被故意制作成损坏的，以至于许多安全分析工具无法打开它，但Windows可以。这有助于恶意软件在受害者系统上正常工作同时避免被检测。 “攻击者创建畸形归档文件作为一种反分析技术。也就是说，许多解压缩工具无法稳定地提取它，但有一个关键的解压缩工具似乎能稳定可靠地工作：Windows系统内置的默认工具。” Expel发布的报告中写道，”通过使许多专业工具（如7zip和WinRAR）无法访问，它阻止了许多自动化工作流分析文件内容，但通过使默认的Windows解压缩器能够访问，它确保了攻击者的目标受众（潜在受害者）可以打开并运行JScript。” 该ZIP文件实际上包含了数百个粘合在一起的ZIP文件，但由于ZIP文件是从末尾开始读取的，所以仍然有效。每次下载的文件都是唯一的，因此安全工具无法依赖文件指纹。 该ZIP文件还具有损坏和随机的元数据，这会让许多分析工具感到困惑，而Windows仍然可以打开它。这使得恶意软件可以绕过防御，迫使安全团队依赖基于行为的检测，而不是文件签名。 GootLoader使用一个由500-1000个ZIP归档文件粘合而成的畸形ZIP文件，由于ZIP文件从末尾读取，它仍然有效。该文件在受害者系统上由编码数据构建而成，以规避网络检测。其目录结构部分损坏，关键字段被随机化，这让许多归档工具感到困惑，但在Windows上仍可使用。 “该文件由500-1000个串联在一起的ZIP归档文件组成。因为ZIP归档文件是从文件末尾读取的，所以ZIP归档文件仍然可以正常运行。”报告继续写道，”串联在一起的ZIP归档文件数量是随机的，并且ZIP归档文件本身在下载时生成。” 攻击首先向受害者发送一个编码文件，该文件在下载时看起来无害。在用户的浏览器中，此数据被解码并反复复制，直到形成一个ZIP文件，从而绕过安全检查。当受害者打开它时，Windows会自动显示一个JavaScript文件。运行它会启动恶意软件，创建用于持久化的启动快捷方式，并使用PowerShell继续攻击。 为了降低风险，组织应在不需要时阻止wscript和cscript，并防止JavaScript文件自动运行。 为了防御GootLoader，组织应默认阻止JavaScript文件运行，在不需要时限制或阻止wscript和cscript，并使用组策略对象（GPO）在记事本中打开.js文件。检测应侧重于异常的ZIP行为、从临时文件夹执行脚本、创建启动快捷方式以及可疑的进程链（例如cscript启动PowerShell）。 “检测应侧重于ZIP归档文件的异常行为和后续的进程执行链。”报告总结道。 “监控wscript.exe执行位于AppData\Local\Temp目录中的.js文件。 监控在用户的启动文件夹中创建指向非标准目录中脚本的.LNK文件。 标记cscript.exe使用传统NTFS短名称（例如FILENA~1.js）执行.js文件的情况。 对特定的进程树发出警报：cscript.exe → powershell.exe”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一种先前未被记录的、功能丰富的恶意软件框架的详细信息，该框架代号为VoidLink，专门设计用于长期、隐蔽地访问基于Linux的云环境。 根据Check Point Research的一份新报告，这款云原生的Linux恶意软件框架包含一系列自定义加载器、植入程序、rootkit和模块化插件，使其操作者能够随时间推移增强或改变其功能，并在目标变化时进行”转向”。该框架于2025年12月首次被发现。 这家网络安全公司在今日发布的分析报告中称：”该框架包含多项专注于云的功能和模块，专为在云和容器环境中长时间稳定运行而设计。VoidLink的架构极其灵活且高度模块化，围绕一个自定义插件API构建，该API的灵感似乎源自Cobalt Strike的Beacon对象文件方法。默认情况下，超过30个插件模块均使用此API。” 这些发现反映了威胁行为者的关注点正从Windows系统转向已成为云服务和关键业务基石的Linux系统。VoidLink处于积极维护和演进中，评估认为其与中国有关联的威胁行为者有关。 作为一个使用Zig编程语言编写的”云优先”植入程序，该工具包能够检测主要的云环境，即亚马逊网络服务、谷歌云、微软Azure、阿里云和腾讯云，并能识别自身是否运行在Docker容器或Kubernetes Pod中，从而调整其行为。它还能收集与云环境以及Git等流行源代码版本控制系统相关的凭证。 瞄准这些服务表明，VoidLink很可能专门针对软件开发人员设计，意图窃取敏感数据或利用获得的访问权限发起供应链攻击。 其他部分功能列举如下： 利用LD_PRELOAD、可加载内核模块和eBPF隐藏自身进程的类Rootkit功能。 用于扩展功能的进程内插件系统。 支持多种命令与控制信道，如HTTP/HTTPS、WebSocket、ICMP和DNS隧道。 在被攻陷主机之间形成点对点或网状网络。 一个基于Web的中文控制面板，允许攻击者远程控制植入程序、动态创建定制版本、管理文件、任务和插件，并执行从侦察、持久化到横向移动和防御规避（通过清除恶意活动痕迹）的整个攻击周期的不同阶段。 VoidLink支持37个插件，涵盖反取证、侦察、容器、权限提升、横向移动等类别，使其成为一个功能全面的后渗透利用框架： 反取证：根据关键字擦除或编辑日志和shell历史记录，并对文件进行时间戳篡改以阻碍分析。 云：辅助进行Kubernetes和Docker发现与权限提升、容器逃逸，并探测配置错误。 凭证窃取：收集凭证和密钥，包括SSH密钥、Git凭证、本地密码资料、浏览器凭证与Cookie、令牌和API密钥。 横向移动：使用基于SSH的蠕虫进行横向传播。 持久化：通过滥用动态链接器、cron作业和系统服务来建立持久化访问。 侦察：收集详细的系统和环境信息。 Check Point将其描述为”令人印象深刻”且”远比典型的Linux恶意软件先进”，并指出VoidLink具有一个处理C2通信和任务执行的核心协调器组件。 它还融合了大量反分析功能以规避检测。除了能够标记各种调试器和监控工具外，一旦检测到任何篡改迹象，它还能自我删除。它还具备自我修改代码功能，可在运行时解密受保护的代码区域，并在不使用时将其加密，从而绕过运行时内存扫描器。 此外，该恶意软件框架会枚举受感染主机上安装的安全产品和加固措施，以计算风险评分并制定全面的规避策略。例如，这可能涉及在高风险环境中放慢端口扫描速度并进行更精确的控制。 Check Point指出：”开发者展现出高水平的技术专长，熟练掌握包括Go、Zig、C和React等现代框架在内的多种编程语言。此外，攻击者拥有对复杂操作系统内部原理的深入了解，从而能够开发出先进而复杂的解决方案。VoidLink旨在尽可能自动化地实现规避，对环境进行画像并选择最合适的策略在其中运作。结合内核模式的技巧和庞大的插件生态系统，VoidLink使其操作者能够以自适应的隐秘方式在云环境和容器生态系统中活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一款恶意谷歌Chrome扩展的详细信息，该扩展伪装成一个可在MEXC（一个在170多个国家可用的中心化加密货币交易所）平台上实现交易自动化的工具，实则能够窃取与之关联的API密钥。 这款名为”MEXC API Automator”（ID：pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展程序，截至发稿时在Chrome网上应用店仍可下载，已记录了29次下载。它由一位名为”jorjortan142″的开发者于2025年9月1日首次发布。 安全研究机构Socket的研究员Kirill Boychenko在一份分析报告中指出：”该扩展能以编程方式创建新的MEXC API密钥、启用提款权限、在用户界面中隐藏该权限，并将生成的API密钥和密钥外泄至威胁行为者控制的一个硬编码的Telegram机器人。” 根据Chrome网上应用店的列表描述，这款网页浏览器插件被宣传为一个扩展，可通过在API管理页面上生成具有必要权限的API密钥，”简化将您的交易机器人与MEXC交易所的连接”。 如此一来，安装此扩展后，威胁行为者就能控制从受感染浏览器访问的任何MEXC账户，从而能够执行交易、进行自动提款，甚至清空通过该服务可访问的钱包和余额。 Socket补充道：”实际上，一旦用户导航到MEXC的API管理页面，该扩展就会注入一个单一的内容脚本script.js，并在已认证的MEXC会话内开始操作。”为了实现这一目的，该扩展会检查当前URL是否包含字符串"/user/openapi"，该字符串指向API密钥管理页面。 随后，该脚本会以编程方式创建一个新的API密钥，并确保启用了提款功能。同时，它会篡改页面的用户界面，让用户误以为提款权限已被禁用。一旦生成访问密钥和密钥的过程完成，该脚本会提取这两个值，并通过HTTPS POST请求将它们传输到威胁行为者控制下的一个硬编码的Telegram机器人。 此威胁构成了严重风险，因为只要API密钥有效且未被撤销，它就会一直保持活跃状态，即使受害者从Chrome浏览器中卸载了该扩展，攻击者仍能不受限制地访问受害者的账户。 Boychenko指出：”实质上，威胁行为者利用Chrome网上应用店作为传播渠道，利用MEXC的Web UI作为执行环境，并利用Telegram作为外泄渠道。其结果就是一个专门构建的、旨在窃取MEXC API密钥的扩展，它在API密钥被创建和配置为拥有完全权限的瞬间发起攻击。” 这种攻击之所以能够实现，是因为它利用了浏览器已通过身份验证的会话来达到其目的，从而无需获取用户密码或绕过身份验证保护。 目前尚不清楚此次攻击背后的操纵者是谁，但”jorjortan142″这个名称指向了一个同名的X平台账号，该账号链接到一个名为”SwapSushiBot”的Telegram机器人，这个机器人也在TikTok和YouTube上进行了推广。关联的YouTube频道创建于2025年8月17日。 Socket表示：”通过在浏览器内劫持单个API工作流程，威胁行为者可以绕过许多传统控制措施，直接获取具有提款权限、长期有效的API密钥。同样的攻击手法可以很容易地适配到其他交易所、DeFi仪表板、经纪商门户以及任何在会话中发放令牌的Web控制台，并且未来的变种很可能会引入更重的混淆技术、请求更广泛的浏览器权限，并将支持多个平台的功能捆绑到一个扩展中。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了三个恶意的npm软件包，这些软件包旨在传播一种先前未被记录的名为NodeCordRAT的恶意软件。 这些软件包的名称如下所示，截至2025年11月，它们已被全部下架。这些包是由一个名为”wenmoonx”的用户上传的。 bitcoin-main-lib (2,300 次下载) bitcoin-lib-js (193 次下载) bip40 (970 次下载) Zscaler ThreatLabz的研究人员Satyam Singh和Lakhan Parashar表示：”bitcoin-main-lib和bitcoin-lib-js这两个包在安装过程中会执行一个postinstall.cjs脚本，该脚本会安装包含恶意负载的bip40包。这个最终的负载，被ThreatLabz命名为NodeCordRAT，是一个具有数据窃取能力的远程访问木马。” NodeCordRAT的名称来源于其使用npm作为传播媒介，以及利用Discord服务器进行命令与控制通信。该恶意软件能够窃取谷歌Chrome浏览器的凭证、API令牌以及MetaMask等加密货币钱包的助记词种子短语。 据这家网络安全公司称，评估认为此次攻击活动的背后威胁行为者，是以合法的bitcoinjs项目中存在的真实仓库（例如bitcoinjs-lib、bip32、bip38）为蓝本来命名这些恶意包的。 “bitcoin-main-lib”和”bitcoin-lib-js”都包含一个”package.json”文件，其中将”postinstall.cjs”指定为安装后脚本，从而导致包含NodeCordRAT负载的”bip40″包被执行。 该恶意软件除了对受感染主机进行指纹识别，以在Windows、Linux和macOS系统上生成唯一标识符外，还利用一个硬编码的Discord服务器来打开隐蔽通信通道，以接收指令并执行它们—— !run：使用Node.js的exec函数执行任意shell命令 !screenshot：截取整个桌面屏幕截图，并将PNG文件窃取到Discord频道 !sendfile：将指定文件上传到Discord频道 Zscaler表示：”这些数据是使用硬编码令牌通过Discord的API进行窃取，并发送到一个私密频道的。被窃取的文件通过Discord的REST端点/channels/{id}/messages作为消息附件上传。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新的ClickFix社会工程攻击活动正瞄准欧洲的酒店业，利用虚假的Windows蓝屏死机界面诱使用户在其系统上手动编译并执行恶意软件。 蓝屏死机是Windows操作系统遇到致命且无法恢复的错误导致系统停止时显示的崩溃界面。 在12月首次发现、并被Securonix研究人员追踪为”PHALT#BLYX”的新攻击活动中，冒充Booking.com的网络钓鱼邮件引发了一次部署恶意软件的ClickFix社会工程攻击。 ClickFix社会工程攻击是一种设计用于显示错误或问题，然后提供”修复”方案来解决该问题的网页。这些错误可能是虚假的错误消息、安全警告、验证码挑战或更新通知，指示访问者在其计算机上运行命令来解决问题。 受害者最终通过运行攻击者指令中提供的恶意PowerShell或Shell命令而感染自己的机器。 在这项新的ClickFix攻击活动中，攻击者发送冒充酒店客人取消Booking.com预订的网络钓鱼邮件，通常发送给酒店企业。声称的退款金额足够大，足以给邮件接收者制造一种紧迫感。 点击邮件中的链接会将受害者带到一个托管在’low-house[.]com’上的虚假Booking.com网站，Securonix将其描述为真实Booking.com网站的”高保真克隆”。 Securonix报告称：”该页面使用了Booking.com官方品牌元素，包括正确的配色方案、徽标和字体样式。在外行人看来，它与真实网站无法区分。” 该网站托管着恶意JavaScript，向目标显示虚假的”加载时间过长”错误，诱使他们点击按钮刷新页面。 然而，当目标点击该按钮时，浏览器会进入全屏模式并显示虚假的Windows蓝屏死机崩溃界面，从而启动ClickFix社会工程攻击。 该界面提示用户打开Windows”运行”对话框，然后按CTRL+V，这将粘贴已复制到Windows剪贴板的恶意命令。 接着提示用户按键盘上的”确定”按钮或Enter键来执行该命令。 真正的蓝屏死机消息不会提供恢复指令，只会显示错误代码和重启通知，但经验不足的用户或急于解决纠纷的酒店员工可能会忽略这些欺骗迹象。 粘贴提供的命令会运行一条PowerShell命令，该命令会打开一个诱饵性的Booking.com管理员页面。同时，在后台下载一个恶意的.NET项目（v.proj）并使用合法的Windows MSBuild.exe编译器进行编译。 执行时，该有效负载会添加Windows Defender排除项并触发用户账户控制提示以获取管理员权限，然后使用后台智能传输服务下载主要加载器，并通过在启动文件夹中放置.url文件来建立持久性。 该恶意软件是DCRAT，一种远程访问木马，通常被威胁行为者用于远程访问受感染设备。 该恶意软件使用进程空洞技术注入到合法的’aspnet_compiler.exe’进程中，并直接在内存中执行。 首次与命令与控制服务器联系时，恶意软件会发送其完整的系统指纹，然后等待执行命令。 它支持远程桌面功能、键盘记录、反向Shell以及在内存中执行额外有效负载。在Securonix观察到的案例中，攻击者投放了一个加密货币挖矿程序。 随着远程访问的建立，威胁行为者现在在目标网络中获得了立足点，使他们能够传播到其他设备、窃取数据并可能危害其他系统。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： VVS 窃取器是一款基于 Python 编写的恶意软件，专门窃取 Discord 平台的账号凭证与令牌。据悉，这款恶意软件至少从 2025 年 4 月起便开始在电报平台上进行售卖。 该恶意软件采用 Python 代码混淆工具 Pyarmor 对自身代码进行深度混淆，以此阻碍安全人员的分析与检测工作。为此，安全研究人员对恶意软件样本进行了解混淆处理，才得以开展恶意代码的分析工作。 这款在电报平台上被宣传为 “终极窃取器” 的恶意软件，采用订阅制或授权制的售卖模式，价格区间从每周 10 欧元起，最高至终身授权 199 欧元。 VVS 窃取器：功能与攻击流程  VVS 窃取器具备多项恶意功能，包括窃取 Discord 平台数据、劫持用户会话、提取浏览器中保存的账号凭证，以及截取用户屏幕画面。它会通过添加开机自启项的方式实现持久化驻留，同时还会弹出伪造的错误提示信息，以此隐蔽自身的恶意行为。 帕洛阿尔托网络公司发布的报告指出：“一旦完成上述各类数据的提取，该恶意软件样本会将所有数据压缩为一个名为<用户名>_vault.zip的压缩包文件，随后通过 HTTP POST 请求，将该文件发送至预先设定的网络钩子端点，这一数据外传流程与 Discord 平台的数据窃取方式十分相似。” 研究人员对一个经 PyInstaller 打包、并通过 Pyarmor 混淆的 VVS 窃取器样本展开了分析。他们提取并还原了原始的 Python 字节码，确认该恶意软件基于 Python 3.11.5 版本开发，并获取了相关的 Pyarmor 混淆信息。通过重构.pyc文件头，研究人员成功反编译了这款恶意软件，还原出其源代码。 研究团队深入分析了 Pyarmor 的文件头信息、AES-128-CTR 加密算法，以及 BCC 编译模式 —— 该模式会将 Python 函数编译为 C 语言代码，并存储在 ELF 格式文件中。借助与 Pyarmor 授权相关的密钥和随机数，研究人员重构了加密的字节码、常量与字符串，最终还原出浏览器密钥提取等核心恶意功能。剥离这些混淆层后，安全人员才得以全面分析该恶意软件的攻击能力。 去除 Pyarmor 混淆保护后，研究人员证实 VVS 窃取器是一款技术成熟的恶意软件，攻击目标明确指向数据窃取与会话劫持。该恶意软件设有时间限制，将于 2026 年 10 月 31 日失效，且其发起的所有 HTTP 网络请求均使用固定的 Chrome 浏览器用户代理。它针对 Discord 平台的攻击流程为：定位并解密被加密的 Discord 令牌，随后调用 Discord 的应用程序编程接口（API），收集大量用户数据，涵盖账号详情、支付信息、多重身份验证状态、IP 地址以及系统元数据等内容。 报告进一步补充道：“该恶意软件样本会首先搜索可能存在的加密 Discord 令牌。这类加密令牌的字符串均以dQw4w9WgXcQ:为前缀。恶意软件会利用正则表达式，基于该前缀生成检索规则，随后在 LevelDB 目录下的.ldb或.log格式文件中检索匹配内容。收集到所有目标信息后，恶意软件会将其转换为 JavaScript 对象表示法（JSON）格式进行数据外传，传输方式同样是通过 HTTP POST 请求发送至预先设定的网络钩子端点，具体包括环境变量%WEBHOOK%所指定的地址，以及程序内置的备用地址。” Discord 开发者平台的资料显示：“网络钩子是一种便捷的工具，可直接向 Discord 的频道发送消息，无需借助机器人账号或进行身份验证。” 窃取到的数据会通过 Discord 网络钩子向外传输。此外，该恶意软件还会向 Discord 客户端中注入经过混淆处理的 JavaScript 脚本，以此劫持用户的活跃会话、监控用户操作，并维持自身在受感染设备中的持久化存在。不仅如此，VVS 窃取器还会针对多款基于 Chromium 内核及火狐内核的浏览器发起攻击，提取其中保存的密码、Cookie、浏览历史记录与自动填充数据，将这些信息打包为 ZIP 压缩包后，通过相同的网络钩子渠道完成数据外传。 该恶意软件还会调用 Windows 系统的MessageBoxW应用程序编程接口（API）弹出伪造的致命错误提示框，误导用户认为设备需要重启。 报告最后总结：“VVS 窃取器的出现，印证了 Pyarmor 这类本可用于合法用途的工具，也能被不法分子利用来开发隐蔽性极强的恶意软件，以窃取 Discord 等热门平台的用户凭证。这一威胁的出现，警示安全防护人员必须加强对凭证窃取与账号滥用行为的监测力度。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一、变种发现与溯源 Aikido 恶意软件研究员查理・埃里克森于发现 30 分钟后发布报告称，该变种虽与前两版差异明显，但可确定攻击者掌握原始蠕虫源代码，且对代码重新混淆处理，排除模仿攻击可能。沙虫攻击始于 8 月针对 nx 包的 S1ngularity 行动，首波攻击 9 月 16 日爆发，11 月 24 日出现 2.0 版本 “再临” 攻击。 二、攻击机制与危害 沙虫区别于传统恶意包，直接嵌入开发者工作流，目标窃取开发环境敏感凭证： 安装时执行，扫描开发机与 CI/CD 环境密钥； 将被盗凭证上传至公开 GitHub 仓库； 利用凭证进一步入侵更多 npm 包。 首波攻击曾影响超 500 个常用 npm 包与数万个 GitHub 仓库，促使 GitHub 收紧包发布认证机制。第二波则利用漏洞披露至强制可信发布迁移的窗口期发动。 三、3.0 变种新特征与漏洞 结构与隐匿升级 重构文件结构，重命名安装器与载荷组件； 改用新 GitHub 仓库描述防字符串检测； 新增 5 类泄露文件名，聚焦环境变量、云凭证等； 移除 “失效开关”，优化错误处理，适配 Windows 系统，调整数据收集顺序。 致命漏洞 代码存在文件名错误，本应读取c0nt3nts.json，却错误保存为c9nt3nts.json，导致功能异常。 四、行业警示与防护建议 漏洞管理公司 Mondoo 首席安全官帕特里克・芒奇指出，沙虫 3.0 是 “无差别攻击武器”，其快速迭代凸显供应链仍是攻击重灾区，类似高影响攻击将增多。美国网络安全与基础设施安全局等机构已发布预警。 防护建议： 排查受影响包，轮换环境密钥； 监控 GitHub 新描述仓库，限制 npm 安装生命周期脚本； 启用发布流程多因素认证与范围令牌。 埃里克森强调，事件仍在进展中，需持续关注动态。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文