HackerNews 编译，转载请注明出处： 一种手法娴熟老练的骗局正在针对PayPal用户展开。与大多数骗局一样，它也存在一些容易识破的欺骗迹象，只要你仔细审视。 Malwarebytes的研究人员发现了一个针对PayPal用户的高度复杂的网络钓鱼骗局。该骗局使用了多种技术，在外行看来，这些技术会令人警觉并迫使用户采取行动，使得受害者很容易直接落入恶意行为者的陷阱。此骗局的幕后操纵者成功伪造了PayPal的电子邮件地址，这为欺骗增添了一层额外的伪装。 据Malwarebytes称，电子邮件欺骗是指威胁行为者通过发送带有虚假发件人地址的电子邮件来冒充他人。通过这样做，受害者更可能相信电子邮件来自真实来源而非骗子。通过伪造此电子邮件，用户更可能相信它来自PayPal，并且可能更倾向于点击邮件中的链接或联系相关的电话号码。 研究人员注意到的另一个迹象是奇怪的收件人地址，该地址与受害者的地址没有直接关联。这是因为骗子设置了一个分发列表来批量 targeting 人群，而非针对单个受害者。更简单且或许更能说明这是网络钓鱼骗局的迹象来自电子邮件的内容。 尽管骗子成功复制了PayPal通常发送的电子邮件布局，但邮件的主题和要求采取的行动却大相径庭。例如，这封邮件要求受害者设置他们的PayPal账户 profile。但下面的文字却显示有一笔新的扣款已处理。 文字称检测到一笔新的 profile 扣款，金额超过900美元，这会让任何未曾有意通过PayPal花费如此多金额的人感到震惊。虽然它看起来可能很 legitimate，但有多种警告迹象表明这是一个网络钓鱼骗局。 首先，是信息中透露的紧迫感。PayPal声称链接将在24小时后失效，这意味着收到电子邮件的人将无法在此时间点之后解决这个虚假问题。 其次，金额超过900美元，这 specifically 是为了“吸引你的注意力”，Malwarebytes 说道。 第三，是加密货币的引入。据称从受害者账户中扣除的900美元是由加密货币交易平台Kraken.com收取的。 当受害者收到非预期的、要求他们通过加密货币进行支付的电子邮件时，这通常是一个骗局。最后，研究人员表示，邮件中列出的电话号码被国际公认的商业监督机构“Better Business Bureau”认定为与诈骗有关联的电话号码。 更令人担忧的是，邮件内的链接按钮实际上指向了PayPal官方网站。但是，这个链接并非将用户引导至支付争议部分或让他们设置账户 profile，而是允许恶意行为者被添加到他们的PayPal账户中。通过向你的PayPal账户添加一个次级用户，你实质上允许第二个人访问你的账户，随后账户资金可能会被迅速转移一空。 虽然网络钓鱼攻击可用于窃取凭证，但在这种情况下，它显然被用来对用户进行财务剥削。PayPal拥有超过4.34亿的庞大用户群，这使其成为试图利用脆弱用户的犯罪分子巨大的攻击面。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司Anthropic近期阻止了一起网络犯罪活动，该犯罪分子利用Claude Code编写钓鱼邮件、创建恶意代码并绕过安全过滤机制。 Anthropic最新版《威胁情报报告》显示，黑客、网络犯罪分子及其他威胁行为者已调整策略，开始利用AI的最先进能力实施攻击。AI模型正被用于执行复杂的网络攻击，同时该技术显著降低了从事网络犯罪的门槛——即便缺乏技术和编程能力的犯罪分子，如今也能借助AI实施勒索软件攻击或钓鱼骗局。 诈骗者更将AI嵌入其全流程操作：从受害者画像分析、窃取数据解析到伪造身份扩大潜在目标范围。报告中列举了Claude遭滥用的近期案例，包括： 利用Claude Code实施的大规模勒索行动 朝鲜背景的欺诈性就业骗局 仅具备基础编程能力的犯罪分子销售AI生成的勒索软件 首个案例中，威胁行为者使用Claude Code自动化执行侦察任务、窃取受害者凭证并渗透网络。Anthropic指出：“Claude被允许作出战术与战略决策，包括决定窃取哪些数据、如何设计心理定向勒索方案。它分析窃取的财务数据以确定赎金金额，并在受害者机器上生成视觉警示性勒索信。” 研究人员认为，此事标志着AI辅助网络犯罪的升级：“代理型AI工具正为攻击提供技术建议和实战支持，此类攻击原本需团队协作才能完成。由于这些工具能自适应防御措施，防护与执法难度持续增大。” 随着AI辅助工具日益精进和普及，此类复杂攻击将更加频繁。Anthropic表示，最佳解决方案是改进检测与遏制模型滥用的方法，承诺在该领域深化研究。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Group-IB披露名为ShadowSilk的新型威胁组织在中亚及亚太地区（APAC）针对政府机构发起攻击。该组织已渗透超过30个目标，主要动机为数据窃取，其工具集和基础设施与已知黑客团体YoroTrooper、SturgeonPhisher及Silent Lynx存在重叠。 受害者分布于乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦及土库曼斯坦，以政府机构为主，能源、制造、零售和运输业实体亦受波及。研究人员尼基塔·罗斯托夫采夫（Nikita Rostovcev）和谢尔盖·特纳（Sergei Turner）指出：“该组织由双语团队运作——俄语开发者负责维护YoroTrooper遗留代码，中文操作者主导入侵行动，形成灵活的多区域威胁模式。但两组人员的具体合作深度及性质仍不明确。” 攻击手法演进 ShadowSilk延续了YoroTrooper的技术脉络（该组织最早由思科Talos于2023年3月披露，以欧洲政府、能源及国际组织为目标）。其初始攻击载体为鱼叉式钓鱼邮件，投递受密码保护的压缩文件，释放自定义加载器。该加载器将命令控制（C2）流量隐藏在Telegram机器人通信中以规避检测，并投递后续恶意载荷。攻击者通过修改Windows注册表实现持久化驻留。 多元化攻击工具 除利用Drupal（CVE-2018-7600、CVE-2018-7602）和WP-Automatic插件漏洞（CVE-2024-27956）外，ShadowSilk还整合了侦察与渗透工具： 网络扫描工具：FOFA、Fscan、Gobuster、Dirsearch 漏洞利用框架：Metasploit、Cobalt Strike 地下市场资源：从暗网获取JRAT和Morf Project控制面板管理受控设备 数据窃取工具：定制化工具窃取Chrome密码存储文件及解密密钥 内网渗透与数据窃取 入侵得逞后，攻击者部署WebShell（如ANTSWORD、Behinder、Godzilla、FinalShell）和基于Sharp语言的利用工具，结合隧道工具Resocks和Chisel横向移动、提权并窃取数据。其专属Python远程木马（RAT）通过Telegram机器人接收指令并回传数据，将恶意流量伪装成合法通讯。Cobalt Strike和Metasploit模块用于截取屏幕及摄像头画面，定制PowerShell脚本则扫描特定扩展名文件并压缩回传至外部服务器。 语言证据与活动特征 Group-IB分析表明，YoroTrooper核心成员精通俄语，专注恶意软件开发与初始入侵。但攻击者工作站截图显示：键盘布局为中文、吉尔吉斯斯坦政府网站被自动翻译为中文、漏洞扫描器界面为中文，表明中文操作者深度参与行动。该组织近期仍高度活跃，7月仍有新受害者出现，持续聚焦中亚及亚太政府领域，需严密监控其基础设施以防长期潜伏与数据泄露。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Noodlophile恶意软件背后的威胁行为者正在利用鱼叉式钓鱼邮件和更新的传播机制，针对位于美国、欧洲、波罗的海国家和亚太（APAC）地区的企业部署信息窃取程序。 Morphisec研究员Shmuel Uzan在分享给The Hacker News的报告中表示：“Noodlophile攻击活动已持续一年以上，目前采用伪装成版权侵权通知的高级鱼叉式钓鱼邮件，这些邮件通过侦察获取的细节（如特定Facebook页面ID和公司所有权信息）进行定制化伪装。” 网络安全供应商曾在2025年5月详细披露过Noodlophore恶意软件，揭露攻击者使用虚假人工智能（AI）工具作为诱饵传播该恶意软件。这些伪造程序被发现在Facebook等社交媒体平台上投放广告。 需要说明的是，采用版权侵权诱饵并非新手段。早在2024年11月，Check Point就曾发现一场大规模钓鱼行动，该行动以虚假的版权侵权违规为由针对个人和组织投放Rhadamanthys窃取程序。 但最新迭代的Noodlophile攻击展现出显著差异，尤其是在合法软件漏洞利用、通过Telegram进行混淆分阶段部署以及动态载荷执行方面。 整个过程始于钓鱼邮件——通过声称特定Facebook页面存在版权侵权行为来制造虚假紧迫感，诱骗员工下载并运行恶意载荷。这些邮件源自Gmail账户以规避怀疑。 邮件内含有的Dropbox链接会释放ZIP或MSI安装程序。该安装程序随后利用与海海软件（Haihaisoft）PDF阅读器相关的合法二进制文件侧载恶意DLL，最终启动混淆的Noodlophile窃取程序。在此之前，攻击者会通过运行批处理脚本利用Windows注册表建立持久化机制。 攻击链的显著特点是利用Telegram群组描述作为“死投解析器”（dead drop resolver）来获取托管窃取程序载荷的实际服务器（“paste[.]rs”），此举增加了检测和清除难度。 Uzan指出：“该方法延续了先前攻击活动的技术（例如Base64编码压缩包、滥用certutil.exe等LOLBin工具），但新增了基于Telegram的命令控制层和内存执行层，以规避基于磁盘的检测。” 身份安全风险评估 Noodlophore是一款功能完善的窃取程序，能够捕获网络浏览器数据并收集系统信息。对该窃取程序源代码的分析表明，其开发工作持续进行以扩展功能，包括实现屏幕截图捕获、键盘记录、文件窃取、进程监控、网络信息收集、文件加密和浏览器历史记录提取。 Morphisec强调：“对浏览器数据的广泛窃取表明该活动针对具有重要社交媒体足迹（尤其是Facebook等平台）的企业。这些尚未实现的功能表明窃取程序开发者正积极扩展其能力，可能将其转变为更通用且危险的威胁。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织Patchwork被指针对土耳其国防承包商发起新一轮鱼叉钓鱼攻击，旨在窃取战略情报。 Arctic Wolf实验室本周发布的技术报告指出：“攻击者通过伪装成会议邀请函的恶意LNK文件实施五阶段攻击链，目标锁定对无人载具系统感兴趣的机构。”该行动还锁定了某未具名的精确制导导弹系统制造商，攻击时机正值巴基斯坦与土耳其深化防务合作、印巴军事冲突升级之际，显示其地缘政治动机。 Patchwork（亦名APT-C-09、APT-Q-36、白象组织等）被评估为印度背景的国家级黑客组织。该组织自2009年活跃至今，长期针对中国、巴基斯坦等南亚国家发动攻击。 一年前，Knownsec 404团队曾披露该组织通过不丹相关实体投递Brute Ratel C4攻击框架及新版PGoShell后门。2025年初至今，其持续攻击中国高校，近期更利用电网主题诱饵投放基于Rust语言的加载器，最终解密执行名为Protego的C#木马以窃取Windows系统数据。 此次对土耳其的攻击标志着该组织行动版图扩张。攻击始于钓鱼邮件中的恶意LNK文件，触发多阶段感染流程： LNK文件调用PowerShell命令，从2025年6月25日注册的域名“expouav[.]org”获取载荷 服务器托管仿冒国际无人载具系统会议的PDF诱饵（正版会议信息存于waset[.]org） “该PDF文档作为视觉诱饵分散用户注意力，攻击链在后台静默运行” 关键载荷包括通过计划任务启动的恶意DLL，采用DLL侧加载技术执行shellcode，最终实现： 主机深度侦察 屏幕截图 数据回传至C2服务器 这标志着该威胁组织能力显著升级：从2024年11月的x64 DLL变种，发展为当前具备增强命令结构的x86 PE可执行文件。Patchwork通过架构多样化及仿冒合法网站的C2协议，持续投入攻击能力开发。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员近日发现针对香港金融机构的新型恶意软件攻击浪潮，其核心是名为 SquidLoader 的加载器。该隐蔽加载器会部署 Cobalt Strike Beacon，并拥有先进的抗分析策略。 Trellix 的安全研究人员在周一发布的最新报告中指出，该恶意软件被发现能规避几乎所有检测手段，对目标受害者构成极大威胁。 高度规避的多阶段攻击链 SquidLoader 攻击活动始于鱼叉式钓鱼邮件。这些用普通话编写的邮件冒充金融机构，内含伪装成发票的带密码保护的 RAR 压缩包。 用户打开压缩包后，会发现一个伪装成 Microsoft Word 文档的恶意 PE 二进制文件。该文件在视觉上具有欺骗性，同时模仿合法的 “AMDRSServ.exe” 程序以增强社会工程效果。 一旦被执行，SquidLoader 便会嵌入系统并启动多阶段感染过程： 自我解包以解密其内部负载 通过混淆代码动态解析关键的 Windows API 初始化一个基于堆栈的自定义结构来存储操作数据 执行各种规避例程，旨在绕过沙箱、调试器和防病毒工具 联系远程命令控制 (C2) 服务器并下载 Cobalt Strike Beacon 广泛的抗分析与规避特性 SquidLoader 的一个显著特点是其广泛的抗分析策略。它利用环境检查、字符串混淆、控制流混淆和未公开的 Windows 系统调用来隐藏自身。如果检测到任何已知的分析工具或防病毒进程（包括 “windbg.exe”、“ida64.exe” 和 “MsMpEng.exe”），该恶意软件会自行终止。 为了绕过模拟器和自动化沙箱，SquidLoader 启动具有长时间睡眠的线程，并采用异步过程调用来监控异常行为。如果任何检查失败或系统显示调试迹象，恶意软件将退出。 另一种策略是显示一条中文假错误信息：“文件损坏无法打开”，这需要用户交互，进一步阻碍自动化分析。 通过这些检查后，SquidLoader 会使用模仿 Kubernetes 服务路径的 URL 联系 C2 服务器，可能是为了混入正常的企业流量中。随后，它会收集并传输主机数据，包括用户名、IP 地址、操作系统版本和管理员状态。 最后，它从一个次级 IP 地址下载 Cobalt Strike Beacon，为攻击者提供持久的远程访问权限。 该攻击活动在地域上集中于香港的机构。然而，类似样本表明相关攻击可能也在新加坡和澳大利亚进行。 为防御诸如 SquidLoader 等威胁，组织应考虑加强电子邮件过滤、端点监控和行为分析能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 有疑似印度背景的威胁行为体被观察到使用恶意软件攻击欧洲外交部，该恶意软件能够从受感染主机窃取敏感数据。 Trellix 高级研究中心 (Trellix Advanced Research Center) 将此活动归因于一个名为 DoNot Team（又名 APT-C-35、Mint Tempest、Origami Elephant、SECTOR02 和 Viceroy Tiger）的高级持续性威胁（APT）组织。据评估该组织自 2016 年以来一直活跃。 Trellix 的研究人员表示：“DoNot APT 组织以使用定制开发的 Windows 恶意软件而闻名，包括 YTY 和 GEdit 等后门程序，通常通过鱼叉式钓鱼邮件或恶意文档进行传播。” “该威胁组织通常针对政府机构、外交部、国防组织和非政府组织，特别是南亚和欧洲的相关机构。” 攻击链始于钓鱼邮件，其目的是诱骗收件人点击一个 Google 云端硬盘链接以下载 RAR 压缩包，从而为部署名为 LoptikMod 的恶意软件铺平道路。该组织至少从 2018 年起就专门使用此恶意软件。 根据 Trellix 的信息，这些邮件来自一个 Gmail 地址，并伪装成国防官员，邮件主题涉及意大利驻孟加拉国达卡国防武官的一次访问行程。 Trellix 在剖析感染过程时指出：“该电子邮件采用了支持 UTF-8 编码的 HTML 格式，以确保正确显示特殊字符（如‘Attaché’中的‘é’），这显示出攻击者为增加可信度而付出的细致关注。” 通过电子邮件分发的 RAR 压缩包中包含一个伪装成 PDF 文档的恶意可执行文件。打开此文件会导致 LoptikMod 远程访问木马执行。该木马能够通过计划任务在主机上建立持久性驻留，并连接到远程服务器以发送系统信息、接收后续指令、下载额外模块以及窃取数据。 它还采用反虚拟机技术和 ASCII 混淆技术来阻碍其在虚拟环境中的执行并逃避分析，从而大大增加了分析其功能目的的难度。此外，该攻击确保在受感染系统上只运行一个恶意软件实例，以避免潜在的干扰。 Trellix 表示，此攻击活动使用的命令与控制（C2）服务器目前已处于非活跃状态。这意味着相关基础设施要么被暂时停用或已失效，要么威胁行为体已迁移到完全不同的服务器。 C2 服务器处于非活跃状态也意味着目前无法确定发送给受感染端点的具体命令集，以及返回的响应数据种类。 研究人员说：“他们的行动以持续性监控、数据窃取和长期访问为特征，表明其具有强烈的网络间谍动机。尽管历史上他们主要关注南亚地区，但这次针对欧洲的南亚大使馆的事件，表明他们正将其目标明显扩展到欧洲的外交通信和情报领域。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月起，针对俄罗斯组织的定向钓鱼攻击使用虚假合同主题电子邮件传播Batavia间谍软件，这是一种旨在窃取内部文件的新型恶意软件。该攻击自2024年7月以来持续进行，始于伪装成合同或附件的恶意.vbe文件链接。该恶意软件包含一个VBA脚本和两个可执行文件，卡巴斯基已将其检测为Trojan.Batavia变种。 卡巴斯基发布的报告指出：“自2025年3月初以来，我们的系统记录到俄罗斯各机构员工检测到的类似文件（例如договор-2025-5.vbe、приложение.vbe和dogovor.vbe，中文译注：合同、附件）数量有所增加。定向攻击始于以签订合同为借口发送包含恶意链接的诱饵邮件。” 点击钓鱼邮件中的链接会下载VBE脚本，该脚本收集系统信息并从攻击者的域名检索恶意软件文件(WebView.exe)。该脚本检查操作系统版本以决定如何执行有效载荷，并将数据发送到命令与控制(C2)服务器。攻击使用针对每封电子邮件定制的参数来管理感染阶段并规避检测。 在攻击链的第二阶段，WebView.exe恶意软件（用Delphi编写）下载并显示虚假合同，然后开始监视受感染的系统。它收集系统日志、办公文档，并定期截取屏幕截图发送到新的C2服务器。为避免重复上传，它会对每个文件进行哈希处理。同时下载新的恶意软件阶段(javav.exe)并设置启动快捷方式，以便在系统重启时继续感染过程。 在攻击链的最后阶段，恶意软件javav.exe（用C++编写）扩展攻击范围，针对更多文件类型（如图像、电子邮件、演示文稿、存档），使用更新的感染ID(2hc1-…)将其传输到C2服务器。它现在可以更改C2地址，并通过computerdefaults.exe实现UAC绕过来下载/执行新有效载荷(windowsmsg.exe)。与C2的通信采用加密传输，并通过文件哈希避免重复上传。据卡巴斯基称，此阶段引入灵活性和持久性以促进进一步恶意活动。 研究人员注意到Batavia间谍软件活动的受害者是俄罗斯工业企业。卡巴斯基遥测数据显示，数十家机构的超过100名用户收到了钓鱼邮件。 报告总结道：“值得注意的是，此次攻击的初始感染媒介是诱饵邮件。这凸显了常态化员工培训和提高企业网络安全实践意识的重要性。”        消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着亚马逊Prime Day临近，各种优惠承诺令人期待，网络犯罪分子也如秃鹫般盘旋伺机而动。 今年的亚马逊Prime Day定于7月8日，当购物者们为折扣和优惠摩拳擦掌时，黑客们正忙于炮制虚假网站、钓鱼邮件和域名陷阱。大型购物节日往往潜藏着混乱的可能，而犯罪分子深知混乱有利可图。 仅在六月的头几周，Check Point的安全研究人员就发现了超过1,230个试图冒充亚马逊的新域名。其中约87%的域名充其量可疑，往坏了说则完全是恶意的。近1/81的这些域名包含了“Amazon Prime”字眼，旨在诱骗用户点击并泄露其登录凭证。 研究人员警告，骗子们正在发送看似亚马逊客服的钓鱼邮件，主题行涉及“退款错误”或“账户问题”。这些邮件经过精心设计，意在触发受害者的紧迫感。一旦点击链接，用户会被带到一个几可乱真的虚假亚马逊登录页面。结果不是更新了所需信息，而是将亚马逊凭证拱手送给了威胁行为者。 在此活动中观察到的一些欺诈网站示例： Amazon02atonline51[.]online amazon-2025[.]top 此类攻击一旦成功，可能导致未经授权的购物、身份盗用或礼品卡滥用。在黑色星期五、网络星期一或情人节前夕，也曾观察到类似的诈骗威胁激增，专家警告购物者需保持高度警惕。 如何在亚马逊Prime Day期间保证安全？ 警惕可疑网址：如果你要点击一个以 .top 或 .online 结尾、或者带有连字符和额外数字的链接，请停手。计划好购物，直接访问亚马逊官网或应用。如果使用浏览器，务必手动输入 amazon.com。 避免点击邮件链接：如果收到关于账户问题的紧急邮件，请新开标签页手动访问亚马逊。不要跟随骗子设下的数字陷阱。 检查锁标，但仍需验证：HTTPS 和挂锁图标有帮助，但虚假网站也能伪造这些。真正的关键点在于域名本身。如果它看起来可疑，那很可能就是钓鱼。 启用双重认证并使用强密码：在亚马逊上设置双重认证。同时，使用密码管理器，因为重复使用密码会大大增加被入侵的风险。 紧急=诈骗套路：如果信息尖叫着要你立即行动，请先深呼吸。骗子总是利用紧迫感设局。如果是真的，十分钟后它依然还在。 难以置信的优惠？那很可能就是骗局：如果某款iPhone在一个非亚马逊的随机网站上打85折，那是个陷阱。你唯一可能拆箱的只有后悔。 使用安全支付方式：虚拟卡、支付应用等任何提供额外保护的方式，都是在线购物的好选择。避免电汇或直接银行转账。       消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织FIN6近期采用新型社交工程攻击手段，通过伪装求职者身份瞄准招聘人员。该组织（又名“Skeleton Spider”）早期以攻陷POS系统窃取信用卡信息著称，2019年起拓展勒索软件攻击业务，近期通过投递“More_eggs”后门程序实施凭证窃取与系统入侵。 DomainTools最新报告显示，FIN6颠覆传统招聘诈骗模式，以虚假求职者身份通过LinkedIn和Indeed平台接触招聘专员。攻击者首先建立信任关系，继而发送含简历链接的专业钓鱼邮件。这些邮件包含需手动输入的URL（如bobbyweisman[.]com等匿名注册域名），攻击者使用AWS云服务托管规避安全工具检测。 攻击链包含精密规避机制： 实施环境指纹识别，拦截VPN/云连接及Linux/macOS访问者，仅向目标展示无害内容。 通过验证的受害者会遭遇虚假验证码环节，随后下载伪装成简历的ZIP压缩包。 压缩包内藏Windows快捷方式（LNK）文件，执行脚本下载“More_eggs”后门。 该后门由威胁组织“Venom Spider”开发，具备命令执行、凭证窃取、载荷投递等模块化功能。研究人员建议招聘从业者谨慎处理外部简历下载请求，企业应通过独立渠道核实求职者背景信息。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文