HackerNews 编译，转载请注明出处： TeamPCP黑客组织持续发动供应链攻击，现已入侵广受欢迎的Python库”LiteLLM”，并声称在攻击期间从数十万台设备窃取数据。 LiteLLM是一款开源Python库，作为统一API网关对接多个大语言模型（LLM）提供商。该包极为热门，日均下载量超340万次，过去一个月下载量超9500万次。 据Endor Labs研究，威胁行为体入侵该项目后，今日向PyPI发布了LiteLLM 1.82.7和1.82.8的恶意版本，部署信息窃取程序收集各类敏感数据。 此次攻击由TeamPCP认领，该组织此前高调入侵了Aqua Security的Trivy漏洞扫描器。那次入侵引发连锁反应，波及Aqua Security Docker镜像、Checkmarx KICS项目，如今又轮到LiteLLM。 该组织还被发现利用恶意脚本攻击Kubernetes集群——当检测到伊朗配置的系统时擦除所有机器，在其他地区设备上则安装新型CanisterWorm后门。 消息人士告诉BleepingComputer，数据外泄数量约50万条，其中大量为重复记录。VX-Underground报告的”感染设备”数量相近。但BleepingComputer未能独立核实这些数字。 LiteLLM供应链攻击详情 Endor Labs报告称，威胁行为体今日推送了两个恶意版本，均在包导入时执行隐藏载荷。 恶意代码以base64编码形式注入’litellm/proxy/proxy_server.py’文件，模块导入时即解码执行。1.82.8版本更进一步，向Python环境安装名为’litellm_init.pth’的.pth文件。由于Python解释器启动时会自动处理所有.pth文件，即使不专门使用LiteLLM，恶意代码也会在Python运行时执行。 执行后，载荷最终部署”TeamPCP Cloud Stealer”变种及持久化脚本。BleepingComputer分析显示，该载荷与Trivy供应链攻击中使用的凭证窃取逻辑几乎相同。 Endor Labs解释：”载荷触发后执行三阶段攻击：收集凭证（SSH密钥、云令牌、Kubernetes密钥、加密钱包和.env文件），尝试通过向每个节点部署特权Pod在Kubernetes集群内横向移动，并安装持久化systemd后门以轮询额外二进制文件。外泄数据经加密后发送至攻击者控制的域名。” 窃取范围 该窃取程序收集广泛的凭证和认证密钥，包括： 系统侦察：运行hostname、pwd、whoami、uname -a、ip addr、printenv命令 SSH密钥和配置文件 AWS、GCP、Azure云凭证 Kubernetes服务账户令牌和集群密钥 .env等环境文件 数据库凭证和配置文件 TLS私钥和CI/CD密钥 加密货币钱包数据 云窃取载荷还包含额外的base64编码脚本，伪装为”System Telemetry Service”安装为systemd用户服务，定期连接checkmarx[.]zone远程服务器下载执行额外载荷。 窃取数据打包为名为tpcp.tar.gz的加密档案，发送至攻击者控制的infrastructure models.litellm[.]cloud。 如怀疑已遭入侵，应将受影响系统上的所有凭证视为已暴露并立即轮换。 BleepingComputer多次报道过因企业未及时轮换先前泄露中发现的凭证、密钥和认证令牌而引发的入侵事件。研究人员和威胁行为体均告诉BleepingComputer，虽然轮换密钥困难，但这是防止连锁供应链攻击的最佳手段之一。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 漏洞赏金平台HackerOne正在通知数百名员工，其个人数据在第三方美国福利管理商Navia遭黑客入侵后被窃取。 HackerOne管理着超过1950个漏洞赏金项目，为通用汽车、高盛、Anthropic、GitHub、Uber等知名企业，以及美国国防部等政府机构提供漏洞披露、渗透测试和代码安全服务。 Navia是美国领先的消费者导向福利管理商，服务超过1万家雇主。 在向缅因州总检察长办公室提交的申报文件中，HackerOne披露此次数据泄露影响了287名员工。 “据我们目前掌握的信息，由于存在对象级授权失效（BOLA）漏洞，未知行为体于2025年12月22日至2026年1月15日期间访问了Navia数据，”该公司表示。”2026年1月23日，Navia发现其环境中存在可疑活动。Navia于2月20日向受影响公司发送了通知函。” 泄露信息包括：社会安全号码、姓名、地址、电话、出生日期、邮箱地址、参保日期、生效日期及终止日期——涵盖每位受影响员工及其家属。 HackerOne建议受影响员工警惕可疑信息，监控财务账户异常活动，并使用Navia提供的12个月免费身份保护和信用监控服务。”如果密码或密码提示/安全问题涉及上述个人数据，建议一并更改，”公司补充道。 Navia本月早些时候披露事件时强调，数据泄露未影响受影响个人的理赔或财务信息。 然而，泄露的数据足以让威胁行为体对事件受害者发起钓鱼和社交工程攻击。 尽管Navia将此事件标记为数据窃取攻击，但目前尚无网络犯罪团伙或勒索软件组织宣称对此次入侵负责。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰政府官员周二表示，2025年该国遭受的网络攻击数量是前一年的2.5倍，且仍在持续上升。 这些攻击包括去年12月对波兰能源系统的破坏性渗透，据信这在北约和欧盟成员国中尚属首次，疑似源自俄罗斯。 波兰数字事务部副部长帕维尔·奥尔谢夫斯基周二透露，过去一年波兰共遭遇27万次网络攻击。 “多年来我们一直在网络空间作战，”该官员表示，”事件和攻击数量每年都在显著且急剧增加。” 自2022年2月24日俄罗斯全面入侵乌克兰以来，图斯克总理领导的政府已加强网络防御，以应对来自俄罗斯的日益增长的威胁。 能源系统遇袭 去年12月29日午后，协同网络攻击袭击了为近50万用户供热的联合热电厂，以及波兰多个风电和太阳能发电场。 波兰当局怀疑这些攻击由单一”威胁行为体”实施，多名专家指向与俄罗斯情报部门关联的幕后黑手。 电力供应未受中断，但破坏性质令波兰当局高度警觉。波兰计算机应急响应小组（CERT Polska）于1月底发布公开报告，披露事件技术细节，并向网络安全界征集线索。 “这次攻击是重大升级，”CERT负责人马尔钦·杜德克告诉美联社。 “过去我们也遇到过类似事件，但都是勒索软件类型，攻击者动机是经济利益，”杜德克说，”而这次没有经济动机——动机纯粹是破坏。” 他表示，波兰过去仅发生过少数破坏性事件，且均不涉及能源部门。 杜德克称，据他所知，北约或欧盟国家的能源部门此前尚未遭受过破坏性网络攻击。虽存在间谍事件和活动组织造成的轻微破坏，但像12月波兰事件这样的”高级攻击”可能尚属首次。 若攻击目标是更大规模的能源设施，可能严重影响波兰电网稳定，杜德克指出。 波兰情报部门尚未公开指认疑似幕后黑手。 杜德克的团队仅获授权描述作案手法并指向可能的”威胁行为体”——网络安全术语中指从事恶意活动的个人或团体。 Dragonfly还是Sandworm CERT分析研究了波兰攻击中使用的互联网基础设施，包括域名和IP地址，发现其此前曾被名为”Dragonfly”（又称”Static Tundra”或”Berserk Bear”）的俄罗斯威胁行为体使用。 杜德克表示，Dragonfly已知以能源部门为目标，但此前未发动过破坏性攻击。 根据美国FBI 2025年8月发布的警报，Dragonfly是与俄罗斯联邦安全局（FSB）关键单位Center 16关联的网络安全集群。 与波兰当局无关的专家一致认为，12月攻击的线索指向俄罗斯。 欧盟最大网络安全公司之一ESET分析了攻击中使用的恶意软件，得出结论认为幕后黑手可能是”Sandworm”——另一个可能与俄罗斯关联的行为体，此前曾参与乌克兰的破坏性攻击。 美国政府过去曾将Sandworm归因于俄罗斯联邦武装力量总参谋部情报总局（GRU）。 ESET高级恶意软件研究员安东·切列帕诺夫告诉美联社：”使用数据擦除恶意软件及其部署方式，都是Sandworm常用的技术手段。” “据我们所知，近期没有其他活跃威胁行为体在对欧盟国家的攻击中使用过数据擦除恶意软件，”切列帕诺夫补充道。 无论是Dragonfly还是Sandworm，都是此前与俄罗斯有关联的行为体。”是这批俄罗斯人还是那批俄罗斯人，只是细节问题，”切列帕诺夫说。 俄罗斯驻华沙大使馆未回应置评请求。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰财政部披露，3月19日检测到一起网络攻击，部分员工受到影响，目前调查仍在进行中。 该部门在第三方发出警报后发现攻击，入侵者突破了一些内部系统，”部分员工”的工作受到影响。 当局仍在调查事件详情及全部影响范围。 荷兰财政部在声明中表示：“3月19日周四，财政部ICT安全部门检测到政策部门若干核心流程的系统遭到未授权访问。接到警报后，我们立即启动调查，并于今日封锁了这些系统的访问权限。这影响了部分员工的正常工作。” 该部强调，面向公民和企业的服务未受影响：”税务海关总署、海关及福利部门提供的服务均未受到影响。” 荷兰财政部未披露攻击的技术细节，目前尚无网络犯罪团伙宣称对此次攻击负责。 2024年10月，荷兰警方曾将一起泄露警员联系方式的数据泄露事件归咎于国家支持的行为体。该事件发生于2024年9月26日，警方已向数据保护局报告。攻击者入侵警方系统，获取了多名警员的工作联系方式，包括姓名、邮箱、电话及部分私人信息。荷兰情报机构认为，国家行为体幕后操控的可能性极高。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 半导体服务企业Trio-Tech International披露，其位于新加坡的子公司遭到勒索软件攻击。 该公司在向美国证券交易委员会（SEC）提交的文件中表示，事件发生于3月11日，导致其网络内部分文件被加密。 Trio-Tech称，该子公司立即启动应急响应程序，主动将系统下线以控制事态蔓延。此外，子公司还在第三方网络安全专家协助下展开调查，并通知了执法部门。 “该子公司正采取措施控制事件、恢复受影响系统，并加强整个网络环境的监控。同时正在按适用法律要求通知受影响方，”公司在文件中写道。 Trio-Tech最初认为该事件不会造成重大影响，但攻击者随后公布了从其网络窃取的部分数据，”管理层因此认定该事件可能构成重大网络安全事件”。 公司表示调查仍在进行中，尚未确定可能受影响数据的全部范围。”该子公司还在与其网络保险提供商密切合作，以支持调查、修复及潜在的理赔流程，”Trio-Tech补充道。 公司未透露攻击者身份细节，但Gunra勒索软件团伙已在其Tor泄露网站上将Trio-Tech列入受害者名单。 SecurityWeek已向Trio-Tech发送邮件，寻求关于攻击者声明的更多信息，如获回复将更新本文。 总部位于加州的Trio-Tech International提供半导体后端解决方案（SBS），包括制造、测试和分销服务，以及工业电子设备。该公司在美国、中国、马来西亚、新加坡和泰国均设有办事处。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trivy，这款由 Aqua Security 维护的热门开源漏洞扫描器，在短短一个月内再次遭到攻击，被用于传播恶意软件以窃取敏感的 CI/CD 机密信息。 最新这次事件影响了 GitHub Actions 中的 “aquasecurity/trivy – action” 和 “aquasecurity/setup – trivy”。其中，“aquasecurity/trivy – action” 用于扫描 Docker 容器镜像中的漏洞，而 “aquasecurity/setup – trivy” 则用于使用特定版本的扫描器设置 GitHub Actions 工作流程。 Socket 安全研究员 Philipp Burckhardt 表示：“我们发现，攻击者对 aquasecurity/trivy – action 存储库中的 76 个版本标签中的 75 个进行了强制推送。该存储库是用于在 CI/CD 管道中运行 Trivy 漏洞扫描的官方 GitHub Action。这些标签被修改以提供恶意有效载荷，实际上将受信任的版本引用变成了信息窃取程序的分发机制。” 该有效载荷会在 GitHub Actions 运行器内执行，目的是从 CI/CD 环境中提取有价值的开发者机密，如 SSH 密钥、云服务提供商的凭证、数据库信息、Git 信息、Docker 配置、Kubernetes 令牌以及加密货币钱包信息等。 这是涉及 Trivy 的第二起供应链事件。在 2026 年 2 月底到 3 月初，一个名为 hackerbot – claw 的自动机器人利用 “pull_request_target” 工作流程窃取了个人访问令牌（PAT），随后该令牌被用于控制 GitHub 存储库，删除了多个发布版本，并将其 Visual Studio Code（VS Code）扩展的两个恶意版本推送到 Open VSX。 安全研究员 Paul McCarty 在 “aquasecurity/trivy”GitHub 存储库发布了一个新的受感染版本（0.69.4 版）后，首先发现了入侵迹象。该恶意版本随后已被删除。据 Wiz 称，0.69.4 版本会同时启动合法的 Trivy 服务和负责一系列任务的恶意代码： 通过扫描系统中的环境变量和凭证进行数据窃取，加密数据，并通过 HTTP POST 请求将其泄露到 scan.aquasecurtiy [.] org。 在确认运行在开发者机器上后，通过使用 systemd 服务设置持久性。该 systemd 服务被配置为运行一个 Python 脚本（“sysmon.py”），该脚本会轮询外部服务器以检索有效载荷并执行。 Aqua Security 开源副总裁 Itay Shakury 在一份声明中表示，攻击者滥用了一个被泄露的凭证来发布恶意的 trivy、trivy – action 和 setup – trivy 版本。就 “aquasecurity/trivy – action” 而言，攻击者强制推送了 75 个版本标签，使其指向包含 Python 信息窃取有效载荷的恶意提交，而没有像标准做法那样创建新的版本发布或推送到分支。同样，“aquasecurity/setup – trivy” 的 7 个标签也被以相同方式强制推送。 Burckhardt 告诉《黑客新闻》：“在这种情况下，攻击者无需利用 Git 本身的漏洞。他们拥有具有足够权限的有效凭证来推送代码和重写标签，这就是我们所看到的标签中毒得以实现的原因。目前尚不清楚在这一特定步骤中使用的确切凭证（例如维护者的 PAT 还是自动化令牌），但根本原因现已明确是早期事件遗留的凭证泄露问题。” 这家安全供应商也承认，最新的攻击源于对 hackerbot – claw 事件的不完全遏制。Shakury 说：“我们轮换了机密和令牌，但这个过程不是原子性的，攻击者可能知晓了新刷新的令牌。我们现在正在采取更严格的方法，锁定所有自动化操作和任何令牌，以彻底消除该问题。” 该窃取程序分三个阶段运行：从运行器进程内存和文件系统中收集环境变量，加密数据，然后将其泄露到攻击者控制的服务器（“scan.aquasecurtiy [.] org”）。 如果数据泄露尝试失败，受害者自己的 GitHub 账户会被滥用，利用捕获的 INPUT_GITHUB_PAT（这是 GitHub Actions 中用于通过 GitHub PAT 进行 GitHub API 身份验证的环境变量），将窃取的数据存储在一个名为 “tpcp – docs” 的公共存储库中。 目前尚不清楚此次攻击的幕后黑手是谁，不过有迹象表明，被称为 TeamPCP 的威胁行为者可能与此有关。这一判断基于以下事实：该凭证窃取程序在源代码中自称是 “TeamPCP Cloud stealer”。该组织也被称为 DeadCatx3、PCPcat、PersyPCP、ShellForce 和 CipherForce，以作为一个云原生网络犯罪平台而闻名，其目的是入侵现代云基础设施，以便进行数据盗窃和勒索。 Socket 表示：“此有效载荷中的凭证目标与该组织更广泛的云原生盗窃和货币化特征相符。对 Solana 验证器密钥对和加密货币钱包的高度关注，虽然较少被记录为 TeamPCP 的标志，但与该组织已知的财务动机相符。这种自我标识可能是一种误导，但与 TeamPCP 先前工具的技术重叠使得这种归因具有一定合理性。” 建议用户确保使用以下最新的安全版本： trivy 0.69.3 trivy – action 0.35.0 setup – trivy 0.2.6 Shakury 说：“如果您怀疑自己运行的是受感染版本，请将所有管道机密视为已泄露并立即轮换。” 其他缓解措施包括在网络层面阻止数据泄露域及其关联的 IP 地址（45.148.10 [.] 212），并检查 GitHub 账户中是否有名为 “tpcp – docs” 的存储库，这可能表明通过备用机制成功进行了数据泄露。 Wiz 研究员 Rami McCarthy 说：“将 GitHub Actions 固定到完整的 SHA 哈希值，而不是版本标签。正如这次攻击所展示的，版本标签可以被移动以指向恶意提交。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周五，美国机器人手术巨头直觉外科（Intuitive）称其遭遇网络攻击，导致数据泄露。直觉外科致力于研发、制造并销售用于微创手术的机器人产品，比如达芬奇手术系统和艾昂（Ion）腔内系统。 据该公司称，此次事件源于一起 “有针对性的网络安全钓鱼事件”，致使某些内部商业应用程序被未经授权访问。公司方面表示：“发现问题后，我们迅速启动了事件响应预案，并对所有受影响的应用程序进行了安全处理。” 攻击者利用被盯上的员工对内部商业管理网络的访问权限，获取了客户业务及联系信息、员工信息和公司数据。 根据直觉外科发布的事件通知，此次攻击并未影响其运营，也未影响其为客户提供支持的能力。 为人工智能代理设置防护措施 该公司还称：“我们的机器人系统拥有独立的安全协议，与内部商业网络分开运行。” 同时指出，攻击者并未进入支持其制造业务以及达芬奇和艾昂平台及数字产品的网络，这些网络与内部信息技术商业应用网络相互独立。 直觉外科表示：“医院客户网络与直觉外科网络相互独立，由客户的信息技术团队进行安全保护和管理，因此也未受影响。” 该公司称，此次事件对其业务或财务状况不应产生重大影响，目前攻击已得到全面控制，且已通知相关的数据隐私监管机构。 不过，直觉外科并未透露攻击的时间线、攻击者是谁，以及可能有多少人受到数据泄露的影响。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Sophos 研究人员称，ClickFix 攻击活动正在演变，攻击者越来越多地将目标对准 macOS 用户，并部署更高级的信息窃取程序。 ClickFix 是一种不断发展的社会工程技术，诱骗用户手动执行恶意命令，从而绕过传统防护措施。它最初主要针对 Windows 系统，如今正越来越多地影响 macOS 系统，近期的攻击活动部署了诸如 AMOS 和 MacSync 之类的信息窃取程序。研究人员指出，这种策略演变可能是防御措施以及更广泛技术趋势共同作用的结果。 Sophos 研究人员分析了三次针对 macOS 用户、使用 MacSync 信息窃取程序的 ClickFix 攻击活动。 2025 年 11 月，攻击者依赖相对 “经典” 的 ClickFix 技术。搜索与 ChatGPT 相关工具的受害者会被恶意的谷歌推广链接引诱，这些链接指向假冒的 OpenAI/ChatGPT 页面。这些页面指示用户复制并执行经过混淆的终端命令，最终下载并运行 MacSync 信息窃取程序。这种方法简单直接却很有效，主要依靠用户的信任和欺骗手段。 Sophos 发布的报告称：“请注意上述终端命令，解密后，它会从威胁行为者控制的网站下载并执行一个 Bash 脚本。该脚本会请求用户密码，然后获取并以用户级权限运行一个恶意 MachO 二进制文件（即 MacSync 信息窃取程序）。” 到 2025 年 12 月，这些攻击活动在传播和规避策略方面明显变得更加高级。攻击者不再直接将用户重定向到虚假下载站点，而是利用 ChatGPT 的合法共享对话来建立可信度。这些页面随后导向模仿 GitHub 风格的虚假界面，模拟合法的安装流程，诱使用户运行恶意命令。这种技术有助于绕过 macOS 的防护机制，如 Gatekeeper 和 XProtect。 报告继续指出：“ChatGPT 对话看似是诸如‘如何清理你的 Mac’或安装工具的实用指南，但却将受害者重定向到恶意的 GitHub 风格登录页面，这些页面又使用虚假的 GitHub 风格安装界面诱骗用户运行恶意终端命令（攻击链中的 ClickFix 部分）。这可能会绕过 macOS 的安全控制，如 Gatekeeper 和 XProtect。” 与此同时，攻击者引入了复杂的跟踪基础设施，包括基于 JavaScript 的分析、IP 和地理位置记录，以及通过 Telegram 机器人进行实时报告。这使他们能够监控攻击活动的效果，在多个域名上，用户交互达到了数万次。 到 2026 年 2 月，该攻击活动已演变成一种更为高级且隐蔽的威胁。虽然在初始阶段仍依赖用户交互，但有效载荷的交付已转变为多阶段的 “加载器即服务” 模式。恶意软件不再使用简单的二进制文件，而是采用经过混淆的 Shell 脚本、受 API 密钥保护的命令与控制基础设施，以及在内存中执行的动态 AppleScript 有效载荷。这些改进显著提高了对静态和行为检测的规避能力。 最新版本的 MacSync 会进行广泛的数据收集，目标包括浏览器数据、凭证、文件、SSH 密钥、云配置以及加密货币钱包。它还具备诸如分块数据渗出、持久化机制和反分析技术等高级功能。值得注意的是，它可以通过注入恶意代码来篡改 Ledger 钱包应用程序，从而窃取种子短语，使攻击者能够直接窃取加密货币资产。 总体而言，这些攻击活动表明，攻击者已从相对简单的社会工程攻击转向高度模块化、隐蔽且以数据为重点的操作，这既反映了对防御措施的适应，也体现了攻击者技术的日益成熟。 报告总结道：“这三次攻击活动展示了多种策略，以及对传统 ClickFix 模型的一些改变。尽管这三次攻击活动都在某种程度上利用了与生成式人工智能（GenAI）相关的诱饵，但从模仿知名合法公司的恶意网站转向 ChatGPT 共享对话，代表了社会工程学方面一个有趣的转变。在此，威胁行为者利用了两件可能对他们有利的事情：在受信任的域名上托管恶意内容（第一次攻击活动也采用了这一手段），以及利用 ChatGPT 对话相对新颖这一点。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文电子商务套件（Oracle E – Business Suite，简称 EBS）遭黑客攻击事件中，几家被列为受害者的全球巨头，对这一网络安全事件所造成的影响仍未作声。 Cl0p 勒索软件和敲诈团伙宣称对此次针对 EBS 用户的黑客攻击负责。此次攻击利用零日漏洞，获取企业存储在甲骨文企业管理软件中的数据，进而实施敲诈勒索。 尽管 Cl0p 是此次攻击对外公开的勒索品牌，但网络安全界认为，该行动可能是由一群威胁行为者推动的，其中最引人注目的是 FIN11。 黑客在 Cl0p 泄密网站上列出了 100 多家涉嫌在甲骨文 EBS 攻击事件中受害的企业，涉及科技、电信、软件、重工业、制造、工程、零售、消费品、能源、公用事业、媒体、金融和娱乐等多个行业。 对于大多数受害者，网络犯罪分子发布了种子文件，指向据称从其系统中窃取的信息。这表明这些受害者拒绝支付赎金。 此次攻击中的大多数大型企业已发布公开声明，确认发生数据泄露事件。许多企业称事件影响有限，但仍告知受影响人员潜在风险。 然而，仍有少数几家大型公司似乎尚未就此事发布任何公开声明，既未确认也未否认遭受攻击，甚至没有表示正在进行调查。 其中包括半导体和基础设施软件公司博通、工程建筑公司柏克德、化妆品集团雅诗兰黛公司，以及医疗设备和医疗保健解决方案提供商雅培公司。 它们均在 2025 年 11 月 20 日左右被列在 Cl0p 网站上。 企业可能需要数月甚至一年的时间来调查数据泄露事件并确定其全面影响。不过，大型企业通常至少会承认正在进行调查。 博通、柏克德、雅诗兰黛和雅培对多次置评请求均未回应。 黑客泄露的数据 SecurityWeek 并未下载任何泄露的数据，但对据称从 Cl0p 网站上提及的一些大型公司获取的数据进行了简要的元数据和文件树分析，发现这些文件确实源自甲骨文 EBS 环境。 以博通为例，网络犯罪分子公开了超过 2TB 的档案，据称这些档案存储了从该公司窃取的文件。雅诗兰黛的种子文件指向 870GB 的存档文件。 在撰写本文时，指向柏克德和雅培文件的种子文件仍然可用，但无法获取数据进行分析。然而，这并不意味着网络犯罪分子无法再访问这些文件，因为它们也可能在地下论坛私下传播。 一方面，像 Cl0p 这样的网络犯罪组织经常夸大其数据泄露的范围，促使许多公司迅速发布声明，否认或淡化相关指控，以安抚客户和利益相关者，表明任何影响都是有限的。 此外，如果没有受监管的数据（如健康信息、社会安全号码或支付细节）遭到泄露，公司没有法律义务公开披露该事件。如果数据泄露未达到重大程度，根据美国证券交易委员会（SEC）的规定，也无需向投资者报告。 另一方面，一些组织可能出于战略、公关和法律原因故意保持沉默。即使承认正在进行调查，也可能引发诉讼、卖空压力或额外的监管审查。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据瑞典风险暴露管理与身份安全公司 Outpost24 的子公司 Specops Software 报告，该公司一名 C 级高管成为一场复杂网络钓鱼攻击的目标。 此次攻击很可能借助了近期发现的一款名为 “Kratos” 的钓鱼即服务工具包，依靠一个七步链条展开，利用分层基础设施和合法服务来逃避检测并欺骗收件人。 这封网络钓鱼邮件冒充金融服务提供商摩根大通，以现有邮件线程的一部分形式出现，以此增加其可信度，并邀请收件人查看并签署一份文件。 此外，攻击者使用了两个域名密钥识别邮件（DKIM）签名，以确保邮件能够通过 DMARC 身份验证，看起来值得信赖。 在邮件中，攻击者包含了一个 “查看文件” 链接，指向合法的思科域名 secure – web.cisco.com，该域名通常用于在邮件经思科验证后重写 URL。 由于该链接通过了思科安全邮件网关的验证，重定向 URL 托管在思科的基础设施上，这进一步使网络钓鱼邮件绕过了检测系统。 链条中的下一步涉及重定向到合法的电子邮件 API 平台 Nylas，这可能是为了确保网络钓鱼链接通过思科安全网络基础设施进行重定向。 Specops 指出：“通过将重定向链设置为经过思科和 Nylas 等合法服务，攻击者增加了链接通过安全过滤和信誉检查的可能性。这些域名广受信任，常见于合法流量中，这使得自动拦截变得更加困难。” 接下来，目标被重定向到一家位于印度的合法开发公司网站的子域名，然后又被重定向到一个最初于 2017 年由一家中国实体注册的域名。 该域名之前的 TLS 证书于 3 月 6 日过期，相关的 DNS 记录不久后被释放，该域名于 3 月 12 日重新注册，同一天为其颁发了几个新的 TLS 证书。 Specops 指出：“时间节点强烈表明，该域名是专门为此次攻击活动重新获取并重新利用的。” 用户再次被重定向，这次被导向部署在 Cloudflare 背后以隐藏其源服务器的网络钓鱼基础设施。在此阶段，受害者会收到一个浏览器验证检查，这可能是为了防止安全分析。 最后，受害者会看到一个极具迷惑性的网络钓鱼页面，旨在获取微软 365 的凭据。 Specops 解释道：“与攻击链条的其他部分一样，这一步也精心设计，从模仿 Outlook 的虚假加载动画，到验证用户输入是否确实为电子邮件的检查。作为最后一步，该网站尝试进行合法登录，以验证捕获的凭据是否有效。” 这家网络安全公司向 SecurityWeek 证实，此次攻击的目标是其母公司 Outpost24 的一名 C 级高管，凸显了此次攻击的复杂性。 Specops 没有将该事件归咎于特定的威胁行为者，但指出其作案手法与近期针对美国多个实体的与伊朗有关的威胁行为者的手法完全一致。 另一方面，该公司表示，也观察到其他黑客组织采用类似策略，因此很难明确归责。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文