HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款疑似由人工智能（AI）生成的恶意软件的详细信息，该软件代号为 Slopoly，由以经济利益为动机的威胁行为者 Hive0163 使用。 IBM X-Force 研究员 Golo Mühr 在提前提供给 The Hacker News 的报告中表示：“尽管 Slopoly 这类 AI 生成的恶意软件目前仍相对普通，但它表明威胁行为者可以多么轻松地利用 AI 来开发新的恶意软件框架，所需时间仅为过去的一小部分。” Hive0163 的活动以大规模数据窃取和勒索软件勒索为驱动。该电子犯罪团伙主要与一系列恶意工具相关联，包括 NodeSnake、Interlock RAT、JunkFiction loader 和 Interlock ransomware。 在该公司 2026 年初观察到的一起勒索软件攻击中，威胁行为者在漏洞利用后阶段部署了 Slopoly，以便在受感染服务器上维持超过一周的持久访问权限。 Slopoly 的发现可追溯至一个很可能通过构建器部署的 PowerShell 脚本，该脚本还通过名为 “Runtime Broker” 的计划任务建立了持久访问权限。 有迹象表明，该恶意软件是在一个尚未确定的大语言模型（LLM）的帮助下开发的。这些迹象包括存在大量注释、日志记录、错误处理和命名准确的变量。注释还将该脚本描述为 “Polymorphic C2 Persistence Client”，表明它是一个命令与控制（C2）框架的一部分。 Mühr 指出：“不过，该脚本不具备任何高级技术，几乎不能被视为多态的，因为它无法在执行过程中修改自身代码。但构建器可能会生成具有不同随机配置值和函数名的新客户端，这在恶意软件构建器中是标准做法。” 该 PowerShell 脚本充当一个功能完整的后门，每 30 秒向 C2 服务器发送一次包含系统信息的心跳消息，每 50 秒轮询一次新命令，通过 “cmd.exe” 执行该命令，并将结果传回服务器。目前尚不清楚在受感染网络上运行的命令的具体性质。 据称，此次攻击本身利用了 ClickFix 社会工程策略，诱骗受害者运行一个 PowerShell 命令，该命令随后下载了 NodeSnake—— 一款被归因于 Hive0163 的已知恶意软件。 为第一阶段组件，NodeSnake 旨在运行 shell 命令、建立持久访问权限，并检索和启动一个更广泛的恶意软件框架，即 Interlock RAT。 Hive0163 有使用 ClickFix 和恶意广告进行初始访问的记录。该威胁行为者用来建立立足点的另一种方法是依赖初始访问代理，例如 TA569（又名 SocGholish）和 TAG-124（又名 KongTuke 和 LandUpdate808）。 该框架在 PowerShell、PHP、C/C++、Java 和 JavaScript 中有多种实现，以同时支持 Windows 和 Linux。与 NodeSnake 一样，它也与远程服务器通信以获取命令，这些命令允许它启动 SOCKS5 代理隧道、在受感染机器上生成反向 shell，并交付更多载荷，例如 Interlock ransomware 和 Slopoly。 Slopoly 的出现进一步扩大了 AI 辅助恶意软件的名单，该名单还包括 VoidLink 和 PromptSpy，凸显了不良行为者如何利用该技术加速恶意软件开发并扩大其活动规模。 IBM X-Force 表示：“从技术角度来看，AI 生成的恶意软件的引入并不构成新的或复杂的威胁。它通过减少操作者开发和执行攻击所需的时间，极大地增强了威胁行为者的能力。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现五个恶意 Rust 包，它们伪装成时间相关工具，将 .env 文件数据传输给威胁行为者。 这些发布在 crates.io 上的 Rust 包如下： ·     chrono_anchor ·     dnp3times ·     time_calibrator ·     time_calibrators ·     time-sync 据 Socket 公司称，这些包仿冒 timeapi.io 相关功能，于 2026 年 2 月末至 3 月初发布。基于相同的数据窃取方法，以及用于存储被盗数据的相似域名（timeapis [.] io），研究人员判定这些攻击出自同一威胁行为者之手。 “尽管这些包伪装成本地时间工具，但其核心行为是窃取凭据和密钥。” 安全研究员基里尔・博伊琴科（Kirill Boychenko）表示，“它们试图从开发者环境中收集敏感数据（尤其是 .env 文件），并将数据外传到威胁行为者控制的基础设施。” 上述四个包仅具备直接窃取 .env 文件的基础能力，而 “chrono_anchor” 更进一步：通过实现混淆和操作层面的修改来规避检测。这些包对外宣传的功能是 “无需依赖网络时间协议（NTP）校准本地时间”。 “chrono_anchor” 将数据窃取逻辑嵌入名为 “guard.rs” 的文件中，通过一个 “可选同步” 辅助函数调用，以此避免引起开发者怀疑。与其他恶意软件不同，该包的代码并未试图通过服务或计划任务在主机上建立持久化，而是每当持续集成（CI）工作流的开发者调用恶意代码时，就反复尝试窃取 .env 中的密钥。 针对 .env 文件的攻击并非偶然 —— 该文件通常用于存储 API 密钥、令牌等敏感信息，攻击者可借此攻陷下游用户，获得对其环境（包括云服务、数据库、GitHub 及注册表令牌）的深度访问权限。 尽管这些包已从 crates.io 下架，但研究人员建议：不慎下载过的用户需假定数据已被窃取，立即轮换密钥和令牌，审计使用发布 / 部署凭据运行的 CI/CD 任务，并尽可能限制出站网络访问。 Socket 表示：“此次攻击表明，即便低复杂度的供应链恶意软件，只要在开发者工作区和 CI 任务中运行，仍能造成高影响。应优先部署控制措施，在恶意依赖执行前阻止其运行。” 人工智能驱动的机器人利用 GitHub Actions 发起攻击 此前，研究人员还发现一场自动化攻击活动：一款名为 hackerbot-claw 的 AI 驱动机器人扫描公共代码仓库，利用存在漏洞的 GitHub Actions 工作流窃取开发者密钥，攻击目标涵盖主流开源仓库的 CI/CD 流水线。 2026 年 2 月 21 日至 28 日期间，这个自称 “自主安全研究代理” 的 GitHub 账号，攻击了至少七个归属微软、Datadog、Aqua Security 等机构的代码仓库。 攻击流程如下： ·     扫描公共仓库，寻找配置错误的 CI/CD 流水线 ·     复刻（Fork）目标仓库，准备恶意载荷 ·     提交包含微小修改（如拼写错误修复）的拉取请求（PR），同时将核心恶意载荷隐藏在分支名、文件名或 CI 脚本中 ·     利用 “每次 PR 自动触发工作流” 的机制启动 CI 流水线，使恶意代码在构建服务器上执行 ·     窃取密钥和访问令牌 此次攻击中最受关注的目标之一是 Aqua Security 旗下的 “aquasecurity/trivy” 仓库 ——Trivy 是一款主流安全扫描工具，用于检测已知漏洞、配置错误和密钥。 供应链安全公司 StepSecurity 表示：“hackerbot-claw 利用 pull_request_target 工作流窃取了个人访问令牌（PAT），随后用该凭据接管了整个仓库。” Aqua Security 的伊泰・沙库里（Itay Shakury）在上周声明中透露，攻击者借助 GitHub Actions 工作流，将恶意版本的 Trivy Visual Studio Code（VS Code）扩展推送到 Open VSX 注册表，利用本地 AI 编码代理收集并窃取敏感信息。 同样参与该扩展攻击调查的 Socket 公司称，1.8.12 和 1.8.13 版本中注入的恶意逻辑，会以高权限模式运行本地 AI 编码助手（包括 Claude、Codex、Gemini、GitHub Copilot CLI、Kiro CLI），指令这些工具执行全面的系统检查、生成信息报告，并通过受害者已认证的 GitHub CLI 会话，将结果保存到名为 “posture-report-trivy” 的 GitHub 仓库。 Aqua 已从应用市场移除相关恶意制品，并吊销了用于发布的令牌。研究人员建议安装过该扩展的用户立即卸载，检查是否存在异常仓库，并轮换环境密钥；目前恶意制品已下架，未发现其他受影响制品，该事件被分配 CVE 编号 CVE-2026-28353。 需注意的是，系统受该漏洞影响需满足以下前提条件： ·     从 Open VSX 安装了 1.8.12 或 1.8.13 版本扩展 ·     本地安装了至少一款目标 AI 编码 CLI 工具 ·     该 CLI 接受恶意逻辑提供的高权限执行参数 ·     AI 代理能够访问磁盘上的敏感数据 ·     安装并认证了 GitHub CLI（针对 1.8.13 版本） Socket 表示：“从 1.8.12 到 1.8.13 的版本迭代可见攻击者的优化：第一个版本的指令将数据分散到随机渠道，攻击者无法可靠收集输出；第二个版本则利用受害者自身的 GitHub 账号作为稳定的数据窃取渠道，但模糊的指令可能导致 AI 代理将密钥推送到攻击者无法访问的私有仓库。” Pillar Security 评估认为，hackerbot-claw 是人类操作者借助大语言模型（LLM）作为执行层发起的攻击，并将该活动命名为 “Chaos Agent”。 安全研究员埃 ilon・科恩（Eilon Cohen）表示，此次攻击体现了 “AI 增强型攻击者快速利用 CI/CD 配置错误发起攻击”，而 Trivy VS Code 扩展的供应链攻击，标志着 AI 编码代理被滥用于数据窃取。“hackerbot-claw 攻击利用了大多数企业都未察觉的漏洞：对开发者机器上运行的 AI 编码代理完全无可见性，且这些代理被武器化时缺乏运行时控制。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，威胁行为者正越来越多地在其行动中使用人工智能，以加速攻击、扩大恶意活动规模，并降低网络攻击各个环节的技术门槛。 根据微软威胁情报发布的一份最新报告，攻击者正将生成式人工智能工具用于广泛任务，包括侦察、钓鱼、基础设施搭建、恶意软件开发以及入侵后活动。 在多数情况下，人工智能被用于撰写钓鱼邮件、翻译内容、总结窃取的数据、调试恶意软件，以及辅助脚本编写或基础设施配置。 “微软威胁情报已观察到，当前绝大多数人工智能的恶意使用都集中于利用大语言模型生成文本、代码或媒体内容。威胁行为者利用生成式人工智能撰写钓鱼诱饵、翻译内容、总结窃取的数据、生成或调试恶意软件，以及搭建脚本或基础设施框架。” 微软警告称。 “对于这些用途而言，人工智能发挥了力量倍增器的作用，降低了技术阻力并加快了执行速度，而人类操作者仍保留对攻击目标、攻击对象和部署决策的控制权。” 威胁行为者在网络攻击生命周期中对人工智能的使用（来源：微软） 被用于支撑网络攻击的人工智能 微软已观察到多个威胁组织将人工智能融入网络攻击，包括代号为 Jasper Sleet（Storm-0287）和 Coral Sleet（Storm-1877）的朝鲜籍行为者，他们将该技术用于远程 IT 人员渗透计划。 在这些行动中，人工智能工具帮助生成逼真的身份信息、简历和通信内容，以在西方企业获得雇佣资格，并在入职后维持访问权限。 “Jasper Sleet 利用生成式人工智能平台简化伪造数字身份的制作流程。例如，Jasper Sleet 行为者会提示人工智能平台生成符合特定文化背景的姓名列表和邮箱地址格式，以匹配特定身份档案。例如，威胁行为者可能在此场景中使用以下类型的提示词来利用人工智能： 示例提示词 1：“创建 100 个希腊姓名的列表。” 示例提示词 2：“使用姓名 Jane Doe 创建一组邮箱地址格式。” Jasper Sleet 还利用生成式人工智能审阅专业平台上软件开发及 IT 相关岗位的招聘信息，提示工具提取并总结所需技能。这些输出结果随后被用于为特定职位量身定制伪造身份。 ❖ 微软威胁情报” 报告还描述了人工智能如何被用于辅助恶意软件开发与基础设施搭建，威胁行为者利用人工智能编码工具生成和优化恶意代码、排查错误，或将恶意软件组件移植到不同编程语言。 并非只有微软观察到威胁行为者越来越多地使用人工智能支撑攻击并降低入门门槛。 谷歌近期报告称，威胁行为者在网络攻击的所有阶段都在滥用 Gemini 人工智能，这与亚马逊在相关攻击活动中观察到的情况一致。 亚马逊以及 Cyber and Ramen 安全博客近期也报告了一起攻击活动，其中威胁行为者使用多个生成式人工智能服务，成功攻破了超过 600 个 FortiGate 防火墙。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名黑客从 2025 年 12 月开始，历时一个月，利用 Anthropic 公司的 Claude AI 聊天机器人进行攻击，识别漏洞、生成漏洞利用代码，并从墨西哥政府机构窃取敏感数据。 网络安全公司 Gambit Security 发现了此次攻击，并揭示了黑客如何通过持续不断的提示绕过 Claude 的安全防护措施。 据 Bloomberg 报道，此次攻击行动从 2025 年 12 月持续到 2026 年 1 月初。黑客编写了西班牙语提示，将 Claude 伪装成一名“精英黑客”，参与模拟漏洞赏金计划。 Claude 最初以人工智能安全准则为由拒绝了黑客的请求，但在黑客的反复劝说下最终妥协，生成了数千份包含可执行脚本的详细报告，用于漏洞扫描、漏洞利用和数据自动化。 当 Claude 达到极限时，攻击者转而使用 ChatGPT 进行横向移动和规避。 Gambit 的研究人员分析了对话日志，发现 Claude 生成了分步计划，明确了内部目标和所需的凭证。这种“智能”AI 辅助降低了网络攻击的门槛，除了 AI 订阅之外，无需任何高级基础设施。 目标和数据泄露 此次攻击的目标是高价值实体，并利用了联邦和州系统中至少 20 个漏洞。 总共泄露了 150GB 的纳税人、选民、凭证和注册数据，目前尚未有公开泄露报告。 Claude 的输出包括用于网络扫描的侦察脚本、SQL 注入漏洞利用程序以及针对过时政府系统定制的凭证填充自动化程序。 提示信息主要集中在常见的错误配置上，例如未打补丁的 Web 应用程序和弱身份验证，这些错误在墨西哥的旧式基础设施中很常见。 Gambit 指出，人工智能能够将任务串联起来，从漏洞发现到有效载荷部署，这与高级持续性威胁类似，但更易于单人操作。 Anthropic 对此事进行了调查，封禁了涉事账户，并为 Claude Opus 4.6 添加了实时滥用探测功能。OpenAI 确认 ChatGPT 会拒绝违反策略的提示。 墨西哥方面的回应各不相同：哈利斯科州否认存在数据泄露，墨西哥国家统计局 (INE) 声称没有未经授权的访问，而联邦机构则在评估损失。Gambit 排除了国家行为体参与的可能性，认为事件是由一名身份不明的个人所为。 埃隆·马斯克在 X 上发布了一张表情包，强调了人工智能的风险，而 xAI 的 Grok 则强调了其拒绝非法请求的功能。 此次事件凸显了“人工智能策划”的网络犯罪风险，越狱会将消费者模型转化为黑客工具。专家敦促各方迅速采取工程防御措施、行为监控，并在敏感操作中使用物理隔离的人工智能。 面对日益猖獗的智能体威胁，各国政府必须优先修补遗留系统，因为这些威胁不再需要精英黑客，只需要持续不断的黑客。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为巩固美国在人工智能领域的领先地位，美国国家标准与技术研究院（NIST）宣布投入 2000 万美元启动一项大型 AI 安全计划，用于新建两大研发中心——“美国制造业生产力 AI 经济安全中心”和“保护美国关键基础设施免受网络威胁 AI 经济安全中心”。两家机构均由非营利组织 MITRE 运营。 NIST 在 12 月 22 日的公开声明中表示，这些中心将开发必要的技术评估与进步，“有效保护美国在 AI 创新中的主导地位，应对对手利用 AI 带来的威胁，并降低对不安全 AI 依赖的风险”。该院期望借此实现应用科学与先进技术的突破，为国家最紧迫的挑战提供颠覆性创新解决方案。 美国商务部副部长保罗·达巴尔称，这笔投资将“推动美国制造业复兴”，提升制造商竞争力并吸引国内外资本。兼任商务部标准与技术代理副部长、NIST 代理院长的克雷格·伯克哈特亦指出：“与 MITRE 的新协议将聚焦提升美国企业高效生产高价值产品的能力，满足国内外市场需求，并催化新技术、新设备的发现与商业化。” 该投资是 NIST《21 世纪美国技术领先战略》的一部分，旨在加速关键与新兴技术从研发到落地的进程，并与白宫 2025 年 7 月发布的《美国人工智能行动计划》中“加速 AI 创新”和“建设美国 AI 基础设施”两大支柱相契合。 两大中心将承接 NIST 主导的一系列 AI 与安全项目，包括前身为“美国 AI 安全研究所”的“AI 标准与创新中心”（CAISI）。此外，NIST 即将公布 Manufacturing USA 项目下的“韧性制造 AI 研究院”，拟投入 7000 万美元联邦资金并撬动私人投资，强化 AI 驱动的供应链与制造韧性。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个影响 Salesforce Agentforce 的严重漏洞。Agentforce 是一个用于构建人工智能（AI）代理的平台，该漏洞可能允许攻击者通过间接提示注入（indirect prompt injection）的方式，从其客户关系管理（CRM）工具中窃取敏感数据。 该漏洞被发现方 Noma Security 命名为 ForcedLeak，CVSS 评分 9.4。该团队于 2025 年 7 月 28 日发现并报告了该问题。漏洞影响所有启用了 Web-to-Lead 功能 的 Salesforce Agentforce 用户。 Noma 安全研究负责人 Sasi Levi 在提交给 The Hacker News 的报告中写道：“这个漏洞表明，与传统的提示-响应系统相比，AI 代理展现出了本质上不同且更大的攻击面。” 一、GenAI 系统的重大威胁：间接提示注入 生成式人工智能（GenAI）系统如今面临的最严重威胁之一就是 间接提示注入。该攻击手法通过在服务访问的外部数据源中插入恶意指令，使系统生成原本禁止的内容或执行非预期操作。 Noma 演示的攻击路径看似简单：攻击者利用 Web-to-Lead 表单中的 Description 字段 注入恶意指令，从而诱导系统泄露敏感数据，并将其外传到一个与 Salesforce 相关但已过期的白名单域名上。该域名已被攻击者以 仅 5 美元的成本重新注册并控制。 二、攻击步骤共五步 攻击者提交包含恶意描述的 Web-to-Lead 表单； 内部员工用标准 AI 查询处理线索； Agentforce 执行合法与隐藏的双重指令； 系统查询 CRM 中的敏感线索信息； 将数据以 PNG 图像的形式传输到攻击者控制的域名。 Noma 表示：“通过利用上下文验证薄弱、AI 模型行为过度宽松以及内容安全策略（CSP）绕过，攻击者能够创建恶意的 Web-to-Lead 提交内容，使其在 Agentforce 处理时执行未经授权的命令。” 由于 LLM 仅作为直接执行引擎运行，它无法区分上下文中加载的合法数据与仅应来自可信来源的恶意指令，最终导致了关键敏感数据的泄露。 三、Salesforce 的应对措施 目前 Salesforce 已重新收回过期域名，并推出了补丁，防止 Agentforce 和 Einstein AI 代理的输出被发送到不受信任的 URL，方法是强制执行 URL 白名单机制。 Salesforce 在本月早些时候发布的安全警报中表示：“我们的底层服务将在 Agentforce 中强制执行可信 URL 白名单，确保不会通过提示注入调用或生成恶意链接。这为防御深度控制提供了关键一环，可防止在提示注入成功后，敏感数据通过外部请求泄露。” 四、安全建议 除了落实 Salesforce 的推荐措施并执行可信 URL 机制外，用户还被建议： 审计现有线索数据，检查是否存在包含异常指令的可疑提交； 实施严格的输入验证机制，以检测潜在的提示注入； 对来自不受信任来源的数据进行清理。 Levi 总结道：“ForcedLeak 漏洞凸显了 前瞻性 AI 安全与治理 的重要性。这是一个强有力的提醒，即使是低成本的发现，也能避免数百万美元的潜在损失。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露，万兴科技（Wondershare）RepairIt 软件中存在两个严重漏洞，不仅导致用户私密数据泄露，还可能让系统遭受 AI模型篡改与供应链攻击的威胁。 这些高危漏洞由 趋势科技（Trend Micro）发现并披露，具体如下： CVE-2025-10643（CVSS 评分：9.1） —— 一处身份验证绕过漏洞，源于对存储账户令牌赋予的过高权限。 CVE-2025-10644（CVSS 评分：9.4） —— 一处身份验证绕过漏洞，源于对 SAS 令牌赋予的过高权限。 一旦被成功利用，攻击者可绕过系统的身份认证保护，发起供应链攻击，最终在用户终端上执行任意代码。 趋势科技研究人员指出，这款具备 AI 功能的数据修复与照片编辑应用 “违背了其隐私政策”：由于缺乏严格的 DevSecOps（开发、安全与运维一体化）流程，导致收集与存储的用户私密数据被意外泄露。 漏洞细节与潜在风险 研究人员发现，该应用在代码中直接硬编码了过度开放的云存储访问令牌，可对敏感云存储进行读写操作。同时，存储的数据未经过加密，进一步增加了用户上传的图片与视频被滥用的风险。 更严重的是，暴露的云存储中不仅包含用户数据，还包括 AI 模型、万兴旗下多款产品的二进制文件、容器镜像、脚本及公司源代码。攻击者若篡改这些 AI 模型或可执行文件，便可能发起针对下游客户的供应链攻击。 研究人员警告称：“由于软件会自动从不安全的云存储中下载并执行 AI 模型，攻击者可修改模型或配置文件，让用户在毫不知情的情况下感染恶意软件。” 这种攻击能够借助官方签名的软件更新或 AI 模型下载传播恶意载荷。 除了用户数据泄露与 AI 模型篡改，这些问题还可能带来严重后果，包括 知识产权盗窃、监管处罚以及消费者信任的流失。 趋势科技称已于 2025 年 4 月 通过 零日计划（ZDI）向厂商负责任地披露了这两个漏洞，但尽管多次尝试联系，至今未收到厂商回应。鉴于暂无修复方案，用户被建议减少或限制使用该产品。 趋势科技提醒：“不断追求新功能与市场竞争，往往让企业忽视这些功能在未来可能被滥用的风险。因此，必须在组织内部，尤其是 CD/CI 流水线中，建立完善的安全流程。” AI 与安全需并行 此次披露也是趋势科技对 MCP（Model Context Protocol）服务器风险的延续性警告。此前，研究人员发现 MCP 服务器若缺乏身份认证或存储明文凭证，攻击者可利用其访问云资源、数据库或注入恶意代码。 每一个 MCP 服务器都可能成为敏感数据的“敞开大门” —— 数据库、云服务、内部 API 或项目管理系统都可能被未授权访问。 在 2024 年 12 月，趋势科技还发现暴露的容器镜像仓库可能被攻击者下载并修改 AI 模型，再上传至公开仓库。被篡改的模型可能在正常情况下表现无异，但在特定输入下触发恶意行为，从而绕过常规检测。 卡巴斯基（Kaspersky）也曾通过概念验证（PoC）指出，从不可信来源安装 MCP 服务器，可能使其伪装成 AI 助手工具，在后台进行侦察与数据窃取。 研究员警告：“安装 MCP 服务器就等于允许它在用户机器上以用户权限运行代码。若未沙箱隔离，第三方代码即可访问用户文件并发起网络连接。” AI 工具的新型攻击向量 随着企业快速采用 MCP 与各类 AI 工具，新的攻击方式层出不穷，包括 工具投毒、拉地毯攻击、影子化利用、提示注入以及越权提升。 近期，Palo Alto Networks的Unit 42 报告披露，AI 代码助手中的上下文附件功能可能被用于间接提示注入。攻击者可在外部数据源中植入恶意提示，让助手在无意中执行后门或泄露敏感信息。 此外，AI 代码代理还被发现易受 “谎言循环”（LitL）攻击。该攻击通过伪造上下文让代理相信恶意操作是安全的，从而绕过本应由人工把关的高风险环节。 研究员指出：“LitL 攻击利用了人类与代理之间的信任。当代理提供的上下文被伪造时，用户也可能被欺骗，从而让攻击者绕过防护。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为TA558的威胁行为者被归因于一系列新的攻击，这些攻击通过各种远程访问木马（RAT）如Venom RAT入侵巴西和西班牙语市场的酒店。 俄罗斯网络安全供应商卡巴斯基正在追踪这一活动，该活动发生在2025年夏季，被其追踪为RevengeHotels。 “威胁行为者继续使用带有发票主题的网络钓鱼邮件，通过JavaScript加载器和PowerShell下载器传递Venom RAT植入物，”该公司表示，“在这次活动中，初始感染器和下载器代码的很大一部分似乎是由大型语言模型（LLM）代理生成的。” 这些发现表明，网络犯罪团伙利用人工智能（AI）来增强其技术手段，这是一种新的趋势。 自2015年以来一直活跃的RevengeHotels，一直针对拉丁美洲的酒店、酒店和旅游组织，目的是在受损系统上安装恶意软件。 该威胁行为者活动的早期版本被发现分发带有精心制作的Word、Excel或PDF文档的电子邮件附件，其中一些利用了微软Office中的已知远程代码执行漏洞（CVE-2017-0199），以触发Revenge RAT、NjRAT、NanoCoreRAT和888 RAT的部署，以及一种名为ProCC的自定义恶意软件。 Proofpoint和Positive Technologies记录的后续活动表明，该威胁行为者有能力完善其攻击链，以传递各种RAT，如Agent Tesla、AsyncRAT、FormBook、GuLoader、Loda RAT、LokiBot、Remcos RAT、Snake Keylogger和Vjw0rm。 这些攻击的主要目标是从酒店系统中捕获客人和旅行者的信用卡数据，以及从Booking.com等流行的在线旅行社（OTAs）收到的信用卡数据。 据卡巴斯基称，最新的活动涉及发送用葡萄牙语和西班牙语撰写的网络钓鱼邮件，这些邮件带有酒店预订和工作申请的诱饵，以诱使收件人点击欺诈链接，从而下载WScript JavaScript有效载荷。 “该脚本似乎是通过大型语言模型（LLM）生成的，其大量注释的代码和类似这种技术产生的格式就是证据，”该公司表示，“该脚本的主要功能是加载后续脚本，以促进感染。” 这包括一个PowerShell脚本，该脚本从外部服务器检索名为“cargajecerrr.txt”的下载器，并通过PowerShell运行它。顾名思义，下载器会获取两个额外的有效载荷：一个负责启动Venom RAT恶意软件的加载器。 基于开源的Quasar RAT，Venom RAT是一种商业工具，终身许可证售价650美元。将恶意软件与HVNC和Stealer组件捆绑的一个月订阅费用为350美元。 该恶意软件配备了窃取数据、充当反向代理的功能，并具有反杀保护机制，以确保其不间断运行。为此，它修改了与运行进程相关的自由裁量访问控制列表（DACL），删除任何可能干扰其运行的权限，并终止任何与硬编码进程匹配的运行进程。 “这种反杀措施的第二个组成部分涉及一个运行持续循环的线程，每50毫秒检查一次运行进程列表，”卡巴斯基表示。 “该循环专门针对那些通常由安全分析师和系统管理员用于监控主机活动或分析.NET二进制文件等任务的进程。如果RAT检测到这些进程中的任何一个，它将不提示用户而终止它们。” 反杀功能还配备了使用Windows注册表修改在主机上设置持久性的能力，并在相关进程未在运行进程列表中找到时重新运行恶意软件。 如果恶意软件以提升的权限执行，它将继续设置SeDebugPrivilege令牌，并将自身标记为关键系统进程，从而即使在尝试终止进程时也能保持持久性。它还会强制计算机显示器保持开启状态，并防止其进入睡眠模式。 最后，Venom RAT工件具备通过可移动USB驱动器传播和终止与Microsoft Defender Antivirus相关进程的能力，以及篡改任务计划程序和注册表以禁用安全程序。 “RevengeHotels显著增强了其能力，开发了新的战术来针对酒店和旅游部门，”卡巴斯基表示，“在LLM代理的帮助下，该组织能够生成和修改其网络钓鱼诱饵，将其攻击扩展到新的地区。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全领域正面临一种新型威胁的警示——“提示词中间人攻击”（Man-in-the-Prompt），这种攻击能够危害用户与主流生成式人工智能工具的交互，包括ChatGPT、Gemini、Copilot和Claude等。最令人担忧的是，这种攻击甚至不需要复杂的技术手段，仅需一个浏览器扩展即可实施。 LayerX安全研究员Aviad Gispan解释道：“研究表明，任何浏览器扩展——即使没有特殊权限——都能访问商业和内部LLM（大语言模型）的提示词，并通过注入恶意提示词来窃取数据、外泄信息并掩盖痕迹。我们已在所有主流商业LLM上验证了这一漏洞，并为ChatGPT和Google Gemini提供了概念验证演示。” 什么是“提示词中间人攻击”？ LayerX安全专家用这个术语描述一种新型攻击向量，它利用了AI聊天机器人输入窗口这一被低估的弱点。当我们在浏览器中使用ChatGPT等工具时，输入的信息实际上位于一个简单的HTML字段中，可通过页面的DOM（文档对象模型）访问。这意味着任何能访问DOM的浏览器扩展都能读取、修改或重写我们发送给AI的请求，而用户却浑然不觉。更关键的是，这类扩展甚至不需要特殊权限。 攻击原理剖析 用户在浏览器中打开ChatGPT或其他AI工具 恶意扩展拦截即将发送的文本 修改提示词，例如添加隐藏指令（提示词注入）或从AI响应中窃取数据 用户收到看似正常的回复，但实际上数据已被窃取或会话已被入侵 该技术已被证实适用于所有主流AI工具，包括： ChatGPT（OpenAI） Gemini（Google） Copilot（Microsoft） Claude（Anthropic） DeepSeek（中国AI模型） 具体风险分析 报告指出，这种攻击可能造成严重后果，尤其对企业用户： 敏感数据窃取： 若AI处理的是机密信息（源代码、财务数据、内部报告），攻击者可通过修改提示词读取或提取这些信息。 响应操控： 注入的提示词可改变AI的行为模式。 安全控制绕过： 攻击发生在提示词发送至AI服务器之前，因此能绕过防火墙、代理和数据防泄露系统。 据LayerX统计，99%的企业用户浏览器中至少安装了一个扩展程序，这意味着风险敞口极大。 防护措施建议 个人用户应采取： 定期检查并卸载非必要的浏览器扩展。 避免安装来源不明或不可靠的扩展。 尽可能限制扩展权限。 企业用户应实施： 在公司设备上禁用或严格监控浏览器扩展。 尽可能将AI工具与敏感数据隔离。 采用运行时安全解决方案监控DOM并检测输入字段篡改。 对提示词流进行专项安全测试，模拟注入攻击。 采用新兴的“提示词签名”技术：在发送前对提示词进行数字签名以验证完整性。 实施“来源标注”技术，区分可靠内容与潜在篡改。 更广泛的问题：提示词注入 “提示词中间人攻击”属于更广泛的提示词注入威胁范畴，根据OWASP 2025年十大LLM安全风险，这是AI系统面临的最严重威胁之一。这类攻击不仅限于技术手段——即使是看似无害的外部内容（如电子邮件、链接或文档注释）也可能包含针对AI的隐藏指令。例如： 处理支持工单的企业聊天机器人可能被格式异常的请求操控。 阅读邮件的AI助手可能被注入的提示词诱导向第三方发送信息。 核心启示 LayerX报告指出了一个关键问题：AI安全不能仅局限于模型或服务器层面，还必须涵盖用户界面和浏览器环境。在AI日益融入个人和企业工作流的时代，一个简单的HTML文本字段可能成为整个系统的致命弱点。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币用户正成为一场持续进行的社会工程攻击的目标。该攻击利用伪造的初创公司，诱骗用户下载恶意软件，用以窃取Windows和macOS系统上的数字资产。 “这些恶意行动假冒人工智能、游戏和Web3公司，使用伪造的社交媒体账户以及托管在Notion和GitHub等合法平台上的项目文档。” Darktrace研究员塔拉·古尔德在一份提供给The Hacker News的报告中表示。 这个精心策划的社交媒体骗局已运作多时。在2024年12月，其前身版本曾利用虚假视频会议平台，通过在Telegram等通讯应用接触用户后，以讨论投资机会为借口诱骗受害者加入会议。 最终下载了所谓会议软件的用户，会遭到Realst等窃密木马的暗中感染。当时，该活动被Cado Security（已于今年早些时候被Darktrace收购）以其中一个虚假视频会议服务的名字命名为“Meeten”。不过，有迹象表明此类活动可能自2024年3月起就已开始，当时Jamf Threat Labs曾披露黑客使用“meethub[.]gg”域名分发Realst木马。 Darktrace的最新研究显示，该活动不仅仍在活跃构成威胁，还采用了更广泛的诱饵主题，涉及人工智能、游戏、Web3和社交媒体。 此外，攻击者还被观察到利用被攻陷的公司及员工（主要是经过验证的）X账户来接近潜在目标，为其虚假公司营造合法假象。 “他们利用软件公司常用的网站，如X、Medium、GitHub和Notion，”古尔德说，“每家公司都有外观专业的网站，包含员工信息、产品博客、白皮书和路线图。” 其中一个不存在的公司是Eternal Decay (@metaversedexay)，它声称是一款基于区块链的游戏，并在X上分享了合法图片的经过数码修改的版本，制造其曾参加各种会议的假象。最终目标是通过建立线上形象，使这些公司尽可能显得真实，从而提高感染成功率。 部分其他已识别的虚假公司列举如下（包括其关联的X账户）： BeeSync (X: @BeeSyncAI, @AIBeeSync) Buzzu (X: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp) Cloudsign (X: @cloudsignapp) Dexis (X: @DexisApp) KlastAI (X: 链接指向Pollens AI的X账户) Lunelior NexLoop (X: @nexloopspace) NexoraCore NexVoo (X: @Nexvoospace) Pollens AI (X: @pollensapp, @Pollens_app) Slax (X: @SlaxApp, @Slax_app, @slaxproject) Solune (X: @soluneapp) Swox (X: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox) Wasper (X: @wasperAI, @WasperSpace) YondaAI (X: @yondaspace) 攻击链始于这些由攻击者控制的账户通过X、Telegram或Discord向受害者发送信息，以支付加密货币为诱饵，敦促他们测试其软件。 如果目标同意测试，他们会被重定向到一个虚构网站。在该网站上，受害者需要输入“员工”提供的注册码才能下载软件：根据使用的操作系统，提供的是一个Windows的Electron应用程序或一个苹果的磁盘映像（DMG）文件。 在Windows系统上，打开恶意应用程序会向受害者显示一个Cloudflare验证页面，同时秘密扫描设备信息，随后下载并执行一个MSI安装程序。虽然此时加载的确切恶意程序性质尚不清楚，但据信在此阶段运行的是一个信息窃取程序。 而在macOS版本的攻击中，最终将部署“Atomic macOS Stealer” (AMOS)。这是一个已知的信息窃取木马，能够窃取文档以及网页浏览器和加密货币钱包中的数据，并将其外泄至外部服务器。 该DMG二进制文件还会负责获取一个shell脚本。该脚本利用一个启动代理（Launch Agent）在系统上建立持久化机制，确保应用在用户登录时自动启动。此外，该脚本还会检索并运行一个Objective-C/Swift二进制程序，用于记录应用程序使用时间和用户交互时间戳，并将这些信息发送到远程服务器。 Darktrace还指出，该活动在战术层面与名为”CrazyEvil”的流量分发（traffers）组织所策划的攻击存在相似之处。该组织以诱骗受害者安装StealC、AMOS和Angel Drainer等恶意软件而闻名。 “虽然尚不清楚这些活动[…]是否可归因于CrazyEvil或其下属团队，但其描述的技术本质上相似，”古尔德表示。“此活动突显了威胁行为者为使这些假公司看起来合法以窃取受害者加密货币所作出的努力，同时也反映了其使用的恶意软件在不断升级更新的规避版本。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文