HackerNews 编译，转载请注明出处： 美国国务院表示，其与日本及韩国外务省协作在东京举办论坛，旨在应对朝鲜公民通过非法手段获取信息技术职位的多年渗透活动。本次论坛汇集130余位参与者，涵盖自由职业平台、支付服务提供商、加密货币企业及人工智能公司等领域。 该论坛旨在为各利益相关方搭建信息共享平台，共同制定防御策略。多起案例显示，日本与韩国企业（尤其是加密货币行业）因误雇朝鲜IT人员已损失数百万美元。 美日韩三国自2022年起就此展开合作，并于今年1月共同指出朝鲜知名黑客组织“拉撒路集团”（Lazarus Group）持续通过加密货币窃取活动实施网络犯罪，目标涵盖交易所、数字资产托管商及个人用户。除日本加密货币公司DMM Bitcoin和印度平台WazirX遭窃5亿美元外，朝鲜黑客还从Upbit、Rain Management及Radiant Capital等平台盗取1.16亿美元。 朝鲜政府通过该计划为其大规模杀伤性武器及弹道导弹项目筹集数亿美元资金。具体操作模式为：身处中国、俄罗斯或东南亚的朝鲜公民利用窃取的欧美身份证明，受雇于西方企业并获取高薪。数百名朝鲜人员以此获得职位，其中多人同时在多家财富500强企业兼任工作。 尽管部分公司承认这些IT人员工作能力合格，但美国官员警告潜在风险包括：敏感数据泄露、企业声誉损害、法律追责后果，以及掌握企业内部资产路径的朝鲜黑客可能发动后续攻击。 上月，美国财政部对三名参与IT渗透计划的朝鲜高级官员实施制裁，同时判处一名亚利桑那州女子八年监禁——该女子在美国境内运营“笔记本农场”，协助朝鲜人员伪装在美国本土工作。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员提醒，多起攻击行动正在利用已知安全漏洞和暴露的 Redis 服务器从事多种恶意活动，包括将受害设备变为物联网僵尸网络、住宅代理或加密货币挖矿基础设施。 第一类攻击涉及对 CVE-2024-36401（CVSS 评分：9.8）的利用，这是一种影响 OSGeo GeoServer GeoTools 的严重远程代码执行漏洞，自去年底以来已被武器化用于网络攻击。 Palo Alto Networks Unit 42 的研究人员 Zhibin Zhang、Yiheng An、Chao Lei 和 Haozhe Zhang 在技术报告中表示：“犯罪分子利用该漏洞部署合法的软件开发工具包（SDK）或修改过的应用，以通过网络共享或住宅代理获得被动收入。” “这种被动收入的方式尤其隐蔽。它模仿了一些正规应用开发者的变现策略，这些开发者选择 SDK 而不是展示传统广告。这可能是出于善意的选择，旨在保护用户体验并提升应用留存率。” 该网络安全公司表示，攻击者至少自 2025 年 3 月初起就开始探测暴露在互联网上的 GeoServer 实例，借此植入由对手控制的服务器下载的定制可执行文件。与常见的 HTTP 服务器不同，这些载荷通过一个私有文件共享服务 transfer.sh 分发。 此次行动中使用的应用程序尽量保持低调，几乎不消耗资源，同时通过隐秘的方式利用受害者的网络带宽获利，而无需分发定制恶意软件。这些二进制文件由 Dart 编写，旨在与合法的被动收入服务交互，悄悄利用设备资源进行带宽共享等活动。 这种方式对各方来说都是“双赢”：应用开发者通过集成该功能获得报酬，而网络犯罪分子则能借助看似无害的渠道，从闲置带宽中获利。 Unit 42 表示：“一旦运行，可执行文件会在后台秘密工作，监控设备资源，并在可能时非法共享受害者带宽。这为攻击者带来被动收入。” 该公司收集的遥测数据显示，全球共有 99 个国家的 7100 多个 GeoServer 实例暴露在互联网上，其中中国、美国、德国、英国和新加坡位居前五。 Unit 42 指出：“这场持续的行动展示了攻击者在变现受害系统方面的重要演进。攻击者的核心策略强调隐蔽且持久的收益，而不是对资源的激烈利用。这种方式更倾向于长期、低调的收入生成，而非容易被察觉的技术。” 与此同时，Censys 披露了一个大规模物联网僵尸网络 PolarEdge 的基础设施，该网络由企业级防火墙及路由器、网络摄像头和 VoIP 电话等消费类设备组成，通过利用已知安全漏洞形成。目前其确切用途尚不清楚，但很明显它并未被用于无差别的大规模扫描。 攻击者在获得初始访问权限后，会植入一个基于 Mbed TLS 的定制 TLS 后门，该后门可实现加密的指挥与控制、日志清理以及动态基础设施更新。该后门通常被部署在高位的非标准端口上，可能是为了绕过传统的网络扫描与防御监控范围。 PolarEdge 的特征符合“运营中继箱”（ORB）网络。攻击面管理平台指出，该行动可能最早可追溯至 2023 年 6 月，截至本月，活跃设备数量已达约 4 万台，感染设备中超过 70% 分布在韩国、美国、中国香港、瑞典和加拿大。 安全研究员 Himaja Motheram 表示：“ORB 是被攻陷的出口节点，用来转发流量，以便为威胁行为者执行更多的入侵或攻击。ORB 的价值在于，攻击者无需接管设备的核心功能，它们可以在后台安静地中继流量，而设备仍然保持正常运行，从而让设备所有者或运营商难以察觉。” 近几个月来，攻击者还利用 DrayTek、TP-Link、Raisecom 和 Cisco 等厂商产品中的漏洞入侵设备，并部署一个代号为 gayfemboy 的 Mirai 变种，表明攻击范围正在扩大。 Fortinet 表示：“gayfemboy 行动覆盖多个国家，包括巴西、墨西哥、美国、德国、法国、瑞士、以色列和越南。其目标涉及广泛行业，如制造业、科技、建筑业，以及媒体或通信。” gayfemboy 能够针对多种系统架构，包括 ARM、AArch64、MIPS R3000、PowerPC 和 Intel 80386。它具备四个主要功能： Monitor：跟踪线程和进程，并具备持久化和沙箱逃避技术 Watchdog：尝试绑定到 UDP 端口 47272 Attacker：通过 UDP、TCP 和 ICMP 协议发起 DDoS 攻击，并连接远程服务器获取命令以实现后门访问 Killer：在接收到服务器指令或检测到沙箱环境时自我终止 安全研究员 Vincent Li 表示：“虽然 gayfemboy 继承了 Mirai 的结构元素，但它引入了显著的改进，提升了复杂性和规避检测的能力。这一演变反映出现代恶意软件的日益复杂化，也凸显了主动、情报驱动防御策略的必要性。” 与此同时，另一起加密劫持行动也被曝光。威胁行为者 TA-NATALSTATUS 正在针对暴露的 Redis 服务器投放加密货币挖矿程序。 攻击方式包括扫描 6379 端口上的未认证 Redis 服务器，然后执行合法的 CONFIG、SET 和 SAVE 命令，进而创建一个恶意的定时任务，运行脚本以关闭 SELinux、规避防御、阻断 Redis 端口的外部连接（防止其他攻击者入侵），并终止竞争对手的挖矿进程（如 Kinsing）。 攻击者还会部署脚本安装 masscan 或 pnscan 等工具，随后执行类似“masscan –shard”的命令扫描互联网上的易受攻击 Redis 实例。最后一步是通过每小时的定时任务建立持久化，并启动挖矿进程。 网络安全公司 CloudSEK 表示，该活动是 Trend Micro 在 2020 年 4 月披露的一次攻击行动的演化版本，新增了类似 rootkit 的功能，以隐藏恶意进程并修改文件时间戳，从而迷惑取证分析。 研究员 Abhishek Mathew 表示：“通过将系统二进制文件 ps 和 top 重命名为 ps.original，并用恶意包装器替代，它们会在输出中过滤掉自身的恶意进程。管理员在使用标准工具寻找矿工进程时，将无法发现它的存在。他们还将 curl 和 wget 分别重命名为 cd1 和 wd1。这是一种简单但巧妙的方法，可以绕过那些专门监控 curl、wget 下载行为的安全产品。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国知名网络犯罪团伙“散裂蜘蛛”（Scattered Spider）一名20岁成员被判处十年监禁，其涉嫌参与系列重大黑客攻击及加密货币盗窃案。诺亚·迈克尔·厄本（Noah Michael Urban）已于2025年4月对电信欺诈和严重身份盗窃指控认罪。该判决由彭博社及杰克逊维尔当地媒体News4JAX率先报道。 除120个月联邦监禁外，厄本还需接受三年监督释放，并向受害者支付1300万美元赔偿金。厄本向安全记者布莱恩·克雷布斯表示，该判决“不公正”。 厄本曾使用“Sosa”“Elijah”“King Bob”“Gustavo Fring”“Anthony Ramirez”等多个化名，于2024年1月在佛罗里达州被捕。美国司法部指出，其在2022年8月至2023年3月期间实施的电信欺诈和严重身份盗窃，造成至少五名受害者损失超80万美元。 检方称，厄本与同伙通过SIM卡劫持攻击劫持受害者加密货币账户，盗取数字资产。2024年11月，美国司法部对厄本及其他四名散裂蜘蛛成员提起刑事指控，指控其利用社会工程学手段针对美国企业员工，入侵公司网络窃取专有数据并转移数百万美元加密货币。其中同伙泰勒·罗伯特·布坎南（Tyler Robert Buchanan）已于2025年4月从西班牙引渡回美国。 当前，散裂蜘蛛已与ShinyHunters、LAPSUS$等黑客组织组成新联盟。该团伙关联更广泛的英语系网络犯罪团体“The Com”，长期从事社会工程学攻击、凭证窃取、SIM卡劫持、初始访问渗透、勒索软件部署、数据盗窃及敲诈勒索。 零狐（ZeroFox）情报副总裁亚当·达拉表示：“散裂蜘蛛惯用制造紧迫感、吸引媒体关注、威胁曝光等手段迫使受害者快速付款。定时泄露信息、倒计时威胁及嘲讽安全公司均是他们的固定策略。与其他团伙的合作使其获得更多工具、数据和基础设施，威胁性成倍放大。执法打击加剧时，这类组织往往通过合并求生，最终形成更具破坏力的联合体。” 网络安全公司Flashpoint近期分析指出，该以牟利为目的的黑客组织采取“波浪式攻击策略”——短期内集中攻击特定行业多家企业。“散裂蜘蛛的战术证明，通过社会工程学手段（如语音钓鱼、短信钓鱼、MFA疲劳攻击）针对人员而非系统漏洞进行攻击，可轻易绕过最先进的技术防御体系。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国于8月21日宣布新一轮制裁措施，矛头直指吉尔吉斯斯坦境内被控协助俄罗斯规避制裁的金融机构与加密网络。 此次英国制裁与美国行动形成呼应，针对为乌克兰战争输送资金、支持克里姆林宫海外恶意活动及俄罗斯勒索软件生态的实体。此前，美国官员本月早些时候已对多家加密货币交易所更新制裁，包括支撑吉尔吉斯斯坦加密代币A7A5的基础设施——英国政府称该代币“专为规避西方制裁而设计”。 制裁目标包括吉尔吉斯斯坦公司Old Vector（发行A7A5代币的主体）。据Chainalysis报告，该公司自成立以来“处理资金逾510亿美元”。英国外交部声明补充道，制裁还覆盖“吉尔吉斯斯坦的Capital银行及其董事坎特米尔·查尔巴耶夫，俄罗斯利用该银行为军事物资付款”。这些实体在英资产已被冻结。 英国制裁事务大臣斯蒂芬·道蒂警告，克里姆林宫正试图通过“可疑加密网络”为乌克兰战争筹资。他表示新措施将在“关键时刻持续向普京施压，打击用于向战争金库输送资金的非法网络”。 根据“有组织犯罪与腐败报告项目”（OCCRP）调查，被制裁实体还与乔治·罗西存在关联。英国国家犯罪调查局认定此人是一个庞大俄罗斯洗钱体系的核心人物，该体系使用者包括跨国毒贩、网络罪犯、规避制裁的莫斯科精英，甚至克里姆林宫间谍机构。 英国此次行动还延伸至美国早前对Keremet银行的制裁，新增制裁对象为总部位于卢森堡的Altair控股公司（该公司去年收购了Keremet银行的控股权）。尽管美国制裁仍是最有力工具（因国际美元交易均需经纽约清算），但英国制裁将阻断相关实体获取伦敦的金融与法律服务。 “若克里姆林宫认为能通过可疑加密网络洗白交易来缓解我方制裁——他们大错特错，”道蒂强调，“我们将与盟友一道，继续支持美国主导的行动，终结这场非法战争并实现公正持久的和平。”       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部宣布从涉嫌勒索软件运营者Ianis Aleksandrovich Antropenko处查获逾280万美元加密货币。Antropenko在德克萨斯州被起诉，罪名包括计算机欺诈和洗钱，其犯罪活动关联现已停止运营的Zeppelin勒索软件（2019至2022年间活跃）。除数字资产外，当局还扣押7万美元现金及一辆豪华汽车。 “Antropenko使用Zeppelin勒索软件攻击全球范围内的个人、企业及组织（包括美国境内目标）”，司法部声明指出，“具体而言，Antropenko及其同伙会加密并窃取受害者数据，通常以解密数据、避免公开或承诺删除数据为条件勒索赎金”。 收到赎金后，Antropenko试图通过混币服务ChipMixer洗钱（该服务于2023年3月被当局查封）。其他洗钱手段包括加密货币兑现金交易及结构化存款（将大额资金拆分为小额存款以规避银行监管）。 Zeppelin勒索软件于2019年末作为VegaLocker/Buran勒索软件变种出现，通过利用MSP软件漏洞攻击医疗和IT企业。2021年沉寂后重启攻击，但后续攻击的加密方案显示出技术缺陷。至2022年11月该组织基本停止活动——当时曝光的安全研究显示，Unit221b团队自2020年初就掌握免费解密密钥可协助受害者恢复文件。2024年1月有消息称Zeppelin勒索软件源代码在某黑客论坛以500美元价格出售。 针对Antropenko的起诉表明，即使网络犯罪活动已停止多年，证据仍能揭露攻击者身份。此次280万美元赃款扣押行动，延续了美国当局近期打击勒索软件的系列举措（包括从BlackSuit勒索软件查获100万美元加密货币、从Chaos勒索软件查获240万美元比特币）。 在无法实施逮捕的案件中，查没犯罪所得对打击勒索软件至关重要——此举能有效阻止运营者及关联方利用资金重建基础设施或招募新成员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过3亿美元与网络犯罪及欺诈相关的加密货币，因两项分别由执法机构与私营企业主导的行动被冻结。 第一项行动源自T3打击金融犯罪小组（T3 FCU）推出的“T3+全球合作计划”。该小组由情报公司TRM Labs、波场（TRON）和泰达公司（Tether）于近一年前联合成立，近期币安作为首个官方成员加入——这些均为区块链领域的重要力量。 根据TRM Labs数据，自2024年9月启动以来，该计划已在全球冻结超2.5亿美元犯罪资产，其中包括与币安联合行动中冻结的600万美元“杀猪盘”诈骗资金。 公告称：“T3 FCU成立以来与全球执法机构紧密协作，识别并瓦解犯罪网络，已分析横跨五大洲的数百万笔交易，监控资产总量逾30亿美元。”该小组协助调查的犯罪类型涵盖洗钱、投资欺诈、勒索及恐怖主义融资等。 第二项行动由美国与加拿大联合开展，依托Chainalysis的区块链情报技术。 合作包含两个子行动：安大略省警察局主导的“阿特拉斯计划”与不列颠哥伦比亚证券委员会主导的“雪崩行动”，二者均依赖Chainalysis的链上资金追踪技术。过去六个月内，这些调查揭露了逾7430万美元欺诈损失，并冻结了其中大部分资金。 Chainalysis声明：“‘阿特拉斯计划’虽从加拿大发起，实则覆盖全球，锁定14个国家超过2000个关联欺诈受害者的加密钱包地址。通过与泰达公司直接协作，我们已将超5000万美元USDT列入黑名单，阻止诈骗者转移或变现赃款。” 两项行动通过协调调查与全球协作，在区块链层级实现犯罪资金拦截，极大限制了犯罪分子的资产流动能力。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现名为“DoubleTrouble”的安卓银行木马近期大幅升级传播手段与技术能力，对欧洲用户构成严重威胁。该木马最初通过仿冒大型银行的钓鱼网站传播，现已扩展至利用Discord平台托管恶意APK文件进行分发，显著增加了检测与防御难度。 Zimperium研究人员分析了当前攻击活动的9个样本及25个早期变种。据周三发布的报告显示，新版木马新增多项敏感数据窃取、设备操控及传统移动防御规避功能。 实时监控技术升级 木马安装后会伪装为合法应用（使用谷歌Play图标），诱导用户开启安卓无障碍服务。借此权限，木马可在后台隐蔽运行。其采用基于会话的安装方式，将恶意负载隐藏在应用资源目录中，有效规避早期检测。最新版本核心功能包括： 通过媒体投影（MediaProjection）与虚拟显示（VirtualDisplay）接口实现实时屏幕录制。 伪造锁屏覆盖界面窃取PIN码、密码及解锁图案。 基于无障碍事件监控的键盘记录。 针对性拦截银行应用或安全工具。 仿冒合法登录界面的定制化钓鱼覆盖层。 窃取数据经编码后传输至远程命令控制（C2）服务器，目标涵盖银行应用、密码管理工具及加密货币钱包的凭证。通过实时镜像用户设备屏幕，攻击者可绕过多因素认证，直接获取用户所见敏感内容。 全功能命令控制系统 该木马响应数十种C2服务器指令，支持远程攻击者： 模拟点击滑动操作 触发伪造UI元素 显示黑屏或更新界面 操控系统级设置 特定指令（如发送密码、启动图形拦截、屏蔽应用）使攻击者在窃密同时能主动阻挠用户操作。Zimperium警告称，DoubleTrouble采用的混淆技术、动态覆盖层与实时视觉窃取能力，标志着移动威胁正朝适应性强、持久化方向演进。其持续升级的传播手法与技术特性，对个人用户与金融机构均构成严峻挑战。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁组织UNC4899被指通过LinkedIn和Telegram接触两家不同企业的员工实施攻击。谷歌云部门在《2025年下半年云威胁地平线报告》[PDF]中表示：“UNC4899以软件开发的自由职业机会为幌子，利用社会工程技术成功说服目标员工在其工作站执行恶意Docker容器。” UNC4899与Jade Sleet、PUKCHONG、Slow Pisces及TraderTraitor等组织存在活动重叠。该国家级攻击组织自2020年起活跃，以针对加密货币和区块链行业著称，涉及多起重大加密货币盗窃案，包括2022年3月Axie Infinity（6.25亿美元）、2024年5月DMM Bitcoin（3.08亿美元）以及2025年2月Bybit（14亿美元）的黑客事件。 其攻击手段还包括利用JumpCloud基础设施攻击加密货币领域下游客户。据DTEX称，TraderTraitor隶属于朝鲜侦察总局第三局，在加密货币盗窃方面是平壤黑客组织中最高效的团体。该组织常以工作邀约为诱饵或上传恶意npm软件包，通过高薪合作机会或GitHub项目协作邀请目标企业员工，诱导其执行恶意npm库。 云安全公司Wiz本周报告强调：“TraderTraitor持续关注云平台及周边攻击面，最终目标通常是云平台客户而非平台本身。”谷歌观察到的攻击针对企业的谷歌云和AWS环境：攻击者首先部署GLASSCANNON下载器，进而植入PLOTTWIST和MAZEWIRE后门以连接攻击者控制服务器。 在谷歌云攻击案例中，攻击者使用窃取的凭证通过谷歌云CLI匿名VPN远程操作，进行大规模侦察和凭证窃取，但因受害者启用多因素认证（MFA）受阻。谷歌指出：“UNC4899发现受害者账户拥有谷歌云项目管理权限后，直接禁用MFA要求。成功访问目标资源后，他们立即重新启用MFA以规避检测。” 针对AWS受害者的入侵采用类似手法，攻击者通过AWS凭证文件获取长期访问密钥远程操作AWS CLI。尽管遭遇访问控制限制，谷歌发现攻击者可能窃取了用户会话cookie，借此识别相关CloudFront配置和S3存储桶。“利用其访问权限固有的管理权限，攻击者将含恶意代码的JavaScript文件上传替换原有文件，旨在操纵加密货币功能并触发与目标组织加密货币钱包的交易。”最终两起攻击均成功窃取价值数百万美元的加密货币。 同期，Sonatype公司表示2025年1月至7月已拦截234个朝鲜Lazarus组织发布的恶意npm和PyPI软件包。部分软件包会投放已知凭证窃取程序BeaverTail（与长期活动Contagious Interview相关）。该软件供应链安全公司指出：“这些软件包伪装成流行开发工具，实则为间谍植入程序，用于窃取机密、分析主机并在关键基础设施建立持久后门。2025年上半年活动激增表明Lazarus战略转向：正以惊人速度将恶意软件直接嵌入npm和PyPI等开源软件包注册平台。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 停业逾一年后，加密货币平台FTX日本被曝泄露超3.5万名用户的个人及财务数据。 与已停止运营的FTX日本平台相关联的Amazon S3存储桶发生数据暴露，揭示该交易所虽已正式终止运营多年，但后台基础设施可能仍在运行并泄露超3.5万用户信息。该存储桶于2025年5月12日被发现，内含超2600万份文件，包括HTML格式的财务报告、日志记录及最新生成于2024年7月4日的用户数据。 泄露数据表明，在该平台履行完客户提现义务且被认定已完全关闭后，与其关联的自动化报告系统仍长期保持运行状态。 该交易所最初以Liquid by Quoine名义运营，是日本首批获得加密监管许可的平台之一。2022年被声名狼藉的FTX收购，不久后FTX全球崩盘，创始人Sam Bankman-Fried因欺诈罪获刑25年。 FTX日本因隔离了客户资金，得以在2022年11月FTX破产后仍向用户返还余额。该流程于2023年初完成，此后FTX日本预计将逐步关闭。 哪些数据遭暴露？ 此次泄露揭示出高达35,668个独立用户标识符，按电子邮箱或Auth0用户ID（身份验证系统标识符）分类。暴露的报告包含敏感财务数据，例如： 用户名及真实姓名 电子邮箱地址 居住地址 FTX账户ID 详细交易日志，包括借贷历史记录、加密货币类型、抵押品种类、保证金率及风险标识符 部分报告还包含账户状态指标，如清算警告和保证金风险触发值，引发对攻击者可能从数据中获取洞察程度的担忧。 尽管FTX日本在2022年11月全球FTX崩盘数月后，于2023年2月正式完成客户提现，但新曝光的文件表明其后台流程（如自动化报告）持续运行至2024年。2024年FTX日本被另一加密货币交易所bitFlyer收购并更名为Custodiem，新所有者原计划将FTX日本客户账户迁移至bitFlyer基础设施。 “尚不确定此次泄露属于Custodiem正在使用的基础设施，还是FTX崩盘后遗留的未修改废弃系统，”Cybernews研究团队解释称，“因此也无法明确这些个人数据属于Custodiem用户，还是拒绝在崩盘后迁移至Custodiem的FTX日本客户。” 数据泄露同时引发隐私与合规担忧。根据日本法律，加密货币交易所必须遵守严格的网络安全及数据保护标准。敏感数据长期暴露且缺乏保护，可能构成对国内外数据保护标准的严重违反。 由于以下原因，FTX日本或当前负责基础设施的实体可能违反数据保护法： 不当数据留存 停业后未停用系统 缺乏数据匿名化或加密措施 对个人身份信息（PII）及财务记录的保护不足 Cybernews已就数据泄露事件联系该公司，但截至发稿未获回应。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一项持续进行的攻击活动，该活动通过分发假冒加密货币交易应用来传播名为JSCEAL的编译型V8 JavaScript（JSC）恶意软件，该软件可窃取凭证和钱包数据。 根据Check Point公司的分析，此活动利用在Facebook上投放的数千条恶意广告，试图将毫无戒心的受害者重定向至虚假网站，诱导他们安装这些伪造应用。这些广告通过被盗账户或新创建的账户分享发布。 “攻击者将安装程序的功能拆分成不同的组件，尤为显著的是，将部分功能转移到了受感染网站内部的JavaScript文件中，”该公司在分析报告中指出，“这种模块化、多层次的感染流程使攻击者能在行动的每个阶段灵活调整战术和负载。” 值得注意的是，该活动的某些方面曾在2025年4月由微软以及本月早些时候由WithSecure记录在案，后者将其追踪为WEEVILPROXY。据这家芬兰安全供应商称，此活动自2024年3月就持续活跃。 研究发现，攻击链在最终投放JSC恶意负载之前，采用了一些新型反分析机制，这些机制依赖于基于脚本的指纹识别技术。 “威胁攻击者实现了一种独特的机制，要求恶意网站和安装程序必须同时运行才能成功执行，这显著增加了分析和检测的难度。”这家以色列网络安全公司指出。 点击Facebook广告中的链接会触发一系列重定向，最终根据目标的IP地址是否在期望范围或来源是否非Facebook，将受害者带至模仿TradingView等合法服务的虚假登录页或诱饵网站。 该网站还包含一个尝试与本地主机端口30303通讯的JavaScript文件，此外还托管另外两个JavaScript脚本，负责追踪安装进度以及发起由MSI安装包内组件处理的POST请求。 而从该网站下载的安装文件会解压若干DLL库，同时会在localhost:30303上启动HTTP监听器来处理来自虚假网站的传入POST请求。这种相互依赖性也意味着，如果其中任何组件失效，感染链将无法继续推进。 “为确保受害者不会怀疑异常活动，安装程序会使用msedge_proxy.exe打开一个Webview，将受害者引导至应用的官方网站。”Check Point表示。 DLL模块旨在解析来自网站的POST请求，收集系统信息并启动指纹识别过程，之后通过PowerShell后门将捕获的信息以JSON文件的形式外泄给攻击者。 如果判断受害主机有价值，感染链将进入最终阶段，通过利用Node.js执行JSCEAL恶意软件。 该恶意软件除建立与远程服务器的连接以接收进一步指令外，还会设置一个本地代理，目的是拦截受害者的网络流量，并向银行、加密货币和其他敏感网站注入恶意脚本，以实时窃取其凭证。 JSCEAL的其他功能包括收集系统信息、浏览器Cookie、自动填充密码、Telegram帐户数据、截取屏幕截图、记录按键操作、实施中间人（AitM）攻击以及操控加密货币钱包。它还可以充当远程访问木马（RAT）。 “这款复杂的恶意软件旨在完全控制受害机器，同时能抵抗常规安全工具的检测，”Check Point指出，“结合编译代码与高度混淆，同时展现出广泛的功能性，使得分析工作充满挑战且耗时。使用JSC文件使得攻击者能够简单有效地隐藏代码，助其躲避安全机制，并增加了分析难度。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文