HackerNews 编译，转载请注明出处： 亲以色列黑客组织“Predatory Sparrow”宣称对伊朗最大加密货币交易所Nobitex发起网络攻击，窃取价值超9000万美元的加密货币并将其销毁。这场具有政治动机的袭击发生于2025年6月18日，Nobitex于美国东部时间凌晨2:24首次在社交平台X上披露入侵事件。 “6月19日上午，技术团队检测到部分报告基础设施和热钱包存在未经授权访问迹象，”Nobitex在声明中表示，“我们已立即暂停所有访问权限，内部安全团队正在紧急评估事件影响范围。” 袭击发生后不久，“Predatory Sparrow”通过其波斯语账号“Gonjeshke Darande”宣布对事件负责，并威胁将公开从Nobitex内部网络窃取的源代码及机密数据。该交易所网站自遇袭后始终处于瘫痪状态。 “继伊朗革命卫队旗下‘塞帕银行’之后，现在轮到Nobitex。警告！24小时后我们将公开其源代码与内部信息，届时仍滞留该平台的资产将面临风险，”该组织在声明中强调，“Nobitex交易所是该政权在全球资助恐怖主义的核心工具，更是其最偏好的制裁规避渠道。” 区块链分析公司Elliptic证实，超过9000万美元加密货币从Nobitex钱包中被转移至黑客控制的地址。但该组织并未试图变现牟利，而是将绝大部分资金转入嵌有反伊斯兰革命卫队（IRGC）标语的“靓号地址”（例如含“F*ckIRGCterrorists”字样的加密钱包）。此类特殊地址需消耗巨量算力生成可用私钥，而Elliptic指出：“创建如此长字符串名称的靓号地址在计算上不可行”，这意味着黑客实质永久锁死了这些资产。 “此次攻击显然非经济动机驱动，”Elliptic分析称，“黑客采用‘暴力破解’生成靓号地址——需创建海量密钥对直至匹配目标文本，但生成这种超长字符串地址的计算难度超出实际可行性。”调查还显示，Nobitex与伊朗革命卫队及高层存在关联。早前研究证实该交易所与最高领袖哈梅内伊亲属、革命卫队关联商业集团及受制裁个人有密切联系，这些人涉嫌利用平台转移勒索病毒赃款。 值得注意的是，“Predatory Sparrow”在袭击Nobitex前一日还攻陷了伊朗国有塞帕银行（Bank Sepah），同样以系统瘫痪为核心目标而非谋取资金。两起事件爆发之际，伊朗正通过日益严格的网络隔离措施降低关键基础设施遭受升级攻击的风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客正将矛头对准加密货币与区块链行业的求职者，通过感染应聘者设备实施数据窃取。思科Talos研究人员发现，一个名为“千里马”（Famous Chollima）的朝鲜黑客组织自2024年中起，针对印度等地的少量目标人群发起定向攻击。 该组织伪造知名企业身份，诱使真实的软件工程师、营销人员及设计师等应聘者访问技能测试页面。思科Talos在6月18日的报告中指出：“从发布的职位信息可明确看出，千里马组织广泛锁定具有加密货币和区块链技术经验的人群。其技能测试网站伪装成Coinbase、Archblock、Robinhood等真实企业，以此精准定位目标人群。” 受害者会收到测试网站的邀请码，需填写个人信息并完成技能测试。随后，应聘者被要求录制视频面试。当用户授权网站使用摄像头时，页面会显示“安装视频驱动程序”的指令，诱导其复制粘贴恶意代码到终端。思科Talos将这种策略称为“点击修复”（ClickFix）——通过虚构系统错误提示，利用人类解决问题的本能心理，诱骗目标执行最终导致恶意软件下载的命令。 黑客为MacOS和Windows系统开发了专属恶意软件“PylangGhost”，可窃取多种浏览器扩展程序存储的凭证、会话cookie等关键数据。该恶意软件具有模块化结构，通过RC4加密通信连接命令控制服务器，支持远程系统操控及文件窃取。 “千里马”等组织深度参与朝鲜向欧美科技公司渗透公民的计划：既通过合法薪资赚取外汇，又借助对区块链企业的渗透实施加密货币盗窃。美国执法部门估算，此类行动为朝鲜军方创收数十亿美元。本次攻击活动还暴露出朝鲜更深层的意图：窃取加密货币领域成功求职者的属性信息，为其公民伪造身份应聘提供参考；同时预先感染可能入职合法企业的开发者设备，为后续攻击埋下伏笔。 去年12月，加密货币平台Radiant Capital遭遇的5000万美元劫案正是类似手法的重演：黑客冒充公司前承包商，向工程师发送暗藏恶意软件INLETDRIFT的PDF文件，该后门专门针对macOS设备。自2023年以来，安全专家持续警告使用MacBook的加密货币从业者是朝鲜黑客的首要目标。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rare Werewolf（前称 Rare Wolf）黑客组织被关联到一系列针对俄罗斯和独立国家联合体（CIS）国家的网络攻击。Rare Werewolf，也被称为 Librarian Ghouls 和 Rezet，是一个被指定为高级持续性威胁（APT）组织的代号，该组织有攻击俄罗斯和乌克兰机构的记录。据悉其至少自 2019 年以来一直活跃。 “该威胁的一个显著特征是，攻击者倾向于使用合法的第三方软件，而非开发自己的恶意二进制文件，”卡巴斯基表示。“本文描述的活动其恶意功能是通过命令文件和 PowerShell 脚本实现的。” 攻击意图是在受感染主机上建立远程访问、窃取凭证并部署 XMRig 加密货币矿工。该活动影响了数百名俄罗斯用户，涉及工业企业和工程院校，在白俄罗斯和哈萨克斯坦也记录了少量感染。 根据 BI.ZONE 的信息，该威胁行为者通过钓鱼邮件获得初始访问权限，利用立足点窃取文档、Telegram 通讯数据，并投放 Mipko Employee Monitor、WebBrowserPassView 和 Defender Control 等工具，用于与被感染系统交互、收集密码和禁用防病毒软件。 卡巴斯基记录的最新攻击显示，使用钓鱼邮件作为恶意软件传播载体，以包含可执行文件的受密码保护的压缩包作为激活感染的起点。 压缩包中存在一个安装程序，用于部署名为 4t Tray Minimizer 的合法工具以及其他载荷，包括一个模仿付款单的诱饵 PDF 文档。 “该软件可以将正在运行的应用程序最小化到系统托盘，使攻击者能够隐藏其在受感染系统上的存在。”卡巴斯基解释道。 这些中间载荷随后被用来从远程服务器获取其他文件，包括 Defender Control 和 Blat（一种通过 SMTP 将窃取的数据发送到攻击者控制邮箱的合法实用程序）。攻击的另一个特点是使用了 AnyDesk 远程桌面软件和一个 Windows 批处理脚本来促进数据窃取和矿工部署。 该批处理脚本的一个显著方面是，它启动了一个 PowerShell 脚本，该脚本具备在凌晨 1 点（当地时间）自动唤醒受害者系统，并通过 AnyDesk 允许攻击者对其进行四小时窗口远程访问的能力。然后，机器会在凌晨 5 点通过计划任务关闭。 卡巴斯基指出：“利用第三方合法软件进行恶意目的是常见的技术，这使得检测和归因 APT 活动变得更加困难，所有的恶意功能仍然依赖于安装程序、命令和 PowerShell 脚本。” 与此同时，Positive Technologies 披露，一个名为 DarkGaboon 的出于经济动机的网络犯罪组织，一直在使用 LockBit 3.0 勒索软件针对俄罗斯实体。据悉 DarkGaboon 自 2023 年 5 月起活跃，于 2025 年 1 月首次被发现。 该公司表示，攻击使用带有包含 RTF 诱饵文档和 Windows 屏保文件的压缩包的钓鱼邮件，来投放 LockBit 加密器以及 XWorm 和 Revenge RAT 等木马。使用现成工具被视为攻击者试图融入更广泛的网络犯罪活动并挑战归因努力的一部分。 “DarkGaboon 并非 LockBit RaaS（勒索软件即服务）的客户，而是独立行动，这体现在使用了公开可用的 LockBit 勒索软件版本、在被攻击公司中未发现数据外泄痕迹，以及传统的在[数据泄露站点]门户上公布被盗信息的威胁上，”Positive Technologies 研究员 Victor Kazakov 说道。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部近期提交民事没收诉讼，要求没收与朝鲜伪造IT员工计划相关的774万美元加密货币资产。该计划涉及此前被起诉的朝鲜外贸银行（FTB）代表沈贤燮（Sim Hyon Sop）。冻结资产涵盖加密货币、NFT及其他数字资产。 司法部在声明中指出：“朝鲜IT工作者通过非法就业积累数百万美元加密货币资产，目的是规避美国对朝制裁。这些资金最初因2023年4月对沈贤燮的起诉而被冻结，其涉嫌与IT工作者共谋。当朝鲜试图清洗这些非法所得时，美国政府成功冻结并扣押了774万美元涉案资金。” 诉状揭示朝鲜通过加密资产非法融资的核心手段：派遣IT工作者秘密潜入中国、俄罗斯等国，利用伪造身份骗取区块链公司远程职位。雇主在不知情下以USDC、USDT等稳定币支付薪酬，变相资助朝鲜政权。这些工作者通过虚假身份、小额转账、链跳转（chain hopping）、NFT购买等方式洗钱，并利用美国账户掩盖资金来源。清洗后的资金通过沈贤燮及朝鲜国防部关联企业Chinyong CEO金尚曼（Kim Sang Man）等人回流朝鲜——该企业自2017年起受美制裁。 司法部国家安全司司长Sue J. Bai强调：“朝鲜长期利用全球远程IT雇佣及加密生态系统规避制裁，为其武器计划提供资金。此次百万美元级没收行动彰显我们切断非法融资渠道的决心，将持续运用法律工具遏制朝鲜破坏稳定计划。” 2024年5月，司法部起诉涉嫌协助朝鲜IT工作者冒用美籍身份渗透数百家企业的亚利桑那州女子、乌克兰男子及三名外籍人士。该计划派遣数千名技术人员使用盗取的美籍身份渗透企业，通过美国支付平台、招聘网站及代理电脑欺诈超300家美企，成为美当局起诉的最大规模同类案件。行动时间跨度为2020年10月至2023年10月，情报专家推测其旨在为朝鲜核计划融资。 主要被告克里斯蒂娜·查普曼（Christina Marie Chapman）5月在亚利桑那州被捕，乌克兰籍奥列克桑德·迪登科（Oleksandr Didenko）同期于波兰落网，美方正寻求引渡。查普曼面临共谋欺诈、电汇欺诈、银行欺诈、加重身份盗窃等12项指控。FBI同步发布警报，警示私营领域防范朝鲜IT工作者威胁。 同年8月，田纳西州居民马修·努特（Matthew Isaac Knoot）因运营“笔记本农场”协助朝鲜IT工作者获取美企远程职位被捕。诉状显示，努特帮助朝鲜工作者使用窃取身份冒充美国公民，在其住所托管公司笔记本电脑，安装未授权软件提供访问权限，并通过朝中关联账户清洗薪酬。朝鲜IT工作者主要潜伏中俄两国，以虚假身份骗取远程工作，每人年收入可达30万美元。 执法部门估算受害企业审计修复损失超50万美元。努特被控共谋破坏受保护计算机、洗钱、电汇欺诈等六项罪名，若成立将面临最高20年监禁（其中身份盗窃罪强制最低刑期2年）。       消息来源：  securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部6月4日宣布查获与非法信用卡交易平台BidenCash相关的加密货币资产及约145个明网与暗网域名。该平台通过简化盗刷信用卡及关联个人信息交易流程牟利，每笔交易收取手续费。 BidenCash于2022年3月上线，填补了Joker’s Stash等非法论坛关停后的市场空缺。据调查，该平台运营期间累计服务超11.7万用户，交易逾1500万张支付卡数据及个人信息，非法收益至少达1700万美元。为推广服务，2022年10月至2023年2月间曾免费泄露330万张信用卡信息，包含卡号、有效期、CVV码及持卡人住址等敏感数据。其中2023年2月泄露的210万张卡片中，半数归属美国实体。 该平台还以2美元低价兜售SSH入侵服务，提供目标服务器漏洞检测、算力定位等黑客工具包。网络安全公司CloudSEK曾警告，此类服务可能引发数据窃取、勒索软件攻击及非法挖矿等恶性事件。 本次行动由美国特勤局和联邦调查局主导，联合荷兰警方、暗影服务器基金会等国际机构实施。当局未披露查获加密货币具体价值及平台运营者身份信息。 此次打击行动前一周，国际执法机构刚查封4家提供反病毒规避服务的平台。另有一名35岁乌克兰籍黑客因入侵超5000个主机账户实施非法挖矿被起诉，其利用开源情报定位漏洞基础设施部署虚拟机的行为造成450万美元损失，最高面临15年监禁。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 越来越多的恶意活动利用了一种名为Crocodilus的新发现安卓银行木马，针对欧洲和南美用户。 根据ThreatFabric发布的一份新报告，该恶意软件还采用了改进的混淆技术来阻碍分析和检测，并新增了在受害者联系人列表中创建新联系人的能力。 荷兰安全公司ThreatFabric表示：“近期活动显示，多个攻击活动在继续针对土耳其的同时，已将欧洲国家纳入目标范围，并正将攻击版图向全球扩展至南美洲。” Crocodilus木马于2025年3月首次被公开披露，当时它通过伪装成谷歌Chrome等合法应用，主要针对西班牙和土耳其的安卓设备用户。该木马具备发起覆盖攻击的能力，攻击目标是从外部服务器获取的一系列金融应用列表，目的是窃取凭证。 它还会滥用辅助功能权限来捕获与加密货币钱包关联的助记词，这些助记词随后可被用于盗取钱包中存储的虚拟资产。 ThreatFabric的最新发现表明，该恶意软件的地理攻击范围正在扩大，并且其功能和特性也在持续开发增强，这表明其背后的运营者正在对其进行积极维护。 研究发现，针对波兰的部分攻击活动利用Facebook上的虚假广告作为传播媒介，这些广告模仿银行和电子商务平台，诱骗受害者下载应用以领取所谓的奖励积分。试图下载该应用的用户会被引导至一个恶意网站，该网站会投放Crocodilus的安装器（dropper）。 其他针对西班牙和土耳其用户的攻击波次则伪装成网络浏览器更新和在线赌场。阿根廷、巴西、印度、印度尼西亚和美国也是该恶意软件锁定的目标国家。 除了采用各种混淆技术增加逆向工程分析的难度外，新变种的Crocodilus还具备在收到“TRU9MMRHBCRO”命令后，向受害者联系人列表添加指定联系人的能力。 据推测，此功能旨在应对谷歌在安卓系统中引入的新安全防护措施——当用户在与未知联系人进行屏幕共享期间启动银行应用时，系统会发出可能的诈骗警报。 ThreatFabric分析称：“我们认为其意图是添加一个具有说服力名称（如‘银行客服’）的电话号码，使攻击者能够以看似合法的身份呼叫受害者。这也可能绕过那些标记未知号码的欺诈预防措施。” 另一个新功能是自动化的助记词收集器，它利用解析器来提取特定加密货币钱包的助记词和私钥。 该公司总结道：“涉及Crocodilus安卓银行木马的最新攻击活动，标志着该恶意软件在技术复杂性和操作范围上都发生了令人担忧的演变。值得注意的是，其攻击活动不再局限于特定区域；该木马已将触角延伸至新的地理区域，凸显出其已转变为真正的全球性威胁。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化金融平台Cork Protocol周三凌晨遭黑客攻击，价值超1200万美元的加密货币被盗。联合创始人菲尔·福格尔宣布平台已暂停所有交易活动。 公司声明证实：“UTC时间11:23 wstETH:weETH交易市场遭受安全攻击。作为预防措施，其他所有交易市场均已暂停，目前仅该市场受影响。”尽管未回应具体攻击细节，但多家区块链安全公司追踪数据显示，黑客盗取4530枚以太坊（时值约1210万美元）。 这家特拉华州注册的平台专注于DeFi领域“脱锚风险”对冲交易（指锚定资产的加密货币因市场波动或流动性危机偏离设定价值，如2023年硅谷银行倒闭引发的稳定币危机）。其产品定位为“填补DeFi领域信用违约互换等传统金融工具的空白”，去年曾获安德森·霍洛维茨基金投资并参与其加密创业加速计划。 此次攻击距去中心化交易所Cetus遭窃2.23亿美元仅隔五日。更早前Bybit平台今年初损失超14亿美元。安全机构PeckShield统计显示，2024年加密货币平台累计损失逾30亿美元，较2023年增长15%。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，一个以牟利为目的的黑客组织正在利用Craft内容管理系统（CMS）新近披露的远程代码执行漏洞（CVE-2025-32432），部署包含加密货币矿工、Mimo加载器及住宅代理软件的多重恶意载荷。该高危漏洞已于今年4月由Orange Cyberdefense SensePost首次披露，官方在3.9.15、4.14.15和5.6.17版本中修复。 据Sekoia最新报告，攻击者通过该漏洞获取目标系统未授权访问权限后，部署WebShell实现持久远程控制。该WebShell会使用curl、wget或Python库urllib2从远程服务器下载并执行shell脚本。研究人员指出，攻击者在Python代码中将urllib2库别名为“fbi”，这种非常规命名可能暗指美国联邦调查局，或成为威胁溯源的重要线索。 该脚本首先检测系统感染痕迹，卸载已知加密货币矿工，终止所有活跃的XMRig进程及其他竞品挖矿工具，随后投放ELF可执行文件。该程序即Mimo加载器，通过修改动态链接器配置文件隐藏恶意进程，最终在受控主机部署IPRoyal代理软件和XMRig矿工。攻击者借此实现双重获利：劫持算力挖矿牟利，同时将受害者网络带宽转化为代理节点资源。 该攻击活动被归因于代号Mimo的黑客组织，其自2022年3月起活跃，曾利用Apache Log4j（CVE-2021-44228）、Atlassian Confluence（CVE-2022-26134）、PaperCut（CVE-2023–27350）及Apache ActiveMQ（CVE-2023-46604）等漏洞部署矿工。据安博士2024年1月报告，该组织2023年还使用基于Go语言的Mimus勒索软件实施攻击，该软件系开源项目MauriCrypt的分支版本。 Sekoia追踪发现攻击流量源自土耳其IP地址（85.106.113[.]168），开源情报显示Mimo组织成员可能物理位置位于该国。法国网络安全公司指出，Mimo组织以快速武器化新漏洞著称，此次从CVE-2025-32432漏洞披露到概念验证代码发布，再到实际攻击发生的时间间隔极短，充分展现其响应速度与技术敏捷性。目前确认该组织仍保持活跃，持续扫描利用新披露的漏洞实施攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： npm软件包注册表中发现多达60个恶意软件包，这些软件包具有收集主机名、IP地址、DNS服务器和用户目录至Discord控制端点的恶意功能。软件供应链安全公司Socket的研究员基里尔·博伊琴科在上周发布的报告中表示，这些由三个不同账户发布的软件包包含在npm安装期间触发的安装时脚本。这些库已被累计下载超过3,000次。 该公司表示：“该脚本针对Windows、macOS或Linux系统，并包含基本的沙箱逃逸检查，使得每个受感染的工作站或持续集成节点都成为有价值侦察信息的潜在来源。”三个账户的名称如下，每个账户在11天内发布了20个软件包，这些账户现已不存在于npm上： bbbb335656 cdsfdfafd1232436437 sdsds656565 根据Socket的说法，该恶意代码明确设计用于对每台安装该软件包的机器进行指纹识别，同时在检测到运行于与亚马逊、谷歌等相关的虚拟化环境时中止执行。收集的信息（包括主机详细信息、系统DNS服务器、网络接口卡（NIC）信息以及内部和外部IP地址）随后被传输至Discord网络钩子。 “通过收集内部和外部IP地址、DNS服务器、用户名和项目路径，它使威胁行为者能够绘制网络图并识别未来活动的高价值目标，”博伊琴科表示。 该披露紧随另一组八个npm软件包之后，这些软件包伪装成React、Vue.js、Vite、Node.js和开源Quill Editor等广泛使用的JavaScript框架的辅助库，但在安装后部署破坏性有效载荷。它们已被下载超过6,200次，目前仍可从仓库下载： vite-plugin-vue-extend quill-image-downloader js-hood js-bomb vue-plugin-bomb vite-plugin-bomb vite-plugin-bomb-extend vite-plugin-react-extend “这些软件包伪装成合法插件和实用程序，同时秘密包含旨在破坏数据、删除关键文件和崩溃系统的破坏性有效载荷，却未被检测到，”Socket安全研究员库什·潘迪亚表示。已发现部分软件包在开发人员于项目中调用时会自动执行，实现与Vue.js、React和Vite相关文件的递归删除。其他软件包则设计用于破坏基本JavaScript方法或篡改localStorage、sessionStorage和cookie等浏览器存储机制。 值得注意的另一个软件包是js-bomb，它不仅删除Vue.js框架文件，还会根据执行时的当前时间发起系统关机。该活动被追踪至名为xuxingfeng的威胁行为者，其还发布了五个正常运行的合法非恶意软件包。部分恶意软件包发布于2023年。“这种同时发布有害和有益软件包的双重策略营造了合法性表象，使得恶意软件包更可能被信任和安装，”潘迪亚表示。 这些发现还紧随一项新型攻击活动的披露，该活动将传统电子邮件钓鱼与作为恶意npm软件包（伪装成良性开源库）组成部分的JavaScript代码相结合。“一旦建立通信，该软件包就会加载并交付第二阶段脚本，该脚本使用受害者的电子邮件地址定制钓鱼链接，将其引导至旨在窃取其凭证的伪造Office 365登录页面，”Fortra研究员伊斯雷尔·塞尔达表示。 攻击的起点是包含恶意.HTM文件的钓鱼邮件，该文件包含托管在jsDelivr并与现已删除的名为citiycar8的npm软件包相关联的加密JavaScript代码。安装后，嵌入在软件包中的JavaScript有效载荷被用于发起URL重定向链，最终将用户引导至旨在捕获其凭证的虚假登录页面。 “这次钓鱼攻击展现了高度复杂性，威胁行为者将AES加密、通过CDN交付的npm软件包和多次重定向等技术相链接以掩盖其恶意意图，”塞尔达表示。“此次攻击不仅说明了攻击者试图逃避检测的创造性方式，还突显了在不断演变的网络安全威胁环境中保持警惕的重要性。” 滥用开源存储库进行恶意软件分发已成为大规模实施供应链攻击的成熟方法。最近几周，微软Visual Studio Code（VS Code）市场中也发现了恶意数据窃取扩展程序，这些扩展程序旨在通过针对Windows上的Solidity开发者来窃取加密货币钱包凭证。 Datadog安全研究团队将该活动归因于其追踪为MUT-9332的威胁行为者。扩展程序名称如下： solaibot among-eth blankebesxstnion “这些扩展程序伪装成合法程序，在真实功能中隐藏有害代码，并使用与Solidity相关且通常不会被标记为恶意的命令控制域，”Datadog研究人员表示。“所有三个扩展程序都采用了涉及多阶段混淆恶意软件的复杂感染链，其中一个扩展程序使用了隐藏在互联网档案馆托管图像文件中的有效载荷。” 具体而言，这些扩展程序被宣传为Solidity开发者提供语法扫描和漏洞检测功能。虽然它们提供真实功能，但这些扩展程序也设计用于交付窃取受害者Windows系统加密货币钱包凭证的恶意有效载荷。这三个扩展程序现已被下架。 VS Code扩展程序的最终目标是植入基于Chromium的恶意浏览器扩展程序，该扩展程序能够掠夺以太坊钱包并将其泄露至命令与控制（C2）端点。它还被配置为安装单独的可执行文件，该文件可禁用Windows Defender扫描、扫描Discord、基于Chromium的浏览器、加密货币钱包和Electron应用的应用程序数据目录，并从远程服务器检索和执行额外有效载荷。 MUT-9332还被评估为最近披露活动的幕后黑手，该活动涉及使用10个恶意VS Code扩展程序（通过伪装成编码或人工智能工具）安装XMRig加密货币挖矿程序。“此次活动展示了MUT-9332在隐藏恶意意图方面令人惊讶的创造性手段，”Datadog表示。“这些有效载荷更新表明该活动可能会持续进行，而首批恶意VS Code扩展程序的检测和删除可能促使MUT-9332在后续活动中改变策略。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化加密货币交易所Cetus周四凌晨遭攻击，损失金额达2.23亿美元。该公司最初在社交媒体向用户通报称因安全原因暂停平台运营，经调查后确认攻击者已窃取资金。平台声明表示：“我们立即采取行动锁定智能合约防止进一步资金流失”，并称已成功“冻结”1.62亿美元被盗资产。 基于Sui区块链运营的Cetus未就“冻结”的具体技术含义作出回应，但透露正与Sui基金会等机构合作追回剩余资金，承诺后续发布完整事件报告。区块链安全专家分析链上数据发现，约5000万美元被盗资金已转入新钱包地址。 关于攻击根源存在显著争议：部分人士援引Cetus官方Discord频道的消息，认为黑客利用协议漏洞实施窃取；彭博社援引专家观点称攻击可能涉及代币价格操纵。Cetus曾在四月披露平台累计处理交易量达500亿美元。 此次事件发生距朝鲜黑客组织攻击Bybit交易所致14亿美元损失仅三个月。2025年加密货币领域安全事件频发，Coinbase上周披露因内部员工泄密导致近7万名用户遭钓鱼攻击。区块链研究机构Chainalysis数据显示，2024年加密货币平台被盗金额超20亿美元。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文