HackerNews 编译，转载请注明出处： “Contagious Interview”行动背后的朝鲜黑客组织（又称WaterPlum）被曝利用恶意Visual Studio Code项目传播新型恶意软件家族StoatWaffle。 自2025年12月起，该组织开始采用VS Code “tasks.json”配置分发恶意软件这一新战术。攻击利用”runOn: folderOpen”选项，每当项目文件夹在VS Code中打开时即自动触发执行。 NTT Security在上周发布的报告中指出：”该任务配置会从Vercel上的Web应用下载数据，与操作系统无关。本文虽以Windows环境为例，但核心行为在各系统上基本一致。” 下载的载荷首先检查执行环境是否安装Node.js，若未安装则从官网下载并安装。随后启动下载器，定期轮询外部服务器获取下一阶段下载器，该下载器行为相同——访问同一服务器的另一端点，将接收到的响应作为Node.js代码执行。 StoatWaffle两大功能模块： 窃密模块：窃取Chromium内核浏览器和Mozilla Firefox中存储的凭证及扩展数据，并上传至C2服务器。若受感染系统为macOS，还会窃取iCloud钥匙串数据库。 远控木马（RAT）：与C2服务器通信，获取并在受感染主机执行命令。支持切换工作目录、枚举文件目录、执行Node.js代码、上传文件、递归搜索指定目录并列出或上传匹配关键词的文件、运行shell命令及自我终止。 这家日本安全厂商表示：”StoatWaffle是基于Node.js的模块化恶意软件，具备窃密和远控两大模块。WaterPlum持续开发新恶意软件并更新现有工具。” 与此同时，该组织针对开源生态的多次攻击活动也被曝光： 恶意npm包：分发PylangGhost恶意软件，系该 malware 首次通过npm包传播。 PolinRider行动：在数百个公共GitHub仓库中植入混淆的恶意JavaScript载荷，最终部署BeaverTail新版本——这是Contagious Interview关联的知名窃密下载器。其中包括Neutralinojs GitHub组织的四个仓库。攻击者疑似通过恶意VS Code扩展或npm包感染受害者后，篡夺了该组织长期贡献者的GitHub账户（拥有组织级写入权限），强制推送从Tron、Aptos和币安智能链（BSC）交易中获取加密载荷的JavaScript代码，以下载运行BeaverTail。 微软本月对Contagious Interview的分析显示，攻击者通过”精心伪装的招聘流程”实现初始访问——模拟真实技术面试，最终说服受害者在评估环节运行托管于GitHub、GitLab或Bitbucket的恶意命令或包。 部分情况下，攻击者通过LinkedIn接触目标。但被选中的并非初级开发者，而是加密货币或Web3领域的创始人、CTO及高级工程师——这些人很可能拥有公司技术基础设施和加密钱包的高级访问权限。近期一起事件中，攻击者试图通过虚假面试接触AllSecure.io创始人，但未得逞。 这些攻击链部署的主要恶意软件家族包括：OtterCookie（具备广泛数据窃取能力的后门）、InvisibleFerret（Python后门）和FlexibleFerret（Go和Python双版本模块化后门）。InvisibleFerret通常通过BeaverTail投递，但近期入侵中也发现通过OtterCookie获取初始访问后直接作为后续载荷分发。 值得注意的是，FlexibleFerret又称WeaselStore，其Go和Python变体分别被称为GolangGhost和PylangGhost。 攻击者正积极改进战术：新版VS Code项目已弃用Vercel域名，改用GitHub Gist托管脚本下载执行下一阶段载荷，最终部署FlexibleFerret。这些项目同样托管于GitHub。 微软指出：”通过将恶意软件投递嵌入开发者信任的面试工具、编程练习和评估流程，攻击者利用求职者在高动机和时间压力期间对招聘流程的信任，降低其警惕性和抵抗力。” 针对VS Code任务功能的持续滥用，微软在2026年1月更新（1.109版本）中引入缓解措施：新增”task.allowAutomaticTasks”设置，默认关闭，防止打开工作区时自动执行”tasks.json”中定义的任务。 Abstract Security表示：”该更新还禁止在工作区级定义此设置，因此恶意仓库自带的.vscode/settings.json文件无法覆盖用户全局设置。1.109版本及2026年2月更新（1.110版本）还引入二次提示，在新打开的工作区检测到自动运行任务时警告用户，作为用户接受工作区信任提示后的额外防护。” 近月来，朝鲜黑客还通过LinkedIn社交工程、虚假风投公司和欺诈视频会议链接，对加密货币从业者发起协同恶意软件攻击。该活动与GhostCall和UNC1069等集群存在重叠。 MacPaw旗下Moonlock Lab表示：”攻击链最终导向ClickFix式虚假验证码页面，诱骗受害者在终端执行剪贴板注入命令。该行动跨平台设计，针对macOS和Windows分别投递定制载荷。” 美国司法部（DoJ）近日宣布对三名男子判刑——25岁的Audricus Phagnasay、30岁的Jason Salazar和35岁的Alexander Paul Travis，三人因协助朝鲜欺诈性IT工作者计划、违反国际制裁而认罪，此前均于2025年11月认罪。 Phagnasay和Salazar均被判三年缓刑及2000美元罚款，并被没收参与电信诈骗所得非法收益。Travis被判一年监禁，并没收19.3265万美元——这是朝鲜人员冒用其身份所获金额。 佐治亚州南区联邦检察官Margaret Heap在声明中表示：”这些人实际上把网络王国的钥匙交给了疑似朝鲜海外技术工作者——他们试图为朝鲜政府筹集非法资金，而这些人只是为了看似轻松的金钱回报。” 上周，Flare和IBM X-Force详细披露了该IT工作者计划的内部结构，并指出这些工作者在加入计划前需就读朝鲜顶尖大学并通过严格面试。 两家公司指出：”他们被视为朝鲜社会精英成员，已成为朝鲜政府战略目标不可或缺的部分。这些目标包括但不限于：创收、远程就业活动、窃取企业和专有信息、勒索，以及为其他朝鲜组织提供支持。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）周五表示，与俄罗斯情报机构有关联的威胁行为者正在开展网络钓鱼活动，试图入侵 WhatsApp 和 Signal 等商业消息应用程序（CMA），以控制具有高情报价值人员的账户。 FBI 局长卡什・帕特尔在 X 平台（原推特）上发文称：“此次活动的目标是具有高情报价值的人员，包括现任和前任美国政府官员、军事人员、政治人物和记者。在全球范围内，这一行动已导致数千个个人账户遭到未经授权的访问。攻击者获得访问权限后，能够查看消息和联系人列表，以受害者的身份发送消息，并利用受信任身份开展更多网络钓鱼活动。” CISA 和 FBI 称，这一活动已致使数千个个人 CMA 账户遭到入侵。值得注意的是，这些攻击旨在侵入目标账户，并非利用安全漏洞或弱点来破解平台的加密保护。 虽然这些机构并未将该活动归咎于某个特定的威胁行为者，但微软和谷歌威胁情报小组此前的报告已将此类活动与多个与俄罗斯有关的威胁组织联系起来，这些组织包括 “星暴”（Star Blizzard）、UNC5792（又名 UAC – 0195）以及 UNC4221（又名 UAC – 0185）。 法国国家网络安全局（ANSSI）下属的网络危机协调中心（C4）也曾发布类似警报，警告针对政府官员、记者和企业领导人即时通讯账户的攻击活动激增。 C4 表示：“这些攻击一旦成功，恶意行为者就能访问聊天记录，甚至控制受害者的消息账户，并以受害者的身份发送消息。” 此次活动的最终目的是让威胁行为者未经授权访问受害者账户，从而查看消息和联系人列表，代受害者发送消息，甚至通过滥用信任关系对其他目标进行二次网络钓鱼。 正如德国和荷兰的网络安全机构近期所警告的，此次攻击中，攻击者冒充 “Signal 支持” 人员接近目标，敦促他们点击链接（或扫描二维码），或提供 PIN 码或验证码。无论哪种方式，这种社会工程手段都能让威胁行为者获取受害者的 CMA 账户访问权。 不过，根据受害者所采用的不同方式，此次活动会产生两种不同结果： 如果受害者选择向威胁行为者提供 PIN 码或验证码，他们将失去账户访问权，因为攻击者已用其在自己端恢复账户。虽然威胁行为者无法访问过往消息，但这种方法可用于监控新消息，并冒充受害者向他人发送消息。 如果受害者最终点击链接或扫描二维码，受威胁行为者控制的设备就会与受害者账户关联，使其能够访问所有消息，包括过去发送的消息。在这种情况下，除非受害者在应用设置中被明确移除，否则他们仍可继续访问 CMA 账户。 为更好地防范此类威胁，建议用户切勿与任何人分享短信验证码或验证 PIN 码，收到来自未知联系人的意外消息时要谨慎，点击链接前先检查，定期查看已关联设备，并移除可疑设备。 Signal 本月早些时候在 X 平台上发文称：“这些攻击和所有网络钓鱼一样，依赖社会工程手段。攻击者冒充可信联系人或服务（比如虚构的‘Signal 支持机器人’），诱骗受害者交出登录凭证或其他信息。” “为防止此类情况发生，请记住，只有在首次注册 Signal 应用程序时才需要短信验证码。我们还要强调，Signal 支持人员绝不会通过应用内消息、短信或社交媒体主动联系您，索要验证码或 PIN 码。如果有人索要与 Signal 相关的任何代码，那就是诈骗。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纳维亚福利解决方案公司（Navia）正告知近 270 万人，他们遭遇了数据泄露事件，敏感信息已暴露给攻击者。 对该事件的调查显示，黑客在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，得以访问该公司系统。不过，纳维亚公司于 1 月 23 日才发现这一可疑活动。 纳维亚公司表示，发现问题后立即做出响应，并展开调查，以确定此次事件可能造成的影响。 公司在向受影响人员发出的通知中称：“调查发现，在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，有未经授权的人员访问并获取了某些信息。” 纳维亚是一家以消费者为核心的福利管理机构，为全美 1 万多家雇主提供服务。 该公司提供软件及客户服务，用于管理灵活支出账户（FSA）、健康储蓄账户（HSA）、健康报销安排（HRA）、通勤福利以及《综合预算协调法案》（COBRA）相关服务。 此外，它还协助处理通勤福利、生活方式账户、教育福利、合规 / 风险服务以及退休相关事务。 据该公司透露，对此次数据泄露事件的调查表明，黑客访问并可能窃取了以下几类数据： 全名 出生日期 社会安全号码（SSN） 电话号码 电子邮件地址 健康报销安排（HRA）参与情况 灵活支出账户（FSA）信息 《综合预算协调法案》（COBRA）参保信息 纳维亚强调，此次数据泄露并未暴露理赔细节或财务信息。然而，这些已泄露的数据，已足以让威胁行为者针对受影响人员发动网络钓鱼和社会工程攻击。 该公司表示，已重新审视其安全态势和数据保留政策，以找出可能需要改进的薄弱环节，并已将此次事件通知联邦执法部门。 信息遭泄露的客户，将获克罗尔公司（Kroll）提供的为期 12 个月的免费身份保护及信用监测服务。同时，公司也建议收到通知信的客户考虑在其信用档案上设置欺诈警报和安全冻结。 截至撰稿时，尚无勒索软件组织宣称对纳维亚数据泄露事件负责。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了另一个复杂的 iOS 漏洞利用工具包，并找到证据表明它已被国家支持的黑客和商业间谍软件供应商使用。 一个被追踪为 UNC6353 的俄罗斯国家支持的间谍组织，在针对乌克兰的攻击中使用了这个 iOS 漏洞利用工具包。 3 月初，谷歌和 iVerify 分享了关于 Coruna 的详细信息，这是一个功能强大的漏洞利用工具包，针对 iOS 13 至 17.2.1 版本中的 23 个漏洞，其中包括近十几个零日漏洞。 Coruna 被视为首个大规模针对 iOS 设备的漏洞利用工具包，UNC6353 在针对乌克兰的水坑攻击中使用了它，随后因其具备窃取加密货币的能力，也被出于经济利益的组织利用。 周三，iVerify、谷歌和 Lookout 分享了 UNC6353 使用的第二个大规模利用 iOS 漏洞的工具包的详细信息。该工具包名为 “暗剑”（DarkSword），它针对苹果移动平台的六个漏洞，只需极少的用户交互就能完全攻陷设备。 “暗剑” 与 Coruna 共享基础设施，且在针对乌克兰的水坑攻击中被使用，这表明它们同属一个威胁行为者的武器库。 用人工智能防御对抗人工智能攻击 谷歌还发现证据表明，“暗剑” 已被商业监视供应商使用，其中包括一个被追踪为 UNC6748 的组织，用于针对沙特阿拉伯、土耳其和马来西亚的攻击。 “暗剑” 完全用 JavaScript 编写，首先利用 Safari 漏洞实现远程代码执行（RCE），接着进行沙盒逃逸，然后利用内核漏洞注入并执行 JavaScript 代码以提升权限并最终执行有效载荷。 观察到的攻击是通过在独立新闻机构顿巴斯新闻（News of Donbas）的网站以及文尼察第七行政上诉法院的官方网站中注入恶意 iframe 来实施的。 完整的攻击链 被攻击的漏洞包括 CVE – 2025 – 31277、CVE – 2025 – 43529、CVE – 2025 – 14174、CVE – 2025 – 43510、CVE – 2025 – 43520 和 CVE – 2026 – 20700。 CVE – 2025 – 31277 和 CVE – 2025 – 43529 是两个 WebContent 进程的即时编译（JIT）问题，可导致任意内存读 / 写原语，“暗剑” 在攻击初始阶段利用了这些问题。 然后，它针对 CVE – 2026 – 20700，以绕过可信路径只读（TPRO）和指针认证码（PAC）保护并实现任意代码执行。该漏洞在 2 月作为零日漏洞被修复。 接下来，攻击链针对 CVE – 2025 – 14174，这是 ANGLE 中的一个越界写入漏洞，结合 PAC 绕过，通过 GPU 进程逃离 Safari 的沙盒。CVE – 2025 – 43529 和 CVE – 2025 – 14174 在 12 月被修复。 从 GPU 进程开始，攻击利用 CVE – 2025 – 43510 针对 XNU 内核，这是一个写时复制漏洞，可在 mediaplaybackd 守护进程中提供任意内存读 / 写原语，然后利用这些原语利用 CVE – 2025 – 43520 实现内核权限提升。 强大的信息窃取能力 Lookout 解释说，最终的有效载荷是一个由众多模块组成的编排器，使攻击者能够从受感染设备中窃取敏感信息。 它的目标包括密码、照片、WhatsApp 和 Telegram 消息、短信、联系人、通话记录、浏览器数据（cookie、历史记录和密码）、已安装的应用程序、Wi – Fi 数据和密码、苹果健康数据、日历和便签、已连接账户的信息以及加密货币钱包。 Lookout 指出：“这种恶意软件非常复杂，似乎是一个专业设计的平台，通过访问高级编程语言能够快速开发模块。这一额外步骤表明，在开发这种恶意软件时投入了大量精力，考虑到了可维护性、长期开发和可扩展性。” 这家网络安全公司还指出，“暗剑” 针对加密货币的攻击能力表明，UNC6353 可能已将其能力扩展到金融盗窃领域，或者它从一开始就是一个出于经济利益的威胁行为者。UNC6353 使用的 Coruna 漏洞利用工具包并未针对加密货币钱包。 数百万部 iPhone 可能受影响 安全研究人员警告称，苹果已经为 Coruna 和 “暗剑” 所针对的所有漏洞推出了补丁，但仍有数亿台设备可能面临攻击。 iVerify 表示：“我们估计，‘暗剑’漏洞利用链仍然影响着相当一部分 iPhone 用户。具体来说，运行 iOS 18.4 至 18.6.2 版本的用户中有 14.2%（约 2.2152 亿台设备）被认为存在漏洞。” 这家网络安全公司指出，如果目标漏洞可用于攻击低于 18.4 版本和高于 26.x 版本的 iOS 系统，受影响设备的数量可能会高得多。 iVerify 解释说：“基于所有 iOS 18 版本都易受该攻击链中大多数漏洞影响的假设，大约 18.99% 的用户（2.96244 亿）可能会受到影响。” 建议用户更新到 iOS 26.3.1 和 18.7.6 版本，这是包含针对 “暗剑” 漏洞利用工具包中所有漏洞补丁的最新平台版本。 在沙特阿拉伯、土耳其和马来西亚的攻击 在过去五个月里，谷歌识别出在 “暗剑” 成功攻击中投放的三个有效载荷，即 GhostBlade、GhostKnife 和 GhostSaber。 这家互联网巨头表示，2025 年 11 月，UNC6748 利用 “暗剑”，通过一个以 Snapchat 为主题的网站，在水坑攻击中针对沙特阿拉伯用户。所使用的恶意软件 Ghostknife 是一个 JavaScript 后门，具备强大的信息窃取能力。 11 月下旬，商业监视供应商 PARS Defense 在针对土耳其用户的攻击中使用了 “暗剑”，并于 2025 年 1 月在针对马来西亚用户的攻击中再次使用。 这些攻击中的有效载荷是 GhostSaber，这是一个 JavaScript 后门，能够进行文件渗出、设备和账户枚举、数据窃取以及执行任意 JavaScript 代码。 UNC6353 自 2025 年 12 月开始使用 “暗剑” 针对乌克兰发动攻击，投放了 GhostBlade 恶意软件，该软件具备信息窃取功能但没有后门能力，这与 iVerify 和 Lookout 的发现一致。 谷歌解释说：“UNC6748、PARS Defense 和 UNC6353 在漏洞利用交付实现方面存在显著的异同。我们评估，每个行为者都在‘暗剑’开发者的一组基本逻辑基础上构建了自己的交付机制，并根据自身需求进行了调整。” 谷歌还指出，虽然 UNC6353 使用的 “暗剑” 漏洞利用工具包仅针对运行 iOS 18.4 – 18.6 版本的设备，但 UNC6748 和 PARS Defense 使用的变体也针对 iOS 18.7 版本。 Lookout 指出：“利用受感染合法网站的水坑攻击本质上是零点击攻击，因为目标受害者可能本来就经常访问恶意网站。即使需要引诱用户访问该网站，社会工程防御培训也无效，因为感染网址是合法的。” 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI上周发布威胁报告称，已封禁一批与亲克里姆林宫媒体Rybar关联的ChatGPT账户。该网络利用人工智能生成社交媒体内容，并起草针对非洲的秘密影响力行动方案。 这一名为”鱼食”的行动批量生成多语言内容，随后在Telegram和X平台发布。OpenAI研究人员表示，至少部分账户可能源自俄罗斯。 研究人员指出：”本质上，这些ChatGPT活动似乎是为这些账户提供内容农场服务”，但无法独立核实AI生成材料最终如何被发布上网。 该行动主要使用俄语提示词，但产出内容涵盖英语、西班牙语等多种语言。部分提示词用于生成批量英文评论，随后由一系列与Rybar（俄语意为”渔民”）无公开关联的Telegram和X账户发布。 除内容生成外，研究人员披露，有用户要求ChatGPT协助为Rybar制定非洲秘密干预活动的商业计划，包括管理X和Telegram账户、创办聚焦非洲的双语调查新闻网站，以及在法语媒体安排付费投放。 另一提示词涉及编辑一份疑似选举干预团队的提案，内容涵盖建立本地网络、组织大规模活动及配合在线影响力行动。提示词还涉及布隆迪和喀麦隆的选举程序信息查询，并讨论马达加斯加的竞选选项，包括煽动抗议的建议。报告称，最宏大的项目预算高达60万美元/年。 研究人员表示：”该行动生成的内容具有典型的俄罗斯秘密影响力行动特征——通常赞扬俄罗斯及其盟友（如白俄罗斯），批评乌克兰，并指责西方国家干涉内政。” Rybar主Telegram频道拥有约140万订阅者。OpenAI指出，尽管受众规模可观，但未观察到该网络内容被主流媒体显著放大，也未发现非洲当地有与之匹配的实际活动证据。 Rybar为亲战军事博客，由前俄罗斯国防部新闻官米哈伊尔·兹温丘克及其同事杰尼斯·休金创立。俄罗斯独立媒体报道称，已故瓦格纳私人军事公司创始人叶夫根尼·普里戈任曾参与资助该项目。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oasis Security报告显示，OpenClaw AI助手存在漏洞，攻击者可通过诱导受害者访问恶意网站劫持AI代理。 该漏洞利用无需安装恶意扩展或用户交互，仅依赖OpenClaw自身功能即可成功。 OpenClaw作为自托管AI代理，运行本地WebSocket服务器作为网关，负责身份验证、代理编排、会话管理及配置存储。应用和设备以节点身份连接网关以暴露功能、执行命令和访问能力，身份验证通过令牌或密码完成。 Oasis指出：”网关默认绑定localhost，基于本地访问天然可信的假设。正是这一假设导致了安全问题。” 该安全公司发现，当AI代理的网关绑定至localhost且受密码保护时，若开发者访问恶意网站，代理可能被劫持。 由于浏览器跨源策略未阻止对localhost的WebSocket连接，恶意网站上的JavaScript代码可使用代理端口打开此类连接。随后可暴力破解密码——localhost连接不受网关速率限制器约束——进而注册为可信设备，而来自localhost的设备配对会自动批准，无需用户确认。 Oasis说明：”网关的速率限制器完全豁免回环连接，失败尝试不计数、不节流、不记录。实验室测试中，我们仅通过浏览器JavaScript就达到了每秒数百次密码猜测的持续速率。在此速度下，常见密码列表不到一秒即可穷举，大型字典也只需数分钟。” 一旦猜中密码，攻击者即可获得具有管理员权限的认证会话，完全控制OpenClaw。这使得攻击者可与代理交互、提取配置、枚举节点及读取日志。 Oasis表示：”实践中，这意味着攻击者可指示代理搜索开发者的Slack历史获取API密钥、读取私信、从连接设备外泄文件，或在任何配对节点执行任意shell命令。对于具备典型OpenClaw集成的开发者而言，这相当于从浏览器标签页发起的工作站完全沦陷。” OpenClaw安全团队在收到Oasis报告后24小时内修复了该漏洞，并将其归类为高危问题。建议用户更新至OpenClaw 2026.2.25或更高版本。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织协调开展的为期一年、代号 “指南针行动” 的打击行动，导致 30 人被捕，179 名嫌疑人与以儿童和青少年为目标的网络犯罪集团 “The Com” 关联。 欧洲刑警组织在周四发布的新闻稿中表示，调查人员确认 62 名受害者，并直接保护其中 4 人免受该组织侵害。 指南针行动于 2025 年 1 月启动，由欧洲刑警组织欧洲反恐中心主导，汇集 28 国执法机构打击 The Com（Community 的缩写）。 欧洲刑警组织称其为去中心化虚无主义极端网络，The Com 是由英语系网络罪犯组成的松散组织，以针对、侵害并招募青少年实施敲诈、暴力及制作儿童性剥削材料（CSAM）闻名。 The Com 活跃于各类社交媒体、在线游戏、即时通讯应用和音乐流媒体平台，下设多个分支，包括： ·     Offline Com：宣扬破坏财产、伤害他人及实施恐怖活动 ·     Cyber Com：策划网络入侵与勒索软件攻击 ·     (S) extortion Com：胁迫未成年人实施性犯罪，煽动自残与自杀 另一个 2021 年出现的分支 “764” 在 The Com 中臭名昭著，该组织诱导未成年人制作色情内容，用于敲诈或在成员间传播。 2025 年 4 月，764 两名头目（21 岁 Leonidas Varagiannis、20 岁 Prasan Nepal）被捕，被控运营跨国儿童剥削团伙，面临终身监禁。 The Com 此前与 2025 年 4 月针对玛莎百货、Co-op、哈罗德百货的重大勒索软件攻击，以及 2023 年 9 月拉斯维加斯赌场入侵事件有关联。 欧洲刑警组织欧洲反恐中心负责人 Anna Sjöberg 表示：“这些网络专门在儿童最放松的数字空间里针对他们。” “指南针行动使我们能够提前干预、保护受害者，并瓦解那些利用脆弱人群实现极端目的的组织。没有任何国家能独自应对这一威胁，通过合作，我们正在封堵他们试图藏身的空隙。”   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 罗马尼亚国家输油管道运营商 Conpet 披露，本周二遭遇网络攻击，其业务系统受干扰，公司官网也已无法访问。 Conpet 运营着近 4000 公里输油管网，负责向罗马尼亚全国炼油厂输送国产及进口原油，以及汽油、液态乙烷等石油衍生品。 该公司在周三发布的新闻稿中表示，此次事件仅影响企业 IT 基础设施，未干扰核心运营，也未影响合同履约能力。Conpet 补充称，官网因攻击下线，目前正联合国家网络安全部门开展事件调查，推进受影响系统恢复工作。 该输油管道运营商已通报罗马尼亚有组织犯罪与恐怖主义调查局（DIICOT），并就此次事件提起刑事诉讼。Conpet 表示：“需说明的是，运营技术系统（监控与数据采集系统及通信系统）未受影响，因此公司核心业务 —— 通过国家石油运输系统输送原油与汽油 —— 运行正常，未出现任何中断。”而受此次事件影响，公司官网 www.conpet.ro 目前无法访问。 尽管 Conpet 尚未披露攻击类型，但 Qilin 勒索软件团伙已宣称对此次攻击负责，并于今日早些时候将 Conpet 列入其暗网数据泄露平台。该威胁团伙还声称，已从 Conpet遭攻陷的系统中窃取近 1TB 文件，并泄露十余张内部文件照片（含财务信息及护照扫描件），以此证实数据泄露属实。 Conpet 在Qilin的泄露网站上（From:BleepingComputer） Qilin 团伙于 2022 年 8 月以“Agenda”为名开始作为勒索软件即服务（RaaS）运营。过去四年间，其宣称攻击了近 400 个目标，包括日产汽车、日本朝日啤酒、出版业巨头李企业集团、病理服务商 Synnovis 以及澳大利亚维多利亚州法院服务局等知名机构。 BleepingComputer 已就此事联系 Conpet 寻求置评，但截至发稿未获回复。科技媒体 BleepingComputer 就此次事件联系 Conpet 求证，但暂未获得回应。 此前在去年 12 月，罗马尼亚水务局（全国水务管理机构）、奥尔特尼亚能源集团（该国最大煤电能源生产商）也曾遭遇勒索软件攻击。2024 年 12 月，罗马尼亚大型电力供应与分销商电力集团（Electrica Group）遭 Lynx 索软件攻击；2024 年 2 月，超 100 家罗马尼亚医院因遭遇 Backmydata 勒索软件攻击，医疗管理系统瘫痪，陷入全面停摆。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型恶意攻击活动正对伊朗境内人员传播恶意软件，目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。 该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现，最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本，并于1月29日发布了详细分析报告。 研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”，目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计，便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令，还能通过计划任务持久化部署更多恶意软件。 该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取，并通过Telegram进行命令与控制（C2）通信。 HarfangLab研究人员评估认为，该恶意软件是借助AI工具开发的，代码中存在多处大语言模型（LLM）辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者，但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合，且存在相关语言特征线索。研究人员明确表示，有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者。 伪造法医档案，诱捕异见者与研究者 RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点，包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间，德黑兰地区 200 名疑似抗议者的死亡名单，该时段正是伊朗境内反政权动荡频发期。 这些Excel文档被精心命名以伪装成官方记录（例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”），内含 5 个工作表，均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队，包括伊朗伊斯兰革命卫队（IRGC）、巴斯基民兵组织、情报部等；另一个工作表包含含毒理学检测结果在内的详细验尸报告；第三个工作表记录遗体移交家属的相关信息，最后一个 “帮助” 工作表诱导用户启用宏，进而触发恶意软件执行。 研究人员指出，这些诱饵旨在利用目标人群的情感创伤，精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出，文件数据存在大量矛盾之处，例如年龄与出生日期不匹配、涉事医生工作量不符合常理等，足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节，其设计目的是引发冲击感与紧迫感，研究人员称该手法与伊朗过往网络攻击操作一致。 SloppyMIO恶意程序：数据窃取与间谍监控能力 当用户打开恶意Excel文件并按照提示“启用内容”后，一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件，即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构：每次感染都会生成略有差异的代码，大幅提升安全工具的识别与拦截难度。 该恶意软件激活后，会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹，再强制该程序加载恶意代码，伪装成系统正常组件运行。为实现持久化运行，该恶意软件会创建计划任务，确保电脑每次启动时自动加载自身。代代码中还遗留多处线索，证明其至少部分由 AI 生成，例如命名怪异的变量及类似自动生成的注释内容。 与连接传统可疑C2服务器的恶意软件不同，SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。为进一步规避检测，黑客采用隐写术，将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。 安装完成后，SloppyMIO 可执行多项间谍与破坏任务，具体包括： 收集并外泄文件。 在受害者计算机上执行任意命令。 下载额外的恶意软件。 安装用于长期控制的后门。 攻击者可通过Telegram远程下令，指挥恶意软件搜索特定文档、运行程序，甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化：即便被清除，也会自动重新安装。 受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示，无法确认样本上传者是攻击目标对象还是相关研究人员。 报告写道：“我们认为，此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。” 尽管未做最终归因，但研究人员指出，RedKitten的感染链与伊朗、且与伊斯兰革命卫队（IRGC）相关的威胁组织“Yellow Liderc”（又名Imperial Kitten，编号TA456）的战术、技术和程序存在重叠。“值得注意的是，该组织过去就曾利用恶意Excel文档，通过‘AppDomain管理器注入’技术投递.NET恶意软件，且同样劫持了AppVStreamingUX.exe这一合法Windows程序。” 此外，研究人员还从RedKitten攻击基础设施中发现多项线索，表明威胁行为者与已知伊朗关联威胁组织存在关联，且使用波斯语。例如，自 2022 年起，多个伊朗威胁集群的攻击活动中，就曾出现以 GitHub 作为死信解析器（DDR）、以 Telegram 作为命令与控制（C2）信道的手法。研究人员甚至提及，攻击者在载荷中“戏谑地”使用了小猫图像，这或许是在调侃安全行业常用“Kitten”（小猫）来命名伊朗关联黑客组织的惯例。 研究人员总结道：“由于伊朗关联威胁行为者之间存在大量手法重合，且大语言模型在攻击活动中的应用日益广泛，对其进行精准区分的难度正不断提升。赤砂风暴（Crimson Sandstorm）等组织及伊朗整体高级持续性威胁（APT）生态中，均已出现此类趋势。” 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了在 n8n 工作流自动化平台两个新的安全漏洞，其中一个为可导致远程代码执行的高危漏洞。 这两个由 JFrog 安全研究团队发现的漏洞详情如下： CVE-2026-1470（CVSS 评分：9.9）：一个 eval 注入漏洞。经过身份验证的用户可通过传入特制的 JavaScript 代码，绕过平台的表达式沙箱机制，从而在 n8n 主节点上实现完整的远程代码执行。 CVE-2026-0863（CVSS 评分：8.5）：一个 eval 注入漏洞。经过身份验证的用户可借此绕过 n8n 的 python-task-executor 沙箱限制，在底层操作系统上运行任意 Python 代码。 成功利用这些漏洞可使攻击者劫持整个 n8n 实例，即便该实例运行在 “内部” 执行模式下也不例外。n8n 在其文档中指出，在生产环境中使用内部模式可能带来安全风险，并建议用户切换至外部模式，以确保 n8n 与任务运行进程之间有适当的隔离。 “n8n 为自动化 AI 工作流而遍布企业全流程，因此它掌控着、基础设施的核心工具、功能和数据密钥，包括大语言模型（LLM）API、销售数据和内部身份与访问管理（IAM）系统等，”JFrog 在与 The Hacker News 分享的声明中表示。“一旦发生沙箱逃逸，就相当于为黑客提供了通往整个公司的有效‘万能钥匙’。” 为修复这些漏洞，建议用户升级至以下版本： CVE-2026-1470：请升级至 1.123.17、2.4.5 或 2.5.1 版本。 CVE-2026-0863：请升级至 1.123.14、2.3.5 或 2.4.2 版本。 此次披露距离 Cyera Research Labs 详细说明 n8n 中一个最高危漏洞（CVE-2026-21858，又名 Ni8mare）仅过去数周，该漏洞允许未经认证的远程攻击者完全控制易受攻击的实例。 “这些漏洞凸显了安全地沙箱化 JavaScript 和 Python 这类动态高级语言的难度之大，”研究员 Nathan Nehorai 表示。“即便部署了多层验证、拒绝列表和基于抽象语法树（AST）的控制措施，攻击者仍可利用微妙的语言特性和运行时行为来突破安全设计的预设。” “在此案例中，一些已被弃用或鲜少使用的语法结构，结合解释器的变更与异常处理行为，便足以突破原本限制严格的沙箱，最终实现远程代码执行。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文