HackerNews 编译，转载请注明出处： Fortinet研究人员发现多个恶意NPM包被用于针对PayPal用户。这些包于3月初由名为tommyboy_h1和tommyboy_h2的攻击者上传至仓库，用于窃取PayPal凭证和劫持加密货币转账。 “使用与PayPal相关的名称有助于这些恶意包躲避检测，使攻击者更容易窃取敏感信息。通过在恶意包名称中加入‘PayPal’，例如oauth2-paypal和buttonfactoryserv-paypal，攻击者还营造了一种虚假的合法性，诱使开发者安装它们。”Fortinet发布的分析报告中指出，“该代码会收集并传输系统数据，如用户名和目录路径，这些数据随后可用于针对PayPal账户或出售以用于欺诈目的。” 恶意NPM包利用预安装钩子运行隐藏脚本，窃取系统信息，混淆数据，并将其传输至攻击者控制的服务器，以便用于未来的攻击。 Fortinet研究人员建议留意假冒的PayPal相关包，检查网络日志以查找异常连接，清除威胁，更新凭证，并在安装包时保持谨慎。 同一攻击者很可能创建了tommyboy_h1和tommyboy_h2这两个恶意包，以针对PayPal用户。 “tommyboy_h1和tommyboy_h2的作者很可能是同一个人，在短时间内发布了多个恶意包。我们怀疑同一作者创建了这些包，目的是针对PayPal用户。”报告总结道，“我们敦促公众在下载包时保持谨慎，并确保它们来自可信来源，以避免成为此类攻击的受害者。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet公司揭露了一个令人不安的情况：网络攻击者找到了一种方法，即使在最初用于入侵FortiGate设备的漏洞被修复后，他们仍能保持对该设备的只读访问权限。 据推测，攻击者利用了包括但不限于CVE-2022-42475、CVE-2023-27997和CVE-2024-21762在内的已知且现已修复的安全漏洞来实施攻击。 Fortinet在周四发布的安全公告中表示：“攻击者利用已知漏洞，为易受攻击的FortiGate设备设置了只读访问权限。这是通过在用于提供SSL-VPN语言文件的文件夹中创建一个符号链接，连接用户文件系统和根文件系统来实现的。” Fortinet指出，这些修改发生在用户文件系统中，并成功躲避了检测，导致即使在修复了最初入侵的安全漏洞后，该符号链接（也称为symlink）仍然存在。 这使得攻击者能够继续访问设备文件系统中的文件，包括配置文件等，但那些从未启用SSL-VPN功能的客户不受此问题影响。 目前尚不清楚是谁在幕后操纵此次攻击活动，但Fortinet的调查显示，该攻击并非针对特定地区或行业。Fortinet还表示，已直接通知受影响的客户。 为了防止此类问题再次发生，Fortinet推出了一系列FortiOS软件更新： – FortiOS 7.4、7.2、7.0和6.4版本：将符号链接标记为恶意文件，以便由防病毒引擎自动删除。 – FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本：删除了符号链接，并修改了SSL-VPN用户界面，以防止此类恶意符号链接的传播。 Fortinet建议客户将其系统更新至FortiOS 7.6.2、7.4.7、7.2.11、7.0.17或6.4.16版本，审查设备配置，并将所有配置视为可能已被篡改，采取适当的恢复措施。 美国网络安全与基础设施安全局（CISA）也发布了相关安全公告，敦促用户重置暴露的凭据，并考虑在应用补丁之前禁用SSL-VPN功能。法国计算机应急响应小组（CERT-FR）在类似的公告中表示，他们已知晓此类入侵行为可追溯至2023年初。 watchTowr公司首席执行官Benjamin Harris在接受采访时表示，此次事件令人担忧，原因主要有两个。 首先，网络攻击的实施速度远远超过了组织进行漏洞修复的速度，而且攻击者显然深知这一点。其次，更令人恐惧的是，攻击者在快速入侵后多次部署了能够抵御组织所依赖的漏洞修复、升级和出厂重置等缓解措施的能力和后门，以维持对被入侵组织的持久访问。 Harris还表示，在watchTowr的客户群体中发现了后门部署的情况，并且许多被认定为“关键基础设施”的组织也受到了影响。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软今天宣布，基于客户反馈，将无限期推迟移除 Windows Server Update Services (WSUS) 中的驱动同步功能。 “看到你们中有多少人已经开始转向可用的基于云的驱动服务，我们最初提议移除 WSUS 驱动同步。感谢你们的反馈，尤其是在离线设备场景中，我们现在修订了这一计划，”高级项目经理 Paul Reed 表示。 “基于您宝贵的反馈，我们推迟了原定于 2025 年 4 月 18 日移除 WSUS 驱动同步的计划。请继续关注，我们将努力制定修订后的时间线，以便为您优化我们的服务，”微软在周一的消息中心更新中补充道。 这一公告是在过去一年发布的三次警告之后发布的，微软原计划于 2025 年 4 月 18 日移除 WSUS 驱动同步。微软最初于 2024 年 6 月宣布弃用 WSUS 驱动同步，并在 2025 年 1 月鼓励 IT 管理员采用其更新的基于云的驱动服务。 一个月后，微软提醒管理员为 WSUS 驱动同步的弃用做好准备，并鼓励他们采用基于云的解决方案来管理客户端和服务器更新，例如 Windows Autopatch、Microsoft Intune 和 Azure Update Manager。 2024 年 9 月，微软还宣布 WSUS 已被弃用，但补充说，它计划维护所有现有功能，并继续通过该渠道发布更新。这一公告是在 2024 年 8 月 13 日将 WSUS 列为“从 Windows Server 2025 开始移除或不再开发的功能”之后发布的。 近二十年前作为 Software Update Services (SUS) 推出的 WSUS，帮助 IT 管理员通过单个服务器管理并分发微软产品的更新，覆盖大型企业网络中的许多 Windows 设备，而不是依赖每个终端从微软的服务器进行更新。 2024 年 6 月，微软还宣布正式弃用 Windows NTLM 身份验证协议，敦促开发人员转向 Kerberos 或协商身份验证，以避免未来的问题。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国竞争监管机构对苹果公司实施 App Tracking Transparency (ATT) 隐私框架的方式处以 1.5 亿欧元（约 1.62 亿美元）罚款。 法国竞争管理局（Autorité de la concurrence）表示，将对苹果公司处以经济处罚，原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间，滥用了其作为 iOS 和 iPadOS 设备移动应用分销商的市场主导地位。 苹果在 iOS 14.5、iPadOS 14.5 和 tvOS 14.5 版本中引入的 ATT 框架，要求移动应用必须获得用户的明确同意，才能访问其设备的唯一广告标识符（即广告商标识符 IDFA），并在应用程序和网站之间跟踪用户，以进行定向广告投放。 “除非您获得用户的许可以启用跟踪，否则设备的广告标识符值将全部为零，您不得对其进行跟踪，”苹果在其官方网站上指出。”虽然您可以在任何时间显示 AppTrackingTransparency 提示，但只有在您展示该提示并用户授予权限后，设备的广告标识符值才会被返回。” 除了请求跟踪权限外，应用开发者还需要说明进行此类跟踪的具体目的。 “尽管 App Tracking Transparency (ATT) 框架的目标本身并无问题，但其实施方式既不是实现苹果公司声明的个人数据保护目标所必需的，也不成比例，”法国监管机构表示。 监管机构将 ATT 描述为”人为复杂”，并指出通过该框架获得的同意并不符合《法国数据保护法》的法律要求，因此开发者必须使用自己的同意收集解决方案。这导致用户会看到多个同意弹窗。 法国监管机构指出 ATT 实施中的两种不对称性 法国竞争管理局还指出了 ATT 实施方式中的两种不对称性。其中之一是，用户在同意被跟踪时需要进行两次确认，而拒绝跟踪则只需一步操作——这一点被认为破坏了”框架的中立性”。 “虽然发布者必须从用户处获得双重同意才能在第三方网站和应用程序上进行跟踪，但苹果公司在其自有应用中并未向用户请求同意（直到 iOS 15 实施之后），”该机构指出。”由于这一不对称性，法国国家信息与自由委员会（CNIL）对苹果处以罚款，认定其违反了《法国数据保护法》第 82 条，该条款是《ePrivacy 指令》的本地化版本。” “这一不对称性至今仍然存在，因为苹果公司为其自身的数据收集引入了一个单一的’个性化广告’弹窗来获取用户同意，而对于第三方数据收集，仍然要求开发者获得双重同意。” 值得注意的是，该命令并未要求对 ATT 框架进行具体更改。据路透社报道，这”取决于苹果公司自行确保其现在遵守裁决”。对于苹果来说，这笔罚款不过是九牛一毛——在截至 2024 年 12 月 28 日的季度中，该公司在 1243 亿美元的营收中实现了 363 亿美元的净利润。 苹果公司在与美联社分享的声明中表示，ATT 提示对所有开发者（包括苹果自身）都是一致的，并且该功能已获得消费者、隐私倡导者和全球数据保护机构的”强烈支持”。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在Gmail诞生21周年之际，谷歌宣布了一项重大更新，企业用户现在只需几次点击，即可向任何平台的任何用户邮箱发送端到端加密邮件。 该功能从今日起以测试版形式推出，允许用户向组织内的Gmail用户发送端到端加密邮件，未来几周将扩展至任何Gmail邮箱，并计划今年晚些时候支持所有邮箱平台。 这一新型加密模式——作为安全/多用途互联网邮件扩展（S/MIME）协议的替代方案——的亮点在于，发送方和接收方无需使用定制软件或交换加密证书。 “这种能力几乎无需IT团队和终端用户付出额外努力，消除了传统IT复杂性和现有解决方案的不佳用户体验，同时保留了增强的数据主权、隐私和安全控制，”谷歌工作空间的乔尼·伯克和朱利安·杜普兰表示。 实现端到端加密邮件的技术是客户端加密（CSE），谷歌已将其应用于Gmail及其他服务，如日历、云端硬盘、文档、幻灯片、表格和Meet。 因此，当向另一位Gmail用户发送端到端加密邮件时，消息会在接收端自动解密。对于非Gmail用户（如微软Outlook），谷歌邮件平台会向其发送一封邀请邮件，邀请其通过受限的Gmail版本查看端到端加密邮件，该版本可通过访客谷歌工作空间账户安全地查看和回复消息。 由于这一过程由客户端加密驱动，数据在传输或存储到谷歌云存储之前会在客户端进行加密，从而使其对包括谷歌在内的其他第三方实体不可读。 不过，客户端加密与端到端加密的一个关键区别在于，客户端使用的加密密钥是在云端密钥管理服务中生成和存储的，这使得组织管理员能够控制密钥、撤销用户对密钥的访问权限，甚至监控加密文件。 “首先，在结构层面，这种方法提供了更全面的加密保护，”伯克和德普兰表示，“无论你向谁发送消息，他们使用什么邮箱，你的消息都会被加密，且你拥有唯一的控制权。只有一套密钥，而你就是唯一拥有它们的人。” “其次，它简单易用，减少了IT团队和用户的摩擦，因为无需成为加密专家就能让其正常工作。这将为团队节省大量时间和金钱，最终为他们提供了一条通往大家渴望的路径：无痛且正常工作的邮件加密。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了Windows 11 24H2的KB5053656预览累积更新，包含38项更改，包括在AMD和Intel驱动的Copilot+设备上启用实时翻译，并修复了身份验证和蓝屏问题。 KB5053656更新是微软“可选非安全预览更新”计划的一部分，该计划每月月底推送更新，以便Windows管理员测试即将发布的Bug修复、改进和功能。这些更新会在下个月的“修补星期二”发布时推出，但与常规的“修补星期二”累积更新不同，非安全预览更新不包括安全更新。 对于配备AMD和Intel CPU的Copilot+设备，KB5053656更新新增了实时字幕和实时翻译功能，支持将超过44种语言翻译为英语。 此预览更新还修复了以下问题： 修复了在从睡眠恢复时可能触发PDC_WATCHDOG_TIMEOUT蓝屏错误的问题。 修复了在某些情况下导致Kerberos和FIDO缓存凭据身份验证停止响应的多个Bug。 您可以通过以下方式安装更新： 打开设置，点击Windows Update，然后点击检查更新。 由于这是一个可选更新，系统会询问您是否希望安装，您只需点击下载并安装链接即可。 此外，您也可以通过微软更新目录手动下载并安装KB5053656预览更新。 安装完成后，此可选的累积更新将把Windows 11 24H2系统更新到构建 26100.3624。 2025年3月的预览更新带来了一些附加的修复和改进，以下是一些重要的改进： 新功能！ 在Copilot+设备上，通过语义索引模型和传统的词汇索引，改进了Windows搜索，使用户更容易查找文档、照片和设置。 应用程序安装：修复了MsiCloseHandle API在处理包含大量文件的MSI文件时的执行时间过长问题。 启动菜单：修复了如果更新停止响应并回滚，可能会导致无效的启动菜单项的问题。此修复防止设备在未来遇到此问题。如果您已经遇到此问题，可以在系统配置（msconfig）中的启动部分管理额外的启动项。 位置历史功能（Cortana用于访问设备启用位置服务时的24小时设备历史记录的API）被移除。移除该功能后，位置数据将不再本地保存，相应的设置也被从设置 > 隐私与安全 > 位置页面中移除。 微软已知KB5053656存在两个已知问题： Citrix组件阻止2025年1月的Windows安全更新安装（此问题的临时解决方法可以参考Citrix文档页面）。 Windows ARM设备上的Roblox玩家无法从微软商店下载游戏（作为解决方法，玩家可以直接从www.roblox.com下载Roblox）。 Windows 11 24H2现已广泛部署，所有符合条件的Windows 10 22H2设备可以通过Windows Update获取。微软目前正在将Windows 11 2024更新推送给所有符合条件的Windows 10 22H2用户。 2025年1月中旬，微软还开始强制升级所有符合条件的未管理系统（运行Windows 11 22H2/23H2的家庭版和专业版）到Windows 11 24H2。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周一为其面向企业的 Edge for Business 网络浏览器宣布了一项新功能，称为内联数据保护。该功能旨在防止员工将敏感的公司数据分享到消费级生成式人工智能（GenAI）应用中，如 OpenAI ChatGPT、Google Gemini 和 DeepSeek。随着时间的推移，这一列表将扩展到包括其他生成式 AI、电子邮件、协作和社交媒体应用。 “借助 Edge for Business 的新内联保护功能，您可以在用户通过网络应用或生成式 AI 提示直接输入文本等与敏感数据交互的多种方式中防止数据泄露，”这家科技巨头表示。 微软的 Purview 浏览器数据丢失防护（DLP）控制功能的推出，正值该公司宣布 Microsoft Teams 协作安全功能全面可用，以应对针对企业通信应用用户的网络钓鱼攻击。 近几个月来，如 Storm-1674 和 Storm-1811 等威胁行为者利用 Microsoft Teams 作为渠道，诱使毫无戒心的用户下载恶意软件或授予他们远程访问权限，以便后续部署勒索软件。 最新推出的功能提供了新的控制措施，使组织的安全团队能够规定哪些租户、域和用户可以与员工通信，更好地防范实时恶意链接或附件，并改进向管理员报告可疑消息的方式。 “可疑文件和 URL 会在安全、隔离的环境中自动执行——即沙箱——以确定它们是否表现出任何恶意行为，”微软表示。“这一过程被称为实时引爆，确保在最终用户能够访问之前识别并中和有害内容。” 随着这些公告的发布，微软表示正在扩展 Security Copilot，增加 11 个新的安全解决方案，其中 5 个来自外部合作伙伴，用于分析数据泄露、确定关键警报、进行根本原因分析和改进合规性。 微软开发的安全 Copilot 代理程序将于下个月提供预览，将对网络钓鱼警报进行分类、数据丢失防护和内部风险通知、监控漏洞和修复情况，并根据组织的威胁暴露情况整理威胁情报。 “网络攻击的频率和复杂性已经超过了人类的能力，建立人工智能代理是现代安全的必要条件，”微软安全事业部公司副总裁瓦苏·贾卡尔（Vasu Jakkal）表示。 “这些攻击的数量使依赖手动流程和碎片化防御的安全团队不堪重负，使他们难以及时处理恶意消息并利用数据驱动的见解进行更广泛的安全风险管理。” “今天推出的 Security Copilot 中的网络钓鱼分类代理可以处理常规的网络钓鱼警报和攻击，使人类防御者能够专注于更复杂的威胁和主动安全措施。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare宣布，已关闭所有HTTP连接，现在仅接受api.cloudflare.com的安全HTTPS连接。 此举旨在防止未加密的API请求被发送，即使是意外发送的，也会在服务器关闭HTTP连接并重定向到安全通信通道之前，消除敏感信息在明文流量中暴露的风险。 “从今天起，任何未加密的连接到api.cloudflare.com都将被完全拒绝，”Cloudflare周四的公告中写道。 “开发者不应再期望HTTP连接出现403禁止响应，因为我们将通过完全关闭HTTP接口来阻止底层连接的建立。只允许建立安全的HTTPS连接，”这家互联网服务公司补充道。 Cloudflare API帮助开发者和系统管理员自动化和管理Cloudflare服务。它用于DNS记录管理、防火墙配置、DDoS防护、缓存、SSL设置、基础设施部署、访问分析数据以及管理零信任访问和安全策略。 此前，Cloudflare系统允许通过HTTP（未加密）和HTTPS（加密）访问API，要么通过重定向，要么拒绝HTTP。 然而，正如公司所解释的，即使被拒绝的HTTP请求也可能在服务器响应之前泄露敏感数据，如API密钥或令牌。 当连接通过公共或共享Wi-Fi网络时，这种场景更加危险，因为中间人攻击更容易得逞。 通过完全禁用API访问的HTTP端口，Cloudflare在传输层屏蔽了明文连接，在任何数据交换之前强制执行HTTPS。 影响和下一步行动 这一变化立即影响了使用Cloudflare API服务的HTTP协议的任何人。依赖该协议的脚本、机器人和工具将中断。 同样适用于遗留系统和自动客户端、物联网设备以及由于配置不当而不支持或不默认使用HTTPS的低级客户端。 对于在Cloudflare上有网站的客户，公司计划在年底前推出一个免费选项，以安全的方式禁用HTTP流量。 Cloudflare数据显示，所有通过其系统的互联网流量中，仍有约2.4%是通过不安全的HTTP协议进行的。当考虑到自动化流量时，HTTP的份额跃升至近17%。 客户可以在仪表板的“分析与日志”>“通过SSL提供的流量”下跟踪HTTP与HTTPS流量，然后再选择加入，以评估这对他们环境的影响。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌正在以其历史上最大的收购交易，斥资320亿美元全现金收购云安全公司Wiz。 “此次收购代表着谷歌云对人工智能时代两大重要且快速增长趋势的投资：提升云安全能力以及支持多云环境（即使用多个云服务提供商），”这家科技巨头今日表示。 谷歌还表示，此次收购有待监管机构批准，旨在为客户提供一个“全面的安全平台”，以保护现代IT环境。 谷歌云首席执行官托马斯・库里安表示，将谷歌的云服务与Wiz结合，将“推动多云网络安全的采用、多云的使用以及云计算中的竞争和增长”。 Wiz首席执行官阿萨夫・拉帕波特表示，即使交易完成后，Wiz仍将保持作为一个独立的多云平台，并将与其他云公司如AWS、Azure和Oracle合作。 此次发展距离谷歌以54亿美元收购Mandiant还不到三年。此外，在七个多月前，谷歌曾试图以据报道的230亿美元价格收购Wiz但未成功。 谷歌的其他与安全相关的收购包括2012年9月收购的VirusTotal和2022年1月收购的Siemplify。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）将开始向被Restoro和Reimage两家技术支援公司误导的受害者分发超过2550万美元的退款。 FTC将从3月13日起通过PayPal向736375名消费者发送退款，这些消费者曾被欺骗支付不必要的电脑维修服务费用。从现在到3月13日期间，符合条件的退款接收者将收到电子邮件，并需在30天内兑换PayPal付款。 Restoro Cyprus Limited和Reimage Cyprus Limited因违反FTC法案和电话营销规则，于一年前被罚款2600万美元。他们通过在线广告和弹出窗口，冒充Windows弹出窗口和系统警告，声称消费者的电脑感染了恶意软件、存在性能问题，并需要紧急关注以避免损害。 “自2018年1月以来，被告通过互联网和电话营销，以Restoro和Reimage的品牌名称，向消费者推销所谓的电脑维修服务，”FTC在投诉中表示，“被告使用相同的欺骗手段来营销和销售Restoro和Reimage，包括欺骗性弹出窗口、互联网营销、扫描所谓的错误和风险，以及电话营销。” “被告的弹出窗口和互联网广告以提供免费扫描或电脑‘更新’为诱饵吸引消费者。无论电脑实际状况如何，扫描或更新最终都会发现所谓的性能或安全问题，需要进行维修。” 正如FTC在2024年3月所揭示的，其调查人员也曾在2022年5月至6月期间为Restoro，以及2022年7月至8月期间为Reimage支付了服务费用，以复制消费者体验。 尽管用于测试购买服务的设备没有性能或安全问题，并且运行着杀毒软件，但使用这两家公司的软件进行扫描“揭示”了数百个需要修复的问题，包括“电脑隐私问题”、“崩溃的程序”、“垃圾文件”和“损坏的注册表问题”。 他们还被要求支付高达58美元的“电脑维修计划”费用，并在支付后被敦促拨打“激活”电话给Restore和Reimage的电话营销人员，后者告知他们软件无法修复所有问题。 Restoro和Reimage的电话营销人员要求访问调查人员的电脑，并声称发现更多“错误、关键警告、病毒或恶意软件”，同时指向与标准且无害的系统错误和警告相关的Microsoft Windows事件查看器日志条目。 “电话营销人员随后推荐由技术人员提供的维修服务。他们提供各种‘维修计划’，价格分别为‘银牌’服务199.99美元、‘金牌’服务299.99美元或‘铂金’服务499.99美元，”FTC当时补充道。 除了2600万美元的罚款外，FTC的命令还禁止这两家公司使用欺骗性电话营销和歪曲性能或安全问题，以恐吓消费者购买不必要的电脑维修服务。 去年，FTC还命令Turbotax制造商Intuit停止营销“免费”但并非免费的软件，禁止Avast出售用户浏览数据用于广告目的，并禁止数据经纪公司InMarket和Outlogic出售美国人的原始位置数据。 12月，该机构还向受Epic Games使用暗模式欺骗玩家进行不必要的购买影响的人分发了超过7200万美元的Fortnite退款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文