HackerNews 编译，转载请注明出处： 一种由虚假网站网络构成的复杂钓鱼计划多年来持续针对Web3项目并大规模清空加密货币钱包。该计划最初于2024年4月被Validin检测为简单的加密钓鱼网站网络，但很快显现出更高复杂性和更大规模。这促使互联网情报平台提供商与SentinelOne的研究团队SentinelLabs合作开展进一步调查。 这项被研究人员命名为FreeDrain的计划，未依赖钓鱼邮件、短信（短信钓鱼）、社交媒体帖子和博客评论垃圾信息等常见传播手段，而是通过SEO操纵、免费层级网络服务和分层重定向技术瞄准加密货币钱包。该行动可能由位于印度（或可能斯里兰卡）的团队实施，至少自2022年起持续活跃。 Validin和SentinelLabs于2025年5月7日至9日在马拉加举行的威胁情报大会PIVOTcon 2025上公布了其发现。 2024年4月，Validin发布了一份记录系列加密窃取钓鱼页面的报告。该报告引起一名人士的注意，其联系Validin称损失了8枚比特币（当时价值约50万美元）。SentinelLabs和Validin研究人员在5月8日的联合报告中解释称：“受害者在点击高排名搜索引擎结果后，试图检查钱包余额时，无意间将钱包助记词提交至钓鱼网站。” 助记词（又称恢复短语或助记种子）是用于恢复加密货币钱包并访问相关资金的单词列表。可信的加密货币追踪分析师确认，用于接收受害者资金的目标钱包为一次性地址。他们表示，被盗资产迅速通过加密货币混币器转移——这是一种通过多笔交易分割和洗钱的混淆方法，使得追踪和追回几乎不可能。 研究人员报告称，尽管无法协助追回损失资产，但此次接触表明钓鱼攻击属于更广泛的大规模行动的一部分。进一步调查后，SentinelLabs和Validin研究人员识别出38,048个托管诱饵页面的FreeDrain子域名。这些子域名托管在亚马逊S3和微软Azure Web Apps等云基础设施上，模仿合法的加密货币钱包界面。 为使钓鱼网站网络更具吸引力，黑客综合运用SEO操纵技术、免费层级网络托管服务（如GitHub.io、WordPress.com、GoDaddySites、Gitbook）、域名抢注技术、熟悉视觉元素和分层重定向技术，诱使受害者误认为网站合法。 “我们对所有主流搜索引擎顶部结果中出现的大量诱饵页面感到震惊。”研究人员表示。“多数页面仅包含一张大图（通常是合法加密钱包界面的静态截图）和几行看似提供帮助说明的文字——讽刺的是，部分页面甚至声称要教育用户如何防范钓鱼攻击。”尽管看似基础，这些网页直接回答了搜索引擎用户可能输入的问题。此类页面已知会受到搜索引擎算法的推荐，尤其是当托管在高声誉平台时。 此外，FreeDrain运营者通过在维护不善的网站上进行大规模评论灌水，通过搜索引擎索引提升其诱饵页面的可见度——这种技术被称为“垃圾索引”。研究人员写道：“该技术使FreeDrain能绕过钓鱼邮件或恶意广告等传统传播途径，直接在用户最信任的搜索引擎顶部接触目标。”调查人员发现，许多诱饵页面的文字存在由大语言模型生成的证据。 他们指出，发现的复制粘贴痕迹揭示了具体使用工具，包括“4o mini”等字符串——可能指向OpenAI的GPT-4o mini模型。调查人员表示，这些迹象表明FreeDrain运营者正在利用生成式AI创建可扩展内容，但有时操作粗心。SentinelLabs和Validin研究人员梳理出最终导向钓鱼网站的逐步流程： 在主流搜索引擎搜索钱包相关查询（如“Trezor钱包余额”）。 点击高排名结果（通常托管在gitbook.io或webflow.io等看似可信的平台）。 进入显示可点击大图（通常是合法钱包界面静态截图）的页面。 点击图片，跳转至钓鱼页面或重定向至中间网站。 抵达最终钓鱼网站（与真实钱包服务近乎完美的克隆），诱导用户输入助记词。 一旦提交助记词，攻击者的自动化基础设施将在数分钟内清空资金。 调查人员最终表示，由于FreeDrain使用临时基础设施和共享免费服务，溯源行动具有挑战性。然而，通过分析仓库元数据、行为信号和时间痕迹，他们成功获取了运营者特征的重要线索，包括其可能位置、工作模式和协作水平。研究人员称，调查揭示了多项关键发现。他们分析了与FreeDrain关联的GitHub仓库，发现提交记录中的电子邮件地址唯一且关联独立GitHub账户，多数来自免费邮箱提供商。 此外，提交时间戳主要集中于UTC+05:30时区（对应印度标准时间IST），表明与印度（或可能斯里兰卡）存在强烈地理关联。该发现通过分析Webflow等其他服务的元数据得到佐证——日志显示IST时区清晰的工作日9点至17点工作模式。研究人员总结称，综合证据表明FreeDrain行动极可能由印度境内人员在标准工作日时段实施。他们还指出，该活动至少自2022年活跃，2024年中活动量显著增加，且报告发布时仍在持续。 针对FreeDrain活动暴露的问题，调查人员建议免费内容平台采取措施防止滥用并改进对恶意活动的响应： 改进滥用报告机制：允许直接从已发布内容页面举报滥用行为，并与可信威胁情报分析师和研究人员建立直接沟通渠道。 投资基础防滥用工具：监测批量账户创建、相似域名结构和外部钓鱼工具包重复托管等滥用模式。 增强检测能力：识别协同滥用行为，例如重复命名模式和跨子域名复用的相同模板。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布重大账户安全升级：新用户注册将默认启用无密码登录。继2023年为消费者账户推出通行密钥（Passkey）支持后，微软进一步调整策略，强制新账户采用防钓鱼认证方式。微软身份认证部门负责人Joy Chik与安全副总裁Vasu Jakkal表示：“全新微软账户现默认无密码。新用户可通过多种无密码方式登录账户，且无需设置密码。现有用户可前往账户设置删除密码。” 此次更新简化了登录与注册流程，优先展示无密码选项。此外，登录流程现已自动检测用户账户可用的最佳认证方式并设为默认。例如，若某账户支持密码和“一次性验证码”登录，系统将引导用户选择后者。成功登录后，用户将收到设置通行密钥的提示以增强安全防护。微软此举与苹果、谷歌、亚马逊等科技企业近年举措同步，标志着行业向无密码时代稳步迈进。鉴于基于密码的网络攻击仍是攻击者主要入侵手段，通行密钥的普及预示着账户安全的重要变革。 2023年9月，微软在Windows 11中引入通行密钥支持，同期谷歌将其设为全球用户默认登录方式。2024年，微软更新Windows Hello生物识别系统以兼容该技术。通行密钥通过消除密码需求提供更安全登录方案，其技术基础由FIDO联盟推动的公钥加密体系支撑。用户注册在线服务时，其客户端设备（如手机或电脑）生成密钥对：私钥安全存储于本地，公钥上传至服务端。登录时，用户通过生物识别（如面容或指纹）验证身份后，设备使用私钥签署验证请求完成认证。 2024年10月，FIDO联盟宣布正与各方合作优化通行密钥跨平台导出功能，改善凭证提供商的互操作性。截至去年12月，全球超150亿用户账户已支持通行密钥登录。该联盟上月还成立支付工作组（PWG），旨在制定支付场景的FIDO解决方案，重点评估现有及新兴支付认证技术，并制定通行密钥与现有支付技术融合的指导规范。 消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌透露，2024年观察到75个在野利用的零日漏洞，较2023年的98个有所下降。 在这75个零日漏洞中，44%针对企业产品。其中多达20个漏洞出现在安全软件和设备中。 “浏览器和移动设备的零日漏洞利用量大幅下降，与去年相比，浏览器漏洞利用减少约三分之一，移动设备漏洞利用减少约一半，”谷歌威胁情报小组（GTIG）在提供给《The Hacker news》的报告中表示，“由多个零日漏洞组成的攻击链仍几乎完全（约90%）用于攻击移动设备。” 2024年被利用的零日漏洞中，微软Windows占22个，苹果Safari有3个，iOS有2个，安卓有7个，Chrome有7个，Mozilla Firefox有1个。安卓的7个零日漏洞中有3个存在于第三方组件中。 在企业软件和设备中被利用的33个零日漏洞中，有20个针对Ivanti、Palo Alto Networks和思科等厂商的安全和网络产品。 “安全与网络工具和设备设计用于连接广泛的系统和设备，需要高权限来管理产品及其服务，这使得它们成为威胁行为者寻求高效入侵企业网络的宝贵目标。”GTIG研究人员指出。 2024年共有18家不同企业供应商成为攻击目标，而2021年为12家，2022年17家，2023年22家。被攻击最多的公司包括微软（26个）、谷歌（11个）、Ivanti（7个）和苹果（5个）。 此外，75个漏洞中的34个零日漏洞利用可归因于六大威胁活动集群： 国家资助的间谍活动（10个）（例如CVE-2023-46805、CVE-2024-21887） 商业监控供应商（8个）（例如CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748） 非国家金融动机组织（5个）（例如CVE-2024-55956） 具有国家资助间谍和金融动机的组织（5个），全部来自朝鲜（例如CVE-2024-21338、CVE-2024-38178） 同时从事间谍活动的非国家金融动机组织（2个），全部来自俄罗斯（例如CVE-2024-9680、CVE-2024-49039） 谷歌表示，2024年11月发现乌克兰外交学院网站（online.da.mfa.gov[.]ua）存在恶意JavaScript注入，触发CVE-2024-44308漏洞实现任意代码执行。攻击者随后利用WebKit的Cookie管理漏洞CVE-2024-44309发起跨站脚本（XSS）攻击，最终收集用户Cookie以未授权访问login.microsoftonline[.]com。 谷歌还独立发现了针对Firefox和Tor浏览器的攻击链，该攻击链结合利用CVE-2024-9680和CVE-2024-49039突破Firefox沙箱，以提升权限执行恶意代码，为部署RomCom远控木马铺平道路。此前被ESET披露的该活动被归因于RomCom组织（又名Storm-0978、Tropical Scorpius等），谷歌将其追踪为CIGAR——兼具金融和间谍动机的双重威胁组织。 这两个漏洞还被另一个疑似金融动机的黑客组织作为零日漏洞利用。攻击者通过入侵合法的加密货币新闻网站作为水坑攻击平台，将访问者重定向到托管攻击链的恶意域名。 “零日漏洞利用继续以缓慢但稳定的速度增长，但我们也开始看到厂商缓解零日漏洞的工作初见成效，”GTIG高级分析师Casey Charrier在声明中表示，“例如针对历史高发产品的零日攻击有所减少，这得益于大型厂商投入的防护资源。同时，零日攻击正转向更多企业级产品，这要求更广泛的供应商提升主动安全措施。零日攻击的未来最终将取决于厂商能否有效遏制威胁行为者的目标。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zimperium在《2025全球移动威胁报告》中披露，超50%的移动设备仍在使用过时操作系统，极易遭受网络攻击。报告同时强调，随着企业移动化进程加速，攻击者正利用智能手机的广泛部署特性，推动针对移动终端的恶意攻击及应用程序漏洞数量正在显著增加。 短信钓鱼（Smishing）目前占所有移动钓鱼事件的69.3%。与此同时，语音钓鱼（vishing）和短信钓鱼攻击总量分别上升28%和22%。 Keeper Security首席执行官Darren Guccione表示：“复杂且大规模的移动钓鱼活动兴起反映了不断演变的威胁态势。网络犯罪分子利用看似官方的钓鱼页面来剥削用户信任。” 报告概述了影响移动设备安全性的多个关键因素，包括： 50%的移动设备运行过时操作系统 超过25%的移动设备无法升级至最新操作系统 60%以上的iOS应用和34%的Android应用缺乏基本代码保护 近60%的iOS应用和43%的Android应用存在个人身份信息（PII）数据泄露风险 恶意软件仍是攻击者的主要工具，木马程序使用量同比增长50%。研究人员已识别出Vultur、DroidBot、Errorfather和BlankBot等新型恶意软件家族。 尽管对移动威胁的认知度有所提高，移动应用安全性仍是持续存在的弱点。通过非官方商店下载的应用尤其危险，使用户和组织暴露于木马和数据泄露风险。 Sectigo高级研究员Jason Soroko表示：“侧载（Sideloading）绕过了官方应用商店的严格审查流程，使设备暴露于恶意软件和未授权代码。” 内部开发的应用也持续面临严重风险。Salt Security网络安全战略总监Eric Schwake评论称：“威胁行为者认为移动应用具有吸引力，因为它们通常管理敏感用户数据。”设计缺陷、不安全的API接口和薄弱的安全措施被列为导致漏洞持续存在的主要因素。 为防范此类威胁，建议组织和个人采用实时移动威胁检测、确保定期更新和补丁管理，并实施零信任模型等综合安全框架。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 当世界仍在为教皇方济各的逝世哀悼时，网络犯罪分子已通过伪造哀悼信息、诈骗链接和数据窃取手段将全球悲痛转化为牟利工具。 在教皇逝世消息公布后的数小时内，诈骗者便如机械般精准地利用公众震惊情绪展开行动。这种模式并不新鲜——从英国女王伊丽莎白二世去世、土耳其-叙利亚地震到COVID-19大流行，每当全球陷入悲痛，黑客就会抛出数字诱饵。 情绪化时刻创造了完美攻击窗口：人们紧盯屏幕寻求信息，戒心远低于平常。此时正是陷阱布设之时。AI生成的虚假图片（2025年2月首次传播）重新出现在各大网站和社交媒体，链接指向伪装成新闻站的恶意页面。 TikTok、Instagram和Facebook等平台充斥着AI生成的图片，部分声称展示教皇未公开影像或悼念内容，其逼真程度足以欺骗普通用户。人们点击、搜索——这正是攻击者所求。 网络安全公司Check Point研究人员指出，每逢重大事件，钓鱼攻击和恶意软件活动就会激增。近期某诈骗案例将用户从伪造的“教皇逝世突发新闻”站重定向至虚假Google页面，以赠送礼品卡为名索要信用卡信息。 另一危险手法是SEO投毒：攻击者购买谷歌搜索结果前排位置，将含恶意脚本的网站混入正规新闻链接。当用户搜索“教皇逝世最新动态”并点击看似正常的链接时，就会进入恶意网站。研究人员称，页面加载瞬间即触发后台脚本，无需额外点击即可窃取设备名称、操作系统、地理位置和语言设置。 这种方式使诈骗者能构建受害者画像，用于后续精准钓鱼攻击窃取凭证，或将数据转售暗网。约83%的诈骗域名未出现在安全雷达中，它们多为新注册或长期休眠域名，传统可疑网站检测工具难以识别。 “网络罪犯在混乱与好奇中获利。重大新闻事件总会引发利用公众关注度的诈骗激增，”研究人员写道，“最佳防御是用户意识与分层安全防护的结合。”     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联合国警告称，网络诈骗活动正以工业化规模在东南亚及更广区域扩张。 联合国毒品和犯罪问题办公室（UNODC）新报告《拐点：东南亚诈骗中心、地下银行与非法在线市场的全球影响》披露了相关发现。 报告指出，诈骗中心由“复杂的跨国集团与洗钱者、人口贩子、数据中介及日益增多的专业服务提供商组成的犯罪集团驱动”。 这些组织倾向聚集在缅甸与柬埔寨等“脆弱”边境地区，大型整合集团正取代分散诈骗团伙，建设“工业科技园区、赌场及酒店”。 UNODC表示，此类集团利用腐败官员“进一步渗透东南亚许多偏远、脆弱及防护薄弱的地区，并日益向其他区域扩张”，年获利达数百亿美元。 报告警告称：“当前越来越明显的是，东南亚已发生可能无法逆转的溢出效应，犯罪集团可自由选择司法管辖区、转移业务与资产，导致局势迅速超出政府管控能力。” 据称，数十万被贩运受害者与“谋划者”共同推动产业扩张，通过犯罪市场、赌博平台、无证支付处理商、加密通信平台、稳定币及区块链网络等在线服务牟利。UNODC指出，生成式人工智能（GenAI）被滥用于诈骗的案例正日益增多。 联合国补充声明，2023年这些亚洲犯罪集团在本土通过网络诈骗获利约370亿美元，同时将业务扩展至非洲、南美、南亚及太平洋岛屿等遥远地区。报告呼吁采取多管齐下应对措施，包括提高政治意识、强化监管框架、加强跨机构与区域合作、提升执法部门技术能力。 UNODC东南亚及太平洋地区代理代表Benedikt Hofmann认为，犯罪集团扩张旨在对冲未来风险与干扰。“它像癌症般扩散，”Hofmann强调，“当局在某区域打击，但其根源永不消失；它们只是转移。这导致该区域实质上成为由复杂集团自由利用漏洞的相关联组织，从而危及国家主权，扭曲政策制定流程及其他政府体系。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 众所周知，浏览器扩展（从拼写检查工具到生成式AI工具）几乎已嵌入每位用户的日常工作流程。但多数IT与安全人员尚未意识到：浏览器扩展的过度权限正成为企业日益增长的风险。 LayerX今日发布《2025企业浏览器扩展安全报告》，这是首份也是唯一将公共扩展市场统计数据与企业实际使用遥测数据相结合的报告。通过这种方式，该报告揭示了现代网络安全中最被低估的威胁面之一：浏览器扩展。 报告揭示了多项值得IT与安全负责人在制定2025下半年计划时关注的发现，包括有关”多少扩展具有危险权限”、”授予了哪些类型权限”、”扩展开发者是否可信”等数据与分析。以下是报告关键数据摘录。 《2025企业浏览器扩展安全报告》核心发现： 浏览器扩展在企业环境无处不在。99%（几乎所有）员工安装了浏览器扩展，52%安装超过10个扩展。 安全分析：几乎所有员工都暴露于浏览器扩展风险中。 多数扩展可访问关键数据。53%企业用户安装的扩展能访问Cookie、密码、网页内容、浏览信息等敏感数据。 安全分析：单个员工层面的漏洞可能危及整个组织。 扩展发布者身份成谜。超半数（54%）扩展发布者身份未知（仅通过Gmail识别），79%发布者仅发布过1个扩展。 安全分析：追踪扩展信誉度极为困难（即便动用IT资源也难以实现）。 生成式AI扩展威胁加剧。超20%用户至少安装1个生成式AI扩展，其中58%具有高风险权限范围。 安全分析：企业应制定明确的生成式AI扩展使用与数据共享政策。 未维护/未知扩展引发担忧。51%扩展超过1年未更新，26%企业扩展采用旁加载方式（绕过应用商店基础审查）。 安全分析：即使非恶意扩展也可能存在漏洞。 报告不仅提供数据，更为安全与IT团队提供应对浏览器扩展威胁的行动指南。 LayerX建议企业采取以下措施： 全面审计扩展 – 掌握所有扩展信息是理解威胁面的基础。因此，防范恶意扩展的第一步是审计员工使用的所有扩展。 分类扩展类型 – 某些扩展类型因其广泛用户基础（如生成式AI扩展）或获得的高危权限而更易受攻击。分类有助于评估浏览器扩展安全态势。 枚举扩展权限 – 列出各扩展可访问的信息类型，帮助绘制攻击面并配置后续策略。 评估扩展风险 – 基于权限与数据访问能力评估各扩展风险。整体风险评估还需纳入信誉度、流行度、发布者及安装方式等外部参数，最终形成统一风险评分。 实施自适应策略 – 根据分析结果，制定符合企业使用场景、需求与风险特征的自适应风险策略。 浏览器扩展不仅是生产力工具，更是多数企业尚未意识到的攻击媒介。LayerX《2025报告》通过全面发现与数据驱动分析，帮助CISO与安全团队管控风险，构建可防御的浏览器环境。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta宣布将使用公开的欧盟用户数据来训练AI模型，恢复了去年因爱尔兰数据保护问题而暂停的计划。 Meta将开始使用欧盟成年人的公共数据来训练其AI模型，此前该计划因爱尔兰监管机构提出的数据保护问题于去年暂停。 2024年6月，这家社交媒体巨头宣布，应爱尔兰数据保护委员会（DPC）的要求，将推迟使用成年人在Facebook和Instagram上共享的公共内容对其大型语言模型（LLM）进行训练。 Meta对DPC的要求表示失望，公司指出这是“欧洲创新、AI开发竞争的倒退，将进一步延迟AI技术为欧洲民众带来的好处”。 “我们对爱尔兰数据保护委员会（DPC）作为欧洲数据保护机构（DPAs）牵头监管方提出的延迟训练要求感到失望，特别是我们已采纳监管反馈，且自3月起就持续向欧洲DPAs通报进展。”Meta在声明中表示，“这对欧洲创新、AI开发竞争是倒退之举，也将延后AI技术为欧洲民众带来的好处。” 该公司解释说，其人工智能，包括Llama LLM，已经在世界其他地区上市。Meta解释说，为了向其欧洲地区提供更好的服务，它需要就反映欧洲人民不同语言、地理和文化背景的相关信息对模型进行训练。出于这个原因，该公司最初计划使用其在欧盟的欧洲用户在其产品和服务上公开声明的内容来训练其大型语言模型。 Meta现在证实，它将恢复使用欧盟个人的公共数据训练其AI模型。 该公司发表的一篇帖子写道：“在欧盟，我们很快将开始训练我们的人工智能模型，了解人们在Meta上与人工智能的互动，以及成年人在Meta Products上共享的公共内容。”。“通过教授我们的生成式AI模型，更好地理解和反映他们的文化、语言和历史，这次培训将更好地支持欧洲数百万人和企业。” 该公司指出，欧盟用户可以选择反对将其公共数据用于AI训练的目的。从本周开始，欧盟用户将收到关于他们的数据被用于训练AI的通知，并可以随时选择反对。 Meta表示，他们不会使用人们与朋友和家人的私人信息来训练他们的生成AI模型。它还补充说，欧盟18岁以下人员账户中的公共数据不会用于训练目的。 “我们认为，我们有责任打造的 AI 不仅要让欧洲人能够使用，更要真正为他们而建。这就是为什么我们的生成式 AI 模型需要基于各种各样的数据进行训练，以便能够理解构成欧洲社区的那些令人惊叹的、丰富多样的细微差别和复杂性。”帖子总结道。“值得注意的是，我们正在进行的人工智能培训并不是Meta独有的，也不会是欧洲独有的。这就是我们自推出以来为其他地区训练生成式人工智能模型的方式。我们正在效仿包括谷歌和OpenAI在内的其他公司的榜样，这两家公司都已经使用欧洲用户的数据来训练他们的人工智能模型。我们很自豪我们的方法比许多行业同行更透明。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Roller开源、基于Java的博客服务器软件被披露存在一个严重的安全漏洞，该漏洞可能允许恶意行为者即使在用户更改密码后仍能保持未经授权的访问权限。 该漏洞被分配了CVE编号CVE-2025-24859，其CVSS评分为10.0，表明其严重性极高。该漏洞影响Roller的所有版本，包括6.1.4版本。 “Apache Roller在6.1.5版本之前的版本中存在会话管理漏洞，用户更改密码后，活跃的用户会话未能被正确地失效，”项目维护者在一份安全公告中表示。“无论是用户自己还是管理员更改密码，现有的会话仍然保持活跃并可使用。” 成功利用该漏洞可能会使攻击者即使在密码更改后，仍能通过旧会话持续访问应用程序。如果凭证被泄露，该漏洞还可能使攻击者获得不受限制的访问权限。 该问题已在6.1.5版本中得到修复，通过实施集中式会话管理，确保在更改密码或禁用用户时，所有活跃会话都会被失效。 安全研究员孟海宁因发现并报告该漏洞而受到赞誉。 此次漏洞披露发生在Apache Parquet Java库披露另一个关键漏洞（CVE-2025-30065，CVSS评分：10.0）几周之后。如果该漏洞被成功利用，可能会允许远程攻击者在易受攻击的实例上执行任意代码。 上个月，Apache Tomcat的一个关键安全漏洞（CVE-2025-24813，CVSS评分：9.8）在漏洞细节公开后不久便遭到积极利用。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个恶意软件包，该软件包被上传到Python软件包索引（PyPI）仓库，其设计目的是将用户在MEXC加密货币交易所下达的交易订单重定向到恶意服务器，并窃取代币。 这个名为ccxt-mexc-futures的软件包声称是基于一个流行的Python库ccxt（全称为CryptoCurrency eXchange Trading）的扩展，该库被用于连接和交易多个加密货币交易所，并提供支付处理服务。 尽管该恶意软件包已不再出现在PyPI上，但pepy.tech的统计数据显示，它至少已被下载了1065次。 “恶意ccxt-mexc-futures软件包的作者在其README文件中声称，该软件包扩展了CCXT软件包，以支持在MEXC上进行‘期货’交易，”JFrog研究员盖伊·科罗列夫斯基（Guy Korolevski）在与《黑客新闻》分享的一份报告中表示。 然而，对该库的深入分析揭示，它专门覆盖了与MEXC接口相关的两个API——contract_private_post_order_submit和contract_private_post_order_cancel，并引入了一个名为spot4_private_post_order_place的新API。 通过这种方式，该恶意软件包试图诱骗开发者调用这些API端点，在MEXC交易所创建、取消或下达交易订单，并在后台秘密执行恶意操作。 恶意修改特别针对原始ccxt库中与MEXC相关的三个不同功能，即describe、sign和prepare_request_headers。 这使得攻击者可以在安装该软件包的本地机器上执行任意代码，有效地从一个伪装成MEXC的虚假域名（“v3.mexc.workers[.]dev”）检索一个JSON负载，其中包含一个配置，将被覆盖的API导向一个恶意的第三方平台（“greentreeone[.]com”），而不是真正的MEXC网站。 “该软件包在MEXC集成的API中创建了条目，使用一个将请求导向greentreeone[.]com域名的API，而不是MEXC网站mexc.com，”科罗列夫斯基表示。 “所有请求都被重定向到攻击者设置的域名，这使得攻击者能够劫持受害者的所有加密货币代币以及请求中传输的敏感信息，包括API密钥和密钥。” 不仅如此，该欺诈性软件包还被设计为在发送创建、取消或下达订单的请求时，将MEXC API密钥和密钥发送到攻击者控制的域名。 安装了ccxt-mexc-futures的用户被建议立即撤销任何可能被泄露的代币，并删除该软件包。 这一事件发生在Socket披露威胁行为者利用npm、PyPI、Go和Maven生态系统中的假冒软件包发动攻击，以维持持久性并窃取数据之后。 “毫无戒心的开发者或组织可能会无意中在其代码库中引入漏洞或恶意依赖项，如果未被检测到，可能会导致敏感数据泄露或系统被破坏，”这家软件供应链安全公司表示。 这也紧随一项新的研究，该研究探讨了为生成式人工智能（AI）工具提供支持的大型语言模型（LLMs）如何通过虚构不存在的软件包并向开发者推荐这些软件包来危及软件供应链。 当恶意行为者注册并发布带有虚构名称的恶意软件包到开源仓库时，供应链威胁就会出现，这一过程会感染开发者的系统——这种技术被称为“slopsquatting”。 该学术研究发现，“商业模型中虚构软件包的平均比例至少为5.2%，开源模型中为21.7%，其中包括205,474个独特的虚构软件包名称，这进一步凸显了这一威胁的严重性和普遍性。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文