HackerNews 编译，转载请注明出处： 供应链安全公司Socket近日发现九个由”shanhai666″发布的恶意NuGet软件包，这些在2023至2024年间发布的软件包已被下载9，488次，其内预置的延时攻击载荷将在2027年8月至2028年11月期间陆续激活，目标直指数据库与工业控制系统。 研究人员指出，最具危害性的Sharp7Extend软件包采用双重破坏机制针对工业PLC：安装后立即随机终止进程，并在30-90分钟后开始引发静默写入故障，直接影响制造环境中的安全关键系统。这些软件包中99%均包含完全正常的功能代码以掩盖恶意行为。 恶意软件包完整名单包括： SqlUnicorn.Core、SqlDbRepository、SqlLiteRepository、SqlUnicornCoreTest、SqlUnicornCore、SqlRepository、MyDbRepository、MCDbRepository、Sharp7Extend。 攻击手法上，恶意包通过名为Sharp7Extend的仿冒组件捆绑正版Sharp7库与隐藏恶意代码，利用C#扩展方法（.Exec和.BeginTran）截获操作指令。攻击触发器经过精心设计：SQL Server版本将于2027年8月8日激活，其他数据库版本于2028年11月29日激活，而Sharp7Extend则立即激活并持续运行至2028年6月6日。 特别值得关注的是，Sharp7Extend在30-90分钟潜伏期后，将以80%的概率令写入操作静默失败，影响执行器、设定点、安全系统与生产控制。这种随机崩溃与隐藏数据损坏的组合机制使得攻击极难被察觉。 该活动展现出NuGet供应链攻击中罕见的精密特性：从安装到触发最长可达三年的时差，结合20%概率执行机制，使得系统故障极易被误判为随机崩溃或硬件问题。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露，针对Visual Studio Code生态系统的GlassWorm恶意软件活动再现新动向。三款仍可下载的VS Code扩展被发现植入该恶意代码，总安装量已近万次。 涉事扩展包括： ai-driven-dev.ai-driven-dev（3，402次下载） adhamu.history-in-sublime-merge（4，057次下载） yasuyuky.transient-emacs（2，431次下载） GlassWorm攻击活动最初由Koi Security于上月末披露，其独特之处在于使用不可见Unicode字符隐藏恶意代码，并通过窃取的凭证进一步入侵其他扩展，形成类似蠕虫的自我复制传播循环。该恶意软件主要窃取Open VSX、GitHub和Git凭证，盗取49款加密货币钱包扩展资金，并投放远程访问工具。 尽管Open VSX注册中心已于10月21日下架所有恶意扩展并撤销相关令牌，但Koi Security最新报告显示，攻击者通过向Solana区块链提交新交易，成功更新了命令与控制（C2）服务器地址。研究人员指出：”这彰显了基于区块链的C2基础设施韧性——即使载荷服务器被关闭，攻击者仅需支付极低成本提交新交易，所有受感染机器就会自动获取新地址。” 安全厂商还意外发现攻击者服务器上暴露的端点信息，受害者名单涵盖美国、南美、欧洲和亚洲等多个地区，其中包括中东某主要政府机构。通过对攻击者机器上获取的键盘记录数据进行分析，研究人员判定威胁行为主体使用俄语，并采用开源浏览器扩展C2框架RedExt作为其基础设施组成部分。 Koi Security警告：”这些受害组织与个人的凭证已被窃取，其机器可能正在为犯罪活动提供代理基础设施，内部网络或已遭渗透。”与此同时，Aikido Security最新研究显示，GlassWorm已扩大攻击范围开始针对GitHub，被窃凭证正被用于向代码库推送恶意提交。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为Curly COMrades的威胁行为者被发现利用虚拟化技术绕过安全解决方案，执行定制恶意软件。 根据Bitdefender的最新报告，该威胁行为者会在选定的受害者系统上启用 Hyper-V 角色，部署一个精简版的阿尔派 Linux（Alpine Linux）虚拟机。 安全研究员在技术报告中表示：“这个隐藏环境占用资源极少，仅需 120MB 磁盘空间和 256MB 内存，托管着他们的定制反向 Shell 工具 CurlyShell，以及反向代理工具 CurlCat。” 这家罗马尼亚网络安全厂商于 2025 年 8 月首次记录到Curly COMrades的相关活动，其一系列攻击针对格鲁吉亚和摩尔多瓦。该活动集群被评估为自 2023 年底起持续活跃，其行动目标与俄罗斯的利益一致。 这些攻击会部署多种工具，包括用于双向数据传输的 CurlCat、用于持久远程访问的 RuRat、用于凭证窃取的 Mimikatz，以及一个名为 MucorAgent 的模块化.NET 植入程序，其早期版本可追溯至 2023 年 11 月。 在与格鲁吉亚计算机应急响应小组合作开展的后续分析中，研究人员发现了该威胁行为者使用的更多工具，同时发现他们试图通过在受感染的 Windows 10 主机上利用 Hyper-V 建立隐藏远程操作环境，以实现长期访问。 研究人员称：“通过将恶意软件及其执行环境隔离在虚拟机内，攻击者有效绕过了许多传统的主机端 EDR检测。该威胁行为者展现出维持反向代理能力的明确意图，不断向环境中引入新工具。” 除了使用 Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel 和基于 SSH 的代理与隧道技术外，Curly COMrades还采用了其他多种工具，包括一个用于远程命令执行的 PowerShell 脚本，以及此前未被记录的 ELF 二进制文件 CurlyShell—— 该工具部署在虚拟机中，可提供持久反向 Shell。 这款恶意软件由 C++ 编写，以无头后台守护进程的形式执行，用于连接命令与控制（C2）服务器并启动反向 Shell，使威胁行为者能够运行加密命令。通信通过 HTTP GET 请求向服务器查询新命令，并通过 HTTP POST 请求将命令执行结果回传至服务器实现。 比特梵德表示：“两款定制恶意软件家族 ——CurlyShell 和 CurlCat 是此次活动的核心，它们共享大部分相同的代码库，但在接收数据的处理方式上存在差异：CurlyShell 直接执行命令，而 CurlCat 通过 SSH 转发流量。这些工具的部署与运行旨在确保灵活的控制能力和适应性。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 不法分子正将目标日益聚焦于货运与物流公司，试图通过植入远程监控管理（RMM）软件非法牟利，最终实现货物盗窃。 据 安全公司Proofpoint调查，该威胁团伙至少自 2025 年 6 月起开始活跃。他们与有组织犯罪集团合作，入侵陆路运输行业相关机构，核心目标是窃取实体货物。在这类 “网络赋能型盗窃” 中，食品饮料类商品是最主要的被盗对象。 研究人员奥莱・维拉德森与塞莱娜・拉森在一份提交给The Hacker News的报告中表示：“被盗货物很可能通过网络销售或运至海外。在已观测到的攻击活动中，攻击者会先入侵企业，再利用非法获取的权限竞标真实货运订单，最终完成盗窃。” 与历史攻击的关联与差异 此次攻击活动与 2024 年 9 月披露的一系列攻击存在相似性 —— 当时攻击者针对北美运输物流公司，使用 Lumma Stealer、StealC、NetSupport RAT 等信息窃取工具与远程访问木马（RAT）实施入侵。但目前尚无证据表明两类攻击出自同一威胁团伙。 在 Proofpoint 此次监测到的入侵浪潮中，身份不明的攻击者采用了多种攻击手段： 劫持已泄露的电子邮件账户，接管现有对话； 向资产型承运人、货运经纪公司及综合供应链服务商发送钓鱼邮件； 利用被入侵的账户在货运信息平台（load boards）发布虚假货运信息。 报告指出：“攻击者通过被盗账户在货运平台发布虚假订单，再向咨询这些订单的承运人发送含恶意链接的邮件。这种手段利用了货运谈判中固有的信任关系与时效性压力。” 攻击实施流程与工具滥用 毫不意外，邮件中的恶意链接会指向带有陷阱的 MSI 安装程序或可执行文件（EXE），这些文件会部署 ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn Resolve 等合法 RMM 工具。在部分案例中，攻击者会组合使用多款工具，例如通过 PDQ Connect 投放并安装 ScreenConnect 与 SimpleHelp。 一旦获取远程访问权限，攻击者会先开展系统与网络侦察，随后植入 WebBrowserPassView 等凭证窃取工具，获取更多账号密码，进一步渗透企业内网。 在至少一起案例中，攻击者还滥用获取的权限：删除现有货运订单、屏蔽调度员通知；将自己的设备添加到调度员电话分机；以被入侵承运人的名义预订货运订单，并协调运输流程。 RMM 工具被滥用的核心原因 使用 RMM 软件对攻击者而言有多重优势： 无需自行开发定制恶意软件，降低技术门槛； 这类工具在企业环境中广泛应用，可帮助攻击者 “隐身”，通常不会被安全解决方案标记为恶意程序。 Proofpoint 早在 2025 年 3 月就曾指出：“攻击者创建并传播受控的远程监控工具相当容易。由于这些工具常被用作合法软件，终端用户对安装 RMM 工具的警惕性，往往低于对其他远程访问木马的警惕性。此外，这类工具的安装程序通常带有数字签名，属于合法载荷，因此可能避开杀毒软件或网络检测。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员何塞·皮诺近日披露了Chromium的Blink渲染引擎中存在一个名为”Brash”的高危漏洞，攻击者可通过单个恶意链接在数秒内使众多基于Chromium的浏览器崩溃。 “Brash”漏洞利用document.title API缺乏速率限制的缺陷，以每秒数百万次的速度向浏览器发送DOM更新请求，导致主线程过载。 该漏洞会引发CPU使用率飙升、浏览器冻结和系统减速，影响涵盖桌面端、Android及嵌入式设备。 攻击分三个阶段实施： 预加载阶段：在内存中预存100个独特的512字符十六进制字符串，以最大化更新吞吐量 爆发注入：快速执行三重更新（默认爆发量8000次，1毫秒间隔），实现每秒约2400万次标题写入 持续饱和：持续注入使UI/主线程饱和，数秒内即可导致CPU占用率飙升、标签页冻结，最终浏览器崩溃 经测试，以下基于Chromium/Blink引擎的浏览器均受影响： Chrome：15-30秒内崩溃 Edge：15-25秒内崩溃 Vivaldi/Arc/Dia浏览器：15-30秒内崩溃 Opera：约60秒内崩溃 Perplexity Comet：15-35秒内崩溃 ChatGPT Atlas：15-60秒内崩溃 Brave：30-125秒内崩溃 以下浏览器不受影响： Firefox（使用Gecko引擎） Safari及所有iOS浏览器（使用WebKit引擎） 皮诺警告，”Brash”可能被武器化并造成严重后果： 定时攻击：可预设精确执行时间，将攻击从干扰工具转变为时间精准武器 经济破坏：针对AI智能体和无头浏览器的爬取活动，可导致自动化交易、价格监控、SEO爬虫等关键业务中断 系统依赖风险：同时发生的多系统故障将暴露企业对自动化系统的关键依赖弱点 专家总结指出：”Brash的诞生证明了当基础保护措施缺失时会发生的状况。该漏洞并非存在于复杂代码中，而是源于本应受限的API缺乏速率限制这一基本设计缺陷。它对全球30亿Chromium用户的影响表明，核心组件的架构缺陷会带来巨大的全球性后果——这不是一个孤立漏洞，而是影响整个Chromium生态系统的设计缺陷。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现10个恶意npm软件包，这些包被设计用于在Windows、Linux和macOS系统上投放信息窃取程序。 Socket安全研究员Kush Pandya表示：“该恶意软件采用四层混淆技术隐藏有效负载，显示虚假验证码以伪装成合法程序，通过IP地址对受害者进行指纹识别，并下载一个24MB的PyInstaller打包信息窃取程序，能够从Windows、Linux和macOS系统的密钥环、浏览器和认证服务中窃取凭证。” 这些npm包于2025年7月4日上传至注册表，累计下载量超过9,900次，具体包括： deezcord.js dezcord.js dizcordjs etherdjs ethesjs ethetsjs nodemonjs react-router-dom.js typescriptjs zustand.js 此次多阶段凭证窃取行动通过伪装成TypeScript、discord.js、ethers.js等热门npm库的仿冒包进行。安装后，恶意软件会显示虚假验证码提示，并输出看似正常的安装信息，让开发者误以为安装过程正常进行。然而在后台，该软件包会捕获受害者的IP地址并发送至外部服务器，随后投放主恶意软件。 每个软件包中的恶意功能都会通过”postinstall”钩子在安装时自动触发，启动名为”install.js”的脚本。该脚本会检测受害者的操作系统，并在新的命令提示符（Windows）、GNOME终端（Linux）或终端（macOS）窗口中启动经过混淆的有效负载。 Pandya指出：”通过生成新的终端窗口，恶意软件能够独立于npm安装进程运行。开发者在安装过程中瞥见终端窗口时，只会看到新窗口短暂出现，而恶意软件会立即清屏以避免引起怀疑。” “app.js”中的JavaScript代码通过四层混淆技术隐藏，包括使用动态生成密钥的XOR密码、对有效负载字符串进行URL编码，以及使用十六进制和八进制运算混淆程序流程等，这些设计都旨在抵抗分析。 攻击的最终目标是从同一服务器获取并执行一个全能型信息窃取程序。该程序能够全面扫描开发者计算机，从网页浏览器、配置文件和SSH密钥中搜索密钥、认证令牌、凭证和会话cookie。 该窃密程序还包含针对不同平台的特定实现，使用keyring npm库从系统密钥环中提取凭证。收集到的信息会被压缩成ZIP文件并外泄至服务器。 Socket公司强调：“系统密钥环存储着关键服务的凭证，包括电子邮件客户端、云存储同步工具、VPN连接、密码管理器、SSH密码、数据库连接字符串等与操作系统凭证存储集成的应用程序。通过直接攻击密钥环，恶意软件绕过了应用级安全防护，直接获取解密形式的存储凭证。这些凭证可让攻击者立即访问企业邮箱、文件存储、内部网络和生产数据库。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周四发布了带外安全更新，以修复一个Windows Server Update服务中的严重漏洞。该漏洞的概念验证漏洞利用已公开，并且已在野外遭到积极利用。 相关漏洞为CVE-2025-59287（CVSS评分：9.8），这是WSUS中的一个远程代码执行漏洞。该漏洞最初由微软在上周发布的”补丁星期二”更新中进行了修复。 三位安全研究人员 MEOW、f7d8c52bec79e42795cf15888b85cbad 以及 CODE WHITE GmbH 的 Markus Wulftange 因发现并报告此漏洞而获得致谢。 该缺陷涉及WSUS中不受信任数据的反序列化问题，允许未经授权的攻击者通过网络执行代码。值得注意的是，该漏洞不影响未启用WSUS服务器角色的Windows服务器。 在一个假设的攻击场景中，远程未经身份验证的攻击者可以发送一个特制的事件，该事件会在”传统序列化机制”中触发不安全的对象反序列化，从而导致远程代码执行。 根据HawkTrace的安全研究员Batuhan Er的说法，该问题”源于发送到GetCookie()端点的AuthorizationCookie对象的不安全反序列化，其中加密的cookie数据使用AES-128-CBC解密，随后通过BinaryFormatter进行反序列化，但缺乏适当的类型验证，从而使得能够以SYSTEM权限执行远程代码。” 值得注意的是，微软自己此前曾建议开发人员停止使用BinaryFormatter进行反序列化，因为该方法在处理不受信任的输入时不安全。BinaryFormatter的一个实现随后在2024年8月的.NET 9中被移除。 “为全面解决CVE-2025-59287，微软已为以下受支持的Windows Server版本发布了带外安全更新：Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2022, 23H2版（Server Core安装）以及Windows Server 2025，”微软在一次更新中表示。 安装补丁后，建议执行系统重启以使更新生效。如果无法应用此带外更新，用户可以采取以下任一行动来防范该漏洞： 在服务器中禁用WSUS服务器角色（如已启用） 在主机防火墙上阻止对端口8530和8531的入站流量 “在安装更新之前，请勿撤销任何这些临时解决方案，”微软警告说。 此消息发布之际，荷兰国家网络安全中心表示，其从”可信合作伙伴处获悉，在2025年10月24日观察到了CVE-2025-59287的滥用行为。” 向NCSC-NL报告了此次野外利用的Eye Security表示，他们首次观察到该漏洞在UTC时间早上6:55被利用，目的是投递一个针对某未具名客户的Base64编码的有效载荷。该有效载荷是一个.NET可执行文件，”获取请求头’aaaa’的值并使用cmd.exe直接运行它。” “这是发送给服务器的有效载荷，它使用名为’aaaa’的请求头作为要执行命令的源，” Eye Security的首席技术官Piet Kerkhofs告诉The Hacker News。”这避免了命令直接出现在日志中。” 当被问及利用行为是否可能早于今天发生时，Kerkhofs指出，”HawkTrace的概念验证两天前就发布了，它可以使用标准的ysoserial .NET有效载荷，所以是的，利用所需的要素已经具备。” 网络安全公司Huntress也表示，他们检测到威胁行为者从大约UTC时间2025年10月23日23:34开始，针对公开暴露在其默认端口（8530/TCP和8531/TCP）上的WSUS实例。然而，该公司指出，由于WSUS通常不会暴露8530和8531端口，CVE-2025-59287的利用范围可能有限。 “攻击者利用暴露的WSUS端点发送特制请求（对WSUS Web服务的多个POST调用），触发了针对更新服务的反序列化远程代码执行，”该公司表示。 此次利用活动导致WSUS工作进程生成了”cmd.exe”和PowerShell实例，从而下载并执行了一个Base64编码的PowerShell有效载荷，目的是枚举暴露的服务器以获取网络和用户信息，并将结果外泄到攻击者控制的webhook[.]site URL。 “我们现在看到对微软WSUS服务中的预身份验证远程代码执行漏洞进行了无差别的野外利用，该漏洞在10月初被披露，” watchTowr的Benjamin Harris在一份声明中表示。”此漏洞的利用是无差别的。” “如果一个未打补丁的WSUS实例在线，那么在此阶段，它很可能已经被攻陷。在2025年，真的没有任何合法理由让WSUS可以从互联网访问——任何处于这种情况的组织可能需要指导来了解他们是如何陷入这种境地的。” “我们已经观察到8000多个实例暴露在外，包括极其敏感、高价值的组织。这不仅限于低风险环境——一些受影响的实体正是攻击者优先考虑的目标类型。” 当联系置评时，微软的一位发言人告诉该刊物：”我们在发现初始更新未能完全缓解该问题后重新发布了此CVE。已安装最新更新的客户已受到保护。” 该公司还强调，该问题不影响未启用WSUS服务器角色的服务器，并建议受影响的客户遵循其CVE页面上的指南。 鉴于概念验证漏洞利用的可用性和已检测到的利用活动，用户必须尽快应用补丁以减轻威胁。美国网络安全和基础设施安全局也已将该漏洞添加到其已知被利用漏洞目录中，要求联邦机构在2025年11月14日之前进行修复。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个恶意YouTube账号网络被曝光，该网络通过发布和推广诱导用户下载恶意软件的视频，滥用了这一视频托管平台的普及度和用户信任来传播恶意负载。 该网络自2021年开始活跃，迄今已发布了超过3000个恶意视频，且自今年年初以来此类视频数量增加了两倍。Check Point将其命名为”YouTube幽灵网络”。谷歌已介入移除了其中大部分视频。 该活动利用被黑客入侵的账号，将其内容替换为以盗版软件和Roblox游戏作弊工具为中心的”恶意”视频，从而感染那些搜索这些内容而不幸中招的用户，使其感染信息窃取程序。其中一些视频的观看量高达数十万次，范围在14.7万到29.3万之间。 “这次行动利用了包括观看量、点赞和评论在内的信任信号，使恶意内容看起来安全，” Check Point 安全研究组经理 Eli Smadja 说。”看似有用的教程，实际上可能是一个精巧的网络陷阱。这个网络的规模、模块化和复杂程度，为威胁行为体如何武器化互动工具来传播恶意软件提供了一个蓝图。” 利用YouTube分发恶意软件并非新现象。多年来，威胁行为体一直被观察到劫持合法频道或使用新创建的账号发布教程式视频，并在描述中提供恶意链接，点击后会导致恶意软件感染。 这些攻击是更广泛趋势的一部分，攻击者将合法平台重新用于邪恶目的，将其变为有效的恶意软件分发渠道。虽然一些活动滥用了与谷歌或必应等搜索引擎相关的合法广告网络，但其他活动则利用GitHub作为传播载体，例如”Stargazers幽灵网络”案例。 “幽灵网络”能够大行其道的主要原因之一是，它们不仅可用于放大所分享链接的感知合法性，而且由于其基于角色的结构，即使在账号被平台所有者封禁或删除后，仍能保持运营连续性。 “这些账号利用各种平台功能，如视频、描述、帖子和评论来推广恶意内容并分发恶意软件，同时制造一种虚假的信任感，”安全研究员 Antonis Terefos 表示。 “该网络大部分由被入侵的YouTube账号组成，这些账号一旦被纳入，就会被分配特定的操作角色。这种基于角色的结构实现了更隐蔽的分发，因为被禁账号可以迅速被替换，而不会中断整体运营。” 具体存在三种类型的账号： 视频账号：上传诱导性视频，并在描述中提供下载所宣传软件的链接（或者，链接以置顶评论的形式分享，或直接在视频中作为安装过程的一部分提供）。 帖子账号：负责发布包含外部网站链接的社区消息和帖子。 互动账号：负责点赞和发布鼓励性评论，为视频披上信任和可信度的外衣。 这些链接将用户引导至各种服务，如MediaFire、Dropbox或Google Drive，或托管在Google Sites、Blogger和Telegraph上的钓鱼页面，这些页面进而包含下载所谓软件的链接。在许多情况下，链接使用URL缩短器进行隐藏以掩盖真实目的地。 通过YouTube幽灵网络分发的一些恶意软件家族包括Lumma Stealer、Rhadamanthys Stealer、StealC Stealer、RedLine Stealer、Phemedrone Stealer以及其他基于Node.js的加载器和下载器： 一个名为 @Sound_Writer（拥有9690名订阅者）的频道，被入侵超过一年，用于上传加密货币软件视频以部署Rhadamanthys。 一个名为 @Afonesio1（拥有12.9万名订阅者）的频道，在2024年12月3日和2025年1月5日被入侵，上传了一个宣传Adobe Photoshop破解版的视频，用于分发一个MSI安装程序，该安装程序会部署Hijack Loader，进而传递Rhadamanthys。 “恶意软件分发方法的持续演变，表明了威胁行为体在绕过传统安全防御方面卓越的适应性和资源丰富性，” Check Point 表示。”对手正越来越多地转向更复杂的、基于平台的策略，最显著的是部署’幽灵网络’。” “这些网络利用合法账号固有的信任以及流行平台的互动机制，来策划大规模、持久且高效的恶意软件活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种可自我传播的蠕虫病毒。它通过Open VSX Registry和Microsoft Extension Marketplace上的Visual Studio Code扩展进行传播。这一事件凸显出，开发者已成为网络攻击的主要目标。 这项由Koi Security命名的复杂威胁软件，代号为GlassWorm。这已经是近一个月内针对DevOps领域的第二起软件供应链攻击。9月中旬，名为Shai-Hulud的蠕虫恶意软件针对nmp生态系统发起攻击。 攻击的核心特点 此次攻击的突出之处在于其使用了Solana区块链进行命令与控制，使得其基础设施能够抵御关停操作。它还使用Google日历作为C2的备用机制。 另一个新颖之处在于，GlassWorm活动依赖于”使恶意代码在代码编辑器中 literally 消失的不可见Unicode字符”。Idan Dardikman在一份技术报告中表示：”攻击者使用了Unicode变体选择符——这些特殊字符是Unicode规范的一部分，但不会产生任何视觉输出。” 此次攻击的最终目的是窃取npm、Open VSX、GitHub和Git的凭证，清空49种不同加密货币钱包扩展中的资金，部署SOCKS代理服务器以将开发者机器变成犯罪活动的通道，安装隐藏的VNC服务器以获取远程访问权限，并利用被盗凭证武器化，进一步危害其他软件包和扩展以实现更广泛的传播。 目前已有14款扩展受感染。其中13个在Open VSX上，1个在Microsoft Extension Marketplace上。这些扩展的总下载量约达 35800 次。第一波感染浪潮发生在10月17日。目前尚不清楚这些扩展是如何被劫持的。 恶意代码的执行流程 首先，隐藏在扩展中的恶意代码会先搜索 Solana 区块链上与攻击者控制的钱包相关的交易。 若找到相关交易，代码会从交易的 “备注” 字段中提取一段 Base64 编码字符串，解码后得到用于获取下一阶段有效负载的 C2 服务器地址（为 “217.69.3 [.] 218” 或 “199.247.10 [.] 166”）。 该有效负载是一款信息窃取工具，可捕获凭证信息、身份验证令牌和加密货币钱包数据；同时会访问谷歌日历的某个事件，解析另一段 Base64 编码字符串，并联系上述同一服务器以获取名为 “Zombi” 的有效负载。最终窃取的数据会被传输至攻击者控制的远程端点（地址为 “140.82.52 [.] 31:80”）。 其中，Zombi模块使用JavaScript编写，它通过部署SOCKS代理、用于点对点通信的WebRTC模块、用于分布式命令分发的BitTorrent分布式哈希表以及用于远程控制的HVNC，将GlassWorm感染转变为全面入侵。 问题更为复杂的是，VS Code扩展默认配置为自动更新，这使得威胁行为者能够在无需任何用户交互的情况下自动推送恶意代码。 “这不是一次性的供应链攻击，” Dardikman说。”这是一种旨在像野火一样在开发者生态系统中传播的蠕虫。” “攻击者已经找到了让供应链恶意软件自我维持的方法。他们不再仅仅是危害单个软件包——他们正在构建能够自主在整个软件开发生态系统中传播的蠕虫。” 这一事态发展正值利用区块链部署恶意负载的技术因其假名性和灵活性而激增之际，甚至来自朝鲜的威胁行为者也利用该技术来策划其间谍活动和出于经济动机的攻击活动。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基（Kaspersky）的研究结果显示，一场名为 “被动神经元”（PassiveNeuron）的新网络活动，正将目标对准亚洲、非洲和拉丁美洲的政府、金融及工业领域机构。 这家俄罗斯网络安全厂商最早在 2024 年 11 月就标记了该网络间谍活动。当时卡巴斯基披露，2024 年 6 月曾出现一系列针对拉丁美洲和东亚政府实体的攻击，攻击中使用了两款此前从未发现过的恶意软件家族，分别被标记为 Neursite 和 NeuralExecutor。 卡巴斯基还表示，该行动展现出极高的技术复杂度：威胁行为者将已入侵的内部服务器用作中间命令与控制（C2）基础设施，以此躲避监测。 卡巴斯基当时指出：“威胁行为者能够在目标基础设施内横向移动并窃取数据，还可选择性创建虚拟网络 —— 即便目标机器与互联网隔离，攻击者也能通过这些虚拟网络窃取重要文件。其采用的插件化架构，能根据攻击者的需求动态调整功能。” 卡巴斯基称，自那以后，从 2024 年 12 月起至 2025 年 8 月，公司观测到与 “被动神经元” 相关的新一轮感染浪潮。 在至少一起事件中，攻击者被证实已在一台运行 Windows Server 的受入侵机器上，通过微软 SQL 获得了初始远程命令执行权限。尽管实现这一操作的确切方法尚不清楚，但推测可能存在三种途径：一是暴力破解管理员账户密码；二是利用服务器上运行的应用程序中的 SQL 注入漏洞；三是利用服务器软件本身尚未被发现的漏洞。 无论采用何种方式，攻击者都曾尝试部署 ASPX 网页后门，以获取基础命令执行权限。在该尝试失败后，攻击者通过在 System32 目录中放置一系列 DLL 加载器，投放了多款高级植入程序，包括： Neursite：一款定制化 C++ 模块化后门程序 NeuralExecutor：一款定制化.NET 植入程序，可通过 TCP、HTTP/HTTPS、命名管道或 WebSocket 下载额外的.NET 有效载荷并执行 Cobalt Strike：一款合法的 adversary simulation（对手模拟）工具 Neursite 通过内置配置连接 C2 服务器，通信时使用 TCP、SSL、HTTP 和 HTTPS 协议。默认情况下，它具备收集系统信息、管理运行中进程、通过其他受该后门感染的机器代理流量以实现横向移动的功能。 该恶意软件还配备了一个组件，可获取辅助插件，以实现 Shell 命令执行、文件系统管理和 TCP 套接字操作。 卡巴斯基还发现，2024 年检测到的 NeuralExecutor 变种，设计为直接从配置中读取 C2 服务器地址；而今年发现的该恶意软件样本，则会连接 GitHub 仓库获取 C2 服务器地址 —— 这实际上将这个合法的代码托管平台变成了 “死信解析器”（dead drop resolver，一种隐藏通信方式）。 研究人员格奥尔基・库彻林（Georgy Kucherin）与索拉布・夏尔马（Saurabh Sharma）表示：“‘被动神经元’活动的显著特点是，其主要针对服务器设备。这些服务器，尤其是暴露在互联网上的服务器，通常是高级持续性威胁（APT）的高价值目标，因为它们可作为入侵目标机构的入口点。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文