HackerNews 编译，转载请注明出处： 网络安全研究人员发现，黑客正通过滥用企业官网“联系我们”表单，向美国工业及科技公司投递伪装成保密协议文件的恶意软件。与传统钓鱼攻击不同，黑客首先通过企业官网表单联系受害者，使后续通信更具可信度。 黑客假扮潜在商业伙伴，与目标企业进行长达两周的沟通，要求受害者签署保密协议。最终发送的合同文件托管在合法云平台Heroku上，实际为包含定制化恶意软件MixShell的ZIP压缩包。研究人员指出：“这种长期互动表明攻击者愿意投入时间，可能根据目标价值或入侵难度调整策略”。 约80%的受害者位于美国，主要为工业机械、金属加工及零部件制造商。半导体、生物技术、制药、航空航天、能源及消费品行业企业同样遭袭，新加坡、日本和瑞士亦有企业受害。 值得注意的是，并非所有ZIP文件均含恶意代码——部分仅包含无害文档。这表明黑客可能根据受害者IP地址、浏览器特征等条件，在Heroku平台选择性投放真实恶意负载。 为增强可信度，攻击者使用注册于美国的真实企业域名（部分可追溯至2015年）。这些域名对应的网站实为统一模板生成的虚假页面，“关于我们”栏目均使用同一张白宫管家照片冒充公司创始人。凭借长期存在的域名信誉，攻击者成功绕过安全过滤系统。 尽管尚未锁定具体攻击组织，但Check Point发现某台服务器与黑客组织UNK_GreenSec的基础设施存在重叠。该组织此前曾显现与俄罗斯背景黑客的关联迹象，研究人员判断此次攻击主要出于经济利益驱动。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员提醒，多起攻击行动正在利用已知安全漏洞和暴露的 Redis 服务器从事多种恶意活动，包括将受害设备变为物联网僵尸网络、住宅代理或加密货币挖矿基础设施。 第一类攻击涉及对 CVE-2024-36401（CVSS 评分：9.8）的利用，这是一种影响 OSGeo GeoServer GeoTools 的严重远程代码执行漏洞，自去年底以来已被武器化用于网络攻击。 Palo Alto Networks Unit 42 的研究人员 Zhibin Zhang、Yiheng An、Chao Lei 和 Haozhe Zhang 在技术报告中表示：“犯罪分子利用该漏洞部署合法的软件开发工具包（SDK）或修改过的应用，以通过网络共享或住宅代理获得被动收入。” “这种被动收入的方式尤其隐蔽。它模仿了一些正规应用开发者的变现策略，这些开发者选择 SDK 而不是展示传统广告。这可能是出于善意的选择，旨在保护用户体验并提升应用留存率。” 该网络安全公司表示，攻击者至少自 2025 年 3 月初起就开始探测暴露在互联网上的 GeoServer 实例，借此植入由对手控制的服务器下载的定制可执行文件。与常见的 HTTP 服务器不同，这些载荷通过一个私有文件共享服务 transfer.sh 分发。 此次行动中使用的应用程序尽量保持低调，几乎不消耗资源，同时通过隐秘的方式利用受害者的网络带宽获利，而无需分发定制恶意软件。这些二进制文件由 Dart 编写，旨在与合法的被动收入服务交互，悄悄利用设备资源进行带宽共享等活动。 这种方式对各方来说都是“双赢”：应用开发者通过集成该功能获得报酬，而网络犯罪分子则能借助看似无害的渠道，从闲置带宽中获利。 Unit 42 表示：“一旦运行，可执行文件会在后台秘密工作，监控设备资源，并在可能时非法共享受害者带宽。这为攻击者带来被动收入。” 该公司收集的遥测数据显示，全球共有 99 个国家的 7100 多个 GeoServer 实例暴露在互联网上，其中中国、美国、德国、英国和新加坡位居前五。 Unit 42 指出：“这场持续的行动展示了攻击者在变现受害系统方面的重要演进。攻击者的核心策略强调隐蔽且持久的收益，而不是对资源的激烈利用。这种方式更倾向于长期、低调的收入生成，而非容易被察觉的技术。” 与此同时，Censys 披露了一个大规模物联网僵尸网络 PolarEdge 的基础设施，该网络由企业级防火墙及路由器、网络摄像头和 VoIP 电话等消费类设备组成，通过利用已知安全漏洞形成。目前其确切用途尚不清楚，但很明显它并未被用于无差别的大规模扫描。 攻击者在获得初始访问权限后，会植入一个基于 Mbed TLS 的定制 TLS 后门，该后门可实现加密的指挥与控制、日志清理以及动态基础设施更新。该后门通常被部署在高位的非标准端口上，可能是为了绕过传统的网络扫描与防御监控范围。 PolarEdge 的特征符合“运营中继箱”（ORB）网络。攻击面管理平台指出，该行动可能最早可追溯至 2023 年 6 月，截至本月，活跃设备数量已达约 4 万台，感染设备中超过 70% 分布在韩国、美国、中国香港、瑞典和加拿大。 安全研究员 Himaja Motheram 表示：“ORB 是被攻陷的出口节点，用来转发流量，以便为威胁行为者执行更多的入侵或攻击。ORB 的价值在于，攻击者无需接管设备的核心功能，它们可以在后台安静地中继流量，而设备仍然保持正常运行，从而让设备所有者或运营商难以察觉。” 近几个月来，攻击者还利用 DrayTek、TP-Link、Raisecom 和 Cisco 等厂商产品中的漏洞入侵设备，并部署一个代号为 gayfemboy 的 Mirai 变种，表明攻击范围正在扩大。 Fortinet 表示：“gayfemboy 行动覆盖多个国家，包括巴西、墨西哥、美国、德国、法国、瑞士、以色列和越南。其目标涉及广泛行业，如制造业、科技、建筑业，以及媒体或通信。” gayfemboy 能够针对多种系统架构，包括 ARM、AArch64、MIPS R3000、PowerPC 和 Intel 80386。它具备四个主要功能： Monitor：跟踪线程和进程，并具备持久化和沙箱逃避技术 Watchdog：尝试绑定到 UDP 端口 47272 Attacker：通过 UDP、TCP 和 ICMP 协议发起 DDoS 攻击，并连接远程服务器获取命令以实现后门访问 Killer：在接收到服务器指令或检测到沙箱环境时自我终止 安全研究员 Vincent Li 表示：“虽然 gayfemboy 继承了 Mirai 的结构元素，但它引入了显著的改进，提升了复杂性和规避检测的能力。这一演变反映出现代恶意软件的日益复杂化，也凸显了主动、情报驱动防御策略的必要性。” 与此同时，另一起加密劫持行动也被曝光。威胁行为者 TA-NATALSTATUS 正在针对暴露的 Redis 服务器投放加密货币挖矿程序。 攻击方式包括扫描 6379 端口上的未认证 Redis 服务器，然后执行合法的 CONFIG、SET 和 SAVE 命令，进而创建一个恶意的定时任务，运行脚本以关闭 SELinux、规避防御、阻断 Redis 端口的外部连接（防止其他攻击者入侵），并终止竞争对手的挖矿进程（如 Kinsing）。 攻击者还会部署脚本安装 masscan 或 pnscan 等工具，随后执行类似“masscan –shard”的命令扫描互联网上的易受攻击 Redis 实例。最后一步是通过每小时的定时任务建立持久化，并启动挖矿进程。 网络安全公司 CloudSEK 表示，该活动是 Trend Micro 在 2020 年 4 月披露的一次攻击行动的演化版本，新增了类似 rootkit 的功能，以隐藏恶意进程并修改文件时间戳，从而迷惑取证分析。 研究员 Abhishek Mathew 表示：“通过将系统二进制文件 ps 和 top 重命名为 ps.original，并用恶意包装器替代，它们会在输出中过滤掉自身的恶意进程。管理员在使用标准工具寻找矿工进程时，将无法发现它的存在。他们还将 curl 和 wget 分别重命名为 cd1 和 wd1。这是一种简单但巧妙的方法，可以绕过那些专门监控 curl、wget 下载行为的安全产品。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去年因供应链攻击被植入Linux发行版的XZ Utils高危后门，至今仍在DockerHub上潜伏。数十个公开镜像携带此漏洞，并污染了基于它们构建的容器。 Binarly研究团队的安全研究人员警告称，他们在DockerHub上发现超过35个仍公开的基础镜像携带臭名昭著的XZ Utils后门——该漏洞被评为最高危险等级（CVSS 10.0）。攻击者可利用此漏洞获取远程管理员权限，完全控制系统。 许多Linux网络项目可通过单条Docker命令部署，仅需单个YAML配置文件。这些在GitHub共享的模板若指定了含漏洞的操作系统版本，将导致整个项目被攻陷。研究人员强调：“任何基于受感染发行版构建的Docker镜像均会被污染。” 报告指出：“我们发现部分受感染镜像仍在Docker Hub公开。更令人担忧的是，其他镜像基于这些被感染的基础镜像构建，形成传递性感染。”已识别的12个基础镜像包含2024年3月发布的各类Debian版本（含实验版、不稳定版及未标记版本）。研究人员尚未检测基于这些漏洞系统的二级DockerHub镜像。 报告称：“目前尚不清楚Fedora、OpenSUSE等受XZ Utils后门影响的发行版所构建的Docker镜像情况。”许多二级、三级镜像可能被用于个人应用乃至企业环境，这些场景通常优先稳定性而非最新系统版本。 尽管漏洞已公开披露，含XZ Utils后门的Docker镜像仍将存留于DockerHub。维护者在GitHub解释：“类似20240311的旧版镜像不再支持。它们永远不会更新，仅作为历史存档存在。用户应选用更新的镜像。” XZ Utils后门于去年曝光，引发网络安全界震动。该后门由开发者Jia Tan植入，其通过两年持续贡献在项目中建立信誉。多个主流Linux发行版分发了恶意软件包，使其成为史上最大软件供应链攻击之一。事件促使网络安全机构发布公告，Linux供应商迅速将受影响软件包回退至旧版。然而，此时损害已然造成。 Binarly研究报告总结：“我们的发现印证了即使短暂存在的后门构建版本，也可能在容器注册表中长期未被察觉并持续存在。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动安全研究人员发现一场大规模恶意活动，攻击者通过伪造的约会和社交应用窃取用户敏感数据。该行动被命名为“SarangTrap”，同时针对Android和iOS平台，利用超过250个恶意应用和80余个钓鱼域名实施攻击，韩国用户为主要目标。 安全公司Zimperium本周三发布的报告指出，该活动采用情感操纵策略：通过虚假用户资料、专属“邀请码”及仿真的应用界面诱骗受害者。这些应用伪装成合法服务，实则专门用于窃取用户联系人、私人照片、短信内容及设备标识符等数据。 攻击流程： 用户安装应用后，界面显示正常但会索要不必要的权限。输入攻击者提供的邀请码后，隐藏的间谍程序即被激活。获取权限后，应用将静默上传敏感数据至攻击者控制的服务器。 策略升级与跨平台特性 Zimperium实验室的最新分析显示，恶意软件策略持续演变： Android端：新样本已从清单文件中移除短信权限，但保留窃取短信的代码，表明攻击者正尝试规避安全扫描。 iOS端：改用恶意移动配置描述文件替代传统应用安装。用户授权后，攻击者无需应用即可获取联系人、照片及设备信息。 攻击基础设施 攻击者注册了88个独立域名，其中70余个用于分发恶意软件。至少25个域名被谷歌等搜索引擎收录，并通过“约会”“文件共享”等常见关键词提升排名，使钓鱼页面更具欺骗性。目前累计发现250余个Android恶意样本，部分样本甚至完全省略关键权限以躲避检测，但仍持续窃取数据。 技术与社会工程的结合 该活动将技术手段与社会工程深度融合。典型案例中，一名经历分手的男性用户被虚假约会资料诱导，通过钓鱼链接下载应用并输入邀请码后设备遭入侵。攻击者利用窃取的私密视频对其进行敲诈，威胁向家人公开内容。 Zimperium建议用户：警惕索要邀请码或非常规权限的应用，避免使用第三方应用商店，并定期检查设备配置描述文件与安全设置。 SarangTrap行动目前仍处于活跃进化状态，使得用户保持警惕变得尤为重要。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国就业局（France Travail）遭遇数据泄露事件，可能影响数十万求职者。 该机构于7月22日向其用户发送电子邮件，警告称其“就业”门户网站（供合作伙伴使用）在7月13日发现数据泄露。 此次泄露可能暴露34万用户的个人数据，包括姓名、邮政地址和电子邮件地址、电话号码、France Travail标识符以及求职者状态。该机构保证用户的密码和银行详细信息未受影响。 “但我们建议对网络钓鱼风险保持警惕。”该就业局在公开声明中警告道。 通过信息窃取程序实施的网络攻击凸显双因素认证（2FA）安全漏洞 据法国科技新闻媒体Next报道，此次泄露由法国网络安全机构（ANSSI）的计算机应急响应小组（CERT-FR）在7月12日发现。 据信，泄露的发生是由于位于伊泽尔省的一个培训组织的关联用户账户，通过信息窃取恶意软件（infostealer malware）遭到入侵。攻击者随后设法获得了对Kairos应用程序的访问权限，该应用程序使培训组织能够追踪求职者的培训进度。 一位France Travail发言人告诉Next：“该服务（指就业门户）连同所有其他为合作伙伴托管的服务被立即关闭。” France Travail已向法国当局提出投诉，通知了法国数据保护局（CNIL），并告知了受影响的个人。 作为预防措施而关闭的服务，包括该机构的就业门户和Kairos，预计将于7月24日重新启用。 France Travail表示已加强安全措施，并加速了为Kairos部署双因素认证（2FA）的进程，该部署原定于2026年10月进行。 这是France Travail两年内第二次遭遇数据泄露。2024年3月，恶意行为者攻击了该机构及Cap Emploi（一个支持残疾人的政府就业服务机构）的IT系统。那次事件影响了过去20年内注册用户的个人数据，意味着高达4300万潜在用户的数据被泄露。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lumma信息窃取恶意软件（Infostealer）行动在5月遭受大规模执法打击后正逐步恢复活动。此前执法行动查获了2300个域名及部分基础设施，但该恶意软件即服务（MaaS）平台并未关闭。 运营商随即在XSS论坛发布声明，承认执法行动的影响，但声称其核心服务器未被查获（尽管已遭远程擦除），且恢复工作已在进行中。趋势科技（Trend Micro）报告显示，Lumma的基础设施在打击后数周内迅速重建，活动水平已接近行动前状态。该组织为规避进一步打击，已从Cloudflare转向俄罗斯服务商Selectel等替代云设施来伪装恶意流量。 当前Lumma主要通过四类渠道传播恶意软件： 虚假破解工具/密钥生成器：通过恶意广告和篡改的搜索结果推广，诱导用户访问欺诈网站。这些网站先用流量检测系统（TDS）分析用户环境，再分发Lumma下载器。 ClickFix技术：入侵网站植入虚假验证码页面，诱骗用户执行PowerShell命令，直接将Lumma载入内存以规避文件检测机制。 GitHub仓库：攻击者创建含AI生成内容的仓库，以虚假游戏外挂为诱饵（如“TempSpoofer.exe”），通过可执行文件或ZIP压缩包分发恶意负载。 YouTube/Facebook平台：利用视频和帖子推广破解软件，将用户引流至托管Lumma的第三方站点（甚至滥用Google协作平台等可信服务提升可信度）。 趋势科技指出，Lumma的复苏印证了缺乏逮捕或起诉的执法行动难以阻止高利润的MaaS运营者，其核心成员仅将此类打击视为“需规避的常规障碍。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安卓恶意软件Konfety的新变种近期出现，其通过构造畸形的ZIP文件结构及其他混淆技术逃避分析与检测。 Konfety伪装成合法应用，模仿Google Play上的无害产品，但完全不提供宣称的功能。该恶意软件的功能包括：将用户重定向至恶意网站、强制安装不需要的应用以及推送虚假浏览器通知。 其核心行为是通过CaramelAds SDK获取并展示隐藏广告，同时窃取设备信息（如已安装应用列表、网络配置及系统信息）。 尽管Konfety不属于间谍软件或远程访问工具（RAT），但其APK内包含加密的次级DEX文件。该文件在运行时解密并加载，内含AndroidManifest文件中声明的隐藏服务。这种机制为动态安装附加模块留下后门，使当前感染设备可能被植入更危险的恶意功能。 规避技术分析 移动安全平台Zimperium的研究人员发现并分析了最新Konfety变种，确认其采用多重技术混淆真实行为： 1、“邪恶双胞胎”分发策略：复制Google Play正版应用的名称与标识，通过第三方应用商店分发。该策略被Human公司研究人员命名为“诱饵双胞胎”。 2、动态代码加载：恶意逻辑隐藏在加密的DEX文件中，仅在运行时加载，使常规扫描无法检测。 3、APK文件结构操控： 虚假加密标志：将通用标志位（General Purpose Bit Flag）的00位设为“1”，误导分析工具识别为加密文件并索要密码（实际未加密），阻碍APK内容访问。 声明非常规压缩格式：关键文件声明采用BZIP压缩算法（0x000C），导致APKTool、JADX等工具因不支持此格式而解析失败。 注：Android系统会忽略这些异常声明，自动启用默认处理机制确保安装运行。 4、隐蔽执行：安装后隐藏应用图标与名称，并利用地理围栏技术根据受害者区域动态调整行为。 历史关联技术 压缩混淆技术在安卓恶意软件中早有先例。2024年4月卡巴斯基报告的SoumniBot恶意软件即采用类似手法：在AndroidManifest.xml声明无效压缩方法、伪造文件大小和数据覆盖，并通过超长命名空间字符串干扰分析工具。 防护建议 用户应避免从第三方安卓应用商店安装APK文件，仅信任已知开发者的软件。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客正通过伪造Zoom软件更新，诱使Web3和加密货币相关组织的员工安装Nim编译的macOS恶意软件——SentinelOne报告。 观察到的攻击遵循了近期归因于平壤APT组织BlueNoroff的感染链：黑客冒充受害者的可信联系人，通过Telegram邀请受害者使用流行的Calendly日程安排平台安排会议。 受害者随后会收到一封包含Zoom会议链接的电子邮件，并被指示运行一个伪装成Zoom SDK更新的恶意脚本。脚本的执行会触发一个多阶段感染链，最终导致SentinelOne统称为NimDoor的恶意二进制文件的部署。 对攻击的分析揭示了该黑客组织使用的新技术，例如： – 使用Nim编程语言构建macOS二进制文件 – 滥用wss进行进程注入和远程通信 – 依赖特定的信号处理程序实现持久化 Nim是一种静态类型的编译型系统编程语言，融合了Python、Ada和Modula等语言的概念。 “Nim阶段包含一些独特功能，包括加密配置处理、围绕Nim原生运行时构建的异步执行，以及一种在macOS恶意软件中前所未见的基于信号的持久化机制，” SentinelOne在技术报告中指出。 AppleScript在整个感染链中被广泛使用，既用于初始访问，也用于入侵后的操作，如信标通信和系统后门植入。Bash脚本被部署用于Keychain、浏览器和Telegram数据的外泄。 根据SentinelOne的说法，攻击者使用了两个Mach-O二进制文件来触发两个独立的执行链： 其中一个用C++编写，会导致执行用于数据外泄的bash脚本；另一个从Nim源代码编译，用于设置持久化并投放两个Nim编译的二进制文件，分别是’GoogIe LLC’（使用拼写错误欺骗，用小写字母”l”替换大写字母”I”）和’CoreKitAgent’。 GoogIe LLC用于设置配置文件并执行CoreKitAgent，这是一个复杂的Nim二进制文件，”作为使用macOS kqueue机制的事件驱动应用程序运行”，SentinelOne表示。 这两个载荷共同建立了持久访问和恢复机制，依靠信号处理程序拦截来自SIGINT和SIGTERM的终止信号，并重新部署核心组件。 “Nim相当独特的在编译时执行函数的能力，使攻击者能够将复杂行为融入二进制文件中，且控制流不那么明显，导致编译后的二进制文件中开发者代码和Nim运行时代码甚至在函数级别都相互交织，” SentinelOne指出。     消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯国家支持的黑客组织APT28正利用Signal聊天软件针对乌克兰政府目标发起攻击，部署两种此前未公开的恶意软件家族BeardShell和SlimAgent。需明确的是，这并非Signal自身的安全漏洞，而是因全球政府广泛使用该平台，攻击者将其作为钓鱼攻击的新渠道。 乌克兰计算机应急响应小组（CERT-UA）最早于2024年3月发现此类攻击，但当时未能完全揭示感染途径细节。2025年5月，ESET向CERT-UA通报某gov.ua政府邮箱账户遭未授权访问，触发新一轮事件响应。调查发现，攻击者通过Signal发送恶意文档（Акт.doc），该文档利用宏功能加载名为Covenant的内存驻留后门。 Covenant作为恶意软件加载器，会下载DLL文件（PlaySndSrv.dll）和携带shellcode的WAV音频（sample-03.wav），进而加载用C++编写的BeardShell恶意软件。攻击者通过劫持Windows注册表的COM组件实现持久化控制。BeardShell的核心功能包括： 下载PowerShell脚本 使用chacha20-poly1305算法解密脚本 执行脚本并将结果回传至命令控制（C2）服务器（通过Icedrive API实现通信） 在2024年的攻击中还发现名为SlimAgent的屏幕截图工具，该工具调用Windows API（包括EnumDisplayMonitors、CreateCompatibleDC等）截取屏幕，使用AES和RSA加密图像后暂存本地，疑似等待其他载荷将其回传至APT28服务器。 CERT-UA将此活动归因于APT28（内部追踪代号UAC-0001），建议潜在目标监控与app.koofr.net、api.icedrive.net的网络交互。该组织长期针对乌克兰及欧美关键机构实施网络间谍活动，具有高度技术能力——2024年11月Volexity曾曝光其利用“最近邻”技术通过附近Wi-Fi网络实施远程入侵。 2025年Signal频成俄乌网络战焦点：攻击者滥用“设备关联”功能劫持账户，利用该平台分发Dark Crystal RAT等恶意软件。 乌克兰政府曾表示失望，称Signal未配合阻断俄罗斯攻击行动。但Signal总裁梅雷迪思·惠特克回应称，平台从未向乌克兰或其他政府提供用户通信数据。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个在合法网站上注入恶意 JavaScript 的大规模攻击活动。 据 Palo Alto Networks Unit 42 报告，这些恶意注入代码使用 JSFuck 进行混淆。JSFuck 指的是一种“深奥且具有教育意义的编程风格”，它仅使用有限的字符集来编写和执行代码。 由于涉及不雅用语，这家网络安全公司将该技术赋予了另一个名称“JSFireTruck”。 “已识别出多个网站被注入了使用 JSFireTruck混淆的恶意 JavaScript，该混淆主要由符号 [, ], +, $, {, } 构成，”安全研究员哈迪克·沙赫（Hardik Shah）、布拉德·邓肯（Brad Duncan）和普拉奈·查帕瓦尔（Pranay Kumar Chhaparwal）表示。“代码的混淆隐藏了其真实目的，阻碍了分析。” 进一步的分析确定，注入的代码旨在检查网站的引荐来源（“document.referrer”），该信息标识了发出请求的网页地址。 如果引荐来源是诸如 Google、Bing、DuckDuckGo、Yahoo! 或 AOL 这样的搜索引擎，JavaScript 代码就会将受害者重定向到可以传播恶意软件、漏洞利用程序、进行流量变现和传播恶意广告（malvertising）的恶意网址。 Unit 42 表示，其遥测数据显示，在 2025 年 3 月 26 日至 4 月 25 日期间，有 269,552 个网页被发现感染了使用 JS消防车技术的 JavaScript 代码。该活动在 4 月 12 日首次出现峰值，当天单日就发现了超过 5 万个受感染的网页。 “该活动的规模和隐蔽性构成了重大威胁，”研究人员说。“这些感染的普遍性表明存在一项协同努力，旨在通过攻陷合法网站作为攻击载体，以实施进一步的恶意活动。” 这一消息发布的背景是：Gen Digital 揭开了一种名为 HelloTDS 的复杂流量分发服务（Traffic Distribution Service, TDS）的面纱。该服务旨在通过注入网站的远程托管 JavaScript 代码，有条件地将网站访问者重定向到虚假验证码（CAPTCHA）页面、技术支持诈骗页面、虚假浏览器更新提示、不需要的浏览器扩展以及加密货币骗局。 该 TDS 的主要目标是将受害者设备采集指纹特征后，作为一个网关来确定要向他们投放的具体内容性质。如果用户未被认定为合适的目标，受害者会被重定向到一个良性网页。 “攻击活动的入口点是受感染或被攻击者控制的其他流媒体网站、文件共享服务，以及恶意广告（malvertising）活动。”研究员沃伊捷赫·克莱萨（Vojtěch Krejsa）和米兰·斯平卡（Milan Špinka）在本月发布的一份报告中表示。 “受害者的筛选会基于地理位置、IP地址和浏览器指纹特征；例如，通过VPN或无头浏览器的连接会被检测并拒绝。” 其中一些攻击链已被发现会提供虚假验证码页面，这些页面利用 ClickFix 策略欺骗用户运行恶意代码，从而使他们的机器感染一种名为“峰值之光”（PEAKLIGHT，也称为 Emmenhtal Loader）的恶意软件。已知该恶意软件会加载信息窃取程序，如 Lumma。 HelloTDS 基础设施的核心是使用 .top、.shop 和 .com 顶级域名来托管 JavaScript 代码，并在经过多阶段（旨在收集网络和浏览器信息）的指纹采集过程后触发重定向。 “这些虚假验证码活动背后的 HelloTDS 基础设施，展示了攻击者如何不断完善其方法，以绕过传统防护措施、逃避检测并有选择性地锁定受害者。”研究人员表示。 “通过利用复杂的指纹识别、动态域名基础设施和欺骗手段（例如模仿合法网站或向研究人员提供良性内容），这些活动既能保持隐蔽性，又能达到大规模。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文