HackerNews 编译，转载请注明出处： 金融服务信息共享与分析中心（FS-ISAC）最新报告指出，金融业长期遭受大规模分布式拒绝服务（DDoS）攻击，但2024年攻击复杂度的显著升级标志着威胁态势发生根本性转变。 该中心联合安全企业Akamai于6月10日发布的报告显示，2014至2024年间金融业DDoS攻击量呈近指数级增长——从2014年每月零星攻击，发展到2024年10月单月峰值近350起，每起攻击包含数百万至数十亿次恶意请求。 报告《从滋扰到战略威胁：针对金融业的DDoS攻击》证实，继2023年成为DDoS攻击首要目标后，金融业在2024年仍维持这一地位。2024年4月起，针对金融业的攻击增速远超游戏、制造及高科技等行业，差距持续扩大。这种主导地位部分源于2023至2024年针对金融服务的应用层DDoS攻击增长23%。Akamai监测数据显示，此类攻击主要针对Web应用用户界面（如登录页）及API功能（如支付网关）。 报告强调，攻击规模扩大本身不足以构成质变，基础型DDoS攻击仍属可被轻易缓解的“滋扰”范畴。真正促使DDoS升级为“战略威胁”的关键，是2024年四季度以来攻击复杂度与规模的同步跃升。研究人员指出：“威胁行为体越来越多采用融合系统性探测与自适应策略的高级多向量DDoS攻击，展现出实时分析防御机制并动态调整战术的能力。” 观测到的高级技术包括： 通过低流量多向量测试探测防御弱点； 持续数周至数月的多阶段攻击； 绕过自动化防护并瘫痪本地网络设备（如防火墙、负载均衡器）。 这些技术表明攻击者具备高度组织性、资源投入和明确战略意图。 地缘政治紧张局势成为攻击升级的重要推手。亲巴勒斯坦黑客组织BlackMeta（又名DarkMeta）、RipperSec以及俄乌冲突中活跃的NoName057(16)被指为主要攻击方。典型案例是2024年10月针对澳大利亚金融机构的DDoS行动，该行动由RipperSec部分认领，恰逢北约防长会议、澳洲宣布援乌及乌克兰总统访欧等敏感时间点。 为应对高级DDoS威胁，报告建议金融机构采取以下措施： 实施地理IP过滤阻断非业务区域流量； 运用动态流量整形技术实时优先保障核心服务； 建立多层级防御架构降低单点依赖；预设净化支持机制快速响应异常流量； 部署默认拒绝（deny-all）的网络安全策略； 将威胁情报直接嵌入边缘防护系统； 定期开展攻防演练测试应急预案。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rare Werewolf（前称 Rare Wolf）黑客组织被关联到一系列针对俄罗斯和独立国家联合体（CIS）国家的网络攻击。Rare Werewolf，也被称为 Librarian Ghouls 和 Rezet，是一个被指定为高级持续性威胁（APT）组织的代号，该组织有攻击俄罗斯和乌克兰机构的记录。据悉其至少自 2019 年以来一直活跃。 “该威胁的一个显著特征是，攻击者倾向于使用合法的第三方软件，而非开发自己的恶意二进制文件，”卡巴斯基表示。“本文描述的活动其恶意功能是通过命令文件和 PowerShell 脚本实现的。” 攻击意图是在受感染主机上建立远程访问、窃取凭证并部署 XMRig 加密货币矿工。该活动影响了数百名俄罗斯用户，涉及工业企业和工程院校，在白俄罗斯和哈萨克斯坦也记录了少量感染。 根据 BI.ZONE 的信息，该威胁行为者通过钓鱼邮件获得初始访问权限，利用立足点窃取文档、Telegram 通讯数据，并投放 Mipko Employee Monitor、WebBrowserPassView 和 Defender Control 等工具，用于与被感染系统交互、收集密码和禁用防病毒软件。 卡巴斯基记录的最新攻击显示，使用钓鱼邮件作为恶意软件传播载体，以包含可执行文件的受密码保护的压缩包作为激活感染的起点。 压缩包中存在一个安装程序，用于部署名为 4t Tray Minimizer 的合法工具以及其他载荷，包括一个模仿付款单的诱饵 PDF 文档。 “该软件可以将正在运行的应用程序最小化到系统托盘，使攻击者能够隐藏其在受感染系统上的存在。”卡巴斯基解释道。 这些中间载荷随后被用来从远程服务器获取其他文件，包括 Defender Control 和 Blat（一种通过 SMTP 将窃取的数据发送到攻击者控制邮箱的合法实用程序）。攻击的另一个特点是使用了 AnyDesk 远程桌面软件和一个 Windows 批处理脚本来促进数据窃取和矿工部署。 该批处理脚本的一个显著方面是，它启动了一个 PowerShell 脚本，该脚本具备在凌晨 1 点（当地时间）自动唤醒受害者系统，并通过 AnyDesk 允许攻击者对其进行四小时窗口远程访问的能力。然后，机器会在凌晨 5 点通过计划任务关闭。 卡巴斯基指出：“利用第三方合法软件进行恶意目的是常见的技术，这使得检测和归因 APT 活动变得更加困难，所有的恶意功能仍然依赖于安装程序、命令和 PowerShell 脚本。” 与此同时，Positive Technologies 披露，一个名为 DarkGaboon 的出于经济动机的网络犯罪组织，一直在使用 LockBit 3.0 勒索软件针对俄罗斯实体。据悉 DarkGaboon 自 2023 年 5 月起活跃，于 2025 年 1 月首次被发现。 该公司表示，攻击使用带有包含 RTF 诱饵文档和 Windows 屏保文件的压缩包的钓鱼邮件，来投放 LockBit 加密器以及 XWorm 和 Revenge RAT 等木马。使用现成工具被视为攻击者试图融入更广泛的网络犯罪活动并挑战归因努力的一部分。 “DarkGaboon 并非 LockBit RaaS（勒索软件即服务）的客户，而是独立行动，这体现在使用了公开可用的 LockBit 勒索软件版本、在被攻击公司中未发现数据外泄痕迹，以及传统的在[数据泄露站点]门户上公布被盗信息的威胁上，”Positive Technologies 研究员 Victor Kazakov 说道。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美最大上市食品批发商联合天然食品公司（UNFI）近日遭遇网络攻击，被迫关闭部分系统。这家总部位于罗德岛的企业运营着53座配送中心，为遍布美加的3万余家商超连锁、电商平台、天然产品卖场及餐饮服务商供应生鲜冻品。作为亚马逊全食超市的主要供应商，UNFI在2024年8月财报中披露年营收达310亿美元，合作供应商超1.1万家，雇员总数逾2.8万人。 公司在提交美国证监会的8-K公告及官网声明中证实，6月5日（周四）发现的网络攻击迫使部分系统下线，导致客户订单履行受阻。UNFI表示：“事件已并预计将持续造成业务运营临时中断。”企业已启动事件响应预案，主动隔离受影响系统，同时通报执法部门并聘请外部网络安全专家介入调查。目前正通过变通方案维持基础服务，全力恢复系统安全运行。 社交媒体自6月5日起涌现大量员工爆料，称系统瘫痪导致轮班取消。UNFI尚未披露攻击性质及是否发生数据泄露，也未有任何勒索组织宣称负责。公司发言人伊内斯·德米兰达向媒体强调：“评估未授权活动期间，客户、供应商与员工权益是最高优先级。”按原计划，UNFI将于6月11日（周二）发布2025财年第三季度财报。 此次事件延续了食品行业频遭网络威胁的趋势：今年3月沃尔玛旗下山姆会员店疑遭Clop勒索组织入侵；2021年全球最大牛肉生产商JBS食品遭REvil勒索攻击，被迫关停全球多地工厂并支付1100万美元赎金。过去数月，Scattered Spider威胁组织与DragonForce勒索软件持续袭击英国零售业（含哈罗德百货、Co-op超市、玛莎百货），近期攻击矛头已转向美国企业。       消息来源：  bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Palo Alto Networks旗下Unit 42团队警告称，新型Windows恶意软件Blitz正通过含后门的游戏作弊工具包传播，对游戏作弊者发起攻击。该恶意软件诱使安卓游戏玩家在电脑模拟器上使用不公平优势手段。 Blitz恶意软件最早于2024年被发现，至今仍在持续更新版本进行攻击活动。需注意该恶意软件与正规游戏辅助工具Blitz.gg（提供实时数据统计的覆盖应用）无关。 Blitz恶意软件伪装成游戏作弊工具传播，其攻击分为两个阶段：下载器先获取僵尸程序载荷，使黑客获得计算机的全面远程控制权。网络犯罪分子还滥用合法代码托管平台散布虚假作弊工具，曾将恶意软件托管在人工智能代码库Hugging Face Spaces上，并在Telegram等社交平台活跃传播。 Unit 42研究人员在报告中指出：“Blitz幕后操纵者疑似俄语使用者，社交媒体使用代号sw1zzx，此人很可能就是开发者。其通过Telegram渠道散布含后门的游戏作弊工具作为初始感染载体。” 至少存在两波Blitz攻击活动：早期通过仿冒正规软件破解安装包传播，后期转为游戏作弊工具包传播。主要针对热门手游《Standoff 2》玩家（该游戏下载量超1亿次）。 当用户下载含虚假作弊工具的压缩包，解压并运行.exe文件后，Blitz下载器将在后台激活。该工具包内含实际作弊程序（可能是黑客破解所得），针对《Standoff 2》的作弊工具需在安卓模拟器BlueStacks上运行。下载器通过加密和反沙盒检测规避查杀，通过验证后即连接远程服务器获取Blitz僵尸程序。 该僵尸程序可实现全面感染： 键盘记录：窃取密码等敏感数据 屏幕监控：截取用户活动画面 加密货币挖矿：利用CPU秘密挖掘门罗币 DDoS攻击：将设备变为僵尸网络节点 远程命令执行：运行任意指令或下载更多恶意软件 研究人员从某命令控制服务器提取的289个已注册僵尸主机显示，俄罗斯用户占比最高（166例），其次为乌克兰（45例）、白俄罗斯（23例）和哈萨克斯坦（12例）。当Unit 42发布威胁情报后，恶意软件运营者在Telegram发布告别声明并提供了木马清除工具。 Unit 42强调：“强烈建议用户避免下载破解软件及游戏作弊工具，此类行为不仅违反法律伦理，更会使系统面临包括Blitz在内的重大安全风险。”       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Qilin勒索组织近期利用两个Fortinet漏洞发起攻击，该漏洞允许攻击者在未认证状态下远程执行恶意代码。该组织（又名Phantom Mantis）自2022年8月以“Agenda”为名运营勒索软件即服务(RaaS)，其暗网泄露站点已披露超310名受害者，包括汽车巨头Yangfeng、出版集团Lee Enterprises、澳大利亚法院服务署Victoria及病理服务商Synnovis。其中Synnovis遭攻击导致伦敦多家NHS医院被迫取消数百例诊疗安排。 威胁情报公司PRODAFT发现，Qilin近期通过部分自动化攻击模式瞄准多个Fortinet漏洞，主要针对西班牙语国家机构，但预计攻击范围将扩大至全球。“Phantom Mantis在2025年5月至6月发起协同入侵，中高度置信证据表明其通过CVE-2024-21762、CVE-2024-55591等FortiGate漏洞实现初始访问”，PRODAFT在向BleepingComputer提供的内部警报中表示。尽管当前攻击呈现地域倾向，但目标选择仍具随机性。 本次攻击利用的两大漏洞中： CVE-2024-55591：早在2024年11月已被其他威胁组织作为零日漏洞利用，Mora_001勒索运营商曾借此部署与LockBit犯罪团伙关联的SuperBlack勒索软件 CVE-2024-21762：Fortinet于今年2月发布补丁，美国网络安全局(CISA)将其列入高危漏洞目录并勒令联邦机构在2月16日前加固设备。后续扫描显示仍有近15万台设备未修复 Fortinet漏洞常被用于网络间谍活动及勒索攻击。例如今年2月披露的黑客组织Volt Typhoon曾利用FortiOS SSL VPN漏洞（CVE-2022-42475及CVE-2023-27997）部署定制远控木马Coathanger——该恶意软件此前曾渗透荷兰国防部军事网络。       消息来源：  bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对GlueStack相关组件的供应链攻击，超过12个软件包被植入恶意代码。据Aikido Security向The Hacker News透露，攻击者通过篡改“lib/commonjs/index.js”文件注入恶意程序，可执行shell命令、截取屏幕截图并上传受感染设备文件，这些软件包周下载量合计近100万次。 未授权访问权限可被用于加密货币挖矿、窃取敏感信息甚至关闭服务等后续攻击。Aikido表示首次检测到软件包被入侵发生在2025年6月6日21:33（GMT）。受影响软件包及版本如下： @gluestack-ui/utils 0.1.16（101次下载） @react-native-aria/button 0.2.11（174次下载） 恶意代码与上月npm软件包“rand-user-agent”被攻破后分发的远程访问木马相似，表明可能系同一攻击者所为。该木马升级版新增两条指令：收集系统信息（“ss_info”）和获取主机公网IP（“ss_ip”）。项目维护方已撤销访问令牌并将受影响版本标记为弃用，建议用户回退至安全版本。 Aikido声明强调：“潜在影响规模巨大，木马的持久化机制尤其危险——即使维护者更新软件包，攻击者仍能持续访问受感染设备。” 恶意npm软件包具备破坏性功能 安全机构Socket同期发现两个伪装成合法工具的恶意npm包——express-api-sync（下载量112次）和system-health-sync-api（下载量861次）。前者在收到硬编码密钥“DEFAULT_123”的HTTP请求后，会执行“rm -rf *”命令递归删除当前目录所有文件。后者则兼具信息窃取与破坏功能，并根据操作系统切换删除命令（Windows执行“rd /s /q .”，Linux执行“rm -rf *”）。 安全研究员Kush Pandya指出：“express-api-sync是钝器，system-health-sync-api则是配备情报收集功能的瑞士军刀级破坏工具。”该软件包通过硬编码SMTP凭证（用户名auth@corehomes[.]in，Base64编码密码）以邮件为隐蔽通信信道，所有关键事件均会发送至anupm019@gmail.com。攻击者可通过“//system/health”和“//sys/maintenance”端点触发破坏命令，后者作为主后门被封锁时的备用机制。 PyPI软件包伪装Instagram工具窃取凭证 软件供应链安全公司同时在Python包索引（PyPI）发现名为imad213的凭证窃取程序，下载量达3,242次。该程序冒充Instagram涨粉工具，使用Base64编码隐藏恶意行为，并通过Netlify托管文件实现远程紧急停止开关。执行时会诱导用户输入Instagram凭证，随后将凭证发送至10个第三方机器人服务。 该程序由用户im_ad__213（又名IMAD-213）上传，其同期发布的其他三个恶意软件包包括： taya（930次下载）：窃取Facebook/Gmail/Twitter/VK凭证 a-b27（996次下载）：功能同上 poppo213（3,165次下载）：利用Apache Bench发动DDoS攻击 攻击者在GitHub文档中声称该库“仅用于教育研究”，并建议用户使用临时账户避免主账户风险。安全人员指出这实为制造虚假安全感。程序启动后先验证外部服务器文本文件内容是否为“imad213”，通过验证才继续执行。凭证除本地保存为“credentials.txt”外，同时发送至多个土耳其Instagram涨粉工具关联域名（注册于2021年6月）。 Socket警告：“10个机器人服务同时接收凭证，显示凭证洗白（credential laundering）的早期迹象——通过多服务分发掩盖凭证来源。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国地方报业巨头Lee Enterprises披露，2月遭遇的网络攻击导致近4万人的社保号码泄露。该公司于5月28日确认敏感信息外泄后，于本周三向缅因州监管机构提交通报。 2月3日发现的网络攻击使Lee Enterprises耗费数周时间恢复。后续调查证实，黑客窃取了39,779人的敏感信息。该公司在致受害者信函中表示已向美国联邦调查局（FBI）报案，承诺“配合调查并采取必要措施追究攻击者责任”，同时为受影响人群提供一年期免费信用监测服务。 发动攻击的麒麟（Qilin）勒索软件团伙宣称窃取该公司350GB数据。该俄罗斯黑客组织以攻击英国医疗系统等恶性事件闻名，本次攻击导致Lee旗下《圣路易斯邮报》《亚利桑那每日星报》《布法罗新闻》等多家报纸印刷及数字业务瘫痪。 总部位于爱荷华州的Lee Enterprises拥有约350种周报及专业刊物，覆盖25个州的72个市场。其向美国证交会提交的文件证实，黑客不仅窃取文件，还加密了影响产品分发、账单处理及供应商付款的“关键应用程序”。“事件对公司财务状况可能产生实质性影响”，公司2月向监管机构表示，“取证分析仍在评估潜在损失”。 上月财报电话会议上，CEO凯文·莫布雷透露事件恢复成本达200万美元，并指出报纸长期停刊导致广告收入受损。为此公司债权人已豁免其3月及4月的利息与租金支付。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 户外品牌The North Face的母公司VF户外公司披露，其零售网站4月遭受数据泄露影响近3000名客户。VF户外公司（旗下还拥有JanSport和Timberland品牌）在向美国佛蒙特州及缅因州提交的数据泄露通知函中称，公司于4月23日首次发现异常活动，确认2861个账户遭非法访问。 调查显示，攻击者对The North Face官网发起凭据填充攻击——利用从其他渠道窃取的账号密码组合侵入用户账户。“攻击者极可能通过非本公司渠道获取您的邮箱与密码，再利用相同凭据入侵官网账户。”VF户外公司在声明中解释。公司强调本次事件未涉及法定必须通报的敏感信息，当前通知纯属“出于充分谨慎的考量”。 遭窃数据涵盖用户在官网的购买记录、收货地址、全名、出生日期及电话号码。支付信息未受波及，因信用卡数据由第三方支付平台托管，官网仅保留无法在非官网场景发起交易的令牌。VF户外公司已强制重置所有账户密码，并提醒客户：若在多平台使用相同密码应立即修改。本次事件不提供身份保护服务。 此次事件是VF户外公司近年第二起同类事故——2022年该公司曾向缅因州报告另一起凭据填充攻击，致近20万客户信息泄露。值得关注的是，该公司还是美国证监会新规生效首日首家申报“重大勒索软件攻击”的企业：2023年12月的攻击曾严重扰乱其订单处理系统。 The North Face遇袭之际，英美多领域零售商正持续遭受黑客组织Scattered Spider长达数月的攻击。上周女性时尚品牌Victoria’s Secret因安全事件被迫推迟财报发布；本周二卡地亚向客户发出系统遭入侵警告；阿迪达斯、迪奥与蒂芙尼近两周亦接连公告客户及员工数据泄露。美国联邦调查局已就此向主要零售商发布网络安全情报简报——此前该组织攻击目标已从英国零售商玛莎百货、Co-op转向美国企业。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰军事情报局（HUR）宣称入侵了俄罗斯国有航空巨头图波列夫公司的内部系统，此前数日乌方刚对俄空军基地发动突袭式无人机打击。此次入侵据称使乌方特工获取了超过4.4GB敏感数据，涵盖内部通信、人事档案、采购记录及闭门会议纪要。HUR声称现已掌握俄战略轰炸机部队维护人员的完整信息——该部队曾参与对乌克兰城市的导弹袭击。 “图波列夫对乌克兰情报机构已无秘密可言，”HUR向多家当地媒体发布的声明称，并强调：“此次行动的影响将在地面与空中同时显现。”该机构还表示已将图波列夫官网首页替换为猫头鹰抓握俄罗斯飞机的图案——这正是HUR网络行动的标志性符号。截至报道时，该网站仍无法访问。 相关说法尚未得到独立核实，图波列夫公司及俄官方均未就入侵事件公开置评。 此次声明发布前一周，乌克兰刚发动大规模无人机攻势，袭击了四个俄空军基地，据称摧毁或损坏逾40架由图波列夫设计的远程轰炸机，包括Tu-95、Tu-22M3及Tu-160机型。这些无人机据称是从俄境内隐蔽的移动平台发射的。 作为苏联航空工业遗产的继承者，自2022年俄罗斯全面入侵乌克兰以来，图波列夫公司持续受到美国及西方国家的制裁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告称，近期出现的新型远程访问木马（RAT）“Chaos RAT”变种正针对Windows和Linux系统发起攻击。根据Acronis的研究，攻击者通过诱骗受害者下载伪装成Linux网络故障排查工具的恶意软件进行传播。 安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在报告中指出：“Chaos RAT是用Golang编写的开源RAT，支持跨平台的Windows和Linux系统。该工具借鉴了Cobalt Strike和Sliver等流行框架，提供可构建载荷、建立会话并控制受感染设备的管理面板”。 虽然这款“远程管理工具”的开发始于2017年，但其真正引起关注是在2022年12月——当时攻击者利用它针对托管Linux系统的公开Web应用程序发起恶意活动，部署XMRig加密货币挖矿程序。该恶意软件安装后会连接外部服务器，接收包括启动反向Shell、上传/下载/删除文件、枚举文件目录、截取屏幕截图、收集系统信息、锁定/重启/关闭设备以及打开任意URL等指令。最新5.0.3版本已于2024年5月31日发布。 Acronis发现Linux变种已出现在真实攻击中，多与加密货币挖矿活动关联。攻击链显示黑客通过包含恶意链接或附件的钓鱼邮件传播Chaos RAT。这些恶意文件会投放修改任务调度程序脚本，通过定期获取恶意软件实现持久化驻留。 早期攻击活动曾用此技术分别投放加密货币矿工和Chaos RAT，表明后者主要用于受感染设备的侦察和信息收集。对2025年1月上传至VirusTotal的样本分析显示，攻击者可能将恶意软件伪装成Linux网络故障排查工具诱导用户下载。 该木马的管理面板（用于构建载荷和控制受感染设备）被曝存在命令注入漏洞（CVE-2024-30850，CVSS 8.8分），可与跨站脚本漏洞（CVE-2024-31839，CVSS 4.8分）组合使用，实现服务器端特权提升的任意代码执行。维护者已于2024年5月修复这两个漏洞。 尽管幕后黑手尚未明确，但事件再次表明攻击者持续将开源工具武器化以混淆溯源。研究人员强调：“开发者工具可能迅速演变为攻击者的首选武器。公开渠道获取的恶意软件让APT组织隐匿于日常网络犯罪噪音中。开源恶意软件提供可快速定制部署的‘足够有效’工具包，当多个组织使用相同工具时，会极大干扰攻击溯源”。 该披露恰逢针对桌面版Trust Wallet用户的新攻击活动——攻击者通过欺骗性下载链接、钓鱼邮件或捆绑软件分发伪造版本，旨在窃取浏览器凭证、提取桌面钱包及浏览器扩展数据、执行命令并实施剪贴板劫持。安全研究员Kedar S Pandit指出：“该恶意软件安装后可扫描钱包文件、劫持剪贴板数据或监控浏览器会话以窃取助记词及私钥”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文