HackerNews 编译，转载请注明出处： 来自 “PhantomRaven” 供应链攻击活动的新一轮攻击正在冲击 npm registry，数十个恶意包会从 JavaScript 开发者处窃取敏感数据。 该攻击活动最初由网络安全公司 Koi 的研究人员在 2025 年 10 月发现，他们表示该活动从 8 月就已开始运作，并在 npm 平台上发布了 126 个恶意包。 应用安全公司 Endor Labs 发现，在 2025 年 11 月至 2026 年 2 月期间，PhantomRaven 又出现了另外三轮攻击，并通过 50 个一次性账号分发了 88 个包。 在大多数情况下，威胁行为者使用 slopsquatting 模仿成熟项目，例如 Babel 和 GraphQL Codegen。他们发布的恶意包名称看起来像是由大语言模型（LLM）生成的。 根据 Endor Labs 的说法，81 个 PhantomRaven 恶意包目前仍存在于 npm registry 中。 PhantomRaven 使用一种名为 Remote Dynamic Dependencies（RDD）的检测规避技术，在元数据文件 package.json 中指定一个外部 URL 作为依赖。通过这种方式，威胁行为者无需在包中嵌入恶意代码，从而绕过自动化检测。 当不知情的开发者运行 npm install 时，包含恶意软件的依赖会自动从攻击者服务器下载并执行。 package.json 内容（来源：Endor Labs） 根据 Endor Labs 的研究，该恶意软件会从受感染机器上收集各种敏感信息，例如来自 .gitconfig、.npmrc 中的邮箱地址以及环境变量。 来自 GitHub、GitLab、Jenkins 和 CircleCI 平台的 CI/CD token 也成为攻击目标。 研究人员表示，该恶意软件还会采集系统信息，例如 IP、hostname、操作系统和 Node 版本，用于对设备进行指纹识别。 在最后阶段，恶意包将窃取的数据外传至攻击者的 C2 服务器。通常这一行为通过 HTTP GET 请求完成，但也会使用 HTTP POST 和 WebSocket 作为备用方式。 电子邮件地址收集功能（来源：Endor Labs） Endor Labs 注意到，在观察到的所有四轮 PhantomRaven 攻击活动中，基础设施保持一致：域名中包含单词 artifact，托管在 EC2 上，并且缺少 TLS 证书。 所有攻击浪潮中的 payload 也几乎完全相同，259 行代码中有 257 行保持不变。 不过，攻击者在运营方式上有所进化：轮换 npm 和邮箱账号、修改 npm 包元数据、更改 PHP endpoint。此外，他们在最近的攻击中发布频率更高，在 2 月 18 日一天就添加了四个包。 尽管技术并不复杂，但 PhantomRaven 攻击活动仍在持续，并依赖相同的技术、基础设施模式和 payload 结构。威胁行为者只需对域名、endpoint、npm 账号和依赖项名称进行最小程度的修改，就能维持攻击运作。 为防范此类威胁，建议开发者验证所用组件的合法性，仅使用来自可信发布者的包，并避免复制粘贴 AI 聊天机器人或未经审核来源的建议。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型恶意攻击活动正对伊朗境内人员传播恶意软件，目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。 该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现，最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本，并于1月29日发布了详细分析报告。 研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”，目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计，便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令，还能通过计划任务持久化部署更多恶意软件。 该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取，并通过Telegram进行命令与控制（C2）通信。 HarfangLab研究人员评估认为，该恶意软件是借助AI工具开发的，代码中存在多处大语言模型（LLM）辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者，但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合，且存在相关语言特征线索。研究人员明确表示，有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者。 伪造法医档案，诱捕异见者与研究者 RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点，包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间，德黑兰地区 200 名疑似抗议者的死亡名单，该时段正是伊朗境内反政权动荡频发期。 这些Excel文档被精心命名以伪装成官方记录（例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”），内含 5 个工作表，均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队，包括伊朗伊斯兰革命卫队（IRGC）、巴斯基民兵组织、情报部等；另一个工作表包含含毒理学检测结果在内的详细验尸报告；第三个工作表记录遗体移交家属的相关信息，最后一个 “帮助” 工作表诱导用户启用宏，进而触发恶意软件执行。 研究人员指出，这些诱饵旨在利用目标人群的情感创伤，精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出，文件数据存在大量矛盾之处，例如年龄与出生日期不匹配、涉事医生工作量不符合常理等，足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节，其设计目的是引发冲击感与紧迫感，研究人员称该手法与伊朗过往网络攻击操作一致。 SloppyMIO恶意程序：数据窃取与间谍监控能力 当用户打开恶意Excel文件并按照提示“启用内容”后，一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件，即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构：每次感染都会生成略有差异的代码，大幅提升安全工具的识别与拦截难度。 该恶意软件激活后，会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹，再强制该程序加载恶意代码，伪装成系统正常组件运行。为实现持久化运行，该恶意软件会创建计划任务，确保电脑每次启动时自动加载自身。代代码中还遗留多处线索，证明其至少部分由 AI 生成，例如命名怪异的变量及类似自动生成的注释内容。 与连接传统可疑C2服务器的恶意软件不同，SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。为进一步规避检测，黑客采用隐写术，将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。 安装完成后，SloppyMIO 可执行多项间谍与破坏任务，具体包括： 收集并外泄文件。 在受害者计算机上执行任意命令。 下载额外的恶意软件。 安装用于长期控制的后门。 攻击者可通过Telegram远程下令，指挥恶意软件搜索特定文档、运行程序，甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化：即便被清除，也会自动重新安装。 受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示，无法确认样本上传者是攻击目标对象还是相关研究人员。 报告写道：“我们认为，此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。” 尽管未做最终归因，但研究人员指出，RedKitten的感染链与伊朗、且与伊斯兰革命卫队（IRGC）相关的威胁组织“Yellow Liderc”（又名Imperial Kitten，编号TA456）的战术、技术和程序存在重叠。“值得注意的是，该组织过去就曾利用恶意Excel文档，通过‘AppDomain管理器注入’技术投递.NET恶意软件，且同样劫持了AppVStreamingUX.exe这一合法Windows程序。” 此外，研究人员还从RedKitten攻击基础设施中发现多项线索，表明威胁行为者与已知伊朗关联威胁组织存在关联，且使用波斯语。例如，自 2022 年起，多个伊朗威胁集群的攻击活动中，就曾出现以 GitHub 作为死信解析器（DDR）、以 Telegram 作为命令与控制（C2）信道的手法。研究人员甚至提及，攻击者在载荷中“戏谑地”使用了小猫图像，这或许是在调侃安全行业常用“Kitten”（小猫）来命名伊朗关联黑客组织的惯例。 研究人员总结道：“由于伊朗关联威胁行为者之间存在大量手法重合，且大语言模型在攻击活动中的应用日益广泛，对其进行精准区分的难度正不断提升。赤砂风暴（Crimson Sandstorm）等组织及伊朗整体高级持续性威胁（APT）生态中，均已出现此类趋势。” 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件组织Stormous宣称窃取了亚利桑那州北部医疗提供商North Country HealthCare的60万名患者数据。 非营利机构North Country HealthCare是联邦认证的医疗中心（FQHC），在亚利桑那州北部11个社区运营14个站点，提供全年龄段基础医疗服务，包括家庭医学、儿科、产前护理、行为健康、牙科、远程医疗及物理治疗等。该机构接受多数保险计划，并为无保险患者提供基于收入的浮动折扣。 2025年7月13日，Stormous在其数据泄露网站列出North Country HealthCare，宣称窃取了60万名患者的敏感信息，包括： 完整的个人身份信息（PII）与医疗健康数据（PHI） 诊断代码（ICD）、诊所数据及医疗服务商详情 具体涵盖姓名、出生日期、性别、电话号码、诊所名称、就诊日期/地点、保险公司、ICD诊断代码及病情描述。该组织声称将出售其中10万患者的数据，并免费公开剩余50万条记录。 HIPAA Journal报道称：“Stormous宣称已获得患者数据，并于7月15日公开了文件。” Stormous是亲俄勒索团伙，自2022年初活跃，采用双重勒索模式（窃取数据+加密文件）。该组织至少攻击过150家机构，重点针对医疗、酒店、科技、商业服务及政府领域，受害者主要分布在西班牙、美国、阿联酋、法国和巴西。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 东南亚的政府组织正成为一场新攻击活动的目标，该活动旨在通过一个此前未被记录的 Windows 后门程序（名为 HazyBeacon）收集敏感信息。 帕洛阿尔托网络公司 Unit 42 团队正追踪这一活动，将其命名为 CL-STA-1020，其中 “CL” 代表 “集群”，“STA” 指 “国家支持的动机”。 安全研究员利奥尔・罗奇伯格在周一的分析中表示，这一活动集群背后的威胁行为者一直在从政府机构收集敏感信息，包括近期关税和贸易争端相关信息。 由于在敏感贸易谈判、军事现代化以及美中权力动态中的战略定位，东南亚日益成为网络间谍活动的焦点。针对该地区政府机构的攻击可获取有关外交政策方向、基础设施规划以及影响地区和全球市场的内部监管变化等有价值的情报。 目前尚不清楚用于交付恶意软件的确切初始访问向量，但有证据表明，攻击者使用了 DLL 侧载技术在受感染主机上部署恶意软件。具体而言，这涉及植入一个名为 mscorsvc.dll 的恶意 DLL 文件，同时搭配合法的 Windows 可执行文件 mscorsvw.exe。 一旦该二进制文件启动，DLL 就会与攻击者控制的 URL 建立通信，从而能够执行任意命令并下载额外的有效载荷。攻击者通过一项服务实现持久化，确保系统重启后该 DLL 仍能启动。 HazyBeacon 的显著特点是利用亚马逊云服务（AWS）的 Lambda URL 作为命令与控制（C2）渠道，这表明威胁行为者持续滥用合法服务以隐匿行踪、逃避检测。 罗奇伯格解释道，AWS Lambda URL 是 AWS Lambda 的一项功能，允许用户通过 HTTPS 直接调用无服务器函数。这种技术利用合法的云功能隐藏在公开视野中，构建出可靠、可扩展且难以检测的通信渠道。 防御者应关注发往极少使用的云端点（如 *.lambda-url.*.amazonaws.com）的出站流量，尤其是当这些流量由异常的二进制文件或系统服务发起时。虽然 AWS 的使用本身并不可疑，但结合上下文的基线分析（如关联进程来源、父子执行链和端点行为）有助于区分合法活动与利用云原生技术进行规避的恶意软件。 下载的有效载荷中包含一个文件收集模块，负责收集符合特定扩展名（如 doc、docx、xls、xlsx 和 pdf）且在特定时间范围内的文件。这包括尝试搜索与美国近期实施的关税措施相关的文件。 威胁行为者还被发现利用谷歌云端硬盘和 Dropbox 等其他服务作为数据泄露渠道，以混入正常网络流量并传输收集到的数据。在 Unit 42 团队分析的这起事件中，向这些云存储服务上传文件的尝试据称已被阻止。 在攻击的最后阶段，攻击者会运行清理命令以避免留下活动痕迹，删除所有已暂存文件的存档以及攻击过程中下载的其他有效载荷。 罗奇伯格表示，威胁行为者将 HazyBeacon 用作在受影响政府实体中维持立足点并收集敏感信息的主要工具。这场攻击活动凸显了攻击者不断寻找新方法滥用合法、可信的云服务。 HazyBeacon 反映了一个更广泛的趋势，即高级持续威胁利用可信平台作为秘密渠道 —— 这种策略通常被称为依托可信服务（LOTS）。作为这一基于云的恶意软件集群的一部分，人们已在其他威胁中观察到类似技术，这些威胁利用谷歌工作空间、微软 Teams 或 Dropbox 的 API 来规避检测并促进持久访问。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国阿拉巴马州加登代尔市政府数据出现在黑客用于展示受害者的暗网论坛上。攻击者声称已窃取数十GB敏感数据。 该声明由名为INC Ransom的知名勒索组织发布。攻击者将加登代尔市列入该组织的泄密网站，这是胁迫受害者支付赎金的常见策略。 INC声称访问了近50GB数据，包括市政合同、财务记录、客户信息、人力资源档案、事故报告及其他机密资料。 然而，攻击者未提供据称被盗数据的样本或截图。我们已联系加登代尔市政府就数据泄露指控置评，收到回复后将更新本文。 若事件属实，此次数据泄露可能引发全市多重危机：市民面临身份盗用风险激增；攻击者可利用失窃信息渗透市政系统深层，使该市成为更频繁的攻击目标。 加登代尔市拥有超1.6万居民，是阿拉巴马州第二大城市伯明翰的北部郊区。 INC Ransom组织背景 INC Ransom是当前最活跃的勒索组织之一。该网络犯罪团伙自2023年7月被发现以来持续扩张，受害者名单包括国防承包商Stark AeroSpace、旧金山芭蕾舞团、英国莱斯特市政府、苏格兰NHS邓弗里斯-加洛韦卫生委员会及施乐公司（Xerox Corporation）。 该组织目标选择无特定限制，甚至曾攻击加拿大汉密尔顿教区天主教墓地等殡葬场所。 据Cybernews暗网监控工具Ransomlooker统计，过去12个月INC Ransom已攻击至少176家机构。 该团伙实施“多重勒索”：不仅加密窃取数据，还威胁受害者若不付款将公开数据。其随机攻击医疗、教育、政府等多行业领域。 尽管成员来源不明，其绝大多数受害者位于西方国家，且回避攻击独联体（CIS）国家——这一特征与许多俄罗斯网络犯罪团伙策略一致。 部分研究人员认为，勒索组织Lynx可能是INC Ransom相关成员的分支或重组尝试。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于苏黎世的非营利健康基金会Radix遭遇勒索软件攻击，导致多家瑞士联邦部门数据外泄。Sarcoma勒索软件组织已在其暗网数据泄露站点发布1.3TB窃取数据。 瑞士国家网络安全中心（NCSC）通报称，Radix作为提供健康教育与推广服务的非营利组织，其系统遭黑客入侵并发生数据窃取。该机构客户包含多个联邦部门，NCSC正调查具体受影响单位及数据范围。官方声明强调：“因Radix无权访问联邦行政系统，攻击者始终未能侵入这些系统。” Radix确认攻击发生于2025年6月16日。因拒绝支付赎金，黑客于6月29日公开全部窃取数据。该机构声明：“尽管具备高标准安全防护和专业支持，我们仍不幸成为网络攻击受害者。”虽然未透露具体受影响人数，但表示已逐一向相关个人发出通知，并称“目前无迹象表明合作伙伴敏感数据遭波及。” 应对措施方面，Radix表示已对所有加密数据启动备份恢复流程，攻击发现后立即撤销数据访问权限。机构预警黑客可能利用外泄数据发动钓鱼攻击，企图窃取密码、信用卡号等敏感信息。瑞士当局尚未公布攻击者入侵途径，相关调查仍在进行。 本次攻击呈现典型双重勒索特征：黑客先窃取数据再加密系统实施勒索；若拒付赎金则威胁分批逐步公开数据施压。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚新南威尔士州警方近日逮捕了一名27岁的西悉尼大学（WSU）前学生，指控其自2021年起多次入侵该校系统。据警方通报，化名为伯迪·金斯顿（Birdie Kingston）的嫌疑人涉嫌实施未经授权访问、窃取数据及破坏校园基础设施等行为，累计影响数百名师生。 金斯顿的黑客行为始于2021年，最初仅为获取廉价校园停车权限，后逐步升级为篡改学术成绩、窃取超100GB机密数据，最终演变为在暗网兜售学生信息并勒索4万澳元加密货币。警方在其位于金斯伍德区（Kingswood）的住所查获电脑设备及移动终端作为证据，并以20项罪名起诉嫌犯。 西悉尼大学自2023年5月起连续遭遇安全事件： 2023年5月：黑客入侵Microsoft Office 365系统，导致7,500人个人信息泄露（含学生ID、出生日期、原住民身份等敏感数据）； 2025年1-2月：单点登录系统遭破坏，约1万名学生受影响； 2024年11月：失窃数据被公开挂售于暗网。 值得注意的是，校方早在2023年9月就曾对当时住校的金斯顿发出警告，但其未停止攻击行为。拥有4.7万名学生、年预算6亿澳元的西悉尼大学，已向受影响群体提供专属支持热线，并联合网络安全公司CrowdStrike、CyberCX加固防护。校方称当前措施已阻断进一步入侵，但尚未回应此次逮捕事件。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美最大钢铁生产商纽柯公司（Nucor）确认，近期网络安全事件的攻击者已从其网络中窃取数据。这家钢铁巨头在美国、墨西哥和加拿大的300余家工厂雇佣超3.2万名员工，去年营收达307.3亿美元。 纽柯于上月首次披露该事件，称其主动断开部分系统网络连接以遏制安全漏洞，并暂停了多家工厂的生产运营。公司表示已通知执法部门，并聘请外部网络安全专家协助恢复与调查工作。 在向美国证券交易委员会（SEC）提交的最新文件中，纽柯虽未透露事件细节，但明确承认攻击者从受入侵系统盗取了数据。公司声明指出：“此次网络安全事件导致支持部分生产基地运营的信息技术应用临时受限。如初始8-K文件所述，出于审慎考虑，我们主动暂停了多个地点的特定生产作业。”“调查同时确认威胁行为者从本公司信息系统窃取了少量数据。公司正在评估受影响数据范围，并将依法向可能涉及的各方及监管机构履行告知义务。” 纽柯表示已完成受影响系统的访问恢复及生产运营重启，并确信威胁行为者已被清除出公司网络。目前公司尚未公布漏洞发现的具体日期或攻击类型，因此无法确定攻击者是否对入侵系统进行了加密。 截至发稿，尚无勒索软件组织宣称对此次攻击负责。但需注意的是，多数勒索组织在部署加密程序前会实施数据窃取，以此构成“双重勒索”策略。BleepingComputer已联系纽柯寻求更多信息，但尚未获得回应。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个凭证数据集曝光了史上最大规模的数据泄露事件之一，总计暴露了惊人的160亿条登录凭证。这些数据很可能源自各种信息窃取程序。 不必要地汇总敏感信息可能与主动窃取数据同样危险。例如，Cybernews研究团队发现了多个超大规模数据集，其中存储了数十亿条登录凭证。从社交媒体、企业平台到VPN和开发者门户，无一幸免。 自今年年初以来，我们的团队一直在密切监控网络活动。截至目前，他们已发现30个被暴露的数据集，每个数据集包含的记录从数千万条到超过35亿条不等。总体而言，研究人员揭露了难以想象的160亿条记录。 除一个数据集外，其他所有被暴露的数据集此前均未报告：今年5月下旬，《连线》杂志曾报道一名安全研究人员发现了一个包含1.84亿条记录的“神秘数据库”。但该数据库的规模在本团队发现的列表中勉强挤进前二十名。最令人担忧的是，研究人员声称每隔几周就会出现新的大规模数据集，这表明信息窃取恶意软件的传播程度远超想象。 研究人员表示：“这不仅仅是一次泄露——它是大规模利用的蓝图。超过160亿条登录记录的暴露，使网络犯罪分子现在能够以前所未有的规模获取个人凭证，这些凭证可用于账户接管、身份盗窃和高度针对性的网络钓鱼攻击。”他们补充道：“尤其令人担忧的是这些数据集的结构和时效性——它们并非回收利用的旧泄露数据。这是新鲜的、可直接用于攻击的大规模情报。” 唯一的一线希望是，所有这些数据集都只是短暂暴露：时间刚好足够研究人员发现它们，但不足以查明是谁在控制这些海量数据。大多数数据集是通过未采取安全措施的Elasticsearch实例或对象存储实例暂时可访问的。 数十亿条暴露的记录包含什么？ 研究人员称，泄露数据集中的大部分数据是窃取程序恶意软件（stealer malware）的详细信息、凭证填充（credential stuffing）数据集和重新打包的泄露数据的混合体。 无法有效比较不同数据集之间的数据，但可以肯定存在重复记录。换句话说，无法确切得知实际有多少人或账户被暴露。 然而，团队设法收集到的信息显示，大部分信息遵循清晰的结构：首先是URL，然后是登录详情和密码。大多数现代信息窃取程序——即窃取敏感信息的恶意软件——正是以这种方式收集数据。 泄露数据集中的信息几乎为任何能想到的在线服务敞开了大门，从苹果、Facebook和Google，到GitHub、Telegram以及各种政府服务。当160亿条记录摆在面前时，很难遗漏任何东西。 据研究人员称，如此规模的凭证泄露为钓鱼攻击、账户接管、勒索软件入侵和商业邮件诈骗（BEC）攻击提供了燃料。该团队表示：“新旧窃取程序日志的混合——通常包含令牌（tokens）、cookie和元数据——使得这些数据对缺乏多因素认证（MFA）或凭证管理措施的组织尤其危险。” 哪些数据集暴露了数十亿条凭证？ 团队发现的数据集差异很大。例如，最小的数据集以恶意软件命名，包含超过1600万条记录。而最大的一个数据集很可能与葡萄牙语人群相关，包含超过35亿条记录。平均而言，一个暴露凭证的数据集包含5.5亿条记录。 有些数据集命名泛泛，如“logins”（登录）、“credentials”（凭证）等类似术语，导致团队难以深入了解其内容。然而，另一些数据集的名称则暗示了它们关联的服务。 例如，一个包含超过4.55亿条记录的数据集，其名称表明其源于俄罗斯联邦。另一个包含超过6000万条记录的数据集则以Telegram命名，这是一个基于云的即时通讯平台。 该团队强调：“新旧窃取程序日志的混合——通常包含令牌、cookie和元数据——使得这些数据对缺乏多因素认证或凭证管理措施的组织尤其危险。” 虽然命名并非推断数据来源的最佳方式，但似乎部分信息与云服务、商业导向数据甚至加密文件有关。一些数据集的名称很可能指向用于收集数据的某种恶意软件。 目前尚不清楚谁拥有这些泄露的数据。虽然可能是安全研究人员为检查和监控数据泄露而汇编的数据集，但几乎可以肯定其中一些泄露的数据集归网络犯罪分子所有。网络犯罪分子钟爱大规模数据集，因为聚合的数据集能帮助他们扩大各种攻击的规模，例如身份盗窃、钓鱼诈骗和未经授权的访问。 即使成功率不足百分之一，也可能为攻击者打开通向数百万个人的大门，这些人可能被诱骗泄露更敏感的信息，例如金融账户。令人担忧的是，由于不清楚谁拥有这些暴露的数据集，用户能采取的防护措施影响甚微。 然而，基本的网络安全防护至关重要。强大且频繁更换的密码可能是账户安全与信息被盗之间的分水岭。用户还应检查其系统是否存在信息窃取程序，以避免数据落入攻击者之手。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的多阶段恶意软件活动，专门针对《我的世界》（Minecraft）玩家。该活动使用基于Java的恶意软件，并利用名为“Stargazers Ghost Network”的分发即服务（DaaS）平台进行传播。 Check Point公司的研究人员雅罗米尔·霍雷伊希（Jaromír Hořejší）和安东尼斯·特雷福斯（Antonis Terefos）在一份报告中指出：“这些攻击活动导致了一个针对《我的世界》玩家的多阶段攻击链。恶意软件假冒了名为Oringo和Taunahi的工具，这些是‘脚本和宏工具’（即作弊工具）。第一和第二阶段的恶意程序均使用Java开发，并且只能在目标主机上安装了《我的世界》运行环境时才能执行。” 攻击的最终目的是诱骗玩家从GitHub下载《我的世界》模组（mod），进而投放具有全面数据窃取能力的.NET信息窃取程序。该网络安全公司于2025年3月首次检测到此活动。 该活动的显著特点是利用了名为“Stargazers Ghost Network”的非法服务平台。该网络利用数千个GitHub帐户建立被污染的代码仓库（repository），这些仓库伪装成破解软件和游戏作弊工具。 特雷福斯表示，他们已标记了“大约500个GitHub仓库，包括被复刻（fork）或复制的仓库”，并补充说“我们还观察到大约70个帐户产生了700个点赞（star）”。 这些伪装成《我的世界》模组的恶意仓库，是感染这款热门视频游戏用户的渠道。它们会投放一个Java加载器（例如“Oringo-1.8.9.jar”），截至报告发布时，该加载器仍未被任何防病毒引擎检测到。 这些Java存档（JAR）文件实施了简单的反虚拟机（anti-VM）和反分析技术以规避检测。其主要目的是下载并运行另一个JAR文件，这是一个第二阶段窃取程序，当受害者启动游戏时，它会获取并执行一个.NET窃取程序作为最终有效载荷。 第二阶段组件是从一个IP地址（“147.45.79.104”）获取的，该地址以Base64编码格式存储在Pastebin上。这本质上将Pastebin工具变成了一个“死投解析器”（dead drop resolver）。 研究人员解释说：“若要将模组添加到《我的世界》游戏中，用户必须将恶意JAR文件复制到《我的世界》的模组文件夹（mods folder）中。启动游戏后，《我的世界》进程将加载该文件夹中的所有模组，包括恶意模组，该模组随后会下载并执行第二阶段程序。” 除了下载.NET窃取程序，第二阶段窃取程序还能窃取Discord和《我的世界》的令牌（token）以及Telegram相关数据。另一方面，.NET窃取程序则能够从各种网络浏览器中窃取凭证，并收集文件、加密货币钱包信息以及其他应用程序（如Steam和FileZilla）的数据。 它还可以截取屏幕截图，并收集有关正在运行的进程、系统的外部IP地址和剪贴板内容的信息。最终，捕获的信息会被打包，并通过Discord的Webhook传输回攻击者。 研究人员怀疑该活动是一个俄语威胁行为者的手笔，因为发现了多个俄语编写的文件残留，并且攻击者的代码提交时间戳显示为UTC+3时区。据估计，可能有超过1,500台设备成为该计划的受害者。 研究人员总结道：“此案例凸显了流行的游戏社区如何被利用为恶意软件分发的有效载体，强调了下载第三方内容时保持谨慎的重要性。Stargazers Ghost Network一直在积极分发这种恶意软件，目标是那些寻求模组来增强游戏体验的《我的世界》玩家。看似无害的下载，实则是基于Java的加载器，它们会部署另外两个窃取程序，能够窃取凭证和其他敏感数据。” KimJongRAT窃取程序新变种现身 与此同时，Palo Alto Networks公司Unit 42团队详细介绍了名为KimJongRAT的信息窃取程序的两个新变种。该恶意软件很可能与BabyShark和Stolen Pencil背后的朝鲜威胁行为者有关联。KimJongRAT早在2013年5月就已被检测到，在BabyShark攻击中作为次级载荷投放。 安全研究员多米尼克·赖歇尔（Dominik Reichel）表示：“一个新变种使用可移植可执行（PE）文件，另一个则使用PowerShell脚本实现。PE和PowerShell变种都是通过点击Windows快捷方式（LNK）文件触发的，该文件会从攻击者控制的内容分发网络（CDN）账户下载一个投放器（dropper）文件。” PE变种的投放器会部署一个加载器（loader）、一个诱饵PDF文件和一个文本文件；而PowerShell变种的投放器则部署一个诱饵PDF文件和一个ZIP压缩包。加载器接着会下载辅助载荷，包括KimJongRAT的窃取程序组件。 PowerShell变种投放器提供的ZIP压缩包中包含嵌入了基于PowerShell的KimJongRAT窃取程序和键盘记录器组件的脚本。 这两个新变种都能够收集并传输受害者信息、符合特定扩展名的文件以及浏览器数据（如凭证和加密货币钱包扩展的详细信息）。PE变种的KimJongRAT还被设计用于窃取FTP和电子邮件客户端信息。 Unit 42团队指出：“KimJongRAT的持续开发和部署，以及其不断变化的技术（例如使用合法的CDN服务器来伪装其分发），表明其构成明确且持续的威胁。这种适应性不仅展示了此类恶意软件带来的持久威胁，也突显了其开发者更新和扩展其功能的决心。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文