HackerNews 编译，转载请注明出处： 比利时移动虚拟网络使能者（MVNE）公司Effortel发生数据泄露，导致三家移动虚拟网络运营商（MVNO）——Carrefour Mobile、Neibo和Undo——的7万名客户个人信息遭窃。此次事件发生在该公司中央数据库的测试阶段，攻击者通过侵入MVNO与Telfort之间的支持门户获取了测试生成的客户数据文件。 泄露信息包含客户姓名、出生日期、电子邮箱、电话号码、住址、护照号码、用户编号及SIM卡技术识别码等敏感数据。Effortel总经理Laurent Bataille解释称：“约60%-65%的客户通过在线支付验证身份，此类用户身份数据未被存储，仅保留支付ID（需通过支付服务商才能关联到个人信息）。” Bataille呼吁受影响客户警惕钓鱼攻击，强调诈骗者可能利用泄露数据伪造精准骗局。值得注意的是，此次事件已是相关企业近期第二起重大数据泄露： 上月：Carrefour Mobile报告6.4万名客户信息被盗； 三周前：Undo曾警告遭遇网络攻击，客户数据被非法窃取。 Effortel作为技术服务商，为全球30多家MVNO提供计费、SIM卡激活等平台支持，其业务模式依赖与实体网络运营商（如Proximus）的协作。此次漏洞暴露了MVNE生态链中第三方测试环节的安全盲区，攻击者通过渗透测试环境间接劫持客户数据流。比利时数据保护机构已介入调查，初步认定涉事企业存在未加密存储测试数据、支持门户访问控制失效等违规行为。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Darktrace的新数据显示，针对医疗行业的网络攻击强度在2024年“显著上升”，该领域遭受的安全事件数量超过其他关键行业。该公司透露，去年共处理了45起影响医疗机构的网络安全事件，高于金融行业（37起）、能源行业（22起）、保险行业（14起）和电信行业（12起）。 医疗行业成为重点攻击目标的关键因素在于其高价值属性。Darktrace指出，全球范围内医疗数据泄露造成的损失高于任何其他行业，在2020年至2024年间平均达到1000万美元。Darktrace首席网络分析师Nicole Wong表示：“医疗成为最受攻击的行业之一符合我们长期观察的趋势，但2024年的攻击强度明显加剧。医院和医疗服务机构存储着大量患者个人敏感数据，这使它们成为数据泄露、勒索软件和其他网络攻击的主要目标。” 她还补充道：“患者信息的敏感性加上关键服务可能中断的风险，构成了攻击者的高价值目标。此外，医疗作为国家关键基础设施的重要性，使其特别吸引基于国家利益的政治动机威胁行为者。” 关于攻击者如何入侵医疗系统，新报告强调钓鱼攻击（32%）和边缘基础设施漏洞利用（36%）合计占医疗系统入侵事件的三分之二以上，其余包括暴露端口、配置错误和淘汰设备漏洞利用。Wong表示这与其他行业的攻击模式类似。 值得注意的是，75%的医疗网络入侵事件仅限于企业邮箱或云账户入侵，并未升级为勒索软件或数据窃取。报告指出：“这反映出APT组织典型的多阶段攻击模式，意味着针对医疗行业的威胁行为者整体能力有所提升，安全团队需做好应对准备。” 研究人员观察到钓鱼攻击对医疗行业的针对性增强。例如，三分之一的攻击针对VIP用户，表明威胁行为者正重点关注拥有更高访问权限或决策权的个体。此外，Darktrace发现2024年“相当比例”的钓鱼邮件要么冒充供应商，要么来自已被入侵的供应商账户。Darktrace高级网络分析师Nahisha Nobregas表示：“这种演变令人担忧，因为它利用了医疗机构与供应商之间的信任关系，由于通信看似来自合法商业伙伴，检测难度显著增加。” 在漏洞利用方面，Darktrace事件数据显示攻击者频繁利用Citrix、思科、Fortinet和Ivanti等厂商的边缘基础设施设备漏洞。受影响的医疗机构类型从设备供应商到非重症护理机构均有涉及。 研究人员警告称，医疗机构的攻击面正在扩大，为威胁行为者创造了更多机会。这包括云服务使用增加导致的SaaS覆盖范围扩大、更多第三方设备和服务的整合，以及医疗物联网（IoMT）设备的增长。Darktrace举例称，曾检测到一台感染PurpleFox rootkit和DirtyMoe恶意软件的数字成像设备，表明专用医疗设备已成为另一个易受攻击的操作系统载体。在此案例中，攻击者似乎无意窃取受保护的健康信息，而是试图将该设备作为渗透网络的跳板。 Darktrace高级网络分析师Patrick Anjos警告：“这一发现凸显了防御者需要像监控IT基础设施中的其他设备一样持续监控临床设备。必须将安全监控范围从传统IT系统扩展到专用医疗设备。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文    

HackerNews 编译，转载请注明出处： 网络安全研究人员近日警告称，一款名为HTTPBot的新型僵尸网络病毒正在中国境内活跃。该恶意软件主要针对游戏行业，同时也对科技公司及教育机构发起精准打击。绿盟科技在本周发布的报告中指出：“过去数月，该病毒通过持续感染设备扩大攻击规模，采用高度仿真的HTTP Flood攻击和动态特征混淆技术，成功绕过了传统基于规则的防护系统。” 这款于2024年8月首次现身的病毒因其使用HTTP协议发动分布式拒绝服务攻击而得名。值得注意的是，虽然采用Golang语言开发，但该病毒反常地将Windows系统作为主要攻击目标。作为一款基于Windows的僵尸网络木马，其最大特点是针对高价值业务接口（如游戏登录和支付系统）实施外科手术式打击。 “这种‘手术刀式’精准攻击对依赖实时交互的行业构成系统性威胁。”总部位于北京的绿盟科技强调，“HTTPBot标志着DDoS攻击已从‘无差别流量压制’转向‘高精度业务打击’的全新范式。”统计显示，自2025年4月以来，该病毒已发动至少200次攻击指令，主要打击目标为中国境内的游戏产业、科技企业、教育机构及旅游门户网站。 技术分析显示，该病毒运行时通过隐藏图形界面规避用户和安防工具的进程监控，并通过篡改Windows注册表实现开机自启。在连接C2服务器后，将根据指令对特定目标发起海量HTTP请求。其攻击模块包含七大武器库： 浏览器攻击模块（BrowserAttack）：通过隐藏Chrome实例模拟合法流量耗尽服务器资源 会话伪造模块（HttpAutoAttack）：基于Cookie技术精确复刻合法会话 负载增压模块（HttpFpDlAttack）：采用HTTP/2协议强制服务器返回大体积响应消耗CPU资源 WebSocket攻击模块（WebSocketAttack）：利用ws://和wss://协议建立长连接 POST强制攻击模块（PostAttack）：限定使用HTTP POST方式攻击 Cookie增强模块（CookieAttack）：在浏览器攻击基础上增加Cookie处理流程 “传统DDoS僵尸网络多活跃于Linux和物联网平台。”绿盟科技专家指出，“但HTTPBot家族却剑走偏锋，专门针对Windows平台。通过深度模拟协议层、模仿合法浏览器行为，该病毒成功突破依赖协议完整性的防御体系。其随机化URL路径和Cookie补充机制能持续占用服务器会话资源，而非单纯依赖流量压制。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现名为“os-info-checker-es6”的恶意npm包，其伪装成操作系统信息工具，在受感染系统中秘密投递下一阶段恶意载荷。Veracode在向《黑客新闻》提供的报告中指出：“该攻击活动采用基于Unicode的隐写术隐藏初始恶意代码，并通过Google Calendar短链接动态分发最终载荷。” “os-info-checker-es6”由用户“kim9123”于2025年3月19日上传至npm仓库，截至5月15日已被下载2001次。该用户还上传了另一个名为“skip-tot”的npm包（下载量94次），其中将“os-info-checker-es6”列为依赖项。虽然前五个版本未显现数据窃取或恶意行为，但2025年5月7日更新的版本在“preinstall.js”文件中植入混淆代码，通过解析Unicode“私有使用区”字符提取下一阶段载荷。 恶意代码通过向Google Calendar事件短链接（calendar.app[.]google/<字符串>）发送Base64编码字符串（解码后指向IP地址140.82.54[.]223的远程服务器）建立通信。Veracode指出：“攻击者利用Google Calendar这类受信任的合法服务作为中间层托管C2链接，这种策略能有效规避检测并增加攻击初始阶段的阻断难度。”目前尚未发现后续载荷分发，可能表明攻击活动仍处于测试阶段、暂时休眠或已结束，亦或C2服务器仅响应特定条件的设备。 应用安全公司Aikido补充指出，另有三个npm包（vue-dev-serverr、vue-dummyy、vue-bit）将“os-info-checker-es6”列为依赖项，怀疑属于同一攻击活动。Veracode强调：“该恶意包展现了npm生态中复杂的多阶段攻击威胁，攻击者从测试行为逐步升级至部署成熟恶意软件。” 此次披露恰逢软件供应链安全公司Socket发布2025上半年威胁报告，指出攻击者主要采用六类技术：typosquatting（拼写劫持）、Go仓库缓存滥用、混淆代码、多阶段执行、slopsquatting（相似包劫持）以及合法服务与开发工具滥用。安全研究员Kirill Boychenko与Philipp Burckhardt建议：“防御者需关注安装后脚本异常、文件覆写及未经授权外联等行为特征，采用静态/动态分析、版本锁定及CI/CD日志审查等手段，在恶意依赖项进入生产环境前实施阻断。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新斯科舍省电力公司（Nova Scotia Power）确认遭遇数据泄露事件。该事件最初于2025年4月28日被发现，攻击者通过未授权访问侵入其业务网络及服务器。 作为加拿大电力巨头Emera集团子公司，该公司服务新斯科舍省超过50万居民、商业和工业客户，市场占有率达95%，年发电量超1万吉瓦时，运营着总长3.2万公里的输电线网。 尽管电力生产与配送未受影响，但事件响应工作导致内部运营系统中断。2025年5月1日的深入调查显示客户信息可能遭窃，最新更新确认泄露数据包括：全名、电话号码、电子邮箱、邮寄与服务地址、参与公司项目的记录、出生日期、用电历史（含用电量、服务请求、付款记录、账单明细、信用历史及客户通信内容）、驾照号码、社会保险号以及部分客户的银行账号。 调查发现实际入侵时间早于最初判断，攻击始于2025年3月19日，这意味着从漏洞发生到通过邮寄信件通知受影响客户已过去近两个月。该公司表示目前未发现泄露数据遭滥用的迹象，但将为受影响用户提供为期两年的免费信用监控服务（由环联公司TransUnion提供），并在通知信中详细说明相关支持资源。 新斯科舍省电力公司提醒客户警惕钓鱼攻击，包括冒充该公司骗取敏感信息的行为。截至5月15日，尚无勒索软件组织宣称对此事件负责。值得注意的是，虽然电力供应未受波及，但客户服务热线与在线门户在事件响应期间瘫痪长达三周。调查显示攻击者可能利用了未公开漏洞，但具体技术细节尚未披露。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国奢侈品牌迪奥（通常简称为Dior）确认了一起暴露客户信息的网络安全事件。 该公司发言人向BleepingComputer表示，此次事件影响迪奥时装与配饰（Dior Fashion and Accessories）客户，网络安全专家正在调查事件范围。 “迪奥近期发现未经授权的外部方访问了我们为迪奥时装与配饰客户保存的部分数据，”发言人表示，“我们立即采取措施遏制此事件。迪奥团队在顶尖网络安全专家的支持下，持续调查并应对此事。” 迪奥向BleepingComputer澄清，此次事件未暴露账户密码或支付卡信息，因为这些数据存储在另一个未受影响的数据库中。 “受事件影响的数据库中不包含任何密码或支付信息，包括银行账户或支付卡信息。” “我们正在根据适用法律通知相关监管机构和客户。” “客户数据的保密性和安全性是迪奥的绝对优先事项。我们对此次事件可能给客户带来的担忧或不便深表歉意。” 尽管迪奥未具体说明受影响客户数量及地区，但已有一份通知确认其韩国网站受影响。另有一些报告称中国客户收到了该品牌的泄露通知。 根据网络上分享的通知截图，该事件发现于5月7日，涉及未经授权的人员访问，并暴露以下信息： 全名 性别 电话号码 电子邮箱 邮寄地址 购买记录 迪奥韩国官网发布的公告也将泄露日期定为2025年5月7日，表明这是一起具有国际影响的网络安全事件。但在该案例中，只有联系方式、购买数据以及客户与品牌共享的偏好信息被标记为可能暴露。 与此同时，韩国媒体报道称，迪奥因未向该国所有适用监管机构通报数据泄露事件而面临法律审查。 迪奥建议客户对要求提供个人信息的钓鱼尝试保持警惕，并立即联系他们举报品牌仿冒行为。目前，受影响客户数量及国家细节尚未公开披露。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大钢铁制造商纽柯钢铁公司（Nucor Corporation）近日披露遭遇网络攻击事件，导致部分系统断网隔离，多地工厂暂停生产。该公司通过向美国证券交易委员会（SEC）提交的8-K文件（重大事件报告）通报称，发现第三方未经授权访问其部分IT系统，已启动事件响应计划并采取隔离、修复措施。 纽柯钢铁在美国、墨西哥和加拿大拥有32,000名员工，今年第一季度营收达78.3亿美元，主营钢材生产及废金属回收业务，是美国建筑、桥梁、道路等基础设施用钢筋的主要供应商。此次攻击导致多地生产线临时中断，目前正逐步恢复运营。 公司表示已通报执法部门并聘请外部网络安全专家协助调查，但尚未透露攻击发生时间、具体类型及是否涉及数据窃取或加密。截至发稿，尚无勒索组织宣称对此事件负责。BleepingComputer已联系纽柯钢铁获取更多细节，尚未收到回复。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全厂商Fortinet发布安全更新，修复一个已被作为零日漏洞利用的关键远程代码执行漏洞（CVE-2025-32756）。该漏洞影响FortiVoice企业电话系统、FortiMail邮件安全网关、FortiNDR网络检测响应系统、FortiRecorder监控平台及FortiCamera安防设备。 根据7月2日发布的安全公告，远程未认证攻击者可通过构造恶意HTTP请求，利用该基于栈的溢出漏洞执行任意代码或命令。Fortinet产品安全团队通过监测攻击活动发现该漏洞，攻击特征包括： 网络扫描探测行为 删除系统崩溃日志掩盖入侵痕迹 启用fcgi调试模式记录系统凭证和SSH登录尝试 攻击源IP地址包括：198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244, and 218.187.69[.]59。 Fortinet在攻击分析中发现，受感染系统普遍启用了非常规的fcgi调试模式。用户可通过执行诊断命令diag debug application fcgi验证系统状态，若返回general to-file ENABLED则表明存在风险。 调查显示，攻击者在入侵设备后执行以下恶意操作： 部署定制化恶意软件 创建用于窃取凭证的定时任务（cron jobs） 投放网络扫描脚本探测受害者内网 对于无法立即安装补丁的用户，Fortinet建议在受影响设备上禁用HTTP/HTTPS管理接口作为临时缓解措施。该漏洞修补前，上月Shadowserver基金会已发现超过16,000台暴露在公网的Fortinet设备遭新型符号链接后门攻击，攻击者可借此读取历史漏洞设备中的敏感文件。 此外，Fortinet曾在4月初警告存在可远程重置管理员密码的FortiSwitch交换机高危漏洞（CVE-2024-23110），该漏洞CVSS评分9.6，影响全系列版本交换机操作系统。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现新型ClickFix攻击活动正同时针对Windows和Linux系统，利用可跨操作系统感染的指令展开攻击。 ClickFix是一种社会工程学策略，通过伪造验证系统或应用错误诱骗网站访客运行控制台命令以安装恶意软件。此类攻击传统上以Windows系统为目标，诱使受害者从Windows运行命令执行PowerShell脚本，导致信息窃取恶意软件感染甚至勒索攻击。 然而，2024年一项使用虚假Google Meet错误的活动也瞄准了macOS用户。Hunt.io研究人员上周发现的最新活动，是首批将这种社会工程学技术适配到Linux系统的攻击之一。 此次攻击被归因于与巴基斯坦关联的威胁组织APT36（又名“Transparent Tribe”），攻击者仿冒印度国防部网站，提供所谓官方新闻稿链接。 当访客点击链接时，平台会对其操作系统进行识别并重定向至相应攻击流程。在Windows系统上，受害者会看到全屏页面警告内容使用权受限。点击“继续”触发JavaScript将恶意MSHTA命令复制到剪贴板，并指示用户在Windows终端粘贴执行。该操作启动基于.NET的加载器连接攻击者地址，同时用户会看到诱饵PDF文件使一切看似正常。 在Linux系统上，受害者被重定向至验证码页面，点击“我不是机器人”按钮时将Shell命令复制到剪贴板。随后引导用户按ALT+F2打开Linux运行对话框，粘贴命令并按Enter执行。该命令在目标系统部署“mapeal.sh”载荷。据Hunt.io称，当前版本尚未执行任何恶意行为，仅从攻击者服务器获取JPEG图像。 “脚本从同一trade4wealth[.]in目录下载JPEG图像并在后台打开，”Hunt.io解释道，“执行期间未观察到持久化机制、横向移动或外联通信等额外活动。” 但研究人员指出，APT36可能正在测试Linux感染链的有效性——只需将图像替换为Shell脚本即可安装恶意软件或实施其他恶意活动。 ClickFix攻击成功适配Linux系统，标志着该攻击类型现已覆盖三大主流桌面操作系统平台。 作为通用安全原则，用户在未明确知晓命令功能的情况下，不应将任何命令复制粘贴至运行对话框。此类操作只会增加恶意软件感染和敏感数据被盗风险。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国高校常用课堂互动平台iClicker官网近期遭“ClickFix”攻击，黑客通过伪造验证码诱导师生执行恶意脚本。该平台隶属麦克米伦出版集团，服务全美5000余名教师与700万学生，用户包括密歇根大学、佛罗里达大学等知名院校。 据密歇根大学安全团队披露，2025年4月12日至16日期间，访问iClicker.com的用户会遭遇虚假CAPTCHA验证，提示点击“我不是机器人”按钮。当用户照做后，攻击者会将混淆处理的PowerShell指令复制至Windows剪贴板，诱导用户通过“运行”窗口执行。该脚本会连接远程服务器（http://67.217.228[.]14:8080）下载二级载荷——针对普通用户植入可实现设备完全控制的后门程序，对沙箱环境则伪装成微软VC++运行库安装包以规避检测。 安全机构SilentPush分析称，此类“ClickFix”社会工程攻击近年呈泛滥趋势，常伪装成Cloudflare验证、谷歌会议报错等界面。历史案例显示，最终载荷多为信息窃取程序，可盗取Chrome、Edge等浏览器的密码、Cookie、加密货币钱包及敏感文档（如seed.txt、metamask.txt等），并通过加密通道回传数据。考虑到攻击目标为高校群体，专家推测其最终目的可能是窃取凭证实施网络渗透或勒索攻击。 尽管iClicker于5月6日在官网发布安全公告，但BleepingComputer发现其页面嵌入了“noindex”元标签，致使公告无法被搜索引擎收录。公告称“登录前的虚假验证码由无关第三方植入，平台数据与核心功能未受影响”，建议4月12-16日期间点击过验证码的师生运行杀毒软件，并立即重置iClicker密码。若执行过恶意指令，需更换设备存储的所有密码，推荐使用BitWarden等密码管理器。 目前，移动端用户及未遭遇虚假验证码的访问者不受影响。平台母公司麦克米伦集团未回应媒体质询，安全研究人员正逆向分析攻击中使用的PowerShell混淆技术，以追溯攻击源头。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文