HackerNews 编译，转载请注明出处： 趋势科技已修复 Apex One 中的两处高危漏洞，攻击者可利用这些漏洞在受影响的 Windows 系统上执行远程代码。该公司已发布安全更新，并强烈建议客户尽快安装补丁，以防范漏洞被利用，避免环境遭受入侵。 Trend Micro Apex One 是一款一体化高级终端安全解决方案。 该方案通过单一代理提供勒索软件防护、零日威胁防御、EDR、预测式机器学习、DLP 及虚拟补丁功能。 该安全厂商修复的第一个漏洞为控制台目录遍历 RCE 漏洞，编号 CVE-2025-71210（CVSS 评分 9.8）。 安全公告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” 该公司修复的第二个漏洞同样为控制台目录遍历远程代码执行漏洞，编号 CVE-2025-71211（CVSS 评分 9.8）。报告指出，该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。 报告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” CoreCloud Tech 的研究人员 Jacky Hsieh 与 Charles Yang 通过 TrendAI 零日计划报告了这两处漏洞。SaaS 版本已完成缓解处理，无需用户操作。 趋势科技已修复 SaaS 版 Apex One 中的相关漏洞，并发布关键补丁版本 14136。 该公司同时修复了 Windows 代理中的两处高危权限提升漏洞：（CVE-2025-71212：扫描引擎符号链接跟随本地权限提升漏洞；CVE-2025-71213：来源验证错误本地权限提升漏洞以及影响 macOS 代理的四个问题。） 该网络安全厂商未披露这些漏洞是否已在真实攻击中被利用。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现并摧毁了由俄罗斯网络犯罪分子运营、针对美国和欧洲货运公司的钓鱼攻击基础设施。 在五个月时间里，这个名为 Diesel Vortex 的组织从物流平台账户窃取了超过 1600 套登录凭证，使攻击者能够截停、改道货运货物并实施支票欺诈。 域名保护平台 Have I Been Squatted 的研究人员发现了一个暴露的 .git 目录，揭露了该行动的详细内幕，包括网络犯罪分子之间的通信消息。 泄露的代码库显示，一个钓鱼即服务平台正在开发中，计划以 “MC Profit Always” 为名向客户推广，该名称很可能指代 “机动车承运人”。 Diesel Vortex 网络犯罪分子搭建了钓鱼基础设施，针对支撑货运与物流行业的平台用户，例如货源平台（货主、经纪人和承运人对接的市场）、车队管理门户以及燃油卡系统。他们冒充承运人和经纪人，成功进入货运系统。聊天记录显示他们从事 “双重经纪” 行为：使用窃取的承运人身份预订货源，再将货物转派给其他承运人。 研究人员找到了该组织的架构图，显示这是一个复杂运作的团伙，设有呼叫中心、邮件支持团队，以及负责与司机和其他物流联系人对接的人员。 Have I Been Squatted 研究人员写道：“这份架构图进一步证实了代码所揭示的事实：这并非一次机会主义攻击，而是有预谋、结构化的犯罪企业，拥有明确分工、营收目标和长期发展策略。” 该公司与网络威胁研究机构 Ctrl-Alt-Int3l 合作，后者在钓鱼面板源代码中发现，有一个域名通过俄罗斯服务商注册，并关联到一个俄罗斯注册的邮箱地址。 该邮箱通过企业记录关联到多家从事仓储、运输和批发贸易的俄罗斯公司。Recorded Future News 曾向该邮箱发送置评请求，截至发稿尚未收到回复。 除明确关联俄罗斯外，讲亚美尼亚语的操作人员也参与了该行动，其中一名犯罪分子告知同伙自己位于埃里温。 在一段聊天记录中，该组织一名成员用亚美尼亚语询问是否持有承保 “25 万货物” 的承运人凭证，即可承运高价值货物的保险资质。 据研究人员介绍，Google Threat Intelligence Group、Cloudflare、GitLab、IPInfo 和 Ping Identity 均参与了此次基础设施取缔行动。 近年来，受行业数字化程度不断提高的推动，货物盗窃事件激增，年度损失估计约为 350 亿美元。11 月，Proofpoint 研究人员记录了一起与有组织犯罪相关的黑客行动，使用远程监控工具针对卡车运输和物流公司。 上月，美国众议院司法委员会推进了《2025 年打击有组织零售犯罪法案》，该法案旨在建立联邦级协同机制应对货物盗窃。该法案还将对非法收益洗钱及盗窃货物销售行为增设新的刑事处罚。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。 谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。 黑客最初通过 Telegram 联系受害者，使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接，用以预约一场30分钟的会议，其中包含一个 Zoom 会议链接。 Mandiant 解释称：“受害者报告称，在通话期间，对方展示了一段另一家加密货币公司 CEO 的视频，该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用，但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似，该事件中也据称使用了深度伪造。” 当受害者进入会议后，黑客声称存在音频问题——诱使受害者在其设备上执行多项操作，据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。 在此案例中，受害者被引导至一个网页，该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。 受害者按照故障排除命令操作后，其 macOS 设备被感染。 首批恶意文件，Mandiant 称之为 WAVESHAPER 和 HYPERCALL，是后门程序，允许黑客安装其他工具以扩大其在受害者设备上的立足点。 Mandiant 表示，发现了威胁行为者使用的两种不同的数据窃取工具，分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。 CHROMEPUSH 是一个恶意工具，被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。 事件响应人员指出，这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。 他们表示，其目的可能具有双重性：“既为了实施加密货币盗窃，也为了利用受害者的身份和数据推动未来的社会工程活动。” Mandiant 称自 2018 年以来一直在追踪 UNC1069，并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。 Mandiant 解释道：“尽管与 2025 年其他组织（如 UNC4899）相比，UNC1069 对加密货币劫案的影响较小，但它仍然是一个活跃的威胁，以为获取经济利益为目标，针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。” UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示，已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。 上个月在联合国，美国官员表示，已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 Bloody Wolf 的威胁行为者被确认参与了一场针对乌兹别克斯坦和俄罗斯的攻击行动，旨在使用名为 NetSupport RAT 的远程访问木马感染系统。 网络安全供应商 Kaspersky 以 Stan Ghouls 为代号追踪此次活动。据知，该威胁行为者至少自 2023 年以来一直活跃，针对俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦的制造业、金融业和 IT 行业组织鱼叉式钓鱼攻击。 据估计，此次行动已导致乌兹别克斯坦约 50 名受害者受损，俄罗斯也有 10 台设备受到影响。在哈萨克斯坦、土耳其、塞尔维亚和白俄罗斯也发现了其他感染案例，但程度较轻。政府组织、物流公司、医疗机构和教育机构的设备上也记录到了感染企图。 Kaspersky 指出：“鉴于 Stan Ghouls 以金融机构为目标，我们认为其主要动机是经济利益。也就是说，他们大量使用远程访问木马也可能暗示其进行网络间谍活动。” 滥用 NetSupport（一款合法的远程管理工具）对该威胁行为者而言是一种转变，其先前在攻击中利用的是 STRRAT（又名 Strigoi Master）。2025年11月，Group-IB 记录了针对吉尔吉斯斯坦实体以分发该工具的钓鱼攻击。 攻击链相当直接，即使用携带恶意 PDF 附件的钓鱼邮件作为触发感染的跳板。PDF 文档中嵌有链接，点击后会下载一个执行多项任务的恶意加载器： ·     显示虚假错误信息，让受害者误以为应用程序无法在其计算机上运行。 ·     检查此前的远程访问木马安装尝试次数是否少于三次。 ·     若次数达到或超过限制，加载器会抛出错误信息：“尝试次数已达上限。请尝试另一台计算机。” ·     从多个外部域名之一下载 NetSupport 远程访问木马并启动它。 ·     通过以下方式确保 NetSupport 远程访问木马的持久性：在启动文件夹中配置自启动脚本，在注册表的自启动项中添加 NetSupport 启动脚本 (“run.bat”)，并创建一个计划任务来触发执行同一个批处理脚本。 Kaspersky 表示，还在与 Bloody Wolf 相关的基础设施上发现了暂存的 Mirai 僵尸网络载荷，这增加了该威胁行为者可能已扩展其恶意软件库以针对物联网设备的可能性。 该公司总结道：“此次行动已攻击超过 60 个目标，对于一个复杂的定向攻击活动而言，数量非常庞大。这表明这些行为者愿意为其行动投入大量资源。” 此次披露恰逢多起针对俄罗斯组织的网络攻击活动，其中包括 ExCobalt 发起的攻击。ExCobalt 利用已知的安全漏洞和从承包商处窃取的凭证来获取对目标网络的初始访问权限。Positive Technologies 将该对手描述为攻击俄罗斯实体的“最危险组织”之一。 这些攻击的特点是使用各种工具，并试图从受感染的主机窃取 Telegram 凭证和消息历史记录，以及通过向登录页面注入恶意代码来窃取 Outlook Web Access 凭证： ·     CobInt，该组织使用的已知后门。 ·     勒索软件，如 Babuk 和 LockBit。 ·     PUMAKIT，一个用于提升权限、隐藏文件和目录、以及隐藏自身不被系统工具发现的内核级 Rootkit，其早期版本包括 Facefish（2021年2月）、Kitsune（2022年2月）和 Megatsune（2023年11月）。BI.ZONE 将 Kitsune 的使用与一个被称为 Sneaky Wolf（又名 Sneaking Leprechaun）的威胁集群联系起来。 ·     Octopus，一个基于 Rust 的工具包，用于在受感染的 Linux 系统中提升权限。 Positive Technologies 表示：“该组织改变了初始访问的策略，将关注重点从利用互联网上可访问的企业服务（例如 Microsoft Exchange）中的 1-day 漏洞，转移到通过承包商渗透主要目标的基础设施。” 俄罗斯的国家机构、科学企业和 IT 组织也成为了一个此前未知的、被称为 Punishing Owl 的威胁行为者的目标，该组织采取窃取数据并在暗网上泄露的手段。该组织疑似具有政治动机的黑客行动主义实体，自 2025 年 12 月以来一直活跃，其一个社交媒体账户由来自哈萨克斯坦的管理员操作。 攻击使用带有密码保护 ZIP 压缩包的钓鱼邮件，打开后内含一个伪装成 PDF 文档的 Windows 快捷方式（LNK）文件。打开 LNK 文件会导致执行 PowerShell 命令，从远程服务器下载一个名为 ZipWhisper 的窃密程序，以收集敏感数据并将其上传到同一服务器。 另一个将目标对准俄罗斯和白俄罗斯的威胁集群是 Vortex Werewolf。攻击的最终目标是部署 Tor 和 OpenSSH，以便于实现持久的远程访问。该活动此前于 2025 年 11 月由 Cyble 和 Seqrite Labs 曝光，后者称此活动为 Operation SkyCloak。 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起影响塞内加尔政府的网络安全事件，已迫使该国一个负责管理国民身份证、护照及其他生物识别数据等敏感信息的办公室关停。 塞内加尔档案自动化管理局（DAF）上周发布通知，警告该国1950万居民，一起网络攻击已迫使政府暂时中止该办公室的业务。 一名高级警官表示，他们正试图恢复系统，并声称公民个人数据的“完整性”“保持完好”。DAF未回应置评请求。 该通知发布前，一个名为Green Blood Group的勒索软件团伙声称已入侵该组织，并窃取了139 GB数据，其中包括公民数据库记录、生物识别数据及移民文件。 黑客分享了被盗数据的样本，以及来自IRIS Corporation Berhad高级总经理Quik Saw Choo的一封电子邮件——这家马来西亚公司近期受委托为塞内加尔制作新的数字身份证。 在这封日期为1月20日的邮件中，Choo警告DAF及塞内加尔其他部委的官员，黑客于1月19日入侵了两台DAF服务器，并窃取了其中一台服务器上的卡片个性化数据。Choo的团队已在其端采取多项措施，包括切断通往一台服务器的网络连接，并更改了另一台服务器的密码。他们还切断了通往所有外国使领馆及其他办公室的网络连接。 Choo表示，IRIS正与马来西亚网络安全专家合作，并计划于 1 月 22 日前往塞内加尔首都达喀尔，开展进一步调查并落实整改措施。 文件自动化管理局与 IRIS 公司均未回应置评请求。 一家当地新闻媒体报告称，截至2月5日，DAF的业务已中断至少五天，且塞内加尔与 IRIS 公司正处于款项纠纷中。截至周一下午，DAF网站仍处于瘫痪状态。 Green Blood Group于今年1月出现，宣称除 DAF 外还攻陷了另外 4 家目标机构。 高级黑客长期将政府身份数据库作为攻击目标，阿根廷、爱沙尼亚等国均曾遭遇类似安全事件。   消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利罗马大学（La Sapienza）近日成为网络攻击目标，其IT系统遭受影响，导致该教育机构内部运营大面积瘫痪。 校方于本周早些时候首次通过社交媒体披露了此次事件，称其IT基础设施“已成为网络攻击的目标”。作为预防性措施并确保数据完整与安全，学校已下令立即关闭所有网络系统。 罗马大学是欧洲在校学生规模最大的高校，在册学生超 11.25 万名；目前已就该事件报备有关部门，并成立技术专项小组，启动漏洞修复与系统恢复工作 截至撰稿时，该校官方网站仍无法访问。其Instagram官方账号持续更新状态，显示恢复工作仍在进行中。根据昨日发布的公告，校方已设立临时“信息服务点”，为学生们提供因当前数字系统与数据库无法访问而难以获取的各类信息。 尽管校方未透露攻击具体类型及实施者详情，但意大利《晚邮报》援引内部消息称，此次事件系名为Femwar02的亲俄黑客组织发起的勒索软件攻击，已造成数据被加密。 该媒体依据恶意软件特征与攻击模式分析指出，此次攻击与Bablock/Rorschach勒索软件高度相似。该勒索软件变种于2023年首次出现，以加密速度快、定制化程度高为特点。网络安全公司Check Point分析认为，该勒索软件整合了Babuk、LockBit v2.0、DarkSide三款勒索软件的泄露源代码开发而成。 据《晚邮报》消息源透露，攻击者已索要赎金，但校方工作人员未打开赎金通知，以避免触发 72 小时倒计时机制，因此赎金金额尚未明确。目前，该校技术人员正联合意大利计算机安全事件响应小组（CSIRT）、国家网络安全局（ACN）及邮政警察部门专家开展工作，通过未受影响的备份数据推进系统恢复。 需注意的是，尽管Rorschach勒索软件未在暗网设立专门的勒索数据泄露站点，但被窃数据仍可能被传播或转售给其他数据勒索集团，因此数据泄露至公网的风险仍极高。 基于当前情况，罗马大学全体师生需高度警惕钓鱼攻击，切勿点击陌生信息中的链接，并持续监控个人账户是否存在可疑活动。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数字出版平台 Substack 发生数据泄露事件，一名黑客泄露了据称取自该公司系统的用户记录，目前平台已正式披露此事。 Substack 是一款热门订阅制出版平台，支持作家、播客主及创作者向订阅者直接推送时事通讯，同时实现作品商业化变现。最新数据显示，该平台拥有约 3500 万订阅用户。 该公司已开始向用户推送通知，告知其发生一起安全事件，导致用户电子邮箱、电话号码及内部元数据遭泄露。 Substack 表示，该事件发生于 2025 年 10 月，但直至 2 月 3 日才被发现，当日公司发现 “系统存在漏洞，导致未授权第三方得以非法访问部分用户数据”。 由 Substack 首席执行官Chris Best签署的用户通知中明确，用户密码、银行卡号及其他金融信息未发生泄露。 尽管公司表示暂无证据表明泄露信息已被滥用，但仍敦促用户警惕可疑电子邮件与短信。就在此次通知发出数日前，一名黑客泄露了其宣称是 Substack 用户数据的相关信息。 该黑客在论坛帖子中声称，窃取的数据包括姓名、邮箱、电话号码、个人资料照片、用户 ID 及个人简介等信息。 该威胁行为者称，通过数据爬取手段获取了近 70 万条用户记录，并表示此次攻击 “动静较大”，致使平台迅速采取了缓解措施。 消息来源:securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年 1 月，自动化投资平台 Betterment 系统遭黑客攻陷，140 万用户账户的电子邮箱地址及其他个人信息被窃取。 Betterment 主营自动化投资工具与金融咨询服务，是美国 “机器人投顾” 领域的先驱企业。这家金融科技公司共为超 100 万客户管理着 650 亿美元资产。 尽管 Betterment 未披露受影响总人数，但数据泄露查询平台 Have I Been Pwned 分析被盗数据后表示，此次泄露波及 1435174 个账户，涉及信息包括电子邮箱、姓名及地理位置数据。 遭泄露的信息还包括出生日期、通讯地址、电话号码、设备信息、雇主地理位置及职位名称。 Betterment 于 1 月 10 日披露，威胁行为者通过社会工程学攻击侵入部分系统后，还发送伪装成公司促销活动的欺诈邮件，试图诱导目标客户落入奖励骗局 —— 该骗局宣称，向攻击者控制的比特币、以太坊钱包转入加密货币，可获得三倍金额返还。 Betterment 警示用户：“此活动并非官方福利，切勿理会；即便点击了活动通知，也不会影响你的 Betterment 账户安全。目前非授权访问已被阻断，且暂无证据表明非授权人员获取过 Betterment 客户账户的访问权限。” 1 月 13 日科技媒体 BleepingComputer 报道称，Betterment 遭分布式拒绝服务（DDoS）攻击且被勒索，此后该公司确认，官网及移动应用的间歇性宕机系 DDoS 攻击所致，但尚未披露任何与勒索相关的细节。 本周早些时候，Betterment 再发声明称，联合网络安全厂商 CrowdStrike 开展后续溯源调查后确认，此次泄露未导致客户账户被攻陷。 该公司表示：“在 CrowdStrike 支持下，我们完成溯源调查，确认 1 月 9 日的事件未造成客户账户、密码及登录信息泄露。”“分析结果进一步确认，此次隐私影响主要集中在部分客户联系信息（含姓名、邮箱）；部分案例中，联系信息还关联了通讯地址、电话号码、出生日期等其他客户信息。” 截至发稿，Betterment发言人在BleepingComputer就此事联系问询后尚未作出回复。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个此前未知、名为Punishing Owl的黑客组织近期浮出水面，正对俄罗斯政府安全机构发起技术复杂的网络攻击。 该组织于 2025 年 12 月 12 日首次公开活动，当日宣布已成功入侵俄罗斯某政府安全机构的网络。 攻击者将窃取的内部文件发布至数据泄露平台，并在 Mega.nz 存储仓库中备份相关文件，以此实现网络入侵事件曝光度最大化的目的。 该组织采用多种攻击手段，扩大此次行动的影响力。在取得受害者 DNS 配置的控制权后，Punishing Owl 创建了一个子域名并修改了 DNS 记录，将相关流量劫持至一台位于巴西的服务器。 该服务器不仅托管了窃取的文件，还附带了一份阐述其攻击动机的政治声明。 攻击者特意选择周五晚 6 点 37 分宣布入侵事件，该时间点经精心测算，可拖延受害者响应进度，同时让自身攻击行动获得最大曝光度。 在完成初步入侵后，该组织进一步对受害机构的合作伙伴与承包商发起了商业电子邮件欺诈（BEC）攻击。 据 Habr 分析师调查发现，Punishing Owl 利用位于巴西的服务器，并使用在受害者邮件域名下伪造的发件地址发送了钓鱼邮件。 这些钓鱼邮件谎称是对网络入侵事件的核实通知，并附带紧急要求，催促收件人查看附件文档。 尽管是新近出现的组织，但其攻击基础设施展现出相当的技术水准。Punishing Owl 配置了伪造的 TLS 证书，搭建了用于邮件收发的 IMAP 和 SMTP 服务，并部署了名为 ZipWhisper 的 PowerShell 窃密木马，用以从受感染系统中盗取浏览器凭证。 恶意邮件中包含带密码保护的 ZIP 压缩包，包内藏有伪装的 LNK 快捷方式文件，该文件会执行 PowerShell 命令，从 bloggoversikten [.] com 域名下的命令与控制服务器下载窃取器。 感染机制与凭证窃取过程 ZipWhisper 窃取器通过多阶段感染流程运作，核心目标是从受入侵主机中提取敏感浏览器数据。 当受害者打开伪装的 LNK 文件时，它会静默执行 PowerShell 命令，从攻击者架设的服务器下载窃密木马的有效载荷。 随后该恶意软件会收集存储浏览器凭证、Cookie 及保存密码的相关文件，将其打包为 ZIP 压缩包，压缩包命名遵循特定规则，包含受害者用户名及文件分块编号。 这些压缩包会先临时存储在系统 AppData/Local/Temp 目录下，再通过自定义端点结构上传至命令与控制服务器。 对窃取器代码的分析显示，代码注释表明其部分恶意脚本可能由 AI 工具生成，这意味着该组织或在借助现代开发技术，加速针对俄罗斯关键基础设施目标的攻击行动推进。     消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起针对 Open VSX Registry 的供应链攻击详情。在此次攻击中，不明身份的黑客入侵了一位合法开发者的账户资源，借此向下游使用者传播恶意更新。 Socket 安全研究员 Kirill Boychenko 在周六发布的报告中表示：“2026 年 1 月 30 日，开发者 oorzc 发布的四款成熟 Open VSX 扩展被推送恶意版本至仓库，版本中嵌入了 GlassWorm 恶意软件加载器。” “这些扩展此前一直以合法开发者工具的面目出现（部分最早发布于两年多前），在恶意版本发布前，其累计下载量已超过 22,000 次。” 这家供应链安全公司表示，此次攻击涉及该开发者的发布凭证被盗用。Open VSX 安全团队评估认为，事件可能源于令牌泄漏或其他未授权访问方式。目前，恶意版本已从 Open VSX 平台移除。  已确认的受污染扩展列表如下： ·   FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — 版本 0.5.1) ·   I18n Tools (oorzc.i18n-tools-plus — 版本 1.6.8) ·   vscode mindmap (oorzc.mind-map — 版本 1.0.61) ·   scss to css (oorzc.scss-to-css-compile — 版本 1.3.4) Socket 指出，这些恶意版本的核心目的是投递 GlassWorm 已知攻击活动相关的加载器恶意软件。该加载器支持运行时解密并执行内嵌恶意代码，采用 EtherHiding 这一愈发被武器化的技术获取命令与控制（C2）端点，最终执行恶意代码窃取苹果 macOS 系统凭证及加密货币钱包数据。 同时，该恶意软件会先对受感染设备进行环境探测，确认设备非俄语区域设置后才会触发执行 —— 这是俄语区背景威胁行为者或其关联组织的常见手法，目的是规避本土法律追责。 该恶意软件窃取的信息类型包括： ·   来自 Mozilla Firefox 及基于 Chromium 内核浏览器（如 Chrome、Edge 等）的数据（登录凭证、Cookie、浏览历史以及 MetaMask 等钱包扩展插件） ·   加密货币钱包文件（涉及 Electrum、Exodus、Atomic、Ledger Live、Trezor Suite、Binance 及 TonKeeper） ·    iCloud 钥匙串数据库 ·    Safari 浏览器 Cookie ·    Apple 备忘录数据 ·    桌面、文稿及下载文件夹中的用户文档 ·     FortiClient VPN 配置文件 ·    开发者凭证（例如 ~/.aws 和 ~/.ssh 目录下的文件） 针对开发者信息的窃取行为带来了严重风险，这可能使企业环境面临云账户被接管及攻击者横向移动的潜在威胁。 Boychenko 表示：“该恶意载荷包含专门的功能模块，用于定位并窃取常见开发工作流中的认证材料，例如检查 npm 配置文件中的 _authToken，以及获取 GitHub 的认证凭证。攻击者借此可访问私有代码仓库、持续集成（CI）系统的密钥以及发布自动化流程。” 此次攻击的一个显著特点是，它与以往观察到的 GlassWorm 攻击模式不同，黑客首次利用了合法开发者的被盗账户来分发恶意软件。在此前的案例中，该攻击活动的幕后黑手主要依赖误植域名和仿冒知名品牌等手段，上传欺诈性扩展进行传播。 Socket 分析称：“攻击者巧妙地融入了正常的开发者工作流程，将恶意代码的执行隐藏在加密且仅运行时解密的加载器之后，并利用 Solana 区块链的备忘录功能作为动态的‘死信箱’，来轮换其攻击基础设施，而无需重新发布扩展。这些设计选择降低了基于静态特征检测的价值，将防御优势转向了行为分析和快速响应能力。” 更新说明 Secure Annex 研究员 John Tuckner 告诉 The Hacker News，截至 UTC 时间 2026 年 2 月 2 日早上 6:30，上述扩展中仍有三个可供下载。在本文发稿前，它们已被从 Open VSX 移除，具体是： oorzc.mind-map@1.0.61 oorzc.i18n-tools-plus@1.6.8 oorzc.scss-to-css-compile@1.3.4 Tuckner 表示：“该问题的棘手之处在于，受害者需等待原开发者发布更高版本，才能触发自动更新，即便扩展从应用市场下架，也不会从编辑器中自动卸载。” 消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文