HackerNews 编译，转载请注明出处： 澳大利亚新南威尔士州警方近日逮捕了一名27岁的西悉尼大学（WSU）前学生，指控其自2021年起多次入侵该校系统。据警方通报，化名为伯迪·金斯顿（Birdie Kingston）的嫌疑人涉嫌实施未经授权访问、窃取数据及破坏校园基础设施等行为，累计影响数百名师生。 金斯顿的黑客行为始于2021年，最初仅为获取廉价校园停车权限，后逐步升级为篡改学术成绩、窃取超100GB机密数据，最终演变为在暗网兜售学生信息并勒索4万澳元加密货币。警方在其位于金斯伍德区（Kingswood）的住所查获电脑设备及移动终端作为证据，并以20项罪名起诉嫌犯。 西悉尼大学自2023年5月起连续遭遇安全事件： 2023年5月：黑客入侵Microsoft Office 365系统，导致7,500人个人信息泄露（含学生ID、出生日期、原住民身份等敏感数据）； 2025年1-2月：单点登录系统遭破坏，约1万名学生受影响； 2024年11月：失窃数据被公开挂售于暗网。 值得注意的是，校方早在2023年9月就曾对当时住校的金斯顿发出警告，但其未停止攻击行为。拥有4.7万名学生、年预算6亿澳元的西悉尼大学，已向受影响群体提供专属支持热线，并联合网络安全公司CrowdStrike、CyberCX加固防护。校方称当前措施已阻断进一步入侵，但尚未回应此次逮捕事件。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗国家支持的黑客组织“Educated Manticore”被揭露针对以色列记者、网络安全专家及计算机科学教授发起钓鱼攻击。该组织与伊斯兰革命卫队(IRGC)关联，攻击者通过电子邮件和WhatsApp冒充技术高管或研究人员的虚构助理，诱导目标访问伪造的Gmail登录页面或Google Meet邀请链接。 网络安全公司Check Point将此次行动归因于代号Educated Manticore的威胁集群，该组织与APT35（及其子集群APT42）、CALANQUE、Charming Kitten等十余个知名黑客团体存在重叠。该高级持续性威胁(APT)组织长期采用精心设计的社交工程手段，通过Facebook、LinkedIn等平台虚构身份诱骗目标部署恶意软件。 Check Point指出，自2025年6月中旬伊朗-以色列冲突升级以来，该组织利用定制化的虚假会议邀请（通过邮件或WhatsApp）对以色列个人发动新攻势。由于消息结构严谨且无语法错误，推测其使用人工智能(AI)工具生成内容。其中一则WhatsApp消息甚至利用当前地缘政治紧张局势，以“急需协助开发AI威胁检测系统应对6月12日以来的网络攻击激增”为饵诱导受害者参会。 攻击初期消息不含恶意载荷，专注于建立信任。当攻击者通过对话获取目标信任后，会发送钓鱼链接导向伪造登录页面以窃取谷歌账号凭证。发送链接前，攻击者会索要目标邮箱并预填至钓鱼页面，模仿正规谷歌认证流程提升可信度。该定制钓鱼工具包采用基于React的单页应用和动态路由技术，通过实时WebSocket连接传输窃取数据，并能隐藏代码规避检测。 钓鱼页面不仅能窃取账户凭证，还可捕获双重验证(2FA)码实施中继攻击，并内置被动键盘记录程序——若用户中途放弃操作，所有输入内容仍将被窃取。部分攻击还利用Google Sites域名托管伪造会议页面，点击页面任意位置即触发认证流程。 网络安全专家警示：Educated Manticore在伊朗-以色列冲突升级阶段持续构成高危威胁。该组织以激进钓鱼手段、快速搭建攻击基础设施、及时撤除暴露据点为特征，使其能在严密监控下保持高效攻击能力。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着近期以色列与伊朗冲突升级，支持巴勒斯坦的黑客行动主义团体 GhostSec 据称已将其攻击焦点转向天基资产，尤其针对以色列卫星。这是他们表达抗议的方式。 GhostSec 长期以来通过实施远比同行更复杂的战术和有针对性行动，在黑客行动主义领域中独树一帜。目前，该组织正专注于攻击 VSAT（甚小孔径终端）系统——一种用于卫星通信的地面终端设备。 这类终端通常关联远程军事、政府及其他关键工业控制设施。尽管该组织常宣称这些行动是对实际在轨“卫星”的攻击，但其真实目标是地面与在轨卫星通信的卫星终端及暴露的网络基础设施。 这是一种操纵天基基础设施的手段。 与想象不同，黑客行动主义者并非使用 RTL-SDR、卫星天线等专门的射频设备来定位、瞄准或入侵卫星基础设施。这是因为 VSAT 终端拥有公共 IP 地址，这意味着它们很容易通过 IP 范围扫描和 Shodan 等工具被发现。 虽然 Shodan 仍是各类黑客的首选资源，但 VSAT 端点也可通过 OSINT（开源情报）方法（如关联卫星 ISP 的 ASN/IP 所有权）暴露出来。此外，还能利用各种 SNMP 枚举技术进行发现，例如以下 Metasploit 模块：auxiliary/scanner/snmp/snmp_enum。 VSAT、SNMP、Shodan 与黑客行动主义 SNMP 指简单网络管理协议（Simple Network Management Protocol），运行于端口 161。大量 VSAT 终端在互联网上暴露了 SNMP 接口。由于使用 Shodan 搜索设备相当简单，用户可以观察到 SNMP 实际上是电信、应急通信和偏远外交前哨广泛使用的协议。 试想一下：一条改变卫星调制解调器设置的 SNMP 写入命令，就可能导致整个区域断网，在战区尤其如此。 暴露 SNMP 接口的 VSAT 终端通常会泄露卫星的识别信息： 设备类型 供应商/制造商（如 Gilat、iDirect、HughesNet 等） 接口名称（如 satEnd0、satUplink、rf0ut 等） 网络拓扑，包括卫星链路、调制解调器、路由行为等 物理位置 上行/下行链路统计数据 GPS 坐标（如已设置） GhostSec 电报频道言论 GhostSec 领袖 Sebastian Dante Alexander 就该组织近期目标表示： “这次针对卫星的最新攻击不同于我们之前入侵这些卫星 GNSS 接收器的行动。我们此次攻击的 VSAT 终端已确认被军方使用。攻击截图显示了攻击步骤。我们成功使攻击的两个 VSAT 终端瘫痪，直到问题解决为止——显然这花了他们超过 24 小时。” 他解释称，该组织使卫星失效，因此以色列军方在停机期间无法获取该卫星的任何信息或继续使用。 在远程部署中，VSAT 终端通常依赖 SNMP 进行日常监控和设备管理。这种轻量级协议使服务提供商能够跟踪关键指标，如运行时间、带宽使用情况和卫星链路性能。它还使操作员能够远程重启设备或调整配置——这在物理访问不切实际的情况下是必要的。 此外，许多 VSAT 出厂时带有默认的 SNMP 团体字符串（community strings），如 public（读权限）和 private（写权限），并且极少被更改。在 VSAT 终端上保留默认 SNMP 团体字符串会构成潜在威胁：拥有 public（读权限）的任何人都可从中提取信息（包括流量日志）。 若保留未更改的 private（写权限）团体字符串，攻击者就能向 VSAT 终端写入数据，这才是真正灾难的开始。拥有 private 字符串的访问权限，攻击者可以重启调制解调器、更改路由表、重新配置上行链路参数，甚至彻底瘫痪或完全禁用 VSAT 终端。 这正是在俄乌战争初期得到证实的网络攻击中发生的情况：2022 年 2 月 24 日（即俄罗斯入侵乌克兰当天），乌克兰的 Viasat KA-SAT 卫星网络遭入侵。该攻击导致数万个地面终端瘫痪，中断了乌克兰军事通信，并造成附带影响——波及德国风力发电场和中欧的民用互联网服务提供商。 GhostSec 的目标 该组织的身份本质上与瞄准高价值网络基础设施相关联。其异常复杂的攻击手段使其区别于大多数黑客行动主义团体——后者通常使用现成工具攻击易得目标，并制造乏味的结果。 2023 年春季，GhostSec 在破坏 11 台全球导航卫星系统（GNSS）接收器后成为头条新闻，这使他们能够清除每台设备的数据，并阻止卫星未来获取任何数据。 然而，GhostSec 当前的攻击虽然与之前类似，但略有不同。 “之前的 GNSS 接收器大多用于图像采集或一般用途。这次，我们瞄准了八颗特定卫星，并成功攻击了其中两颗，在此场景下产生了更大的影响。” GhostSec 的 Telegram 频道揭示了其重燃卫星入侵兴趣背后的意识形态驱动叙事。6 月 13 日，GhostSec 提及巴勒斯坦的压迫和以色列持续升级的错误行为。 “除了关闭 500 多个网站（数量仍在增加）之外，我们还将展示更多攻击成果。我们攻击了以色列境内超过 100 台 Modbus PLC 设备，影响了他们的工业系统和 OT 系统。我们入侵了超过 40 台 Aegis 2 水处理设备，篡改了部分设备界面，并彻底扰乱了其余设备的设置，最终将其全部关闭。” “我们入侵了八台 Unitronics 设备，在对系统进行彻底破坏后，也将其关闭。我们总共入侵了 10 台属于以色列的 VSAT 设备，特别是我们之前帖子中简要提及的卫星，影响了以色列直接拥有和军方控制的卫星。” “我们有着攻击以色列的历史记录，包括所有以往的入侵、数据泄露等等。仅过去一年我们就总计入侵了 700 多台设备，这足以说明问题，但今天我们发起大规模攻击，以继续向他们施压。” 该帖以声援巴勒斯坦的声明结尾。 6 月 11 日的更早帖子展示了该组织的 OSINT（开源情报）技能，他们发布了一份以色列卫星系统及其战略价值的清单。例如，由 Gilat Satellite Networks 开发的 SatTrooper-1000 卫星系统，被用于单兵背负式终端，供地面部队通信使用。 尽管这是公开信息，但 GhostSec 显然正在编制一份类似数字“愿望清单”的军事卫星通信（SATCOM）目标档案。 心理框架效应 此外，该组织利用宣传作为心理放大器的手法，带有心理震慑的成分。与我个人观察到的其他团体不同，GhostSec 向其 3607 名 Telegram 订阅者传递消息的方式可谓独特。 多数团体倾向于复制粘贴我称之为“新闻呕吐物”的内容——作为一种情绪放大器，充斥着半真半假、未经证实的说法和糟糕的新闻报道。因此，成员们对此情绪化回应，而非战术性回应。他们助长了绝望感，这就是为什么如此多的黑客行动主义团体未能取得任何引人注目甚至具有新闻价值的成果。 GhostSec 自信、直接的语气，结合其精准度和掌控力，营造出完全不同的效果——通常被称为通过权威框架实现的“信息主导”。他们可能并未完全意识到这一点，但他们的自信本身就是一种功勋章。 GhostSec 阐述其理念和目标的方式具有强大的心理影响力。对于以色列而言，这可能造成一种印象：其安全、加密的系统正在被分析并准备遭受攻击。 对于 GhostSec 的众多支持者，该组织展现了专业素养和研究能力，强化了其合法性。他们实现这一点的方式不是通过提问或猜测，而是通过以掌控者的姿态呈现机密级别的信息，将整个局势描述为既成事实。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一批新的恶意 npm 软件包，这些软件包与朝鲜发起的持续性攻击活动“Contagious Interview”（传染性面试）有关。 安全公司 Socket 表示，此次供应链攻击涉及 24 个 npm 账户上传的 35 个恶意软件包。这些软件包已被累计下载超过 4000 次。 其中，有六个软件包目前仍可从 npm 下载：react-plaid-sdk、sumsub-node-websdk、vite-plugin-next-refresh、vite-loader-svg、node-orm-mongoose 和 router-parse。 每个已识别的 npm 软件包都包含一个名为 HexEval 的十六进制编码加载器。该加载器设计用于在安装后收集主机信息，并有选择地投递后续有效载荷，该载荷负责投递一个已知的 JavaScript 窃密程序 BeaverTail。 BeaverTail 则被配置为下载并执行一个名为 InvisibleFerret 的 Python 后门，从而使威胁行为者能够收集敏感数据并对受感染主机建立远程控制。 “这种嵌套结构有助于该活动逃避基本的静态扫描和人工审核，” Socket 研究员 Kirill Boychenko 说道，“其中一个 npm 别名还附带了一个跨平台键盘记录器软件包，可以捕获每个按键操作，这表明威胁行为者随时准备在目标需要时定制有效载荷以进行更深入的监视。” “传染性面试”（Contagious Interview）是由 Palo Alto Networks Unit 42 于 2023 年底首次公开记录的，是由朝鲜政府支持的威胁行为者发起的一项持续性攻击活动，旨在未经授权访问开发者系统，窃取加密货币和数据。 该攻击群还被广泛追踪，其绰号包括 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima（著名千里马）、Gwisin Gang（鬼怪帮）、Tenacious Pungsan（坚韧的普山）、UNC5342 和 Void Dokkaebi（虚空德基）。 该攻击群的近期迭代还被发现利用 ClickFix 社会工程学策略来传播 GolangGhost 和 PylangGhost 等恶意软件。该活动子集群被命名为 ClickFake Interview。 Socket 的最新发现表明，平壤的威胁行为者正在采取多管齐下的策略，利用各种方法诱骗潜在目标以采访或 Zoom 会议为借口安装恶意软件。 “传染性面试”的 npm 分支通常涉及攻击者冒充 LinkedIn 上的招聘人员，通过分享托管在 GitHub 或 Bitbucket 上的恶意项目链接（该项目嵌入了 npm 软件包）来向求职者和开发者发送编码任务。 “他们瞄准正在积极求职的软件工程师，利用求职者通常对招聘人员的信任，” Boychenko 说道，“虚假身份会主动联系，通常会使用事先准备好的推广信息和令人信服的职位描述。” 然后，在所谓的面试过程中，受害者会被诱导在容器化环境之外克隆并运行这些项目。 “此次恶意活动凸显了朝鲜供应链攻击中不断演变的伎俩，它融合了恶意软件预演、开源情报 (OSINT) 驱动的攻击和社会工程学，旨在通过可信生态系统入侵开发者。” Socket 说道。 通过在开源软件包中嵌入 HexEval 等恶意软件加载器，并通过虚假的作业分配进行传播，威胁行为者得以绕过外围防御，并在目标开发人员的系统上执行攻击。 该攻击活动的多阶段结构、极小的注册表占用空间以及规避容器化环境的尝试表明，资源充足的对手正在实时改进其入侵方法。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Trend Micro研究人员苏尼尔·巴蒂与舒巴姆·辛格近期分析指出，攻击者正利用配置不当的Docker API访问容器环境，并通过Tor匿名网络隐匿行踪，在易受攻击环境中秘密部署加密货币挖矿程序。 攻击技术链分析 初始渗透 攻击始于IP地址198.199.72[.]27向目标机器发送请求，尝试获取所有容器列表。若未发现活跃容器，攻击者基于“alpine”Docker镜像创建新容器，并将物理/虚拟主机的根目录（“/”）以“/hostroot”名称挂载为容器卷——此操作使攻击者能访问并修改主机文件，导致容器逃逸风险。 隐匿通道建立 通过Base64编码的shell脚本在容器创建阶段植入Tor，连接至.onion域名（wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion）获取远程脚本。研究人员强调：“此举反映攻击者惯用策略——通过Tor隐藏命令控制(C&C)基础设施，规避检测并在云/容器环境投递恶意载荷。” 持久化与控制 部署“docker-init.sh”脚本修改SSH配置：启用root登录并向~/.ssh/authorized_keys添加攻击者密钥。同时安装masscan、libpcap、zstd、torsocks等工具，通过socks5h协议将所有流量及DNS解析路由至Tor增强匿名性。 加密货币挖矿 最终投递XMRig加密货币挖矿程序，包含预配置的矿池地址及攻击者钱包。该方案能规避检测并简化在受控环境中的部署流程，主要针对科技公司、金融服务及医疗机构。 行业安全态势关联 此攻击印证了针对配置缺陷云环境的加密劫持趋势持续蔓延。 云安全公司Wiz最新扫描显示：公共代码仓库的mcp.json、.env等配置文件中存在数百个有效密钥（含30余家企业的Fortune 100公司凭证），这些资源正成为攻击者“宝藏”。 研究人员警告：“Python笔记本等代码执行结果应视为敏感信息，其内容可能为攻击者提供关键侦察情报。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列官员正紧急呼吁民众断开联网安全摄像头的电源，警告伊朗可能利用这些设备收集实时情报并调整导弹打击坐标。以色列国家网络局前副局长雷法埃尔·佛朗哥（Refael Franco）上周在公共电台采访中透露，伊朗黑客近期持续尝试访问私人监控系统，以评估其导弹袭击效果。 “我们掌握的情报显示，过去两三天内伊朗人不断尝试连接摄像头，目的是了解导弹实际落点及毁伤效果，从而提高打击精度。”佛朗哥在声明中未提供具体证据。以色列国家网络局发言人对彭博社证实，闭路电视监控系统正日益成为伊朗网络行动的攻击目标。本月初，因担忧黑客入侵和间谍活动，以色列已禁止政府官员使用任何连接公共互联网或电信网络的设备。 监控摄像头在现代战争中已成为极具吸引力的间谍工具。在包括俄乌冲突在内的多场战争中，此类系统被用于监视部队调动、防空阵地部署及关键基础设施动态。网络安全研究人员频繁报告各类联网摄像头品牌存在安全漏洞——某些未修复的陈旧漏洞甚至让黑客能持续访问设备。 今年1月，乌克兰当局通报拆除了基辅市两台据称被俄情报部门入侵的监控摄像头。调查人员称，攻击者通过远程操控调整摄像头拍摄角度，并将敏感画面实时传输至网络。另一起案件中，乌克兰安全局（SBU）逮捕了一名受雇于俄罗斯军事情报局（GRU）的本地公民，此人涉嫌在战略设施附近安装监控设备。当局披露，该男子通过Telegram被招募，对方承诺提供“轻松获利”的报酬。 类似安全忧虑在俄罗斯同样浮现。去年8月，莫斯科内政部警告边境地区居民停止使用监控摄像头，声称乌克兰军队正利用未加密系统收集道路及军事设施情报。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 沙特运动会运动员及访客数千条个人记录遭黑客组织“Cyber Fattah”泄露。此次数据泄露事件于2025年6月22日曝光，该亲伊朗黑客组织通过非法入侵phpMyAdmin系统窃取SQL数据库转储文件并公开。这已成为高规格地区性活动遭遇政治动机网络攻击的最新案例。 泄露数据包含护照与身份证扫描件、体检证明、国际银行账号（IBAN）及政府官员与IT人员的凭证。网络安全公司Resecurity研判，此次事件是伊朗及其代理人实施更广泛信息战的一部分，旨在网络空间推动反美、反以、反沙特叙事。 此次事件的特殊性在于其战略时机与地缘政治背景。数据泄露声明发布前，美国刚对伊朗核设施实施空袭，亲伊朗组织随即对特朗普社交平台“Truth Social”发动分布式拒绝服务攻击（DDoS）。分析认为，此次泄露标志着利用网络战术破坏地区稳定的协同行动已升级。 失窃数据源自2024沙特运动会注册平台，该平台处理了53个体育项目的超6000名运动员提交的敏感信息。Cyber Fattah声称此次攻击是对地区“敌对势力”的回应，并通过真主党关联组织及亲伊朗宣传网络扩大事件影响。泄露执行者“ZeroDayX”使用一次性暗网账号发布数据，Resecurity指出该手法常见于意图模糊直接溯源的国家级黑客组织或代理人。 重大体育赛事成网络攻击战略目标的原因 • 海量个人与财务数据价值 • 勒索软件部署机会 • 地缘政治信息传播平台 • 互联基础设施漏洞 • 高影响力人士及赞助商信息通道 此次沙特运动会数据泄露与2018年冬奥会等全球赛事攻击事件形成呼应，凸显体育领域亟需提升网络安全韧性。尽管2025沙特运动会具体日期未定，但沙特正筹备2025电竞世界杯、2026海湾杯及2036奥运会申办工作，这些国际活动使该国成为黑客组织破坏国际声誉的重点目标。 Resecurity呼吁相关方采用数字身份保护工具（IDP）与网络威胁情报平台（CTI），实时监控、检测及响应凭证与敏感数据泄露。这些解决方案通过早期漏洞识别、第三方风险缓解及基础设施加固，有效应对新兴威胁。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 具有俄罗斯背景的黑客组织正利用谷歌“应用密码”功能实施钓鱼攻击，这是一种旨在窃取受害者邮箱访问权限的新型社会工程学手段。 谷歌威胁情报小组与公民实验室披露了这场高度定向攻击的细节，称攻击者主要伪装成美国国务院官员。研究员表示：“2025年4月至6月初期间，该组织持续针对知名学者及俄罗斯批评人士，通过长期建立信任关系与定制化话术，诱使目标创建16位应用密码(ASP)。受害者一旦分享密码，攻击者即可长期访问其邮箱。” 谷歌将攻击归因于UNC6293组织，该团伙疑与俄罗斯背景的APT29黑客集团（又名蓝徽章/舒适熊）相关。与传统制造紧迫感的钓鱼不同，攻击者耗费数周培养信任：他们发送伪装成会议邀请的钓鱼邮件，在抄送栏伪造至少四个“@state.gov”邮箱以增强可信度。公民实验室指出：“受害者可能认为‘若有问题，国务院人员会提醒我’。而攻击者显然掌握国务院邮件服务器不验证地址有效性的漏洞。” 攻击者以“保障内外部安全通讯”为由，诱骗受害者生成应用密码（注：该功能可使低安全性设备绕过双重认证访问谷歌账户）。在目标同意会面后，向其发送伪造的国务院云平台访问指南PDF。谷歌威胁情报组确认，攻击者借此建立邮件客户端持久访问权限，终极目标是监控受害者往来邮件。 谷歌表示还监测到以乌克兰为主题的同类攻击，攻击者主要使用住宅代理和云服务器隐藏行踪，谷歌已采取防护措施。UNC6293与APT29的关联基于其自年初实施的一系列创新攻击：包括利用设备验证码和入网验证钓鱼窃取Microsoft 365账户。微软上月披露，自2025年4月以来，俄罗斯背景黑客通过虚假会议链接诱导受害者发送OAuth授权码。该恶意链接会返回设备注册令牌，使黑客设备获得目标组织网络访问权限。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客正将矛头对准加密货币与区块链行业的求职者，通过感染应聘者设备实施数据窃取。思科Talos研究人员发现，一个名为“千里马”（Famous Chollima）的朝鲜黑客组织自2024年中起，针对印度等地的少量目标人群发起定向攻击。 该组织伪造知名企业身份，诱使真实的软件工程师、营销人员及设计师等应聘者访问技能测试页面。思科Talos在6月18日的报告中指出：“从发布的职位信息可明确看出，千里马组织广泛锁定具有加密货币和区块链技术经验的人群。其技能测试网站伪装成Coinbase、Archblock、Robinhood等真实企业，以此精准定位目标人群。” 受害者会收到测试网站的邀请码，需填写个人信息并完成技能测试。随后，应聘者被要求录制视频面试。当用户授权网站使用摄像头时，页面会显示“安装视频驱动程序”的指令，诱导其复制粘贴恶意代码到终端。思科Talos将这种策略称为“点击修复”（ClickFix）——通过虚构系统错误提示，利用人类解决问题的本能心理，诱骗目标执行最终导致恶意软件下载的命令。 黑客为MacOS和Windows系统开发了专属恶意软件“PylangGhost”，可窃取多种浏览器扩展程序存储的凭证、会话cookie等关键数据。该恶意软件具有模块化结构，通过RC4加密通信连接命令控制服务器，支持远程系统操控及文件窃取。 “千里马”等组织深度参与朝鲜向欧美科技公司渗透公民的计划：既通过合法薪资赚取外汇，又借助对区块链企业的渗透实施加密货币盗窃。美国执法部门估算，此类行动为朝鲜军方创收数十亿美元。本次攻击活动还暴露出朝鲜更深层的意图：窃取加密货币领域成功求职者的属性信息，为其公民伪造身份应聘提供参考；同时预先感染可能入职合法企业的开发者设备，为后续攻击埋下伏笔。 去年12月，加密货币平台Radiant Capital遭遇的5000万美元劫案正是类似手法的重演：黑客冒充公司前承包商，向工程师发送暗藏恶意软件INLETDRIFT的PDF文件，该后门专门针对macOS设备。自2023年以来，安全专家持续警告使用MacBook的加密货币从业者是朝鲜黑客的首要目标。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国医疗保健服务与技术公司Episource近期披露重大数据泄露事件，约540万人的敏感信息可能遭窃。该公司主要为联邦医疗保险优势计划（Medicare Advantage）、医疗补助计划（Medicaid）及平价医疗法案（ACA）市场中的医疗机构提供风险调整服务、临床数据分析及病历审查解决方案。 据公司官网发布的违规通知披露，2025年2月6日发现系统异常活动后，Episource立即启动应急响应：关闭所有计算机系统，聘请网络安全专家开展调查，并向执法部门报案。调查确认黑客在1月27日至2月6日期间侵入系统并复制数据，但截至目前尚未发现数据遭滥用证据。 “受影响数据因人而异，可能包含联系方式、健康保险信息及医疗记录等敏感信息。”通知中特别强调，“少数案例中甚至涉及社会安全号码或出生日期等核心身份标识。”具体可能泄露的数据包括： 联系方式（姓名、地址、电话及邮箱） 有限数量的社会安全号码及出生日期 健康保险计划/保单、保险公司、会员/团体编号及政府医保ID 医疗记录编号、主治医师、诊断结果、用药记录、检测报告及诊疗影像 治疗护理相关敏感健康信息 尽管财务数据基本未受影响，公司仍建议受影响者密切监控医疗账单、财务及税务记录异常情况。Episource已于4月23日起陆续通知合作医疗机构及受影响个体。 医疗行业正面临日益严峻的网络安全威胁。就在本月，康涅狄格州最大非营利医疗网络耶鲁纽黑文健康系统（YNHHS）刚披露影响550万患者的网络攻击事件，与本次Episource事件形成行业警示。这两起百万级数据泄露事件凸显医疗健康数据在暗网市场的超高价值，也暴露出行业在第三方服务商安全管理方面的系统性风险。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文