HackerNews 编译，转载请注明出处： VVS 窃取器是一款基于 Python 编写的恶意软件，专门窃取 Discord 平台的账号凭证与令牌。据悉，这款恶意软件至少从 2025 年 4 月起便开始在电报平台上进行售卖。 该恶意软件采用 Python 代码混淆工具 Pyarmor 对自身代码进行深度混淆，以此阻碍安全人员的分析与检测工作。为此，安全研究人员对恶意软件样本进行了解混淆处理，才得以开展恶意代码的分析工作。 这款在电报平台上被宣传为 “终极窃取器” 的恶意软件，采用订阅制或授权制的售卖模式，价格区间从每周 10 欧元起，最高至终身授权 199 欧元。 VVS 窃取器：功能与攻击流程  VVS 窃取器具备多项恶意功能，包括窃取 Discord 平台数据、劫持用户会话、提取浏览器中保存的账号凭证，以及截取用户屏幕画面。它会通过添加开机自启项的方式实现持久化驻留，同时还会弹出伪造的错误提示信息，以此隐蔽自身的恶意行为。 帕洛阿尔托网络公司发布的报告指出：“一旦完成上述各类数据的提取，该恶意软件样本会将所有数据压缩为一个名为<用户名>_vault.zip的压缩包文件，随后通过 HTTP POST 请求，将该文件发送至预先设定的网络钩子端点，这一数据外传流程与 Discord 平台的数据窃取方式十分相似。” 研究人员对一个经 PyInstaller 打包、并通过 Pyarmor 混淆的 VVS 窃取器样本展开了分析。他们提取并还原了原始的 Python 字节码，确认该恶意软件基于 Python 3.11.5 版本开发，并获取了相关的 Pyarmor 混淆信息。通过重构.pyc文件头，研究人员成功反编译了这款恶意软件，还原出其源代码。 研究团队深入分析了 Pyarmor 的文件头信息、AES-128-CTR 加密算法，以及 BCC 编译模式 —— 该模式会将 Python 函数编译为 C 语言代码，并存储在 ELF 格式文件中。借助与 Pyarmor 授权相关的密钥和随机数，研究人员重构了加密的字节码、常量与字符串，最终还原出浏览器密钥提取等核心恶意功能。剥离这些混淆层后，安全人员才得以全面分析该恶意软件的攻击能力。 去除 Pyarmor 混淆保护后，研究人员证实 VVS 窃取器是一款技术成熟的恶意软件，攻击目标明确指向数据窃取与会话劫持。该恶意软件设有时间限制，将于 2026 年 10 月 31 日失效，且其发起的所有 HTTP 网络请求均使用固定的 Chrome 浏览器用户代理。它针对 Discord 平台的攻击流程为：定位并解密被加密的 Discord 令牌，随后调用 Discord 的应用程序编程接口（API），收集大量用户数据，涵盖账号详情、支付信息、多重身份验证状态、IP 地址以及系统元数据等内容。 报告进一步补充道：“该恶意软件样本会首先搜索可能存在的加密 Discord 令牌。这类加密令牌的字符串均以dQw4w9WgXcQ:为前缀。恶意软件会利用正则表达式，基于该前缀生成检索规则，随后在 LevelDB 目录下的.ldb或.log格式文件中检索匹配内容。收集到所有目标信息后，恶意软件会将其转换为 JavaScript 对象表示法（JSON）格式进行数据外传，传输方式同样是通过 HTTP POST 请求发送至预先设定的网络钩子端点，具体包括环境变量%WEBHOOK%所指定的地址，以及程序内置的备用地址。” Discord 开发者平台的资料显示：“网络钩子是一种便捷的工具，可直接向 Discord 的频道发送消息，无需借助机器人账号或进行身份验证。” 窃取到的数据会通过 Discord 网络钩子向外传输。此外，该恶意软件还会向 Discord 客户端中注入经过混淆处理的 JavaScript 脚本，以此劫持用户的活跃会话、监控用户操作，并维持自身在受感染设备中的持久化存在。不仅如此，VVS 窃取器还会针对多款基于 Chromium 内核及火狐内核的浏览器发起攻击，提取其中保存的密码、Cookie、浏览历史记录与自动填充数据，将这些信息打包为 ZIP 压缩包后，通过相同的网络钩子渠道完成数据外传。 该恶意软件还会调用 Windows 系统的MessageBoxW应用程序编程接口（API）弹出伪造的致命错误提示框，误导用户认为设备需要重启。 报告最后总结：“VVS 窃取器的出现，印证了 Pyarmor 这类本可用于合法用途的工具，也能被不法分子利用来开发隐蔽性极强的恶意软件，以窃取 Discord 等热门平台的用户凭证。这一威胁的出现，警示安全防护人员必须加强对凭证窃取与账号滥用行为的监测力度。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Discord（知名社交平台）表示，不会向声称窃取了该公司 Zendesk 客服系统数据的威胁行为者支付赎金。黑客称此次泄露涉及 550 万独立用户的信息，其中包括部分用户的政府身份证件（如身份证、护照等）及不全的支付信息。 对于黑客 “泄露 210 万张政府身份证件照片” 的说法，Discord 同样予以驳斥，称实际仅有约 7 万名用户的政府身份证件照片可能被曝光。 尽管黑客声称泄露是通过 Discord 的 Zendesk 客服系统发生的，但 Discord 并未证实这一说法，仅表示事件与一款用于客户支持的第三方服务有关。 Discord 官方回应：未自身遭入侵，数据量说法不实 Discord 在给 BleepingComputer（科技媒体）的声明中表示：“首先，正如我们在博客文章中所提及的，此次事件并非 Discord 自身系统遭入侵，而是我们用于辅助客户服务的第三方服务出现问题。 其次，目前流传的数据规模说法均不准确，这些说法是黑客试图向 Discord 勒索赎金的手段之一。在全球范围内受影响的账户中，我们已确认约 7 万名用户的政府身份证件照片可能被曝光 —— 这些照片是我们的服务商此前用于审核年龄相关申诉时留存的。 第三，我们不会为这些人的非法行为提供任何‘奖励’（即支付赎金）。” 黑客自述：通过外包客服账户入侵，窃取 1.6TB 数据 BleepingComputer 与黑客沟通后了解到，对方认为 Discord 未如实披露此次泄露的严重性，并声称从 Discord 的 Zendesk 系统中窃取了 1.6 太字节（TB）的数据。 据威胁行为者称，他们自 2025 年 9 月 20 日起，持续访问 Discord 的 Zendesk 系统长达 58 小时。但黑客表示，此次入侵并非源于 Zendesk 自身的漏洞或安全 breach，而是通过一个 “外包客服账户” 实现的 —— 该账户归属 Discord 合作的业务流程外包（BPO）服务商旗下的一名客服人员，且该账户已被黑客控制。 如今，许多企业会将客服及 IT 帮助台业务外包给 BPO 服务商，这类外包账户已成为黑客的热门攻击目标，攻击者可通过其获取下游客户环境的访问权限。 黑客还声称，通过 Discord 内部的 Zendesk 系统，他们得以访问一款名为 “Zenbar” 的客服应用。借助该应用，黑客可执行多种客服相关操作，例如关闭用户的双重认证（MFA）、查询用户的手机号及邮箱地址等。 攻击者表示，通过入侵 Discord 的客服平台，他们窃取了 1.6TB 的数据，其中包括约 1.5TB 的工单附件（如用户提交的申诉材料）和超过 100GB 的工单对话记录（客服与用户的沟通内容）。 黑客称，这些数据涉及约 840 万条客服工单，覆盖 550 万独立用户，其中约 58 万名用户的信息中包含某种形式的支付数据。 不过，威胁行为者也向 BleepingComputer 承认，他们无法确定政府身份证件的具体泄露数量，但认为远不止 Discord 所说的 7 万份 —— 因为仅涉及 “年龄验证” 的工单就有约 52.1 万条（这类工单通常需用户提交身份证件）。 泄露数据样本含多类敏感信息，支付数据或通过系统集成获取 黑客还分享了部分窃取的用户数据样本，内容涵盖多种敏感信息，包括：用户邮箱地址、Discord 用户名及 ID、手机号、不全的支付信息（如部分银行卡号）、出生日期、双重认证相关配置信息、账户可疑活动等级，以及其他 Discord 内部标注的用户信息。 黑客称，部分用户的支付信息可通过 Zendesk 与 Discord 内部系统的集成功能获取。据其描述，这些集成功能使得攻击者能通过 Zendesk 平台，向 Discord 内部数据库发起数百万次 API 查询，进而获取更多用户数据。 目前，BleepingComputer 尚未能独立核实黑客的说法，也无法确认所提供数据样本的真实性。 勒索谈判破裂，黑客威胁公开泄露数据 黑客透露，该团伙最初向 Discord 索要 500 万美元赎金，后降至 350 万美元，并在 9 月 25 日至 10 月 2 日期间与 Discord 进行了私下谈判。 在 Discord 终止沟通并就此事发布公开声明后，黑客表示 “极度愤怒”，并威胁称若赎金要求得不到满足，将公开泄露所有窃取的数据。 BleepingComputer 就黑客的说法向 Discord 提出了进一步疑问（例如 “为何在完成年龄验证后仍留存用户的政府身份证件”），但除上述声明外，未获得更多回应。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于Discord的在线工具开发者声称，他们获取了数十亿条用户消息、大量语音会话、文件及用户资料。这些所谓泄露的数据是通过爬取平台获得的。 攻击者在一个知名数据泄露论坛发布服务广告，声称用户可通过付费筛选数十亿条Discord记录，用于骚扰平台用户。 目前我们已联系Discord寻求回应，收到回复后将更新本文。 该数据抓取服务宣称付费用户可查看以下内容： 18亿条Discord消息 3,500万用户数据 2.07亿次语音会话 6,000个Discord服务器 网络安全研究团队指出，攻击者可能获取了公开及潜在私密服务器的数据，但未订阅该犯罪团伙控制的服务则无法验证真实性。攻击者声称实时更新索引消息，表明数据处于最新状态。 Discord消息如何被滥用？ 攻击者可通过多种方式利用泄露的用户消息。除明显的隐私问题外，恶意分子常利用Discord活动骚扰个人及少数群体。 2024年，名为Spy.Pet的灰色网站声称爬取了近6.2亿用户的数十亿条公开Discord消息。 Spy.Pet不仅收集消息记录，还整合用户的Steam账号等关联平台，向有意用其数据训练AI模型的客户提供“企业选项”，据称包括联邦机构。 “该服务原理类似去年被Discord关停的Spy.Pet，但新服务进一步整合了泄露数据库和FiveM服务器，很可能旨在助长网络骚扰。”研究团队解释称。 2024年初，Discord封禁了Spy.Pet相关账户，切断了数据抓取机器人与平台服务器的连接。当时Discord声明此类抓取行为违反公司规定。 研究分析认为，新服务试图通过两种渠道牟利：付费查阅他人消息者，以及付费要求删除自身数据者。 该服务的条款页面显示其运营于欧盟成员国爱沙尼亚，需遵守全球最严格的隐私法。 “此工具极大简化了为骚扰或网络论战而进行的人肉搜索。虽可手动实现同等操作，但该服务大幅降低了人力成本。”研究人员指出。 值得注意的是，服务条款透露数据实际存储于俄罗斯联邦境内。运营者可能认为，将数据存于欧盟关系欠佳的国家可规避法律追责。 然而正如Spy.Pet案例所示，此类服务违反GDPR多项条款（如第17条“被遗忘权”）。 由于庞大的用户基数及紧密社群特性，Discord常成为攻击目标。例如今年初某团伙声称从近1,000个公开Discord服务器抓取3.48亿条消息。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

近日，Discord 推出了 DAVE 协议，这是一个定制的端到端加密 (E2EE) 协议，旨在保护平台上的音频和视频通话免遭未经授权的拦截。 DAVE 是在 Trail of Bits 网络安全专家的帮助下创建的，该专家还对 E2EE 系统的代码和实施进行了审核。 新系统将涵盖用户在私人频道中的一对一音频和视频通话、小型群组聊天中的音频和视频通话、用于大型群组对话的基于服务器的语音频道以及实时流媒体。 Discord 在公告中写道： 他们将开始将 DM、群组 DM、语音频道和 Go Live 流中的语音和视频迁移至使用 E2EE。用户将能够确认通话何时进行了端到端加密，并对这些通话中的其他成员进行验证。 Discord 最初是为游戏玩家在游戏过程中进行交流而建立的，现在已发展成为世界上最流行的交流平台之一，满足了具有共同兴趣爱好的群体、创作者、企业和各种社区的需求。 DAVE 的推出是该平台加强数据安全和隐私保护的重要举措，该平台的使用人数已超过 2 亿。 最重要的是，Discord 决定将协议及其支持库开源，以便安全研究人员进行审查。此外，还发布了一份包含完整技术信息的白皮书，以确保对社区的透明度。 DAVE 技术概述 DAVE 使用 WebRTC 编码转换 API，允许在媒体帧（音频和视频）编码后和打包传输前对其进行加密。接收端对帧进行解密，然后解码。 只有特殊的编解码器元数据（如标题和保留序列）未加密。 DAVE 的运行概况 在密钥管理方面，信息层安全（MLS）协议用于安全和可扩展的群组密钥交换，每个参与者都有一个按发送者计算的对称媒体加密密钥。椭圆曲线数字签名算法（ECDSA）则用于生成身份密钥对。 当一个群组的组成发生变化时，比如一个成员离开或一个新成员加入，这时候群组的加密状态会通过生成新密钥，这个过程应该在不会对参与者造成明显干扰的情况下完成。 Discord 表示，MLS 会增加密钥交换的延迟，但 DAVE 的设计能将延迟控制在几百毫秒以内，即使在大型群组通话中也是如此。 最后，在用户验证方面，有一些带外方法，如比较从群组的 MLS 时序状态得出的验证码（称为 “语音隐私码”）。 由于每次通话都会为用户分配一个新的密钥，因此通过使用短暂的身份密钥可以防止持续跟踪。 语音隐私代码屏幕 分阶段推出 Discord 现已开始将所有符合条件的频道迁移到 DAVE，用户可以通过查看界面上的相应指示器来确认他们的通话是否经过端到端加密。 预计还需要一段时间，所有用户才能在所有设备和频道上完全访问新的 E2EE 系统。 用户除了升级到最新的客户端应用程序外无需做任何其他操作，老版本的客户端将仅限于传输加密。最初推出的版本将涵盖 Discord 的桌面和移动应用程序，网络客户端后续也将面世。   转自Freebuf，原文链接：https://www.freebuf.com/news/411234.html 封面来源于网络，如有侵权请联系删除

在安全研究人员于 Twitter 上曝出漏洞 11 小时后，“无聊猿”NFT 背后的 Yuga Labs 公司终于证实，其 Discord 服务器于周六遭到了黑客攻击、并导致价值 200 ETH（约 36 万美元）的 NFT 被盗。CoinDesk 指出，事件源于社区经理 Boris Vagner 的 Discord 账户被盗，之后攻击者利用该账户在官方 BAYC 及元宇宙项目中发布了钓鱼链接。 Twitter 网友 @NFTherder 率先曝光了此事，同时他预估有 145 ETH（约 26 万美元）随 NFT 一同被盗，后续追查表明被盗资金被转入了四个单独的钱包地址。 Yuga Labs 官方后来也在一条推文中证实了该漏洞的存在，并称自正在积极调查本次黑客攻击事件 —— 尽管此时距离 NFTherder 推文发布已过去整整 11 个小时。 攻击者在 Boris Vagner 与 Richard Vagner 共同创立的一个名为 Spoiled Banana Society（简称 SPS）的 NFT 梦幻足球俱乐部 Discord 频道中发布了一则钓鱼文本，但该消息与链接已在事发后被清理掉。 钓鱼链接 UTC 时间 09:00，Richard Vagner 宣称账户在一个小时前被黑客入侵，但愿没有任何人点击钓鱼链接。 不幸中的万幸是，在重新拿回 Boris 账户的控制权后，他们发现收割了一波的黑客并没有删除整个 Discord 服务器。 尽管 Richard 已要求大家主动披露，但目前尚不清楚有多少 SBS 频道成员受到本次钓鱼攻击事件的影响。 接下来几天，他们还将努力恢复被搞乱的所有标签，以及深入分析是否还有其它潜在的问题。 据悉，Vagners 还经营一家名为 Metaverse Records 的唱片公司。在同一条 SBS Discord 消息中，Richard 证实 BAYC 和 Otherside Discords 也被“黑客入侵”，并希望大家能够引以为戒。 事实上，这已经是我们最近第三次听闻类似的事件。早在 4 月 1 号，Mutant Ape Yacht Club #8662 就因为 Discord 频道里发布的钓鱼链接而被盗。 4 月 25 号的时候，BAYC 的 Instagram / Discord 账户又被黑客利用来发布指向 Otherside 铸币的虚假链接。然后上周，演员 Seth Green 也不幸成为了一名受害者。 作为对周六这起黑客攻击事件的回应，一名 BAYC 创始成员指责 Discord 的安全漏洞需要为此背锅。 Gordon Goner 在推文中写道：“Discord 并不适用于 Web 3 社区，我们需要一个将安全放在首位的更好的平台”。 即便如此，@stevefink 还是在推文中驳斥道 —— 你并不会因为使用 Discord 而丢失 NFT，真相是你用手欠点击了恶意的交易链接。在缺乏安全意识的情况下，换个客户端也无法避免你重蹈覆辙。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1277467.htm 封面来源于网络，如有侵权请联系删除