HackerNews 编译，转载请注明出处：  一场恶意广告活动正在利用一款名为NexShield的虚假广告拦截Chrome和Edge扩展程序，该扩展会故意使浏览器崩溃，为ClickFix攻击做准备。 这些攻击于本月早些时候被发现，并投递了一种名为ModeloRAT的新型基于Python的远程访问工具，该工具被部署在企业环境中。 NexShield扩展程序声称是一款隐私优先、高性能、轻量级的广告拦截器，由拥有超过1400万用户的合法广告拦截器uBlock Origin的原始开发者Raymond Hill创建。该扩展现已被从Chrome网上应用商店移除。 托管安全公司Huntress的研究人员表示，NexShield通过在无限循环中创建chrome.runtime端口连接并耗尽浏览器内存资源，从而在浏览器中造成拒绝服务条件。 这会导致标签页冻结、Chrome进程CPU使用率升高、RAM使用量增加，以及浏览器整体无响应。最终，Chrome/Edge会卡死或崩溃，迫使通过Windows任务管理器终止进程。 因此，Huntress将这些攻击称为ClickFix的一个变种，并将其命名为”CrashFix”。 当浏览器重新启动时，该扩展程序会显示一个欺骗性弹窗，展示虚假警告，并建议扫描系统以定位问题。 这样做会打开一个新窗口，显示关于检测到威胁用户数据安全问题的虚假警告，并提供如何修复问题的说明，其中涉及在Windows命令提示符中执行恶意命令。 以典型的ClickFix方式，恶意扩展程序将一个命令复制到剪贴板，并指示用户只需按”Ctrl+V”，然后在命令提示符中运行它。 这个”修复”命令是一个链式操作，通过远程连接触发一个经过混淆处理的PowerShell脚本，该脚本会下载并执行恶意脚本。 为了试图使扩展程序与恶意活动脱钩并逃避检测，有效载荷在安装NexShield后有60分钟的执行延迟。 对于企业环境中特定的已加入域的主机，威胁行为者会投递ModeloRAT。该工具可以执行系统侦察、运行PowerShell命令、修改注册表、引入其他有效载荷以及自我更新。 对于非域主机，据Huntress研究人员称，命令与控制服务器返回了”TEST PAYLOAD!!!!”消息，表明这些目标要么优先级较低，要么相关攻击仍在开发中。 本月早些时候，网络安全公司Securonix发现了另一起ClickFix攻击，该攻击通过滥用全屏模式在目标浏览器中模拟Windows蓝屏死机界面。然而，在CrashFix攻击中，浏览器崩溃是真实的，这使得攻击更具说服力。 研究人员提供了关于整个CrashFix攻击及以此方式投递的有效载荷的详细技术报告。他们详细说明了感染链的多个阶段以及ModeloRAT的功能，从建立持久性、收集侦察信息到执行命令、对系统进行指纹识别以及确定其在受感染系统上的权限。 Huntress将分析的CrashFix攻击归因于名为”KongTuke”的威胁行为者，该团伙的活动自2025年初以来就一直在该公司的监控范围内。 基于最近的发现，研究人员认为KongTuke正在不断进化，并且对企业网络越来越感兴趣，因为这对网络犯罪分子来说利润更高。 要防止落入ClickFix攻击的陷阱，可以确保完全理解在系统上执行的任何外部命令的效果。此外，从受信任的发布者或来源安装浏览器扩展程序，可以保护您免受CrashFix攻击或其他威胁。 安装了NexShield的用户应执行全面的系统清理，因为仅卸载扩展程序无法清除所有有效载荷，例如ModeloRAT或其他恶意脚本。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个在美国国土安全部内部明显发生数据泄露后成立的争议性网站，其创始人透露，该网站因遭受持续的DDoS攻击而被迫下线。 多米尼克·斯金纳告诉《每日野兽》，他的”ICE名单”网站从周二晚间开始遭受”持久且复杂”的网络攻击。截至发稿时，网站仍然处于瘫痪状态，使得相关方无法查询为美国移民和海关执法局及边境巡逻队工作的探员身份信息。 斯金纳声称，导致网站瘫痪的流量来自一个俄罗斯的僵尸网络农场。但这并不一定意味着攻击者身在俄罗斯，因为DDoS攻击活动常常使用该国的IP地址。 “这些IP地址在到达我们的服务器之前会经过代理，这意味着根本无法追踪来源，”斯金纳告诉该媒体。”不过，持续如此长时间的攻击是相当复杂的。” 斯金纳及其团队目前正试图更换服务器以恢复网站上线，尽管据报道他承认该网站将继续成为DDoS攻击者的主要目标。 数千人信息面临泄露风险 这个自称为”问责倡议”的网站，是在据报道DHS内部一名举报人向斯金纳分享了4500名ICE及边境巡逻官员的详细信息后启动的，其中包括许多”一线”探员。 据称，泄露的数据包含姓名、工作邮箱地址、电话号码、职位头衔与职责，以及简历风格的背景信息，如过往工作经历。 一旦网站恢复上线，这些数据将与现有的2000名联邦移民官员个人信息库合并。据报道，该网站托管在荷兰，使其不受美国当局的管辖。 这名DHS举报人是在明尼苏达州一名ICE探员枪杀37岁、三个孩子的母亲蕾妮·妮可·古德后，决定采取行动的。 Reddit用户评论指出，斯金纳本可以采取一种更具韧性的方法，即将这些争议数据放在种子文件中，并发布链接。这将使其更难通过DDoS攻击被关闭。另一位用户发布了该网站的存档链接，目前仍可访问。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊网络服务CodeBuild中的一个关键配置错误，可能导致攻击者完全接管该云服务提供商自身的GitHub仓库，包括其AWS JavaScript SDK，从而使每个AWS环境面临风险。 该漏洞被云安全公司Wiz命名为CodeBreach。在2025年8月25日进行负责任披露后，AWS已于2025年9月修复了该问题。 “通过利用CodeBreach，攻击者可能注入恶意代码，发起一次平台级的入侵，不仅可能影响无数依赖该SDK的应用程序，还可能威胁到控制台本身，危及每一个AWS账户，”研究员Yuval Avrahami和Nir Ohfeld在分享给The Hacker News的一份报告中表示。 Wiz指出，该漏洞源于持续集成流水线中的一个弱点，可能使未经身份验证的攻击者入侵构建环境、泄露特权凭证（如GitHub管理员令牌），然后利用这些令牌向受入侵的仓库推送恶意更改——从而为供应链攻击开辟了路径。 换言之，该问题削弱了AWS引入的Webhook过滤器，这些过滤器旨在确保只有特定事件才会触发CI构建。例如，可以配置AWS CodeBuild，使其仅在代码变更提交到特定分支，或者GitHub或GitHub Enterprise Server账户ID（亦称ACTOR_ID或参与者ID）匹配正则表达式模式时才触发构建。这些过滤器旨在防范不受信任的拉取请求。 此配置错误影响了以下由AWS管理的开源GitHub仓库，这些仓库被配置为在拉取请求时运行构建：aws-sdk-js-v3 aws-lc amazon-corretto-crypto-provider awslabs/open-data-registry 这四个项目都实施了ACTOR_ID过滤器，但存在一个”致命缺陷”：它们未包含确保完全正则表达式（regex）匹配所需的两个字符——即起始锚点 ^ 和结束锚点 $。相反，正则表达式模式允许任何是受批准ID超字符串（例如，755743）的GitHub用户ID绕过过滤器并触发构建。 由于GitHub按顺序分配数字用户ID，Wiz表示能够预测新用户ID（目前为9位长）大约每五天就会”超过”一位受信任维护者的六位ID。这一洞察，结合使用GitHub应用来自动化应用创建（这反过来会创建一个对应的机器人用户），使得通过触发数百次新的机器人用户注册来生成目标ID（例如226755743）成为可能。 一旦获得了参与者ID，攻击者现在就可以触发构建，并获取aws-sdk-js-v3 CodeBuild项目的GitHub凭证，即属于aws-sdk-js-automation用户的个人访问令牌（PAT），该用户拥有对该仓库的完全管理员权限。 攻击者可以利用这种提升后的访问权限，直接将代码推送到主分支、批准拉取请求、窃取仓库机密，最终为供应链攻击铺平道路。 “上述仓库为AWS CodeBuild Webhook过滤器配置的正则表达式原本旨在限制受信任的参与者ID，但存在不足，允许通过可预测获取的参与者ID获得对受影响仓库的管理权限，” AWS在今天发布的一份公告中表示。 “我们可以确认，这些是这些仓库Webhook参与者ID过滤器特定于项目的错误配置，而非CodeBuild服务本身的问题。” 亚马逊还表示，它已修复了已识别的问题，并实施了额外的缓解措施，例如凭证轮换和保障包含GitHub令牌或内存中任何其他凭证的构建流程安全的步骤。它进一步强调，没有发现CodeBreach在野外被利用的证据。 为降低此类风险，必须确保不受信任的贡献不会触发特权CI/CD流水线，可通过启用新的”拉取请求评论批准”构建门控功能、使用CodeBuild托管的运行器通过GitHub工作流管理构建触发器、确保Webhook过滤器中的正则表达式模式使用锚点、为每个CodeBuild项目生成唯一的PAT、将PAT的权限限制在所需的最低范围，并考虑为CodeBuild集成使用一个专用的无特权GitHub账户来实现。 网络安全 “此漏洞是一个典型的例子，说明了为什么攻击者将CI/CD环境作为目标：一个微妙、容易被忽视的缺陷，却能被利用来造成巨大影响，” Wiz研究员指出。”复杂性、不可信数据和特权凭证的结合，为无需事先访问即可造成高影响入侵创造了完美风暴。” 这并非CI/CD流水线安全首次受到审视。去年，Sysdig的研究详细阐述了如何利用与pull_request_target触发器相关的、不安全的GitHub Actions工作流来窃取特权的GITHUB_TOKEN，并通过单个来自分叉的拉取请求，未经授权访问数十个开源项目。 Orca Security的一项类似的两部分分析发现，谷歌、微软、英伟达和其他财富500强公司的项目中存在不安全的pull_request_target配置，这可能允许攻击者运行任意代码、窃取敏感机密，并向受信任的分支推送恶意代码或依赖项。这种现象被称为pull_request_nightmare。 “通过滥用通过pull_request_target触发的、配置不当的工作流，攻击者可能从一个不受信任的分叉拉取请求，升级到在GitHub托管的甚至自托管的运行器上执行远程代码（RCE），”安全研究员Roi Nisimi指出。 “使用pull_request_target的GitHub Actions工作流，绝不应在没有适当验证的情况下检出不受信任的代码。一旦这样做，它们就面临完全入侵的风险。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新一波GoBruteforcer攻击瞄准了加密货币和区块链项目的数据库，将其纳入僵尸网络，该网络能够对Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务进行用户密码暴力破解。 “当前这一波攻击活动由两个因素驱动：大量重复使用人工智能生成的服务器部署示例，这些示例传播了常见的用户名和脆弱的默认设置；以及XAMPP等遗留Web堆栈的持续存在，这些堆栈暴露了FTP和管理界面，且安全加固程度极低。”Check Point Research在上周发布的分析报告中表示。 GoBruteforcer最初由Palo Alto Networks Unit 42于2023年3月记录，其能够针对运行x86、x64和ARM架构的类Unix平台，部署一个互联网中继聊天僵尸程序和一个用于远程访问的Web Shell，同时获取暴力破解模块以扫描易受攻击的系统并扩大僵尸网络的覆盖范围。 Lumen Technologies的Black Lotus Labs团队在2025年9月的一份后续报告中发现，由另一个名为SystemBC的恶意软件家族控制的大量受感染僵尸机器，也属于GoBruteforcer僵尸网络的一部分。 Check Point表示，他们在2025年年中识别出一个更复杂的Golang恶意软件版本，该版本包含一个用跨平台编程语言重写的、经过深度混淆的IRC僵尸程序，改进了持久化机制、进程伪装技术和动态凭证列表。 凭证列表包含了可以接受远程登录的常见用户名和密码组合（例如：myuser:Abcd@123 或 appeaser:admin123456）。选择这些名称并非偶然，因为它们曾在数据库教程和供应商文档中使用，而这些资料都被用于训练大型语言模型，导致模型生成的代码片段带有相同的默认用户名。 列表中的其他一些用户名则专注于加密货币（例如：cryptouser、appcrypto、crypto_app 和 crypto）或针对phpMyAdmin面板（例如：root、wordpress 和 wpuser）。 “攻击者在每次活动中重复使用一个稳定的小型密码池，从该池中刷新每个任务的列表，并每周数次轮换用户名和特定领域的补充内容，以追求不同的目标，”Check Point称。”与其他服务不同，FTP暴力破解使用的是硬编码在破解程序二进制文件中的一小套凭证。这套内置的凭证指向网络托管堆栈和默认服务账户。” 根据Check Point观察到的活动，攻击者利用运行XAMPP的服务器上暴露在互联网的FTP服务作为初始入侵载体，上传一个PHP Web Shell，然后使用基于系统架构的Shell脚本来下载并执行更新版的IRC僵尸程序。一旦主机被成功感染，它可以用于三种不同的用途： 运行暴力破解组件，尝试对互联网上的FTP、MySQL、Postgres和phpMyAdmin进行密码登录。 托管并向其他被入侵的系统分发有效负载，或者 托管IRC风格的控制端点，或充当备用命令与控制（C2）服务器以增强弹性。 对该攻击活动的进一步分析确定，其中一台被入侵的主机被用来部署一个模块，该模块遍历TRON区块链地址列表，并使用 tronscanapi[.]com 服务查询余额，以识别资金非零的账户。这表明了针对区块链项目的协同努力。 “GoBruteforcer例证了一个更广泛且持久的问题：暴露的基础设施、脆弱的凭证和日益自动化的工具的组合，”Check Point表示。”虽然该僵尸网络在技术上相对简单，但其运营者受益于大量在线且配置不当的服务。” 这一披露正值GreyNoise透露，威胁行为者正在系统地扫描互联网，寻找可能提供对商业LLM服务访问权限的配置不当的代理服务器。 在这两个攻击活动中，有一个在2025年10月至2026年1月期间，利用了服务器端请求伪造（SSRF）漏洞，针对Ollama的模型拉取功能和Twilio SMS webhook集成。基于对ProjectDiscovery OAST基础设施的使用，推测该活动可能源于安全研究人员或漏洞赏金猎人。 第二组活动始于2025年12月28日，据评估是一次大规模枚举尝试，旨在识别与阿里巴巴、Anthropic、DeepSeek、Google、Meta、Mistral、OpenAI和xAI相关的暴露或配置不当的LLM端点。扫描源自IP地址 45.88.186[.]70 和 204.76.203[.]125。 “从2025年12月28日开始，两个IP地址启动了对超过73个LLM模型端点的系统性探测，”该威胁情报公司称。”在十一天内，他们生成了80,469个会话——这是对可能泄露商业API访问权限的配置不当代理服务器进行的系统性侦察。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 索赔管理公司Sedgwick证实，其专注于政府业务的子公司正在处理一起网络安全事件。 在新年前夕，TridentLocker勒索软件团伙声称攻击了Sedgwick政府解决方案公司，并窃取了3.4千兆字节的数据。 Sedgwick的一位发言人证实，公司目前正在处理该子公司的一起安全事件。该子公司为国土安全部、移民和海关执法局、海关和边境保护局、公民及移民服务局、劳工部以及网络安全和基础设施安全局等联邦机构提供索赔和风险管理服务。 该发言人称：”在发现该事件后，我们立即启动了事件响应预案，并通过外部法律顾问聘请了外部网络安全专家，协助对受影响的隔离文件传输系统进行调查。” “重要的是，Sedgwick政府解决方案公司的系统与公司其他业务系统是隔离的，更广泛的Sedgwick系统或数据未受影响。此外，没有证据表明索赔管理服务器被访问，Sedgwick政府解决方案公司为客户提供服务的能力也未受影响。” 公司已通知执法部门，并正在就此事与客户保持沟通。 网络安全和基础设施安全局与国土安全部没有回应置评请求。该公司还为美国所有50个州的市政机构以及史密森尼学会和纽约与新泽西港务局提供服务。 网络安全专家表示，TridentLocker是一个于2023年11月新出现的勒索软件团伙。该团伙此前曾声称对比利时邮政与包裹服务公司bpost的攻击负责，bpost已证实近期遭遇了数据泄露。 自出现以来，该团伙在其数据泄露网站上总共列出了12个受害者。 勒索软件团伙曾多次针对像Sedgwick这样的联邦政府承包商。一年前，知名政府承包商Conduent遭受攻击后，超过1000万人的信息被泄露。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月，与伊朗有关的黑客组织Handala声称，已完全入侵了两名以色列政要的移动设备。 然而，Kela网络情报研究人员的详细分析揭示，实际入侵范围更有限——攻击目标是特定的Telegram账户，而非完全获取设备访问权限。 该组织声称，在”章鱼行动”中入侵了前总理纳夫塔利·贝内特的iPhone 13，并泄露了联系人列表、照片、视频以及约1900条聊天记录。 此后不久，他们声称以类似方式访问了以色列参谋长察希·布拉弗曼的设备。尽管这些声称十分惊人，但实际的入侵暴露了账户安全方面的严重漏洞，而非设备层面的入侵。 Kela的分析师对泄露的材料进行了取证检查，发现大多数被曝光的对话是Telegram在同步过程中自动生成的空联系人卡片。 只有大约40个对话包含实际消息，其中显示实质性交流的对话更少。所有被曝光的联系人都链接到活跃的Telegram账户，证实数据来源于Telegram本身。 Kela的研究人员和分析师指出，该事件凸显了会话管理和账户安全实践中的严重漏洞，即使在加密消息平台上也是如此。 了解感染和账户接管机制可以揭示Handala是如何在没有完全设备访问权限的情况下入侵这些账户的。 该组织可能采用了多种攻击向量，包括SIM卡交换攻击——攻击者控制受害者的电话号码以接收登录验证码。 他们也可能利用电信基础设施中SS7协议的漏洞，在网络层面拦截短信。此外，Handala可能使用了复杂的钓鱼活动，通过虚假登录页面或恶意二维码窃取一次性密码。 会话劫持是另一种可能的攻击向量，即攻击者从Telegram Desktop复制tdata文件夹——该认证文件包含活跃会话数据，当在其他地方恢复时，可绕过一次性密码和多因素认证，提供完整的账户访问权限。 该组织的操作手法还包括通过多种技术获取一次性验证码：通过语音通话触发验证、利用未更改的默认PIN码从语音信箱提取验证码，或冒充Telegram支持人员，通过社会工程手段诱使工作人员泄露凭据。 Telegram的默认设置显著放大了这些风险。云密码功能是可选的，且默认禁用，这意味着仅凭一次性密码即可获得完整的账户访问权限。 标准聊天缺乏端到端加密，数据以云聊天的形式存储在Telegram服务器上，而非本地存储，这大大扩展了攻击面。 Handala最早于2023年12月出现，在多个网络犯罪论坛建立存在，并运营多个Telegram频道和社交媒体账户。 他们的行动主要针对以色列公司和组织，一贯在其活动中表现出对伊朗和巴勒斯坦事业的支持，这表明其具有国家支持或亲国家的动机。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年圣诞节期间，一场协同攻击行动爆发，黑客针对 Adobe ColdFusion 服务器及其他 47 种以上技术平台发起了超 250 万次恶意请求。 经调查，此次攻击由单一威胁攻击者发起，其攻击基础设施位于日本境内。这表明攻击者正开展大规模漏洞扫描行动，目标既包括最新暴露的漏洞，也涵盖了近 20 年间的遗留漏洞。 在针对 ColdFusion 服务器的专项攻击阶段，攻击者利用了 2023-2024 年间披露的 10 余个高危漏洞（CVE 编号），其中圣诞节当天的攻击流量峰值占比高达 68%。攻击者特意选择节假日发起攻击，此时企业安全团队人手不足、防护能力下降，显然是有意利用这一监控空档期。 此次攻击共波及全球 20 个国家的 ColdFusion 服务器，相关恶意请求约 5940 次，其中美国地区的攻击会话占比达 68%。 攻击流量主要来自 CTG 服务器有限公司托管的两个核心 IP 地址，分别是 134.122.136.119 与 134.122.136.96。 攻击技术细节 该威胁攻击者借助 ProjectDiscovery Interactsh这一带外测试平台，验证攻击是否成功生效，并在 oast.pro、oast.site 及 oast.me 等服务上部署了近 1 万个独立的带外测试域名，用于接收攻击回调信息。 攻击者采用的核心攻击路径为WDDX 反序列化漏洞，进而触发Java 命名和目录接口 / 轻量级目录访问协议注入（JNDI/LDAP 注入） 攻击，攻击目标直指 com.sun.rowset.JdbcRowSetImpl 这一 Java 组件调用链。值得注意的是，针对 ColdFusion 服务器的攻击仅占此次大规模行动的 0.2%。 对整个攻击行动的全面分析显示，攻击者对 Java 应用服务器、Web 框架、内容管理系统平台及企业级应用中的 767 个不同漏洞展开了系统性侦察。其中，攻击频率最高的两个漏洞分别是 Confluence 的 OGNL 注入漏洞（CVE-2022-26134），遭 12481 次攻击；以及 “破壳” 漏洞（Shellshock，CVE-2014-6271），遭 8527 次攻击。 网络指纹分析结果显示，此次攻击共出现 4118 个独立的 JA4H HTTP 签名，这意味着攻击者很可能使用了 “Nuclei” 等框架开展模板化扫描。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   育碧旗下战术射击游戏《彩虹六号：围攻》（R6）发生安全事件：攻击者滥用内部系统，随意封禁/解封玩家、篡改封禁公告，并向全球账号发放巨额游戏货币与全部外观物品。 据玩家截图与社区反馈，黑客至少实现了以下操作： 任意封禁或解封玩家账号 在滚动封禁公告中插入伪造信息 给所有玩家发放约 20 亿点 R6 点券 与声望 解锁全部外观，含仅限开发者的内部皮肤 R6 点券为官方商城出售的付费货币，定价 15,000 点券 ≈ $99.99，因此 20 亿点券价值约 1,333 万美元。 周六上午 9:10，@Rainbow6Game 官方账号发推承认“发现问题，团队正在处理”。 随后育碧主动关闭游戏服务器及内置商城：“为确保修复，Siege 与 Marketplace 已暂时下线。” 最终公告明确三点： 玩家不会因花掉被发放的点券而受到处罚； 所有自 UTC 11:00 起的交易将被回滚； 滚动封禁信息并非官方生成，该功能早已禁用。 目前服务器仍处维护状态，育碧尚未发布正式事故报告，也未回复 BleepingComputer 的置评邮件。 更大规模入侵传闻 VX-Underground 称，有多个互无关联的黑客组织宣称已深入育碧基础设施： 组织 A：仅利用 R6 服务操纵封禁与库存，未触碰用户数据； 组织 B：借助近期公开的 MongoDB 漏洞 CVE-2025-14847（MongoBleed），从暴露实例中提取内存凭据，进而进入育碧内部 Git，声称窃取自 1990 年代至今的全部源代码； 组织 C：同样利用 MongoBleed 拿到用户数据，正向育碧勒索； 组织 D：反驳部分说法，称“组织 B 拿到源码已有一段时间”。 BleepingComputer 尚无法独立验证上述声明，包括 MongoBleed 是否被利用、源码或用户数据是否泄露。 目前可确认的范围仅限于《彩虹六号：围攻》游戏内异常。 若育碧后续披露更多信息，我们将持续更新。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trust Wallet 官方证实，12 月 24 日发布的 Chrome 扩展程序更新被植入恶意代码，已造成约 700 万美元的加密资产失窃。 币安创始人赵长鹏（CZ）在 X 平台发文称：“截至目前，此次攻击已影响约 700 万美元。Trust Wallet 将全额赔付，用户资金 SAFU。对造成的不便深表歉意。”“团队仍在调查黑客是如何提交了新版本。” 与此同时，BleepingComputer 发现攻击者趁火打劫，注册钓鱼域名，假借“漏洞修复”之名继续洗劫受害用户钱包。 平安夜更新后钱包被掏空 12 月 24 日起，大量用户在社交媒体反映，刚升级 Trust Wallet Chrome 扩展后资产瞬间被转走。现已确认，这起供应链攻击至少造成 700 万美元损失。 Trust Wallet 是一款热门非托管钱包，支持移动端与 Chrome 浏览器扩展，用于管理多链资产并与 dApp 交互。 早先有用户发帖：“越来越多人抱怨，浏览器扩展一授权，钱就消失了……损失已超 200 万美元？” 安全分析师 Akinator 提醒：“在官方结论出炉前，请立即停用 Trust Wallet Chrome 扩展。” BleepingComputer 确认，Trust Wallet 于 12 月 24 日发布了 2.68.0 版本，随后钱包被盗报告激增。舆论发酵后，Trust Wallet 悄然在 Chrome 商店推送 2.69 版。 研究人员很快在 2.68.0 的打包文件 4482.js 中发现可疑代码：“新版偷偷加入了一段‘分析’代码，一旦导入助记词，就把钱包数据外发到 api.metrics-trustwallet[.]com。”该域名系事发前几天刚注册，现已无法访问。 安全研究员 Andrew Mohawk 最初持怀疑态度，最终证实该接口确实用于窃取密钥。 WHOIS 显示，metrics-trustwallet[.]com 与后续出现的钓鱼域名 fix-trustwallet[.]com 注册商相同，极可能由同一团伙操控。 官方确认安全事件 昨晚，Trust Wallet 公告承认 2.68.0 版扩展“遭遇安全事件”，呼吁用户立即升级至 2.69。对于受影响人数及具体损失，官方尚未回应媒体问询。 钓鱼网站趁火打劫 恐慌期间，多个 X 账号诱导用户访问 fix-trustwallet[.]com。该站仿冒官网，声称“修复漏洞”，实则弹窗索要助记词。一旦输入，攻击者可立即转走全部资产。 用户应立即执行以下操作 若未升级，切勿打开桌面端扩展。 在浏览器地址栏输入： chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph 关闭 Trust Wallet 扩展开关。 打开右上角“开发者模式”。 点击左上角“更新”按钮，确保版本号为 2.69。 若怀疑已泄露，立即新建钱包并转移剩余资产，旧助记词永久作废。 Trust Wallet 表示客服已主动联系受损用户，其他问题可提交至： https://twtholders.trustwallet.com   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型基于互联网的攻击正在将太阳能电力基础设施转变为高风险目标，使黑客仅需利用开放的端口和免费工具就能在几分钟内中断能源生产。 现代太阳能电站依赖网络化的运营技术，包括SCADA控制器和组串监测箱，其中许多设备仍使用Modbus协议。这是一种遗留协议，没有内置安全功能。 当这些设备暴露在互联网上时，攻击者可以远程发送控制命令，在晴朗的天气里仅用一个数据包就能切断电力。 Cato Networks的分析师注意到，针对直接控制太阳能电池板输出的启用Modbus的组串监测箱，存在大规模侦察和利用尝试。 通过滥用通常暴露在502端口的TCP上的Modbus协议，对手可以读取设备状态，然后翻转控制位来开启或关闭组串。 这种风险不需要零日漏洞或复杂的负载，它来自于默认开放的服务和设计上就不安全的协议。一旦攻击者识别出一台可访问的设备，从首次探测到造成电力中断的时间可以从几天缩短到几分钟。 Cato Networks的研究人员发现，当这些攻击与能够自动扫描、指纹识别和针对OT资产进行命令注入的智能体AI框架结合时，其影响范围会进一步扩大。 AI驱动的工具可以快速扫描大范围IP地址，发现暴露的Modbus服务，并以机器速度测试可写的寄存器。这改变了太阳能电站运营者的威胁模型，因为人类防御者在监控和响应方面难以跟上这种速度。 来源分析凸显了薄弱点：组串监测箱。它使用Modbus协议，并将光伏组串连接到SCADA”大脑”。一旦这个箱子被入侵，攻击者实际上就变成了一个恶意SCADA操作员。 他们可以使用简单的Modbus功能码来读取电压和电流的保持寄存器，然后写入改变系统状态的线圈或寄存器值。在许多部署中，这些箱子位于扁平网络上，IT和OT之间没有分段，这使得横向移动更加容易。 基于Modbus的命令级操控 该威胁的核心是通过Modbus/TCP直接操控寄存器。攻击者首先使用Nmap的Modbus NSE脚本进行基本发现，以确认主机在502端口上运行Modbus并枚举设备ID。 用于OT侦察的典型Nmap命令如下所示： nmap -sV -p 502 --script modbus-discover <目标IP> 这一步显示了哪些单元ID会响应以及支持哪些功能码。然后，攻击者会转向使用如mbpoll或modbus-cli等工具来读写寄存器。 例如，恶意操作员可以通过向一个控制寄存器写入特定值来尝试关闭一个光伏组串： mbpoll -m tcp -t 0 -r 0xAC00 -0 1 <目标IP> # 0xAC00 映射为"关闭" 在已有案例中，像0xAC00和0xAC01这样的寄存器分别被映射为”关闭”和”开启”。 通过循环这些命令，攻击者可以快速切换组串、给逆变器施加压力，或者在电站保持在线的情况下静默地降低发电量。 当这些操作被封装在AI驱动的逻辑中时，脚本可以持续探测是否接受指令、重试失败的写入，并适应部分防御措施，将简单的寄存器修改转变为可靠、可重复的漏洞利用。 Cato Networks的报告通过一个关于暴露的Modbus端口502的真实世界警报强调了这个问题，该警报被评为高风险，并与过于宽松的防火墙规则有关。 总之，这些发现全面、技术性地解析了太阳能资产上暴露在互联网的Modbus服务如何被利用，从而导致快速、高影响的电网中断。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文