HackerNews 编译，转载请注明出处： 新研究发现，超100款Visual Studio Code（VS Code）扩展的发布者泄露了访问令牌，这些令牌可能被恶意行为者利用来更新扩展，从而构成严重软件供应链风险。 “泄露的VS Code Marketplace或Open VSX个人访问令牌（PAT）允许攻击者直接向整个安装基础分发恶意扩展更新。”Wiz安全研究员拉米·麦卡锡在与《黑客新闻》分享的报告中说，“发现此问题的攻击者本可以直接向总计15万的安装基础分发恶意软件。” 这家云安全公司指出，在许多情况下，发布者未能考虑到VS Code扩展虽然作为.vsix文件分发，但可以解压并检查，从而暴露嵌入其中的硬编码机密。 Wiz表示，它总共发现了超550个经过验证的机密，分布在来自数百个不同发布者的超500款扩展中。这550个机密被发现属于67种不同类型的机密，包括： – 人工智能供应商机密，如与OpenAI、Gemini、Anthropic、XAI、DeepSeek、Hugging Face和Perplexity等相关的机密 – 云服务供应商机密，如与亚马逊网络服务（AWS）、谷歌云、GitHub、Stripe和Auth0等相关的机密 – 数据库机密，如与MongoDB、PostgreSQL和Supabase等相关的机密 Wiz还在其报告中指出，超100款扩展泄露了VS Code Marketplace PATs，涉及超8.5万次安装。另有30款扩展的累计安装量不少于10万，被发现泄露了Open VSX访问令牌。其中相当一部分被标记的扩展是主题。 随着Open VSX还被集成到像Cursor和Windsurf这样的人工智能（AI）驱动的VS Code分支中，泄露访问令牌的扩展可能会显著扩大攻击面。 在一次事件中，该公司表示，它发现了一个VS Code Marketplace PAT，本可以用来向一家市值300亿美元的中国大型企业的员工推送针对性恶意软件，表明这个问题还延伸到了组织内部或供应商特定的扩展。 在2025年3月和4月向微软负责任地披露后，这家Windows制造商已撤销了泄露的PATs，并宣布将增加机密扫描功能，以阻止带有经过验证的机密的扩展，并在检测到机密时通知开发者。 建议VS Code用户限制安装的扩展数量，在下载扩展前仔细审查，并权衡启用自动更新的利弊。建议组织制定扩展清单，以便更好地应对恶意扩展的报告，并考虑为扩展制定集中的允许列表。 “这个问题凸显了扩展和插件以及供应链安全的持续风险，”Wiz说，“它继续证实了任何软件包仓库都存在大量机密泄露的高风险。” TigerJack针对VS Code市场发布恶意扩展 与此同时，Koi安全公司披露了一名被命名为TigerJack的威胁行为者的细节，该行为者自2025年初以来被认定使用各种发布者账户发布了至少11款看似合法的恶意VS Code扩展，作为一场“协调的、系统的”活动的一部分。 “以ab-498、498和498-00的身份运营，TigerJack部署了一套复杂的武器库：能够窃取源代码、挖掘加密货币并建立远程后门以实现对系统完全控制的扩展。”安全研究员图瓦尔·阿德蒙尼说。 两款恶意扩展——C++游乐场和HTTP格式化——在被下架前吸引了超1.7万次下载。然而，它们仍在Open VSX上可用，威胁行为者还在2025年9月17日，即被移除后，以新名称在VS Code市场重新发布了相同的恶意代码。 值得注意的是，这些扩展提供了承诺的功能，这为它们的恶意活动提供了完美的掩护，使不知情的开发者在安装它们后无法察觉。 具体来说，C++游乐场扩展被发现可以通过一个在500毫秒延迟后触发的监听器几乎实时地捕获按键。最终目标是窃取C++源代码文件。另一方面，HTTP格式化扩展包含了运行CoinIMP矿工的恶意代码，并通过滥用系统资源秘密挖掘加密货币。 TigerJack以“498”为别名发布的另外三款扩展，即cppplayground、httpformat和pythonformat，通过每20分钟从外部服务器（“ab498.pythonanywhere[.]com”）下载并运行任意JavaScript的能力，进一步增加了风险，从而能够充当后门。 “通过每20分钟检查新指令一次，并对远程获取的代码使用eval()，TigerJack可以动态推送任何恶意载荷，而无需更新扩展——窃取凭证和API密钥、部署勒索软件、利用被入侵的开发人员机器作为进入企业网络的切入点、将后门注入你的项目，或者实时监控你的活动。”阿德蒙尼指出。 Koi安全公司还指出，这些扩展大多最初是完全无害的工具，直到引入恶意修改，这是典型的特洛伊木马手段。这有几个优势，因为它允许威胁行为者建立合法性并在用户中获得影响力。 更重要的是，它还可以欺骗一个在安装前审查过扩展的开发者，因为威胁行为者可以在稍后推送更新来入侵他们的环境。 2025年6月，微软表示，它有一个多步骤流程，以确保VS Code市场免受恶意软件的侵害。这包括对所有传入软件包进行初步扫描，以在沙箱环境中检测恶意运行时行为，以及重新扫描和定期进行市场范围的扫描，以“确保一切安全”。 尽管如此，这些安全保护措施仅适用于VS Code市场，而不适用于其他市场，如Open VSX注册表，这意味着即使恶意扩展从微软的平台被移除，威胁行为者也可以轻松迁移到安全性较低的替代平台。 “所有市场碎片化的安全格局造成了危险的盲点，复杂的威胁行为者已经在利用这些盲点，”该公司说，“当安全在孤岛中运行时，威胁就会在平台间迁移，而开发者仍然在不知情的情况下暴露。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国电脑制造商 Framework 生产的约 20 万台 Linux 电脑系统在出厂时附带了已签名的 UEFI 外壳组件，这些组件可能被利用来绕过安全启动保护。 攻击者可以利用这一漏洞加载引导工具包（如 BlackLotus、HybridPetya 和 Bootkitty），这些工具包可以规避操作系统级别的安全控制，并在操作系统重新安装后仍然存在。 强大的 mm 命令根据固件安全公司 Eclypsium 的说法，问题出在 Framework 随系统提供的合法签名的 UEFI 外壳中包含了一个 “内存修改”（mm）命令。 该命令提供对系统内存的直接读 / 写访问，旨在用于低级诊断和固件调试。然而，它也可以通过针对 gSecurity2 变量来破坏安全启动信任链，gSecurity2 变量是验证 UEFI 模块签名过程中的一个关键组件。 mm 命令可以被滥用，用 NULL 覆盖 gSecurity2，从而有效地禁用签名验证。 Eclypsium 表示：“一旦确定了地址，mm 命令就可以用 NULL 覆盖安全处理程序指针，或者将其重定向到一个总是返回‘成功’而不进行任何验证的函数。”“这个命令会将包含安全处理程序指针的内存位置写入零，从而有效地禁用所有后续模块加载的签名验证。” 研究人员还指出，这种攻击可以通过启动脚本自动化，以在重启后仍然存在。 约 20 万台受影响的系统Framework 是一家美国硬件公司，以设计模块化且易于维修的笔记本电脑和台式机而闻名。 危险的 mm 命令的存在并非是因为被攻击，而更像是一个疏忽。在得知这个问题后，Framework 开始着手修复这些漏洞。 Eclypsium 的研究人员估计，这个问题已经影响了大约 20 万台 Framework 电脑： Framework 13（第 11 代英特尔），计划在 3.24 版本中修复 Framework 13（第 12 代英特尔），已在 3.18 版本中修复，计划在 3.19 版本中进行 DBX 更新 Framework 13（第 13 代英特尔），已在 3.08 版本中修复，已在 3.09 版本中发布 DBX 更新 Framework 13（英特尔酷睿 Ultra），已在 3.06 版本中修复 Framework 13（AMD Ryzen 7040），已在 3.16 版本中修复 Framework 13（AMD Ryzen AI 300），已在 3.04 版本中修复，计划在 3.05 版本中进行 DBX 更新 Framework 16（AMD Ryzen 7040），已在 3.06（测试版）中修复，已在 3.07 版本中发布 DBX 更新 Framework 台式机（AMD Ryzen AI 300 MAX），已在 3.01 版本中修复，计划在 3.03 版本中进行 DBX 更新 建议受影响的用户应用可用的安全更新。在补丁尚未可用的情况下，防止物理访问等二级保护措施至关重要。另一个临时缓解措施是通过 BIOS 删除 Framework 的 DB 密钥。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究显示，仅需价值 800 美元的现成设备，就能拦截卫星传输的军事通信内容。 加州大学圣地亚哥分校（UCSD）与马里兰大学（UMD）的研究人员联合开展的一项新研究，揭示了一个令人震惊的全球性安全漏洞。 研究人员指出，全球约半数卫星通信均以完全未加密的形式传输，这使得从航班 WiFi 数据到军事对话等各类信息都暴露在外。更令人担忧的是，研究团队仅用价值不到 800 美元、可轻松购得的设备，就完成了全部拦截实验。 研究人员在加州大学圣地亚哥分校一栋建筑的屋顶上，用任何人都能网购到的设备组装了一套卫星接收系统。这套设备包括一个 185 美元的天线碟、140 美元的屋顶支架、195 美元的马达和 230 美元的调谐卡。 他们将天线碟对准在地球上方数万公里轨道运行的地球同步卫星，几乎立刻就开始拦截在太空中自由传输的私人数据。 “我们深感震惊，” 该研究的联合首席作者、加州大学圣地亚哥分校计算机科学教授亚伦・舒尔曼（Aaron Schulman）表示，“我们的一些关键基础设施依赖于这个卫星生态系统，我们原本以为所有数据传输都会经过加密。但一次又一次，每次发现新的传输内容，我们都发现它没有加密。” 安全漏洞的关键环节 安全漏洞的核心在于电信运营商连接偏远基站与核心网络的方式。位于沙漠、山区或近海区域的基站，会通过卫星而非光纤传输数据；而任何处于卫星覆盖范围内的人，都可能拦截这些数据。卫星的覆盖范围可达到地球表面积的 40%。 在三年的研究期间，研究人员收集了大量未受保护的通信数据，包括： T-Mobile 网络、AT&T 墨西哥公司及墨西哥电信公司（Telmex）用户的通话与短信 航班乘客的 WiFi 浏览数据 电力公司与石油平台的内部信息 美国和墨西哥军方系统的传输内容 暴露的信号中，包含美国海军舰船标识与网络数据、墨西哥军方情报报告、飞机维护日志，以及实时部队位置信息。 研究人员还检测到墨西哥国家电力公司（CFE，为约 5000 万用户提供服务）的未加密通信。这些传输内容包含用户信息、工作订单和安全报告。此外，部分美国工业控制系统也被发现通过卫星传输未加密的运行数据。 约翰斯・霍普金斯大学计算机科学教授马特・格林（Matt Green）参与了该研究的评审工作，他向《连线》杂志表示：“这太离谱了。这么多数据通过卫星传输，而任何人用一个天线就能接收，这简直不可思议”，“这篇论文或许能解决一小部分问题，但我认为整体情况不会有太大改变”。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发现黑客利用 Chakra JavaScript 引擎中的零日漏洞获取目标设备访问权限后，决定限制 Edge 浏览器中 “Internet Explorer（IE）模式” 的访问权限。 这家科技巨头未披露过多技术细节，但表示攻击者将 “社会工程学手段” 与 “Chakra 引擎漏洞利用” 相结合，实现了远程代码执行（Remote Code Execution，RCE）。 微软 Edge 安全团队负责人加雷斯・埃文斯表示：“Edge 安全团队近期收到情报显示，威胁攻击者正滥用 Edge 浏览器中的 IE 模式，非法访问毫无防备的用户设备。” 尽管 Internet Explorer 已于 2022 年 6 月 15 日终止支持，但微软 Edge 浏览器仍保留了 “IE 模式”—— 这一模式用于兼容部分仍在使用的老旧技术（如 ActiveX 控件、Flash 插件），此类技术常见于少量企业应用程序及政府门户网站。 今年 8 月，Edge 安全团队发现，攻击者会引导目标用户访问 “伪装成官方网站的虚假站点”，并通过页面中的交互元素，诱骗用户以 IE 模式加载该页面。 在利用 Chakra 引擎的零日漏洞后，攻击者会进一步利用第二个漏洞提升权限、突破浏览器沙箱限制，最终完全控制受害者设备。 埃文斯未提供被利用漏洞的标识信息，并明确表示 Chakra 引擎中的该零日漏洞尚未修复。 为降低风险，微软移除了 Edge 浏览器中 “便捷激活 IE 模式” 的方式，包括：专用工具栏按钮、右键上下文菜单选项、顶部 三点菜单中的入口。 现在，用户若需启用 IE 模式，必须手动导航至 “设置（Settings）> 默认浏览器（Default Browser）> 允许（Allow）”，并手动指定需要以 IE 模式加载的网页地址。 此次权限限制的核心目标，是让 “激活 IE 模式” 成为用户的主动、有意识操作；此外，通过 “仅允许列表内网站使用 IE 模式” 的机制，大幅增加攻击者通过该途径成功入侵的难度。 需要注意的是，这些限制不适用于商业用户—— 企业用户仍可通过 “企业策略配置” 正常使用 IE 模式。 不过微软仍提醒所有用户：应尽快从 Internet Explorer 的老旧网页技术迁移至现代产品。现代产品不仅安全性更高、稳定性更强，还具备更优的性能表现。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）报告称，一个新发现的僵尸网络采用 “霰弹枪式” 策略攻陷设备 —— 其搭载了超 50 个漏洞利用工具，目标涵盖路由器、服务器、摄像头及其他网络产品。 该僵尸网络被命名为RondoDox，于 2025 年年中开始活跃，最初与CVE-2023-1389 漏洞的利用相关。此漏洞是 TP-Link Archer AX21 路由器广域网（WAN）接口中的命令注入漏洞，最早在 2022 年多伦多 Pwn2Own 黑客大赛中被披露。 2025 年 6 月，研究人员发现 RondoDox 开始针对CVE-2024-3721和CVE-2024-12856 漏洞发起攻击 —— 这两个高严重性漏洞分别存在于 TBK 品牌硬盘录像机（DVR）和四信（Four-Faith）路由器中，此后该僵尸网络的攻击目标清单大幅扩展。 据趋势科技透露，目前 RondoDox 的攻击范围已覆盖来自30 余家厂商的设备，包括路由器、硬盘录像机（DVR）、网络录像机（NVR）、闭路电视（CCTV）系统、网页服务器及其他网络设备。 RondoDox 共针对56 个漏洞发起攻击，其中 18 个漏洞尚未分配 CVE 标识（CVE 是漏洞统一编号系统，未分配标识意味着漏洞可能未被广泛公开或记录）。这些漏洞中，绝大多数属于 “命令注入漏洞”（攻击者可通过注入恶意命令控制设备），且有部分漏洞已被纳入美国网络安全与基础设施安全局（CISA）的 “已知被利用漏洞清单”（KEV List）—— 这一清单的纳入，凸显了设备厂商及用户 “立即打补丁修复漏洞” 的紧迫性。 2025 年 9 月末，网络安全公司 CloudSek 发出警告：自 2025 年年中以来，RondoDox 的攻击频次激增230% 。促成这一增长的关键因素，是该僵尸网络对 “弱密码”“未过滤输入” 及 “老旧 CVE 漏洞” 的批量利用（老旧漏洞指已被公开但仍有大量设备未修复的漏洞）。 CloudSek 指出，被 RondoDox 感染的设备会被用于三类恶意活动：加密货币挖矿（占用设备算力获取非法收益）、分布式拒绝服务（DDoS）攻击（操控大量感染设备瘫痪目标网站或服务器），以及入侵企业内部网络（以感染设备为 “跳板”，渗透企业核心系统）。 研究还发现，RondoDox 的操控者会通过快速轮换基础设施（如更换控制服务器 IP、域名）的方式躲避检测；同时，RondoDox 的恶意程序文件（二进制文件）常与另外两种知名僵尸网络恶意程序 ——Mirai和Morte的载荷（Payload，即实现恶意功能的核心代码）捆绑分发。 趋势科技表示：“近期，RondoDox 进一步扩大了传播范围 —— 它利用‘加载器即服务’（Loader-as-a-Service）基础设施，将自身与 Mirai/Morte 的载荷打包分发。这种捆绑方式使得‘检测与清除恶意程序’的需求变得更加迫切。” RondoDox 的攻击目标架构涵盖ARM 架构、MIPS 架构及多种 Linux 系统架构（这些架构广泛应用于路由器、摄像头等嵌入式设备）。它能够通过发送 HTTP、UDP、TCP 数据包发起 DDoS 攻击，且会通过 “模拟知名游戏平台流量” 或 “伪装成 VPN 服务流量” 的方式，隐藏自身恶意通信行为，躲避安全系统的检测。 趋势科技强调：“此次 RondoDox 采用‘霰弹枪式’策略，针对 30 余家厂商的 50 余个漏洞发起攻击 —— 这一现象凸显了一个核心风险：对于那些‘将网络基础设施暴露在互联网中，且未采取充分安全管控措施’的机构而言，其面临的威胁始终存在且不容忽视。”   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 查明，三项分别针对思科与帕洛阿尔托网络防火墙、飞塔虚拟专用网络（VPN）的漏洞利用行动，其攻击 IP 均来自相同子网。 这家威胁情报公司最初于 9 月初发出警告，称监测到针对思科 ASA 设备（自适应安全设备，常用于防火墙与 VPN 功能）的扫描尝试 —— 而大约三周后，思科才披露了两个影响 “安全防火墙自适应安全设备（ASA）” 和 “安全防火墙威胁防御（FTD）” 软件的零日漏洞。 这两个漏洞的编号分别为CVE-2025-20333（CVSS 评分 9.9，属于极高风险）和CVE-2025-20362（CVSS 评分 6.5，属于中高风险），已被 “ArcaneDoor” 间谍行动利用。 上周，GreyNoise 又发布警告，指出针对帕洛阿尔托网络 “GlobalProtect”（全球保护，一款远程访问 VPN 解决方案）登录入口的扫描活动大幅增加，且参与该活动的 “唯一自治系统编号（ASN，用于标识互联网中的网络服务提供商或网络段）” 数量也显著上升。 该网络安全公司观察到，短短两天内，相关扫描活动激增 500%，攻击来源涉及约 1300 个独立 IP。随后几天，随着更多威胁者加入，参与攻击的独立 IP 数量迅速攀升至 2200 个。 在过去一周内，GreyNoise 监测到针对帕洛阿尔托网络防火墙的独立登录尝试超过 130 万次，并已公布该攻击行动中使用的凭证（用户名与密码组合）列表。 本周四，GreyNoise 进一步警告称：针对思科与帕洛阿尔托网络防火墙的扫描行动，其 IP 来源与针对飞塔 VPN 的暴力破解攻击 IP 同属相同子网 —— 这意味着三类攻击存在关联。 GreyNoise 表示：“飞塔 VPN 暴力破解尝试激增后，通常会在六周内出现飞塔 VPN 漏洞的披露。基于这些发现，建议阻断所有对飞塔 SSL VPN 发起暴力破解的 IP，并考虑加强防火墙与 VPN 设备的防御措施。” 事实上，GreyNoise 指出：针对知名厂商防火墙与 VPN 产品的攻击活动若出现激增，约 80% 的情况下，这都是一个早期预警信号 —— 意味着这些产品的新漏洞可能在未来六周内被披露。 此次针对思科、飞塔、帕洛阿尔托网络设备的三项攻击行动，存在三大关键关联特征：使用相同的 TCP 指纹（TCP 协议通信时的独特特征，可用于识别攻击工具或来源）、利用相同子网、在相似时间段内出现活动高峰。 GreyNoise 强调：“我们高度确信，这三项攻击行动至少在一定程度上由同一（或同一批）威胁者主导。” 目前，该公司已同步公布了飞塔 VPN 攻击行动中使用的凭证列表。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意 PyPI 包详情 网络安全研究人员已标记 Python 软件包索引（PyPI，Python Package Index）仓库中的一个恶意软件包。该包声称可提供创建 SOCKS5 代理服务的功能，同时暗藏类似后门的隐秘功能，能在 Windows 系统上投放额外有效负载（恶意代码）。 这个名为 “soopsocks” 的欺诈性软件包，在被下架前累计被下载 2653 次。它由一名名为 “soodalpie” 的用户于 2025 年 9 月 26 日首次上传，而该用户账号也正是在当天创建的。 JFrog（软件安全公司）在一份分析报告中表示：“该软件包在提供（代理）功能的同时，还表现出针对 Windows 平台的后门代理服务器行为，会通过 VBScript（Visual Basic 脚本）或可执行文件版本，以自动化方式完成安装流程。” 其中的可执行文件 “_AUTORUN.EXE” 是一个 Go 语言编译文件。除了包含宣传中提及的 SOCKS5 代理实现代码外，它还被设计用于运行 PowerShell 脚本、设置防火墙规则，并以提升后的权限重新启动自身。此外，该文件还会执行基础的系统与网络侦察操作，例如获取 Internet Explorer 浏览器的安全设置和 Windows 系统的安装日期，并将这些信息泄露至一个硬编码（固定写入代码中）的 Discord 网络钩子（webhook，用于接收外部数据的接口）。 进一步恶意行为分析 在 soopsocks 的 0.2.5 和 0.2.6 版本中，Python 包会启动一个名为 “_AUTORUN.VBS” 的 Visual Basic 脚本。该脚本同样能够运行 PowerShell 脚本，进而从外部域名 “install.soop [.] space:6969” 下载一个包含合法 Python 二进制文件的 ZIP 压缩包，并生成一个批处理脚本 —— 该批处理脚本被配置为通过 “pip install” 命令安装 soopsocks 包并运行它。 随后，PowerShell 脚本会调用这个批处理脚本，触发 Python 包的执行。接着，该 Python 包会（若尚未获取）提升自身权限至管理员级别，配置防火墙规则以允许通过 1080 端口进行 UDP 和 TCP 通信，将自身安装为系统服务，保持与 Discord 网络钩子的通信连接，并通过创建计划任务在主机上建立持久化机制，确保系统重启后能自动启动。 JFrog 指出：“从表面上看，soopsocks 是一个设计完善的 SOCKS5 代理，具备完整的 Windows 启动支持。但从其运行方式和执行的操作来看，存在明显的恶意行为特征 —— 例如修改防火墙规则、获取高权限、执行各类 PowerShell 命令，以及从简单的可配置 Python 脚本，逐步演变为包含硬编码参数的 Go 语言可执行文件，且该版本还具备向预设 Discord 网络钩子发送侦察数据的能力。” 相关行业安全动态 此次恶意包披露之际，据 Socket（软件供应链安全公司）消息，npm（JavaScript 包管理平台）的包维护者正就一系列问题表达担忧，包括：GitHub 为应对日益增多的软件供应链攻击而推出大规模变更后，npm 缺乏原生的 CI/CD（持续集成 / 持续部署）双因素认证（2FA）流程、受信任发布的自托管工作流支持不足，以及令牌管理机制不完善等。 本周早些时候，GitHub 宣布将很快吊销 npm 发布者的所有旧版令牌，并规定所有 npm 精细化访问令牌的默认有效期将从 30 天缩短至 7 天，最长有效期为 90 天 —— 而此前这类令牌的有效期是无限制的。 GitHub 表示：“长期有效的令牌是供应链攻击的主要攻击向量。当令牌被盗用时，较短的有效期能缩小暴露窗口，降低潜在危害。这一变更使 npm 与业内已普遍采用的安全最佳实践保持一致。” 与此同时，Socket 公司还发布了一款名为 “Socket Firewall” 的免费工具。该工具可在安装阶段拦截 npm、Python 和 Rust 生态系统中的恶意包，帮助开发者保护其开发环境免受潜在威胁。 该公司补充道：“Socket Firewall 不仅能保护用户免受有问题的顶级依赖包（直接引入的依赖）影响，还能阻止包管理器获取任何已知含恶意的传递依赖包（由顶级依赖包间接引入的依赖）。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SonicWall 公司周三披露，未经授权的第三方访问了所有使用其云备份服务的客户的防火墙配置备份文件。 该公司表示：”这些文件包含加密的凭证和配置数据；虽然加密仍保持有效，但持有这些文件可能会增加遭受定向攻击的风险。” 该公司还指出，正在着手通知所有合作伙伴和客户，并已发布工具协助进行设备评估和补救。同时，公司也在敦促用户登录系统检查自己的设备状况。 几周前，SonicWall 曾因 MySonicWall 账户遭遇安全漏洞导致防火墙配置备份文件泄露，而敦促客户重置凭证。此次事件正是在这之后发生的。 MySonicWall 门户上提供的受影响设备列表已被分配优先级，以帮助客户确定补救工作的先后顺序。标签分类如下： 活跃 – 高优先级：启用了面向互联网服务的设备 活跃 – 低优先级：未启用面向互联网服务的设备 不活跃：90 天内未与服务器通信的设备 最新的事后分析与该公司最初的评估大相径庭。起初，该公司声称威胁行为体仅访问了不到 5% 客户存储在云端的防火墙偏好备份文件。公司当时还表示，虽然这些文件中的凭证已加密，但其中包含 “可能使攻击者更容易潜在利用相关防火墙的信息”。 目前尚不清楚有多少客户使用该云备份服务。SonicWall 尚未透露攻击何时开始，也未指明幕后黑手是谁。不过，该公司表示，此后已 “加固” 了其基础设施，增加了额外的日志记录，并引入了更强的身份验证控制，以防止类似事件再次发生。 建议用户立即采取以下步骤： 登录MySonicWall.com账户，验证已注册的防火墙是否存在云备份 如果相关字段为空，则不受影响 如果字段包含备份详情，验证受影响的序列号是否在账户中列出 如果显示了序列号，用户应按照所列防火墙的遏制和补救指南操作 SonicWall 表示，如果客户使用了云备份功能，但未显示序列号或仅显示部分已注册序列号，公司将在未来几天提供额外指导。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正提醒公众警惕一场针对 WordPress 网站的恶意攻击活动：攻击者通过注入恶意 JavaScript 代码，将网站访客重定向至可疑站点。 网站安全公司 Sucuri 的研究员普贾・斯里瓦斯塔瓦在上周发布的分析报告中指出：“访客会被注入‘无交互感染型恶意软件’（drive-by malware），例如伪装成 Cloudflare 验证页面的恶意内容。” 该公司表示，其启动调查的起因是一位客户的 WordPress 网站向访客推送了可疑的第三方 JavaScript 代码。最终调查发现，攻击者对网站主题相关文件 “functions.php” 进行了恶意篡改。 注入 “functions.php” 的代码中包含谷歌广告（Google Ads）的引用，此举很可能是为了规避检测。但实际上，这段代码相当于一个 “远程加载器”，会向域名 “brazilc [.] com” 发送 HTTP POST 请求，而该域名会返回一个包含两个组件的动态载荷： 一个托管在远程服务器 “porsasystem [.] com” 上的 JavaScript 文件（截至发稿时，已有 17 个网站引用过该文件），其中包含实现网站重定向的代码； 一段 JavaScript 代码，用于创建一个 1×1 像素的隐藏 iframe（内嵌框架），并在框架中注入模仿 Cloudflare 合法资源的代码，例如 “cdn-cgi/challenge-platform/scripts/jsd/main.js”—— 该 API 是 Cloudflare 机器人检测与验证平台的核心组件。 数字取证与事件响应（DFIR）外包服务 值得注意的是，域名 “porsasystem [.] com” 已被标记为 “Kongtuke” 流量分发系统（TDS）的一部分。该系统还有多个别名，包括 404 TDS、Chaya_002、LandUpdate808 和 TAG-124。 根据 2025 年 9 月 19 日 Mastodon 平台上名为 “monitorsg” 的账号分享的信息，该攻击感染链的流程如下：用户访问已被入侵的网站后，会触发 “porsasystem [.] com/6m9x.js” 的执行，随后跳转至 “porsasystem [.] com/js.php”，最终将受害者引导至 ClickFix 风格的页面，以分发恶意软件。 上述发现凸显了保护 WordPress 网站的必要性，具体措施包括：确保插件、主题及网站软件保持最新版本；设置强密码；定期扫描网站以检测异常情况；警惕未经授权创建的管理员账号（此类账号常被用于在恶意软件被检测和清除后，仍能维持对网站的持久控制）。 利用 IUAM ClickFix 生成器创建 ClickFix 页面 与此同时，帕洛阿尔托网络公司（Palo Alto Networks）的 Unit 42 团队披露了一款名为 “IUAM ClickFix 生成器” 的钓鱼工具包。攻击者可借助该工具包，利用 ClickFix 社会工程学技术感染用户设备，并通过模仿 “浏览器验证挑战”（常用于拦截自动化流量）创建可自定义的钓鱼着陆页。 安全研究员阿米尔・埃尔萨德表示：“这款工具能让威胁行为者创建高度可定制的钓鱼页面，这些页面会模仿内容分发网络（CDN）和云安全服务商常用的‘浏览器验证挑战响应界面’（用于防御自动化威胁）。这种伪造的界面设计得足以让受害者信以为真，从而提升钓鱼诱饵的成功率。” 这类定制化钓鱼页面还具备剪贴板操控功能 —— 这是 ClickFix 攻击中的关键步骤；同时能检测用户使用的操作系统，以便针对性地调整感染流程，并推送兼容的恶意软件。 目前已发现至少两起案例：威胁行为者利用该工具包生成的页面，部署了 DeerStealer 和 Odyssey Stealer 等信息窃取恶意软件，其中 Odyssey Stealer 专门针对苹果 macOS 系统设计。 IUAM ClickFix 生成器的出现，印证了此前微软发布的一则预警：自 2024 年底起，地下论坛中商用 ClickFix 构建工具的数量持续增加。另一款集成了类似功能的知名钓鱼工具包是 “Impact Solutions”。 微软在 2025 年 8 月曾指出：“这些工具包支持创建包含多种诱饵的着陆页，其中就包括伪装成 Cloudflare 的页面；还能生成恶意命令，诱骗用户将其粘贴到 Windows‘运行’对话框中。工具包开发商声称可保证绕过杀毒软件和网页防护（部分甚至宣称能绕过微软 Defender SmartScreen），并能确保载荷的持久化运行。” 毋庸置疑，这类工具进一步降低了网络犯罪的门槛，使得攻击者无需具备深厚技术知识或投入大量精力，就能发起规模化、复杂的跨平台攻击。 借助缓存走私技术，ClickFix 攻击更具隐蔽性 此前研究人员还发现了一场新型攻击活动：该活动对 ClickFix 攻击模式进行了创新，采用了一种名为 “缓存走私”（cache smuggling）的隐蔽技术，无需在目标主机上显式下载任何恶意文件，就能规避检测。 Expel 公司首席威胁研究员马库斯・哈钦斯表示：“这场攻击活动与以往的 ClickFix 变种不同，其恶意脚本不会下载任何文件，也不会与互联网进行通信。实现这一点的关键，是利用浏览器缓存将任意数据预先存储到用户设备上。” 互联网安全中心（CIS）构建工具包 该网络安全公司记录的这场攻击中，ClickFix 风格的钓鱼页面伪装成 “Fortinet VPN 合规检查器”，并采用 “FileFix 战术” 欺骗用户：诱使用户打开 Windows 文件资源管理器，然后将恶意命令粘贴到地址栏中，最终触发恶意载荷的执行。 这段隐藏的恶意命令会通过 conhost.exe 程序运行一个 PowerShell 脚本。该脚本的特别之处在于，它不会下载任何额外的恶意软件，也不会与攻击者控制的服务器通信。相反，它会执行一段伪装成 JPEG 图片的混淆载荷 —— 而这段载荷在用户访问钓鱼页面时，就已被浏览器缓存到本地。 哈钦斯解释道：“无论是网页本身还是 PowerShell 脚本，都没有显式下载任何文件。只需让浏览器缓存这个伪造的‘图片’，恶意软件就能将整个压缩文件植入本地系统，而无需通过 PowerShell 命令发起任何网络请求。” “这种技术的潜在影响令人担忧：缓存走私可能成为一种规避防护的手段 —— 原本用于检测‘恶意文件下载与执行’的防护机制，将无法识别此类攻击。表面上下载的是一个看似无害的‘image/jpeg’文件，但实际上其内容会被提取，并通过隐藏在 ClickFix 钓鱼诱饵中的 PowerShell 命令执行。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大的两大游戏平台 ——Steam 与Riot Games出现大范围故障，相关报告已在故障监测平台 Downdetector 上大量涌现。玩家反映，无法正常运行《反恐精英》（Counter-Strike）、《DOTA2》、《无畏契约》（Valorant）、《英雄联盟》（League of Legends）等热门游戏。 故障报告于美国东部时间 10 月 6 日晚 8 点左右开始激增，数千名用户反馈出现服务器断连问题。此后，这类短暂的服务中断已反复发生多次。 Riot Games的官方状态页面已确认，当前存在严重的游戏断连问题，影响覆盖 Windows、macOS、iOS、Android 等所有主流平台的玩家。该页面发布的预警信息显示：“我们已注意到导致玩家从游戏中断连的问题，目前已关闭排位赛队列，正在全力调查原因。” 故障范围扩散，非游戏平台亦受波及 此次故障似乎还影响了其他主流平台，其中不乏非游戏类服务。平台收到的故障报告数量远超往常，涉及 PlayStation 网络（PlayStation Network）、Epic Games（ Epic 游戏平台）、Hulu（视频流媒体平台）、亚马逊云服务（AWS）、Xfinity（康卡斯特通信公司）、Cox（考克斯通信公司）等多家服务商。 有用户在社交平台发文称：“网络彻底乱了：Steam 崩了、Epic Games 崩了、AWS 崩了、Cloudflare（云 flare 网络服务公司）也不稳定了。如果你在不停刷新页面，别担心，不止你一个人这样。” 疑似大规模 DDoS 攻击，流量创历史纪录 尽管官方尚未正式确认，但多位网络安全专家认为，此次服务中断是由大规模 DDoS 攻击导致，而发起者疑似当前规模最大的僵尸网络 “Aisuru”。 Reddit 平台上援引了某网络安全防御人员的预警内容：“攻击者发起了一系列复杂的 TCP‘地毯式轰炸’攻击，这类攻击会尽可能模仿合法流量特征。这是我们见过的技术最先进的攻击向量之一，我们已迅速研发补丁并在全球范围推送。” 网络犯罪新闻记者 vxdb 在 X 平台（原 Twitter）报道称，此次 DDoS 攻击疑似源自 “Aisuru” 僵尸网络，其产生的流量已打破所有此前纪录 —— 带宽峰值达到 29.69 太比特 / 秒（Tbps）。 此前的 DDoS 攻击流量纪录为 22.2 太比特 / 秒，该纪录由 2025 年 9 月 23 日 Cloudflare 公司拦截的一次攻击创下，当时其流量规模已是此前全球已知攻击的两倍。 “Aisuru” 僵尸网络背景：规模持续扩张，攻击范围覆盖全球 “Aisuru” 僵尸网络由 XLab 研究人员于 2024 年 8 月首次发现，此后规模不断扩大，并多次打破攻击流量纪录。2025 年 5 月，该僵尸网络曾以 6.3 太比特 / 秒的速率攻击网络安全博客 “KrebsOnSecurity”；同年 9 月，其攻击流量峰值进一步攀升至 11.5 太比特 / 秒。 据 XLab 介绍，这个超大型僵尸网络通过入侵存在漏洞的联网设备进行扩散，受影响设备包括 A-MTK 摄像头、D-Link 路由器、Linksys 路由器、网关设备、数字录像机（DVR）等。最新估算数据显示，该僵尸网络已控制约 30 万个节点（即被入侵的设备）。 研究人员还指出，“Aisuru” 的操控者组织性极强，会采用先进技术规避检测、维持对受感染设备的控制，同时还试图传播特定意识形态内容。 XLab 警告称：“‘Aisuru’僵尸网络已在全球范围内发起攻击，覆盖多个行业。其主要攻击目标集中在中国、美国、德国、英国、中国香港等国家和地区。这些攻击没有明显的选择性，每天都会波及数百个目标。” 此外，这一大型网络犯罪基础设施目前似乎还被用于提供代理服务。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文