HackerNews 编译，转载请注明出处： 技术细节公开仅24小时，黑客已开始利用Wing FTP服务器中的高危远程代码执行漏洞。监测到的攻击行为包含多轮系统枚举与侦察指令，并通过创建新用户实现持久化控制。 该漏洞编号为CVE-2025-47812，获评最高危级。其本质是空字节注入与Lua代码注入的组合漏洞，允许未授权攻击者以系统最高权限（root/SYSTEM）执行任意代码。Wing FTP作为支持Lua脚本的安全文件传输管理方案，广泛应用于企业及中小型网络环境。 6月30日，安全研究员Julien Ahrens发布技术报告，指出漏洞源于C++对空终止字符串的不安全处理及Lua输入验证缺失。其演示表明：用户名字段插入空字节可绕过认证检查，并向会话文件注入Lua代码。当服务器加载这些文件时，即可以root/SYSTEM权限执行恶意指令。 该研究员同时披露Wing FTP另外三处漏洞： CVE-2025-27889：通过特制URL诱使用户提交登录表单后，因JavaScript变量(location)包含密码导致凭证泄露 CVE-2025-47811：默认以root/SYSTEM权限运行且无沙盒隔离，显著放大远程代码执行危害 CVE-2025-47813：超长UID Cookie可泄露文件系统路径 所有漏洞影响7.4.3及更早版本。供应商于2025年5月14日发布7.4.4修复版本（除CVE-2025-47811被评估为低风险未处理）。 网络安全平台Huntress的研究人员成功构造漏洞验证程序（详见视频演示），并监测到技术细节公开次日（7月1日）即有攻击者利用该漏洞入侵客户系统。攻击者向loginok.html发送含空字节的用户名，生成恶意.lua会话文件注入Lua代码。注入代码通过十六进制解码载荷，利用certutil工具下载远程恶意软件并以cmd.exe执行。 Huntress发现同一Wing FTP实例在短期内遭到五个不同IP地址攻击，表明存在大规模扫描与利用尝试。攻击指令涵盖系统侦察、持久化维持及cURL数据外泄。攻击失败可能源于“攻击者操作生疏或Microsoft Defender拦截”，但关键漏洞已被明确利用。 企业应立即升级至7.4.4版本。若无法升级，建议采取以下缓解措施：禁用或限制HTTP/HTTPS访问入口、关闭匿名登录功能、实时监控会话目录可疑文件。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全预警：华硕RGB控制软件与Adobe PDF阅读器近日曝出重大漏洞，黑客几乎能将其变为网络攻击跳板。 即便最受信任的应用程序也可能存在安全隐患。思科旗下网络安全团队Talos新近发现，华硕Armoury Crate与Adobe Acrobat Reader这两款主流软件中存在一系列漏洞。 两个平台共发现四个漏洞（各存在两个）。这些漏洞若被利用，攻击者能劫持系统、窃取数据或提升用户权限。目前相关漏洞已完成修复。 华硕Armoury Crate主要用于控制RGB灯光、风扇转速及系统更新，通常预装在华硕及玩家国度（ROG）品牌笔记本电脑中。 在Armoury Crate 5.9.13.0版本中发现的两个高危漏洞，可能使非特权用户获得越权访问权限。其中： CVE-2025-1533 是该应用核心驱动的缓冲区溢出漏洞。通过发送特定系统请求，黑客可引发系统崩溃或执行恶意代码，本质上能通过灯光控制工具劫持用户电脑。 CVE-2025-3464 为同一驱动程序的权限绕过漏洞。攻击者通过创建文件链接，可诱骗系统授予其本不应获得的访问权限。 广泛使用的PDF阅读软件Adobe Acrobat Reader同样存在两处严重漏洞： CVE-2025-43578 是Acrobat处理字体时的越界读取漏洞。攻击者通过在PDF中嵌入恶意字体，可诱使软件读取异常数据，可能导致敏感信息泄露。 更危险的是CVE-2025-43576，该漏洞深藏于Acrobat注释对象处理功能中，属于释放后重用缺陷。PDF内含的JavaScript载荷可重复使用已被释放的对象，引发内存损坏，最终可能允许攻击者在受害者设备上执行任意代码。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国议会情报安全委员会近日发布报告警示，伊朗黑客组织对英国构成重大威胁，尤其针对能源化工、公共事业及金融领域。这份在以色列-美国联合袭击伊朗核设施后发布的报告指出，截至2023年8月的证据显示，英国暂未成为伊朗网络攻击的首要目标，但“地区局势突变可能迅速改变这一态势”。 报告强调：“若伊朗决定对英国发动网络攻击，能源化工、公共事业及金融业将首当其冲。国家网络安全中心评估显示，当前英国机构普遍缺乏监测和抵御伊朗网络攻击的能力。”此前政府因应对不力放任俄罗斯“预部署攻击”关键基础设施的案例被列为前车之鉴，委员会警告“绝不能在伊朗问题上重蹈覆辙”。 虽然伊朗在网络技术水平上逊于中俄，但其利用简单技术针对基础漏洞发动攻击的能力仍构成实质性威胁。除国家控制的黑客组织外，为私利或国家情报任务行动的个人黑客同样值得警惕。 报告呼吁全国机构提高防御门槛基准线，要求国家网络安全中心强化支持体系，并建议将国家网络部队作为反击伊朗网络侵略的威慑力量。“英国必须让伊朗付出难以承受的代价”，报告称“公开归因攻击行为是有效威慑手段（尽管存在风险）”。 北极狼科技服务总裁丹·施亚帕指出，鉴于伊朗既往的磁盘擦除攻击、基建渗透和虚假信息战案例，所有行业均应保持高度戒备。他强调：“供应链攻击已重创过多家龙头企业，小微企业更须严肃对待该警告，包括修补已知漏洞、增强网络可视化能力和完善威胁检测机制。”派拓网络公共部门主管格雷姆·斯图尔特补充道：“追踪伊朗黑客动向的专家不会对此报告感到意外，这些全球最激进且最难预测的攻击者正随着地缘紧张局势快速行动，当前西方世界已进入最佳攻击窗口期。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯职业篮球运动员丹尼尔·卡萨特金（Daniil Kasatkin）因涉嫌担任勒索软件团伙谈判代表，应美国要求于法国被捕。 卡萨特金是一名俄罗斯篮球运动员，2019年返回俄罗斯前曾短暂效力于宾夕法尼亚州立大学NCAA篮球队。在莫斯科MBA-MAI俱乐部效力的四个赛季中，他出战172场比赛后离队。 据法国媒体报道，卡萨特金在与未婚妻飞抵法国后，于6月21日在巴黎戴高乐机场被捕。此次逮捕基于美国发出的国际通缉令，指控其在勒索软件团伙中担任谈判者角色。 目前卡萨特金已被羁押，美国正寻求将其引渡以面临“共谋实施计算机欺诈”及“计算机欺诈共谋”罪名指控。 其律师坚称卡萨特金无罪，辩称涉案行为与其购买的二手电脑有关。“他买了一台二手电脑，完全是无辜的，他对此感到震惊，”律师弗雷德里克·贝洛特向媒体表示，“他完全不懂电脑，连应用程序都不会安装。那台电脑他从未动过，要么是被黑客入侵，要么是卖家冒充他人身份进行操作。” 虽然勒索软件团伙名称未公开，但报道称该团伙在2020至2022年间攻击超过900家企业，其中包括两家联邦机构。美国司法部过往对知名勒索软件团伙Conti的描述高度吻合——该团伙作为Ryuk的继任者在2020年出现，并于2022年因数据泄露事件关闭。不过此前Conti未曝光过入侵联邦机构的记录，尽管其攻击过州政府系统。 上月，法国警方还逮捕了四名涉嫌运营BreachForums黑客论坛的人员，其中包括使用IntelBroker和ShinyHunters化名的黑客。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响OpenSynergy旗下BlueSDK蓝牙协议栈、被统称为PerfektBlue的四个漏洞，可被利用来实现远程代码执行（RCE），并可能允许攻击者访问梅赛德斯-奔驰（Mercedes-Benz AG）、大众（Volkswagen）和斯柯达（Skoda）等多家汽车厂商车辆的关键部件。 OpenSynergy于去年（2024年）6月确认了这些漏洞，并在9月向客户发布了补丁，但许多汽车制造商尚未推送修复固件更新。至少有一家大型整车厂（OEM）直到最近才知晓这些安全风险。 这些安全问题可被串联组合成一种被研究人员称为PerfektBlue攻击的漏洞利用链，攻击者可通过无线方式（OTA）发起攻击，该攻击“最多只需用户点击一次”。 尽管OpenSynergy的BlueSDK在汽车行业被广泛使用，但来自其他行业的供应商也在使用它。 PerfektBlue攻击 专注于汽车安全的公司PCA Cyber Security的渗透测试团队发现了这些PerfektBlue漏洞，并于2024年5月报告给了OpenSynergy。该团队是Pwn2Own Automotive黑客大赛的常客，自去年以来已在汽车系统中发现了超过50个漏洞。 据他们称，PerfektBlue攻击影响了“汽车及其他行业中数百万台设备”。 由于无法获取源代码，发现BlueSDK中的漏洞是通过分析该软件产品的编译版二进制文件实现的。 这些漏洞严重性从低危到高危不等（如下所列），可通过信息娱乐系统（IVI）访问汽车内部。 CVE-2024-45434（高危） – 蓝牙配置文件中用于媒体设备远程控制的AVRCP服务存在释放后重用（UAF）漏洞 CVE-2024-45431（低危） – 对L2CAP（逻辑链路控制和适配协议）通道的远程通道标识符（CID）验证不当 CVE-2024-45433（中危） – 射频通信（RFCOMM）协议中的函数终止不正确 CVE-2024-45432（中危） – RFCOMM协议中使用了错误参数的函数调用 研究人员没有分享利用PerfektBlue漏洞的完整技术细节，但表示已与受影响设备配对的攻击者可利用它们“操控系统、提升权限并向目标产品的其他组件横向移动”。 PCA Cyber Security在大众ID.4（ICAS3系统）、梅赛德斯-奔驰（NTG6）和斯柯达Superb（MIB3）的信息娱乐主机上演示了PerfektBlue攻击，并在TCP/IP协议栈之上获得了反向shell（该协议允许网络设备间通信，例如汽车内的组件）。 研究人员称，通过在车载信息娱乐系统（IVI）上实现远程代码执行（RCE），黑客可以跟踪GPS坐标、窃听车内对话、访问手机通讯录，并可能横向渗透到车辆中更关键的子系统中。 风险与影响范围 OpenSynergy的BlueSDK在汽车行业被广泛使用，但由于定制化和重新打包流程，以及汽车嵌入式软件组件缺乏透明度，很难确定哪些厂商依赖它。 PerfektBlue主要是一种“一键式RCE”攻击，因为大多数情况下需要诱使用户允许与攻击者设备配对。然而，一些汽车制造商将信息娱乐系统配置为无需任何确认即可配对。 PCA Cyber Security透露，他们已告知大众、梅赛德斯-奔驰和斯柯达这些漏洞，并给予其足够时间应用补丁，但研究人员未收到这些厂商关于解决问题的回复。 媒体已联系这三家汽车制造商，询问其是否已推送OpenSynergy的修复程序。梅赛德斯-奔驰尚未立即提供声明，大众则表示在获悉问题后立即开始调查影响并研究解决方法。 大众发言人表示：“调查显示，在某些条件下，有可能通过蓝牙未经授权连接到车辆的信息娱乐系统。” 只有在多个条件同时满足的情况下才可能利用这些漏洞： 攻击者距离车辆最多5至7米范围内； 车辆点火开关必须打开； 信息娱乐系统必须处于配对模式，即车辆用户必须正在主动配对蓝牙设备； 车辆用户必须在屏幕上主动批准攻击者的外部蓝牙访问。 大众代表强调，即使这些条件满足且攻击者连接到了蓝牙接口，“他们必须保持在距离车辆最多5至7米的范围内”才能维持访问。 该厂商强调，在成功利用的情况下，黑客无法干扰关键车辆功能，如转向、驾驶辅助、引擎或刹车，因为它们“位于不同的控制单元上，这些单元通过自身的安全功能防止外部干扰”。 PCA Cyber Security表示，上个月他们在汽车行业确认了第四家受PerfektBlue影响的整车厂（OEM），该厂商称OpenSynergy未曾告知其这些问题。 研究人员称：“我们决定不披露这家OEM的身份，因为他们没有足够的时间做出反应。” “我们计划在2025年11月，以会议演讲的形式披露关于这家受影响OEM的详细信息以及PerfektBlue的全部技术细节。” 媒体也已联系OpenSynergy，询问PerfektBlue对其客户的影响范围以及受影响客户数量，但在发布时尚未收到回复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 芝加哥古典音乐电台WFMT遭Play勒索软件团伙攻击，黑客声称窃取大量敏感信息并已在暗网公布部分数据样本。据泄露内容显示，5.5GB数据包含薪资记录、医疗保险详情、公司预算、政府资助文件及各类合同报告，可能被用于身份盗用或欺诈性医疗索赔。 攻击手法 Play勒索团伙将WFMT列入暗网受害者名单，采用“数据窃取+加密”的双重勒索模式，通过公布部分数据施压支付赎金。该团伙近期还利用远程工具SimpleHelp的漏洞（CVE-2024-57727）实施攻击，并通过电话恐吓受害者。 泄露数据风险 医疗信息：黑客重点窃取医疗保险细节，此类数据在黑市可被用于处方药欺诈索赔 财务文件：薪资单与政府资助文件可能引发针对性钓鱼攻击 企业机密：预算与合同曝光恐影响商业竞争力 攻击方背景 Play勒索团伙2024年位列全球最活跃网络犯罪组织前三，累计攻击超900家机构。其首创的间歇性加密技术（仅加密系统固定区段）可加速数据窃取，已被ALPHV/BlackCat等组织效仿。 WFMT电台背景 成立于1948年，是美国历史最悠久的古典音乐电台之一，首个通过卫星向全球广播的“超级电台”，也是欧洲广播联盟（EBU）唯一独立电台成员。 事件进展 网络安全研究团队已验证泄露数据真实性，WFMT暂未公开回应。Play团伙近期攻击目标已扩展至Windows与ESXi系统，安全机构建议企业及时修补SimpleHelp漏洞并强化终端防护。 历史关联 该团伙2023年曾攻击美国爱荷华州警局及罗德岛监狱系统，凸显其对公共机构的持续威胁。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本新日铁集团旗下IT服务商NS解决方案公司确认其系统遭黑客入侵，员工、合作伙伴及客户数据可能已泄露。该公司在7月8日发布的日文声明中指出，今年3月7日发现内部网络存在未授权访问行为。 该公司将事件定性为“零日攻击”，由“部分网络设备未知软件漏洞遭利用引发”，可能导致“客户、合作伙伴及员工的个人信息和其他敏感数据泄露”。 泄露信息类别： 客户：姓名、公司名称、部门、职务、公司地址、工作邮箱及电话 合作伙伴（含前合作伙伴）：姓名及工作邮箱（含公司域名邮箱） 员工（含前员工）：姓名、部门、职务及工作邮箱 公司声明表示，截至目前尚无证据表明泄露信息在社交媒体或暗网传播，也未发现数据被二次滥用迹象。但发言人提醒需警惕可疑来电及邮件。 内部系统恢复进展： NS解决方案公司证实，发现入侵后立即阻断了涉事系统的所有外部连接。“我们采取隔离重建受影响系统、强化出口管控及行为监测等多项措施降低残余风险，内部网络现已恢复至安全状态。” 该公司已就事件向警方及日本个人信息保护委员会报备，正协同业务伙伴实施必要安防措施，并将依据日本《个人信息保护法》通知受影响人员。 值得关注的是，新日铁集团今年6月以145亿美元完成对美国钢铁公司的收购。该交易在2024年美国总统大选期间曾遭特朗普及其民主党对手反对，担忧这家美国骨干钢企被外资收购的影响。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家犯罪署（NCA）7月10日（周四）宣布，已逮捕四名涉嫌针对玛莎百货（Marks & Spencer）、Co-op集团和哈罗德百货（Harrods）等主要零售商发动网络攻击的嫌疑人。 被捕人员包括两名19岁男性、一名17岁男性和一名20岁女性。他们在西米德兰兹郡和伦敦被捕，涉嫌违反《计算机滥用法案》、敲诈勒索、洗钱以及参与有组织犯罪集团活动。所有嫌疑人都是在住所被捕，其电子设备已被扣押以进行进一步取证分析。嫌疑人姓名未予披露。 “自这些攻击发生以来，NCA网络犯罪部门的专业调查人员一直在加紧工作，此案仍是本机构的首要任务之一，”NCA国家网络犯罪部门负责人、副总监保罗·福斯特在一份声明中表示。“今天的逮捕是调查的重要一步，但我们的工作将继续进行，与英国及海外合作伙伴共同努力，确保将责任者绳之以法。” 根据网络监控中心（CMC）的数据，2025年4月针对玛莎百货和Co-op集团的网络攻击被归类为“单一组合网络事件”，造成的财务影响预计在2.7亿英镑（约合3.63亿美元）至4.4亿英镑（约合5.92亿美元）之间。 NCA未透露嫌疑人所属的“有组织犯罪集团”名称，但据信部分攻击由名为“Scattered Spider”的去中心化网络犯罪团伙实施。该团伙因使用高级社会工程手段入侵组织并部署勒索软件而臭名昭著。 在7月8日英国议会举行的商业贸易与经济安全、武器及出口管制小组委员会听证会上，玛莎百货证实其系统遭受的攻击与勒索软件相关，由“DragonForce”勒索软件组织与其他“松散结盟”的行为者共同实施。 “虽然勒索软件是持续存在的威胁，但‘Scattered Spider’代表着一个顽固且能力出众的对手，其攻击行动即使在安全体系成熟的组织中也屡屡得手，”GuidePoint Security高级安全顾问格雷森·诺斯表示。“该团伙的成功并非源于新颖的战术，而是归因于其社会工程技巧以及在尝试获取目标初始访问权限时表现出的极端持久性。” 这个以经济利益为驱动的团伙多数成员为年轻的英语母语者，这使其在伪装成员工致电IT服务台骗取信任时占据优势。“Scattered Spider”隶属于更大的松散组织“The Com”，该组织涉足多种犯罪活动，包括社会工程、网络钓鱼、SIM卡交换、敲诈勒索、性勒索、报假警、绑架乃至谋杀。 网络安全公司Halcyon指出，“Scattered Spider”展现出精算且机会主义的攻击策略，基于目标可见度、潜在收益和行动风险在不同行业与地区间轮换目标。谷歌旗下Mandiant表示，该团伙习惯逐行业集中攻击，同时保持其核心战术、技术和程序（TTPs）的一致性，包括设立高度仿冒企业合法登录门户的钓鱼域名以诱骗员工泄露凭证。 “这意味着组织可采取主动防御措施，例如培训服务台人员执行严格的身份验证流程，并部署防钓鱼的多因素认证（MFA）来抵御此类入侵。”谷歌云Mandiant咨询部门首席技术官查尔斯·卡玛卡尔表示。卡玛卡尔称此次逮捕行动是对抗该网络犯罪集团的“重大胜利”，并强调国际合作对打击此类威胁至关重要。“他们激进的社交工程策略和持续渗透行为对众多防御者构成严峻挑战，并对英美两国的组织造成重大损害。此前逮捕行动曾导致其活动显著减少，这为各组织强化防御提供了关键窗口期。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化交易所GMX表示，7月9日（周三）凌晨遭遇黑客攻击，价值超过4000万美元的加密货币被盗。 GMX允许用户交易多种加密货币，该平台在社交媒体发布声明称遭遇“漏洞攻击”，目前正调查事件原因。GMX补充说明，其平台此前已接受过“顶级安全专家的多次审计”。 多家区块链安全公司确认了此次盗窃，追踪到约4300万美元用户资金从平台流出。平台交易功能已被紧急禁用。 黑客在得手后迅速转移赃款，将被盗资产分批兑换为以太坊（ETH）及与美元挂钩的稳定币USDC和DAI。链上监测显示，黑客目前通过5个钱包持有约11,700枚ETH（价值3233万美元）及1049.5万枚FRAX，总价值约4280万美元。 GMX成立于2021年，宣称拥有71.4万用户，累计交易量达3050亿美元。 有网友在线批评加密货币公司未及时冻结涉及犯罪的地址，指出黑客曾短暂持有价值近3000万美元的USDC——该稳定币由加密巨头Circle发行——随后才进一步转移赃款。 GMX通过以太坊区块链向黑客发送消息，承认遭遇攻击，并提出若黑客在48小时内归还90%被盗资金，愿支付10%作为“赏金”。GMX承诺若资金归还将不提起诉讼——这是多家加密公司为促使黑客还赃曾提出的争议性法律主张。但此前联邦检察机关通常无视受害方意愿，坚持起诉加密黑客。 该公司与安全专家向关联平台提供了技术建议，指导其防范同类漏洞。 两周前，去中心化金融平台Resupply遭黑客入侵，1000万美元加密货币被盗。区块链安全公司TRM Labs统计显示，2025年上半年共发生75起确认的网络攻击，造成加密交易所及其他数字资产机构约21亿美元损失，较2022年同期创下的纪录增长10%。即使排除朝鲜黑客从迪拜交易所Bybit窃取15亿美元的极端案例，该公司监测到其中四个月的单月损失仍超过1亿美元。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大电力公司新斯科舍电力公司（Nova Scotia Power）表示，最近的网络攻击已对其电表造成一定干扰，公司正在通知受影响的个人，其中包括美国居民。 此次黑客攻击并未导致任何停电事故，但新斯科舍电力公司于周二透露，虽然其电表一直在准确收集家庭和企业的能源使用数据，但电表与公司系统间的通信受到干扰。 该公用事业公司表示：“因此，我们最初暂停了客户账单发送，近期已恢复计费，但大部分客户在系统恢复且电表重新开始通信前，收到的将是预估账单。” 新斯科舍电力公司于4月遭到黑客攻击，调查显示该公司遭遇了一起勒索软件攻击，导致客户信息被盗。 泄露的记录包括姓名、出生日期、电子邮件地址、电话号码、邮寄地址、用电量、付款和账单数据，在某些情况下还包括驾照号码、社会保险号码和银行账号。 目前尚不清楚是哪个勒索软件组织发动了此次攻击。新斯科舍电力公司未透露此方面的任何细节，也没有已知的威胁行为体宣称对此负责。 该公司为约55万客户提供服务，迄今为止的调查已确定其中约28万人受到影响。 虽然新斯科舍电力公司不向美国供电，但其母公司Emera运营的天然气和电力公用事业服务于北美（包括美国）的260万客户。 新斯科舍电力公司告知缅因州总检察长办公室，其受影响的客户约有28万人，其中缅因州居民达377人。目前尚不清楚美国境内受影响的居民总数。 在最近发布于其网站的更新中，该公司表示，除了现有客户外，前客户也受到此次数据泄露事件的影响。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文