HackerNews 编译，转载请注明出处： 瑞士全球解决方案提供商 Ascom 确认其 IT 基础设施遭到网络攻击，黑客组织 Hellcat 正在利用被盗凭据攻击全球的 Jira 服务器。 该公司在一份新闻稿中宣布，黑客在周日入侵了其技术工单系统，目前公司正在调查此次事件。Ascom 是一家电信公司，在 18 个国家设有子公司，专注于无线现场通信。 黑客组织 HellCat 声称对此次攻击负责，并告诉 BleepingComputer，他们窃取了大约 44GB 的数据，可能会影响该公司所有部门。Ascom 表示，黑客入侵了其技术工单系统，但此次事件并未影响公司的业务运营，客户和合作伙伴无需采取任何预防措施。 “针对此类犯罪行为的调查已立即启动，并正在进行中。Ascom 正在与相关当局密切合作。”—— Ascom HellCat 黑客组织成员 Rey 告诉 BleepingComputer，他们从 Ascom 窃取了多个产品的源代码、各种项目的详细信息、发票、机密文件以及工单系统中的问题。尽管瑞士公司没有提供有关此次入侵的技术细节，但攻击 Jira 工单系统已经成为 HellCat 黑客的常见攻击手段。 HellCat 的 Jira 攻击狂潮 Jira 是一种常用于软件开发和 IT 团队的项目管理和问题跟踪平台，用于跟踪和管理项目。该平台通常包含敏感数据，例如源代码、身份验证密钥、IT 计划、客户信息以及与这些项目相关的内部讨论。 此前，HellCat 声称对施耐德电气（Schneider Electric）、西班牙电信（Telefónica）和法国电信集团（Orange Group）的攻击负责，这些公司均证实了相关事件。在这三起事件中，黑客都是通过入侵 Jira 服务器进入系统。 最近，该黑客组织还声称对英国跨国汽车制造商捷豹路虎（Jaguar Land Rover，JLR）的攻击负责，并窃取和泄露了约 700 份内部文件。 据该威胁行为者描述，泄露内容包括“开发日志、跟踪数据、源代码”以及一名员工的数据，暴露了“用户名、电子邮件、显示名称、时区等敏感信息”。 HellCat 勒索软件泄露捷豹路虎数据 威胁情报公司 Hudson Rock 的联合创始人兼首席技术官 Alon Gal 表示，捷豹路虎事件符合 HellCat 黑客的特定模式。 “此次事件的核心是一种已经成为 HELL CAT 标志的技术：利用从被信息窃取器感染的员工那里收集到的 Jira 凭据。”—— Alon Gal 该研究人员表示，捷豹路虎事件是通过使用 LG 电子员工的第三方凭据入侵 JLR 的 Jira 服务器实现的。Gal 指出，这些被盗凭据并非新近泄露，而是多年前就已经曝光，但一直有效，黑客因此得以利用。 HellCat 的活动并未止步于这些入侵事件。该威胁行为者今天宣布，他们入侵了汽车行业的营销公司 Affinitiv 的 Jira 系统。该公司为原始设备制造商（OEM）和经销商提供数据分析平台。 该威胁行为者向 BleepingComputer 确认，他们通过 Jira 系统入侵了 Affinitiv，并公开披露称，他们窃取了一个包含超过 47 万个“唯一电子邮件”和超过 78 万条记录的数据库。 当 BleepingComputer 就此次攻击联系 Affinitiv 时，该公司表示已经开始展开调查。为了证明入侵，黑客发布了两张截图，其中包含姓名、电子邮件地址、邮政地址和经销商名称。 Alon Gal 警告称，由于 Jira 在企业工作流程中的核心地位以及其存储的大量数据，“Jira 已成为攻击者的首要目标”，此类访问权限可用于“横向移动、提升权限以及提取敏感信息”。 由于信息窃取器收集的凭据很容易找到，且其中一些凭据多年来一直未更改，因为公司未能将其纳入定期轮换流程，此类攻击可能会变得更加频繁。 消息来源：BleepingComputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在利用 PHP 中的一个严重安全漏洞来投放加密货币挖矿程序和远程访问木马（RAT），例如 Quasar RAT。 该漏洞被指派了 CVE 标识符 CVE-2024-4577，是指影响运行在 CGI 模式的 Windows 系统上的 PHP 的参数注入漏洞，可能允许远程攻击者运行任意代码。 网络安全公司 Bitdefender 表示，自去年年底以来，观察到针对 CVE-2024-4577 的利用尝试激增，其中中国台湾地区（54.65%）、中国香港地区（27.06%）、巴西（16.39%）、日本（1.57%）和印度（0.33%）的集中度较高。 大约 15% 的检测到的利用尝试涉及使用“whoami”和“echo <test_string>”等命令进行基本漏洞检查。另外 15% 围绕用于系统侦察的命令，例如进程枚举、网络发现、用户和域信息以及系统元数据收集。 Bitdefender 技术解决方案总监 Martin Zugec 指出，检测到的攻击中大约有 5% 最终部署了 XMRig 加密货币挖矿程序。 “另一个较小的活动涉及部署 Nicehash 挖矿程序，这是一个允许用户出售计算能力以换取加密货币的平台，”Zugec 补充道。“挖矿进程伪装成合法应用程序，例如 javawindows.exe，以逃避检测。” PHP 漏洞用于部署 Quasar 远程访问木马 其他攻击被发现利用该漏洞交付开源的 Quasar RAT 等远程访问工具，以及使用 cmd.exe 执行托管在远程服务器上的恶意 Windows 安装程序（MSI）文件。 在某种程度上是一个有趣的变化，这家罗马尼亚公司还观察到试图修改易受攻击服务器上的防火墙配置，目的是阻止访问与漏洞利用相关的已知恶意 IP 地址。 这种不寻常的行为引发了竞争对手加密劫持集团为争夺易受攻击资源的控制权，并阻止他们再次针对自己控制的目标的可能性。这也与关于加密劫持攻击的历史观察结果一致，即在部署自己的有效载荷之前终止竞争对手的挖矿进程。 这一发展紧随思科 Talos 公布自今年年初以来针对日本组织的攻击中利用 PHP 漏洞的活动细节之后。 建议用户更新其 PHP 安装到最新版本以防范潜在威胁。 “由于大多数活动一直在使用 LOLBAS 工具，组织应考虑将 PowerShell 等工具的使用限制在环境中的特权用户（如管理员）内。”Zugec 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上个月，区块链游戏平台 WEMIX 遭遇网络攻击，导致攻击者窃取了价值约 610 万美元的 8,654,860 个 WEMIX 代币。 在昨天举行的新闻发布会上，WEMIX 首席执行官 Kim Seok-Hwan 确认了这起发生在 2025 年 2 月 28 日的事件，并解释称延迟发布公开声明并非试图掩盖，而是出于保护玩家免受进一步损失的考虑。 “我们在 2 月 28 日发现黑客攻击后，立即关闭了受影响的服务器，并开始进行详细分析，”Kim Seok-Hwan 表示。 “当天，我们向首尔地方警察厅网络调查科提交了刑事投诉，目前国家调查办公室正在进行调查。” “由于最初未能确定确切的入侵方式，立即公开可能会使我们面临更多攻击。” “此外，大部分被盗资产已被出售，影响了市场。鉴于难以保证没有进一步的风险，立即披露可能会引发市场恐慌。” WEMIX 是由韩国游戏公司 Wemade 开发的区块链游戏平台。 WEMIX 生态系统包括其自身的加密货币 WEMIX 代币，并将区块链技术整合到游戏中，提供玩赚（P2E）模式、基于 NFT 的所有权以及去中心化金融（DeFi）功能。 Wemade 以其热门游戏《传奇》而闻名，但自推出 WEMIX 以来，已专注于从旧游戏中汲取灵感的区块链集成游戏。 其中最成功的是 MIR4，仅在 Google Play 上就有超过 500 万次下载。 Wemade 的其他区块链游戏还包括 Night Crows（100 万次下载）、Rise of Stars、Crypto Ball Z 和 MIR M（已停用）。 据昨天的新闻发布会消息，黑客在窃取 NFT 平台“NILE”的监控服务认证密钥后潜入了 WEMIX。 尽管 Wemade 不确定攻击者是如何获取密钥的，但推测可能是通过入侵一个开发者为方便而上传密钥的共享存储库。 黑客在两个月的攻击计划后，尝试了十五次提款，其中十三次成功。 被盗的 WEMIX 代币很快通过加密货币交易所被洗白。 目前，WEMIX 已经下线，所有区块链相关基础设施正在迁移到更安全的环境，公司目标是在 2025 年 3 月 21 日全面恢复服务。 值得一提的是，数字资产交易所联盟（DAXA）已将 WEMIX 指定为“投资谨慎”资产并暂停存款，WEMIX 计划对此提出上诉。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一种新的供应链攻击方式，名为“规则文件后门”，它影响了像GitHub Copilot和Cursor这样的AI代码编辑器，使其能够注入恶意代码。 “这种技术使黑客能够通过将隐藏的恶意指令注入到Cursor和GitHub Copilot使用的看似无害的配置文件中，从而在不被察觉的情况下破坏AI生成的代码。”Pillar安全公司的联合创始人兼首席技术官齐夫・卡尔尼尔在与《黑客新闻》分享的技术报告中表示。 “通过利用模型指令负载中的隐藏Unicode字符和复杂的规避技术，威胁行为者可以操纵AI插入恶意代码，从而绕过常规的代码审查。” 这种攻击方式的显著之处在于，它允许恶意代码在项目中悄然传播，构成供应链风险。 攻击的核心在于AI代理用于指导其行为的规则文件，这些文件帮助用户定义最佳编码实践和项目架构。 具体来说，它涉及在看似无害的规则文件中嵌入精心设计的提示，导致AI工具生成包含安全漏洞或后门的代码。换句话说，被污染的规则会促使AI生成不良代码。 这可以通过使用零宽连接符、双向文本标记和其他不可见字符来隐藏恶意指令，并利用AI解释自然语言以生成易受攻击的代码的能力，通过语义模式欺骗模型，使其忽略道德和安全约束。 在2024年2月底和3月的负责任披露之后，Cursor和GitHub都表示用户有责任审查和接受工具生成的建议。 “‘规则文件后门’代表了一种重大风险，它将AI本身作为攻击向量，实际上将开发人员最信任的助手变成了无意的帮凶，可能通过被破坏的软件影响数百万最终用户。”卡尔尼尔说。 “一旦被污染的规则文件被纳入项目存储库，它将影响团队成员未来所有的代码生成会话。此外，恶意指令通常会在项目分叉后仍然存在，从而为供应链攻击创造了途径，可能影响下游依赖关系和最终用户。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OKX Web3 决定暂停其去中心化交易所（DEX）聚合器服务，以实施安全升级。此前有报道称，臭名昭著的朝鲜 Lazarus 黑客利用该服务进行了一次 15 亿美元的加密货币盗窃。 OKX 是一家领先的全球加密货币交易所，提供广泛的交易选项，包括现货和衍生品交易以及去中心化金融（DeFi）服务。截至 2024 年 12 月，OKX 在中心化交易所中占据全球现货交易市场份额的约 8.0%，月交易量约为 2300 亿美元，是全球顶级交易所之一。 去中心化交易所（DEX）聚合器是一个从多个 DEX 中获取流动性以提供最佳交易价格和减少滑点的平台。 在 Lazarus 组织创纪录的 15 亿美元 Bybit 加密货币盗窃后，据报道该组织试图利用 OKX 的 DEX 洗白 1 亿美元的被盗加密货币。 据彭博社报道，这引发了欧盟监管机构的调查。然而，OKX 否认了这些说法，称他们冻结了进入中心化交易所（CEX）的相关资金，并指责 Bybit 传播虚假信息。 “最近，我们发现 Lazarus 组织协调滥用我们的 DeFi 服务，”OKX 今日早些时候发布的公告中写道。 “同时，我们注意到旨在破坏我们工作的竞争攻击有所增加。我们选择采取果断行动，而不是退缩。” 今日，OKX 确认 Lazarus 一直在滥用其服务，需要一些停机时间来实施足够的防御措施以阻止这些活动。 “在与监管机构协商后，我们主动决定暂时暂停 DEX 聚合器服务。此举使我们能够实施额外的升级，以防止进一步的滥用，”OKX 解释道。 第一项措施是启动一个系统，以识别和跟踪 Web3 DEX 聚合器上与黑客相关的地址。 第二项关键措施是实时阻止这些地址在中心化交易所（CEX）上，以切断 Lazarus 的活动。 OKX 表示正在与区块链浏览器合作，确保交易得到正确标记，防止交易来源混淆并提高安全性。 加密货币交易所平台通过这些和其他措施寻求增强安全性、透明度和监管合规性。 目前尚不清楚 Lazarus 是否会找到绕过这些措施的方法，或者朝鲜黑客是否会转向其他安全标准较低的交易所。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜存在关联的威胁组织ScarCruft被指开发了一款名为KoSpy的新型安卓监控工具，主要针对韩语和英语用户。网络安全公司Lookout披露了该恶意活动的细节，称其最早版本可追溯至2022年3月，最新样本于2024年3月被标记，具体攻击成功率尚不明确。 Lookout在分析报告中指出：”KoSpy可通过动态加载插件收集短信、通话记录、定位信息、本地文件、音频和屏幕截图等大量数据。” 恶意程序伪装成Google Play官方商店中的实用工具应用，使用”文件管理器”、”手机管家”、”智能管理器”、”软件更新工具”和”Kakao安全组件”等名称诱骗用户安装。 所有被识别的应用均提供宣称的功能以避免引起怀疑，同时在后台秘密部署间谍组件。目前这些应用已从应用市场下架。 ScarCruft又名APT27和Reaper，是自2012年开始活跃的朝鲜政府支持型网络间谍组织。该组织主要通过RokRAT木马从Windows系统窃取敏感数据，该木马后续已适配macOS和Android系统。 安装恶意安卓应用后，程序会连接Firebase Firestore云数据库获取包含实际命令与控制（C2）服务器地址的配置。这种利用Firestore等合法服务作为死投解析器的两阶段C2机制兼具灵活性与隐蔽性，允许攻击者随时更换C2地址并保持隐蔽运作。 Lookout表示：”在获取C2地址后，KoSpy会验证设备是否非模拟器，并确认当前日期是否超过硬编码的激活日期。这种激活日期检查机制确保间谍软件不会过早暴露恶意意图。” KoSpy能够下载额外插件和配置以实现监控目标。由于C2服务器已停止活动或未响应请求，插件的具体功能尚不明确。 该恶意软件设计用于从受感染设备收集短信、通话记录、设备定位、本地存储文件、屏幕截图、键盘记录、Wi-Fi网络信息和已安装应用列表等广泛数据，同时具备录音和拍照功能。Lookout指出KoSpy攻击活动的基础设施与先前归因于另一朝鲜黑客组织Kimsuky（又称APT43）的行动存在重叠。 Contagious Interview行动通过npm包传播 此次披露恰逢Socket安全团队发现六个植入已知信息窃取木马BeaverTail的npm软件包，该木马与朝鲜持续进行的”Contagious Interview”攻击行动相关。已移除的软件包列表如下： is-buffer-validator yoojae-validator event-handle-package array-empty-validator react-event-dependency auth-validator 这些软件包旨在收集系统环境详情及谷歌Chrome、Brave、Mozilla Firefox等浏览器存储的凭证，同时针对Solana的id.json和Exodus的exodus.wallet等加密货币钱包文件进行窃取。 Socket研究员Kirill Boychenko表示：”这六个累计下载量超330次的新软件包高度模仿主流可信库名称，采用了与Lazarus组织关联攻击者相同的拼写错误（typosquatting）策略。此外，该APT组织为其中五个恶意包创建并维护了GitHub仓库，通过伪装开源项目合法性提高有害代码渗入开发者工作流程的概率。” 朝鲜攻击行动使用RustDoor与Koi Stealer 该发现同时关联一项针对加密货币行业的新攻击活动，攻击者使用基于Rust开发的macOS恶意软件RustDoor（又名ThiefBucket）及此前未记录的Koi Stealer家族macOS变种。 帕洛阿尔托网络Unit 42团队表示，攻击者特征与Contagious Interview存在相似性，并以中等置信度评估该活动系为朝鲜政权服务。具体攻击链涉及伪造的”工作面试”项目，当通过微软Visual Studio执行时，会尝试下载并运行RustDoor。该恶意软件随后从LastPass Chrome扩展窃取密码，将数据外传至外部服务器，并下载两个用于开启反向Shell的bash脚本。 感染最终阶段会检索并执行另一有效载荷——伪装成Visual Studio的Koi Stealer macOS版本，诱骗受害者输入系统密码，从而收集并窃取设备数据。安全研究人员Adva Gabay和Daniel Frank指出：”该行动凸显全球机构面临精密社会工程攻击的风险，此类攻击旨在渗透网络并窃取敏感数据与加密货币。当攻击者系国家级威胁组织时，相关风险远高于纯经济动机的网络犯罪。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软揭露了一起针对酒店业的钓鱼活动，不法分子假扮在线旅游机构Booking.com，利用名为ClickFix的社会工程学手段传播窃取凭证的恶意软件。 微软称，该活动始于2024年12月，目的是进行金融诈骗和盗窃，被追踪为Storm-1865。攻击目标是北美、大洋洲、南亚和东南亚以及欧洲各地与Booking.com有业务往来的酒店业人士，通过发送假冒邮件，声称有客人在Booking.com上留下了负面评价，要求收件人给出“反馈”。 ClickFix手段近来愈发普遍，它诱骗用户在修复一个虚假错误的借口下，复制粘贴并执行恶意指令，从而启动感染过程，该手段最早于2023年10月被发现。 攻击流程是Storm-1865先向目标发送恶意邮件，内容涉及Booking.com上的虚假客人负面评价，要求收件人反馈，邮件中还嵌入了看似指向预订网站的链接或PDF附件。然而，点击链接会将受害者引至一个伪装在Booking.com页面背景上的虚假验证码页面，以增加安全性假象，提高攻击成功率。 在虚假验证码页面，网页运用ClickFix手段下载恶意载荷，指示用户使用快捷键打开Windows运行窗口，然后粘贴并执行网页添加到剪贴板的命令。该命令利用合法的mshta.exe程序投放下一阶段载荷，包括XWorm、Lumma窃密程序、VenomRAT等多种常见恶意软件家族。 微软之前观察到Storm-1865利用电商平台对买家实施钓鱼攻击，引导至诈骗付款网页。此次结合ClickFix手段，显示出攻击策略的演变，旨在绕过传统反钓鱼和反恶意软件安全措施。 Storm-1865是众多采用ClickFix作为恶意软件传播手段的活动之一。该手段效果显著，连俄罗斯和伊朗的国家级攻击组织如APT28和MuddyWater也采用它来诱骗受害者。 新加坡网络安全公司记录的一起活动显示，利用ClickFix投放名为SMOKESABER的下载器，进而成为Lumma窃密程序的传播渠道。其他活动则借助恶意广告、搜索引擎投毒、GitHub问题以及在论坛或社交媒体上发布ClickFix页面链接等方式。 ClickFix标志着对抗性社会工程策略的演变，利用用户信任和浏览器功能部署恶意软件。其被网络犯罪分子和APT组织快速采用，凸显了其有效性和低技术门槛。 其他已记录的ClickFix活动包括：利用虚假验证码启动多阶段PowerShell执行过程，最终投放Lumma和Vidar等信息窃取程序；名为Blind Eagle的攻击者利用虚假Google reCAPTCHA挑战部署恶意软件；利用虚假预订确认链接将用户重定向至验证码页面，进而引导至Lumma窃密程序；利用虚假Windows主题网站将用户重定向至验证码页面，进而引导至Lumma窃密程序。 Lumma窃密程序的多样化感染机制还体现在通过伪装成人工智能内容的虚假GitHub仓库，利用名为SmartLoader的加载器进行传播。这些恶意仓库伪装成无害工具，如游戏外挂、破解软件和加密货币工具，以免费或非法功能为诱饵，诱使受害者下载ZIP文件。 Trustwave还详细描述了一起利用发票相关诱饵分发更新版Strela窃密程序的电子邮件钓鱼活动，该程序被认为由名为Hive0145的单一攻击者操作。Strela窃密程序样本包含自定义多层混淆和代码流扁平化，以增加分析难度。据报道，攻击者可能开发了一种名为“Stellar加载器”的专用加密器，专门用于Strela窃密程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本国家警察厅（NPA）和国家网络安全战略中心（NISC）发布安全通告，警告针对日本组织的高级持续性威胁（APT）攻击活动。 此次攻击由“MirrorFace”组织实施，该组织是 APT10 旗下的一个分支。他们利用 Windows Sandbox 和 Visual Studio Code 执行恶意操作，同时规避宿主系统上的安全检测。 攻击者使用了经过修改的开源远程访问木马（RAT）Lilith RAT，命名为 “LilimRAT”，该恶意软件专门针对 Windows Sandbox 运行环境进行优化。 Windows Sandbox 作为独立的虚拟环境，与宿主系统隔离。MirrorFace 组织正是利用这一特性，在受感染系统上保持持久性，同时减少攻击痕迹，降低被发现的可能性。 据 ITOCHU Cyber & Intelligence 研究人员分析，该恶意软件包含专门的代码，用于检测其是否运行在 Windows Sandbox 中。它会检查 WDAGUtilityAccount 用户文件夹的存在，这是 Windows Sandbox 默认的用户配置。 如果 WDAGUtilityAccount 文件夹未被检测到，恶意软件会立即终止运行。代码示例如下：   FileAttributesA = GetFileAttributesA(“C:\\Users\\WDAGUtilityAccount”); if (FileAttributesA != -1 && (FileAttributesA & 0x10) != 0) {     c_GetModuleFileNameA();     c_WSAStartup();     v29 = 1;     // 其他初始化代码 } 攻击者首先在目标系统上启用 Windows Sandbox（默认情况下该功能是禁用的），并创建自定义的 Windows Sandbox 配置文件（WSB）。然后，在这个隔离环境中执行恶意软件，以避免安全工具的检测。 完整的攻击流程包括： 在受感染主机上放置三个关键文件： 批处理脚本（.bat） 压缩工具 包含恶意软件的存档文件 创建 Windows Sandbox 配置文件（WSB），其中包含： 启用网络连接 在宿主系统和沙箱之间共享文件夹 设定在 Windows Sandbox 启动时自动执行命令 WSB 配置示例如下：   <Configuration>     <Networking>Enable</Networking>     <MappedFolders>         <MappedFolder>             <HostFolder>C:\{Host-side folder}</HostFolder>             <SandboxFolder>C:\{Sandbox-side folder}</SandboxFolder>             <ReadOnly>false</ReadOnly>         </MappedFolder>     </MappedFolders>     <LogonCommand>         <Command>C:\{Sandbox-side folder}\{random}.bat</Command>     </LogonCommand>     <MemoryInMB>1024</MemoryInMB> </Configuration>   通过此配置，恶意软件可在 Windows Sandbox 内部运行，同时仍可访问宿主系统的文件。 攻击流程启动后，批处理文件会提取档案并安排任务来执行恶意软件。 然后，恶意软件通过 Tor 网络与命令和控制服务器建立通信，以掩盖其活动。 这次攻击之所以特别隐蔽，是因为 Windows Sandbox 默认禁用了 Windows Defender，这就为攻击者提供了一个无安全威胁的操作环境。 此外，当 Windows Sandbox 以 SYSTEM 权限通过任务调度程序启动时，它会在后台运行而不显示窗口，这使得检测更具挑战性。 安全专家建议，除非特别需要，否则应禁用 Windows Sandbox，监控相关进程，限制管理权限，并实施 AppLocker 策略，以防止在企业环境中未经授权执行 Windows Sandbox。 消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名朝鲜黑客组织Lazarus近日被曝在npm（Node包管理器）平台投放6个恶意软件包，目前已累计被下载330次。这些软件包通过窃取账户凭证、部署后门程序等手段，专门针对加密货币敏感信息实施窃取。 网络安全公司Socket研究团队发现，此次攻击行动与Lazarus组织过往的软件供应链攻击模式高度吻合。该组织长期潜伏于npm、GitHub和PyPI（Python软件包索引）等开发者平台，通过投毒攻击渗透目标系统。其惯用手法曾导致Bybit交易所遭遇15亿美元加密货币盗窃案，创下历史最高纪录。 六大恶意软件包特征   本次发现的恶意软件包均采用”仿冒拼写”策略诱导开发者误装：   1. is-buffer-validator：仿冒流行库is-buffer，实施凭证窃取   2. yoojae-validator：伪装验证工具窃取系统敏感数据   3. event-handle-package：伪装事件处理工具部署远程后门   4. array-empty-validator：窃取系统及浏览器凭证   5. react-event-dependency：伪装React工具植入恶意程序   6. auth-validator：窃取登录凭证与API密钥   据Socket报告披露，这些软件包内嵌的恶意代码具备多重窃取功能，包括劫持Chrome、Brave、Firefox浏览器的登录数据、Cookies及历史记录，窃取macOS系统密钥链信息，针对Solana钱包的id.json文件及Exodus钱包文件实施定向窃取，包括植入朝鲜黑客惯用的”BeaverTail”恶意软件和”InvisibleFerret”后门程序。 目前所有恶意软件包仍存在于npm及GitHub平台。安全专家建议开发者严格审查项目依赖包来源，重点排查开源代码中的混淆代码、非常规服务器连接请求并警惕名称与知名库相似的软件包。 此次事件再次凸显软件供应链安全风险。Lazarus组织自2023年起持续活跃，其攻击范围已覆盖金融、加密货币等多个关键领域。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基在 2024 年观察到，南亚和东南亚、中东和非洲的海事和物流公司成为了被称作 SideWinder 的高级持续性威胁（APT）组织的攻击目标。 这些攻击活动遍布孟加拉国、柬埔寨、吉布提、埃及、阿拉伯联合酋长国和越南。其他攻击目标还包括南亚和非洲的核电站和核能基础设施，以及电信、咨询、IT 服务公司、房地产代理和酒店。 在看似更广泛地扩展其受害者范围的情况下，SideWinder 还针对了阿富汗、阿尔及利亚、保加利亚、中国、印度、马尔代夫、卢旺达、沙特阿拉伯、土耳其和乌干达的外交实体。针对印度的攻击尤为显著，因为之前曾怀疑该威胁行为者来自印度。 “值得注意的是，SideWinder 不断努力改进其工具集，以领先于安全软件的检测，延长在受感染网络中的持续存在，并隐藏在受感染系统中的痕迹，”研究人员 Giampaolo Dedola 和 Vasily Berdnikov 说，他们将其描述为“一个高度先进且危险的对手”。 SideWinder 之前在 2024 年 10 月曾是俄罗斯网络安全公司进行广泛分析的主题，记录了该威胁行为者使用名为 StealerBot 的模块化后利用工具包，从受感染的主机中捕获广泛敏感信息的情况。2024 年 7 月，BlackBerry 也强调了该黑客组织针对海事部门的攻击。 最新的攻击链与之前报告的情况相符，鱼叉式网络钓鱼电子邮件作为渠道，投放利用微软 Office 公式编辑器（CVE-2017-11882）中已知安全漏洞的陷阱文档，以激活多阶段序列，进而使用名为 ModuleInstaller 的 .NET 下载器，最终启动 StealerBot。 卡巴斯基表示，一些诱饵文档与核电站和核能机构有关，而其他文档则包含提及海事基础设施和各个港口当局的内容。 “他们不断监测其工具集被安全解决方案检测到的情况，”卡巴斯基说，“一旦他们的工具被识别，他们会在不到五小时的时间内生成新的恶意软件版本。” “如果出现行为检测，SideWinder 会尝试更改用于维持持续性和加载组件的技术。此外，他们还会更改恶意文件的名称和路径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文