HackerNews 编译，转载请注明出处： Step Finance 发布公告称，因公司高管团队设备遭黑客入侵，平台损失价值 4000 万美元的数字资产。 该平台于1月31日检测到此次入侵，并联系了网络安全研究人员，后者帮助其追回了部分被盗资产。 Step Finance是一个构建于Solana区块链上的去中心化金融（DeFi）平台和分析工具，允许用户可视化展示、跟踪、分析并管理自身加密资产及持仓情况。 该平台被视为最活跃且使用最广泛的Solana仪表板之一，还可通过自身界面支持交易执行、代币兑换、质押及其他去中心化金融操作。平台同时发行自有代币 $STEP，该代币交易量相对有限。 1 月 31 日，Step Finance 发布公告称，平台多个金库钱包遭入侵，威胁行为者利用了某一 “已知攻击载体” 实施攻击。 Step Finance 在初始声明中表示：“今日早些时候（亚太时段），我方多个金库钱包遭一名技术老练的攻击者入侵。” 该平台已向有关部门报备，并与网络安全专业团队紧密协作，快速制定漏洞修复及风险补救措施。 区块链分析机构 CertiK 当时通报，被盗资产折合 261854 枚 SOL 代币，价值约 2890 万美元，但 Step Finance 经调查确认，本次损失总额约为 4000 万美元。 得益于Token22保护机制和合作伙伴的协调，目前已追回价值约 370 万美元的 Remora 相关资产及 100 万美元的其他持仓。 受此次事件影响，平台已暂停部分业务，全力推进安全防护加固工作。Step Finance 指出，其旗下子平台 Remora Markets 未受此次事件波及，且所有 rToken 代币仍保持 1:1 全额储备。 平台建议用户在调查结束前，暂停所有 $STEP 代币相关操作。平台将对漏洞攻击前的系统状态进行快照留存，针对 $STEP 代币持有者的解决方案目前正在推进中。 Step Finance 未披露攻击细节及攻击者身份，这引发了外界对该事件可能是 “卷款跑路” 或 “内鬼作案” 的猜测，相关质疑目前尚未得到妥善回应。 该平台 4000 万美元的损失数额虽触目惊心，但仅占 1 月全球加密资产失窃总金额的约十分之一。CertiK 本周早些时候发布的数据显示，今年 1 月全球加密资产失窃总金额达 3.98 亿美元，其中仅约 436.6 万美元被追回。 2025 年全年共发生 147 起已确认的加密领域黑客攻击事件，总损失近 28.7 亿美元；而历史损失最高年份仍为 2022 年，当年 179 起成功攻击造成的损失达 37.1 亿美元。 消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，安全研究人员确认了一起针对MicroWorld Technologies公司eScan杀毒产品的严重供应链攻击事件。黑客疑似利用厂商合法的更新通道，向用户推送了恶意更新。 根据Morphisec威胁实验室今日发布的研究报告，此次事件导致多阶段恶意软件被分发给全球范围内的企业和个人用户终端。 据悉，这些恶意更新包使用了被盗的eScan代码签名证书进行数字签名，这使得它们看起来合法，轻易绕过了系统常规的信任验证机制。恶意软件一旦成功部署，便会建立持久化驻留，开启远程访问功能，并会主动阻止受感染主机接收任何后续的更新。 多阶段恶意软件内置反清除机制 整个攻击链始于一个被植入了木马的32位eScan程序，该程序在软件更新过程中替换了原有的正常组件。此初始载荷会释放更多恶意模块，包括一个下载器和一个能为攻击者提供受感染系统完全控制权的64位后门。本次攻击活动一个至关重要的特征是恶意软件内置了反清除机制。它通过修改Windows系统的hosts文件并篡改eScan相关注册表项，阻断了终端与eScan官方更新服务器的连接。这使得受感染的设备无法自动获取修复补丁。 恶意软件通过创建伪装成Windows磁盘碎片整理任务的计划任务，以及使用随机生成的GUID名称的注册表项来实现持久化。同时，下载器模块还会尝试与外部命令与控制（C2）服务器通信以获取更多攻击载荷，不过这些C2服务器的当前状态尚未明确。 检测、响应与处置建议 Morphisec称，其在恶意软件开始分发后的数小时内，就在部署了其防护方案的客户系统上检测并拦截了相关恶意活动。 据称，Morphisec在事发当日便联系了MicroWorld Technologies。eScan方面则表示，其通过内部监控发现了异常，在一小时内隔离了受影响的基础设施，并将全球更新系统离线了超过八小时以进行处理。 然而，Morphisec指出，尽管厂商声称已通过电话直接通知客户，但其客户仍需主动联系eScan技术支持才能获得具体的修复方案。 Infosecurity网站已就此事联系eScan寻求置评，但截至发稿前未获回复。Morphisec建议所有使用eScan产品的组织立即采取以下应对措施： ·在终端上搜索已知的恶意文件哈希值。 ·检查Windows\Defrag\目录下的计划任务，排查可疑项。 ·审查注册表中那些包含编码数据、以GUID格式命名的键值。 ·封锁已识别的C2域名。 ·立即吊销对涉事被盗eScan代码签名证书的信任。 对于未部署有效防护的系统，建议直接假定其已遭入侵，立即隔离受感染设备并进行全面的取证分析。截至本文发布，eScan官方尚未就此事件发布公开安全公告，相关调查据称仍在进行中。 消息来源:infosecurity-magazine.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   近日，奢侈品巨头开云集团确认发生重大数据安全事件。其旗下的古驰（Gucci）、巴黎世家（Balenciaga）、亚历山大·麦昆（Alexander McQueen）等品牌的数据遭黑客组织窃取，数百万客户的姓名、电话、邮箱、住址，甚至在全球各地的奢侈品消费记录等隐私信息遭泄露。目前，开云集团已求助数据保护机构。 该黑客组织已向英国BBC广播公司发送了部分数据样本，其中包含数千名客户的信息。据BBC透露，其中部分客户的消费金额高达8.6万美元（约合62万人民币）。值得注意的是，数据泄露可能会导致这些“高消费人群”成为后续诈骗活动的目标。 BBC透露，发动此次攻击的黑客组织为“Shiny Hunters”。 早在今年4月，Shiny Hunters入侵了开云集团的系统，并窃取了旗下子品牌的客户数据。他们宣称掌握了 740 万个独立邮箱的完整数据库，这意味着受影响的客户数量可能与此相近。以此作为筹码向开云集团漫天要价，但双方的谈判以失败告终，集团拒绝交付赎金，并于6月修复了系统漏洞。 开云集团的工作人员向BBC表示：“6月，我们发现未经授权的第三方临时访问了我司系统，并获取了旗下部分品牌有限的客户数据。但所幸未发生财务信息泄露的情况，客户的银行卡号、信用卡信息以及政府签发身份证号等数据被未被泄露。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国际象棋热门平台Chess.com已通知数千名用户，由于黑客入侵了该公司的数据存储供应商，他们的个人信息可能已被泄露。 Chess.com在向受影响用户发送的数据泄露通知中透露，用户数据可能已落入他人之手。通知称，今年六月下旬，公司获悉“存储于Chess.com所使用的第三方文件传输应用中的数据遭到了未经授权的访问”。 值得注意的是，后续调查显示，未经授权的访问在今年6月5日和6月18日发生了两次。公司强调，只有存储在第三方文件传输应用上的文件被访问，此次网络安全事件并未影响Chess.com自身的系统。 该公司提交给缅因州总检察长办公室的信息显示，超过4500人受到此次攻击影响。这家同类中最大的平台强调，此次攻击仅影响了其0.003%的用户。 发送给可能受影响用户的违规通知称，“Chess.com的代码及其会员账户未被泄露”，并且公司未发现泄露信息存在“任何欺诈性使用或公开披露”。 “获悉该事件后，我们迅速采取措施调查事件的性质和范围，并通知了执法部门。我们还采取了措施进一步保护我们的系统。事件已得到控制，”公司表示。 然而，为帮助用户减轻潜在风险，公司表示将通过第三方为用户提供信用监控服务。公司还建议用户保持警惕，审查和监控账户是否存在可疑活动。 2023年，Chess.com也曾成为恶意行为者的目标。当时，攻击者在一个流行的数据泄露论坛上分享了来自超过80万Chess.com用户的数据。据称，泄露的数据包括电子邮件、用户ID、姓名、位置、积分、等级、会员级别、注册日期以及一些其他用于在平台上对弈和互动的详细信息。 Chess.com是一个受欢迎的社交网站和在线国际象棋服务器，其用户群已超过2亿。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客试图从Evertec的巴西子公司Sinqia S.A.窃取1.3亿美元，此前他们未经授权访问了该公司在央行实时支付系统（Pix）的环境。 Evertec是一家上市的金融科技巨头，是拉丁美洲、波多黎各和加勒比海地区主要的全方位服务交易处理商。Sinqia于2023年被Evertec收购，是一家总部位于圣保罗的上市公司，从事银行和金融行业的金融软件和IT服务业务。 Evertec在美国证券交易委员会（SEC）的一份文件中披露，黑客于8月29日入侵了Sinqia的系统，并试图进行未经授权的交易。 SEC文件中写道：“2025年8月29日，Evertec Inc.的巴西子公司Sinqia S.A.发现其巴西央行实时支付系统（Pix）环境中存在未经授权的活动。” “发现该事件后，Sinqia依据其事件响应协议，停止了其Pix环境中的交易处理，并开始与外部网络安全取证专家合作。” Pix是巴西的即时支付系统，由巴西中央银行于2020年11月推出，支持全天候即时资金转账。它已成为巴西最广泛使用的支付方式，并经常成为Android银行恶意软件的攻击目标。 黑客试图利用Sinqia的两家金融机构客户进行未经授权的企业间交易。当地媒体报道提及了汇丰银行（HSBC），而该行发言人强调，此事件未影响客户资金或数据。Evertec指出，这1.3亿美元中的部分资金已被追回，但未提及具体金额，追回工作仍在进行。 事件调查显示，黑客通过使用窃取的IT供应商账户凭证，获得了对Sinqia的Pix环境的访问权限。Evertec没有迹象表明影响范围超出了Sinqia的Pix环境，也没有证据表明个人数据遭到泄露。 目前，巴西中央银行已撤销Sinqia对Pix的访问权限，但该公司正通过向当局提供所有要求的细节和保证，努力争取尽快恢复访问。关于财务影响，Evertec指出Sinqia的Pix环境为巴西24家金融机构的运营提供支持。公司表示：“该事件对财务和声誉的影响，包括对公司内部控制的影响，目前尚不清楚，但可能是重大的。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zscaler警告称，在威胁行为者获取其Salesforce实例访问权限并窃取客户信息（包括部分支持案例内容）后，公司遭遇了数据泄露。 此次事件源于Salesloft Drift（一款与Salesforce集成的人工智能聊天代理程序）遭入侵，攻击者窃取了OAuth和刷新令牌，从而能够访问客户的Salesforce环境并窃取敏感数据。 Zscaler在一份公告中表示，其Salesforce实例受到此次供应链攻击影响，导致客户信息暴露。 “在此次攻击活动中，未经授权的行为者获取了包括Zscaler在内的客户所有的Salesloft Drift凭证，”Zscaler的公告中写道。“经过我们持续调查中的详细审查，已确定这些凭证允许（攻击者）有限访问Zscaler的某些Salesforce信息。” 泄露信息包括： 姓名 商业电子邮件地址 职位 电话号码 区域/位置详情 Zscaler产品许可和商业信息 某些支持案例的内容 公司强调，此次数据泄露仅影响其Salesforce实例，未波及任何Zscaler产品、服务或基础设施。 尽管Zscaler表示尚未发现相关信息被滥用，但仍建议客户对可能利用这些信息实施的网络钓鱼和社会工程攻击保持高度警惕。 公司还称，已撤销所有Salesloft Drift与其Salesforce实例的集成，轮换了其他API令牌，并正在对此事件进行调查。 Zscaler还加强了响应客户支持电话时的身份验证协议，以防范社会工程攻击。 谷歌威胁情报小组（GTIG）上周警告，一个追踪为UNC6395的威胁行为者是此次攻击的幕后黑手，其窃取支持案例是为了获取客户在请求支持时分享的身份验证令牌、密码和机密信息。 “GT观察到UNC6395以敏感凭证为目标，例如亚马逊云服务（AWS）访问密钥（AKIA）、密码和与Snowflake相关的访问令牌，”谷歌报告称。“UNC6395通过删除查询作业展示了其操作安全意识，但日志未受影响，各组织仍应审查相关日志以寻找数据暴露的证据。” 之后有消息透露，Salesloft供应链攻击不仅影响了Drift与Salesforce的集成，还波及用于管理邮件回复和组织CRM及营销自动化数据库的Drift Email。 谷歌上周警告，攻击者在此次泄露中还使用窃取的OAuth令牌访问了Google Workspace电子邮件账户并读取邮件。 谷歌和Salesforce已暂时禁用其Drift集成，等待调查完成。 一些研究人员向BleepingComputer表示，他们认为Salesloft Drift入侵事件与勒索组织ShinyHunters近期的Salesforce数据窃取攻击存在重叠。 自今年年初以来，该威胁行为者一直通过进行社会工程攻击来入侵Salesforce实例并下载数据。 在这些攻击中，威胁行为者进行语音钓鱼（vishing），诱骗员工将恶意OAuth应用与其公司的Salesforce实例关联。 一旦关联，威胁行为者便利用该连接下载并窃取数据库，随后通过邮件对公司进行勒索。 自谷歌于6月首次报告这些攻击以来，多起数据泄露事件已被证实与这些社会工程攻击有关，涉及谷歌自身、思科、农夫保险、Workday、阿迪达斯、澳航、安联人寿以及LVMH子公司路易威登、迪奥和蒂芙尼等。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙警方逮捕一名涉嫌入侵地方政府教育管理系统的大学生，该嫌疑人被控篡改成绩并侵入教授电子邮箱。据警方通报，这名21岁的男子在塞维利亚被捕，涉嫌入侵安达卢西亚地区教育平台Séneca。该平台覆盖西班牙人口最密集区域，被当地学校及大学广泛使用。警方称其不仅篡改本人中学及大学入学考试成绩，还修改了同学的分数。 调查发现，哈恩、科尔多瓦、塞维利亚、韦尔瓦、加的斯和阿尔梅里亚六地至少13名教授的工作邮箱遭入侵，其中包括负责编写2025年大学入学试题的教师。案件于今年3月曝光，当时哈恩圣胡安·博斯科高中的工作人员向警方举报Séneca系统异常。警方随后搜查嫌疑人在塞维利亚的住所，查获作案电脑设备及记录篡改成绩细节的笔记本。 该男子面临非法访问计算机系统、身份盗用及文件伪造三项指控。警方未公开其身份，但当地媒体披露其与哈恩学校无关，且有类似犯罪前科。Séneca平台是安达卢西亚地区管理成绩、考勤及学籍的核心系统，供教师、行政人员、学生及家庭日常使用。 全球教育系统近期频繁遭黑客攻击：今年1月，美国马萨诸塞州学生因入侵存储超6000万师生数据的PowerSchool平台被起诉；6月，哥伦比亚大学披露数据泄露事件，超86万人个人信息外泄。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 医疗保健服务集团（Healthcare Services Group）2024年数据泄露事件导致超过624,000人的个人信息暴露。受影响人群目前正陆续收到通知。 根据向缅因州总检察长办公室提交的通报，2024年医疗保健服务集团发生的数据泄露事件影响624,496人。该美国公司主要为养老院、辅助生活中心和医院等医疗机构提供家政、洗衣、餐饮及营养服务。 该集团1976年成立于宾夕法尼亚州本萨勒姆，为全美数千家长期护理和医疗机构提供支持。其核心业务是外包非临床服务，使医疗机构能专注于病患护理。 发现安全漏洞后，该集团立即启动调查并通报执法部门，同时宣布正在实施新的安全措施并加强员工培训。 黑客在2024年9月27日至10月3日期间侵入公司系统，窃取含个人数据的文件。事件于10月7日被发现。 数据泄露通知声明：“2024年10月7日，HSGI发现其特定计算机系统可能存在未授权访问。获悉该情况后，HSGI迅速采取措施保护系统安全，并启动调查以确定事件性质与范围。调查确认未授权行为人在2024年9月27日至10月3日期间可能访问并复制了HSGI计算机系统中的特定文件。为此我们全面审查了相关文件，以确认是否包含敏感信息及涉及对象。” 泄露数据包括姓名、社会安全号码、驾照号码、州身份证号码、金融账户信息及完整访问凭证。 公司已通知州监管机构和主要信用机构，但未透露攻击具体细节。 受影响人群将获得12个月的免费Experian信用监测服务，以及关于欺诈警报、信用冻结、免费信用报告和身份盗窃举报的指导。 该集团表示目前未发现欺诈行为证据，但仍敦促相关人员保持警惕。截至公告时，尚无已知勒索软件组织声称对此事件负责。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名危机公关公司Singer Associates遭勒索软件组织Qilin宣称入侵。该团伙在其暗网泄露博客公布该公司为最新受害者，并发布据称从该公司窃取的数据片段。 Qilin团伙在公告中附长篇声明，指控Singer Associates存在“操纵选民与客户的方案、伪造与虚假信息的事实、谎言与造假、欺骗与欺诈”等行为，声称已获取“包含Singer Associates全部内部工作的档案”。该公关公司曾为雪佛龙、拜耳、爱彼迎、维萨、福特等众多知名企业提供服务。 （麒麟暗网泄露网站截图  图片来源：Cybernews） 此举可能是Qilin胁迫Singer支付赎金的策略。勒索组织常采用类似手段，威胁不付款即泄露信息。 攻击者也可能试图塑造“揭露不道德公司”的形象。但Qilin是公认的牟利型组织，其道德立场难以取信。 由于未提供实际数据样本，无法验证其窃取数据的真实性。但团伙发布了据称与Singer相关的法律文件截图。 Cybernews研究团队分析认为，Qilin至少试图将此伪装成黑客行动主义。截图显示该公关公司监控活动人士、调查资助方并为客户操控舆论的方案。研究人员指出：“泄露文件详细记录了Singer为雪佛龙等客户制定的战略，包括应对厄瓜多尔污染诉讼案中环保组织的策略”。 Qilin勒索团伙背景 该组织自2022年活跃，采用勒索软件即服务（RaaS）模式：核心开发者出售恶意软件访问权限，由附属团伙实施攻击。 Qilin通过感染系统窃取数据，根据目标价值选择加密系统或公开数据。 据Cybernews暗网监控工具显示，Qilin已成为最活跃的勒索组织之一，过去12个月攻击至少503家机构，数量仅次于RansomHub（508家）。已知受害者包括制药公司Inotiv、能源巨头SK集团、休斯顿交响乐团、底特律PBS电视台、北美汽车零部件供应商延锋，以及日本宇都宫癌症治疗中心。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于马萨诸塞州的数学软件开发商 MathWorks 遭遇勒索软件攻击，导致数千用户的个人详细信息被泄露。 MathWorks 近日披露了其今年早些时候遭受的勒索软件攻击的波及范围。该公司提交给缅因州总检察长办公室的信息显示，超过 10,000 名个人在此次黑客攻击中信息被暴露。 MathWorks 主要以其数据分析软件 MATLAB 和仿真软件 SIMULINK 而闻名。该公司年收入达 15 亿美元，仅 MATLAB 在全球就有 500 万用户。 公司发现其系统于 2025 年 5 月 18 日遭到入侵。这次攻击导致其部分服务中断近一周，影响了数百万客户的访问。没有任何勒索软件团伙宣称对此次攻击负责。 此外，根据公司的数据泄露通知，攻击者很可能在其系统内活动了近一个月——从 4 月 17 日一直持续到 5 月份入侵被发现为止。 公司声称，在获悉该事件后，其“聘请了第三方取证专家对受影响的系统进行全面审查，以协助控制威胁、清除威胁行为者并进行补救。” 调查显示，攻击者可能访问了用户的个人详细信息，包括： 姓名 地址 出生日期 社会安全号码（或其他国家身份证号码） 理论上，攻击者可以利用窃取的信息进行身份盗窃，最坏情况下可能用于金融欺诈。虽然 MathWorks 指出受影响的数据在暴露个体之间存在差异，但那些姓名和身份证件信息被泄露的个人可能面临更高的隐私风险。 例如，攻击者可能试图建立欺诈账户、获取贷款，甚至尝试窃取现有账户。然而，MathWorks 强调，对于数据可能被泄露的个人，公司并未意识到存在任何“实际的或企图滥用个人信息或造成任何财务损害”的情况。 与类似情况下的通常做法一样，MathWorks 表示将为受影响的个人提供免费的身份保护服务。数据泄露通知建议用户保持警惕，并监控其财务账户是否存在异常活动。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文