HackerNews 编译，转载请注明出处： Elementor 旗下一款名为 Ally 的 WordPress 插件（主打网页可访问性与易用性，安装量超 40 万）存在 SQL 注入漏洞，未经身份验证的攻击者可利用该漏洞窃取敏感数据。 该安全漏洞编号为 CVE-2026-2313，被评定为高严重性。漏洞由 Acquia 公司的攻击性安全工程师 Drew Webber（mcdruid）发现，Acquia 是一家提供企业级数字体验平台（DXP）的软件即服务（SaaS）公司。 SQL 注入漏洞已存在 25 年以上，尽管业界对其原理已充分掌握，且技术层面易于修复和规避，但至今仍构成安全威胁。这类安全问题的成因是：用户输入未经适当的净化处理或参数化，就被直接插入到 SQL 数据库查询语句中。 这使得攻击者能够注入 SQL 命令，篡改查询语句的执行逻辑，从而读取、修改或删除数据库中的信息。 CVE-2026-2313 影响 Ally 插件 4.0.3 及以下所有版本。由于某个核心函数对用户提供的 URL 参数处理不当，未授权攻击者可通过 URL 路径注入 SQL 查询语句。 WordFence 的技术分析指出：“这是因为 get_global_remediations() 方法中对用户提供的 URL 参数转义处理不足，该参数被直接拼接至 SQL JOIN 子句中，且未针对 SQL 上下文进行适当的净化处理。” “虽然为保障 URL 安全调用了 esc_url_raw() 函数，但该函数无法阻止 SQL 元字符（单引号、括号）被注入。” 研究人员解释道：“这使得未授权攻击者能够在现有查询语句后追加额外的 SQL 查询，进而可通过基于时间的盲注（time-based blind SQL injection）技术从数据库中提取敏感信息。” Wordfence 指出，该漏洞仅在插件绑定 Elementor 账号且其 Remediation 模块处于激活状态时可被利用。 这家安全公司验证了该漏洞，并于 2 月 13 日向厂商披露。Elementor 在 2 月 23 日发布的 4.1.0 版本（最新版）中修复了该漏洞，同时向发现者发放了 800 美元的漏洞赏金。 WordPress.org 的数据显示，仅有约 36% 使用 Ally 插件的网站已升级至 4.1.0 版本，这意味着超 25 万个网站仍面临 CVE-2026-2313 漏洞的威胁。 除了将 Ally 插件升级至 4.1.0 版本外，网站所有者 / 管理员还被建议安装昨日发布的 WordPress 最新安全更新。 WordPress 6.9.2 版本修复了 10 个漏洞，包括跨站脚本攻击（XSS）、权限绕过、服务器端请求伪造（SSRF）漏洞。该平台官方建议 “立即” 安装此新版本。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 User Registration & Membership 插件中的高危漏洞，该插件在超过 6 万个 WordPress 网站上安装使用。 该插件由 WPEverest 开发，提供会员与用户注册管理功能，包括自定义表单、PayPal/Stripe 支付集成、银行转账及数据分析。 该漏洞编号为 CVE-2026-1492，CVSS 评分 9.8 分（高危）。由于插件在注册时允许用户指定角色，黑客可未授权创建管理员账户。 管理员账户拥有网站完全权限，可安装插件 / 主题、编辑 PHP、修改安全配置、篡改内容，甚至锁定合法管理员。 获得该权限的攻击者可窃取用户数据库等数据，并植入恶意代码向访客分发恶意程序。 WordPress 安全公司 Defiant（Wordfence 开发商）在过去 24 小时内，在客户环境中拦截了超过 200 次针对该漏洞的利用尝试。 漏洞影响 5.1.2 及以下所有版本。开发者已在 5.1.3 版本中发布修复。建议网站管理员更新至最新版本 5.1.4（上周发布）。 若无法更新，建议暂时禁用或卸载插件。 据 Wordfence 数据，CVE-2026-1492 是该插件今年披露的最严重漏洞。 黑客持续针对 WordPress 网站，用于恶意活动：分发恶意软件、钓鱼、搭建 C2、代理流量或存储被盗数据。 2026 年 1 月，黑客开始利用 Modular DS 插件的最高危漏洞 CVE-2026-23550，可远程绕过认证并以管理员权限访问受影响网站。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress 的 WPvivid 备份与迁移插件存在高危漏洞，该插件安装于超 90 万个网站，攻击者可利用此漏洞无需身份验证上传任意文件，实现远程代码执行。 该安全漏洞编号为 CVE-2026-1357，严重性评分为 9.8 分，影响该插件 0.9.123 及之前的所有版本，可能导致网站被完全接管。 尽管漏洞危害性极高，但 WordPress 安全公司 Defiant 的研究人员表示，仅启用了非默认 “从其他站点接收备份” 选项的网站会受到严重影响。 此外，攻击者的利用窗口期为 24 小时 —— 这是其他站点发送备份文件所需生成密钥的有效期。 该限制虽降低了实际受攻击风险，但该插件常被用于站点迁移和主机间备份传输，因此网站管理员很可能在某些时候（至少临时）启用该功能。 研究人员 Lucas Montes（NiRoX）于 1 月 12 日向 Defiant 报告了该漏洞，其根本原因是 RSA 解密的错误处理不当，加之缺乏路径清理机制。 具体而言，当openssl_private_decrypt()函数解密失败时，插件并未终止执行，反而将失败结果（false）传递至 AES（Rijndael）算法程序。 加密库会将该失败结果视为一串空字节，生成可预测的加密密钥，攻击者可借此构造插件会接受的恶意载荷。 此外，该插件未对上传的文件名进行恰当清理，导致目录遍历漏洞。 攻击者可借此将文件写入预设备份目录之外的位置，并上传恶意 PHP 文件以实现远程代码执行。 Defiant 在验证了提交的概念验证利用程序后，于 1 月 22 日通知了插件开发商 WPVividPlugins。1 月 28 日发布的 0.9.124 版本包含针对 CVE-2026-1357 的安全更新。 修复措施包括：新增 RSA 解密失败时终止执行的校验机制、增加文件名清理功能、仅允许上传 ZIP、GZ、TAR、SQL 等指定备份文件类型。 WPvivid 备份与迁移插件的用户需警惕该漏洞风险，并尽快升级至 0.9.124 版本。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过40,000个使用Quiz and Survey Master插件的WordPress站点受到一个SQL注入漏洞的影响，该漏洞允许经过身份验证的用户干扰数据库查询。 该漏洞存在于10.3.1及更早的版本中，可以被任何具有“订阅者”（Subscriber）级别或更高权限的登录用户利用，从而增加了未经授权访问数据的风险。 Quiz and Survey Master（也称为QSM）被广泛用于创建测验、调查和表单。其功能集包括多媒体支持和拖放式测验构建器，这促成了其庞大的安装基数。 该漏洞无需管理员权限即可利用，意味着大量普通用户账号均可能被滥用，进而触发漏洞风险。 漏洞如何暴露站点数据库 该漏洞位于一个负责检索测验题目数据的REST API函数中。一个名为is_linking的请求参数被假定为数字标识符，并在没有经过适当验证的情况下被插入到数据库查询中。该参数值在与其他题目 ID 拼接、作为 SQL 语句执行前，未经过任何数据净化处理。 这种处理方式使得恶意用户可提交特制输入内容，其中包含额外 SQL 命令。由于查询语句未采用预处理语句构建，数据库会将注入的恶意内容当作查询语句的一部分执行，进而导致数据窃取或其他恶意操作风险。 该漏洞已被分配编号 CVE-2025-67987。虽然没有迹象表明该漏洞曾被积极利用，但其存在凸显了信任请求数据的风险，即使这些数据本意并非由用户直接控制。 负贵披露后发布补丁 Patchstack在上周发布的一份公告中表示，该漏洞已在Quiz and Survey Master版本10.3.2中修复。 该更新通过 intval 函数强制将 is_linking 参数转换为整数，确保数据库查询仅处理数字类型值，以此实现漏洞缓解。 该漏洞由Patchstack Alliance社区成员Doan Dinh Van发现并报告。 Patchstack于2025年11月21日收到报告并通知了插件供应商。修复版本于2025年12月4日发布，相关公告于2026年1月下旬公开。 此事件再次凸显了在WordPress插件中处理数据库查询时，进行输入验证和使用预编译语句的重要性。 消息来源: infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一项严重的安全漏洞出现在广受欢迎的 Advanced Custom Fields: Extended WordPress 插件中，已使 10 万多个网站 面临被完全接管的风险。 该漏洞编号为 CVE-2025-14533，影响插件 0.9.2.1 及之前版本，CVSS 评分高达 9.8（严重）。 如果未及时修补，未认证的攻击者可以利用用户注册表单中角色处理机制的缺陷，直接获得管理员级别权限。 漏洞成因 该问题源于插件通过自定义表单创建用户的实现方式。网站管理员可使用字段组构建注册或用户资料表单，收集用户名、邮箱、密码以及用户角色等信息。 在正常情况下，新注册用户的角色应受到严格限制，通常只允许诸如“订阅者（subscriber）”等低权限角色。然而，在受影响的版本中，这一控制机制失效，为滥用打开了大门。 Wordfence 分析人员发现，当表单中映射了角色字段时，插件的 insert_user 表单动作并未正确限制注册过程中可分配的角色。 这意味着，攻击者可以提交一个精心构造的请求，即使前端界面限制了可选角色，也能在请求中将自己的角色设置为管理员。 一旦请求被处理，系统就会创建一个拥有完整管理员权限的账户。获得管理权限后，攻击者即可彻底控制受影响的 WordPress 网站。 潜在影响 攻击者在取得管理员权限后，可以： 上传带有后门的恶意插件或主题 篡改网站内容，将访客重定向至钓鱼或恶意网站 植入垃圾内容或 SEO 投毒代码 创建额外的管理员账户以维持长期访问权限 鉴于该插件安装量巨大，且在存在漏洞配置时利用门槛极低，只要网站将相关用户操作表单暴露在公网，就可能遭受严重影响。 修复与风险现状 在漏洞披露时，插件开发方已在 0.9.2.2 版本中发布修复补丁，安全厂商也在防火墙层面提供了针对利用行为的拦截措施。 然而，那些尚未更新插件、且仅依赖应用层防护的网站，仍然是攻击者进行自动化扫描和入侵的理想目标。 漏洞详情一览表 字段 说明 漏洞编号 CVE-2025-14533 插件名称 Advanced Custom Fields: Extended 插件标识 acf-extended 受影响版本 ≤ 0.9.2.1 修复版本 0.9.2.2 漏洞类型 未认证权限提升 攻击向量 恶意用户注册表单提交 触发条件 存在映射了角色字段的公开表单 CVSS 评分 9.8（严重） 受影响安装量 10 万+ 活跃安装 发现者 andrea bocchetti（Wordfence 漏洞悬赏） 权限提升是如何实现的？ 该漏洞的核心在于插件高度灵活的表单系统，其初衷是让站点管理员无需编写代码即可构建自定义的用户管理流程。 在典型配置中，管理员会定义一个字段组，包含用户信息字段，并将其关联到“创建用户”或“更新用户”的表单动作。其中一个字段可以是角色选择器，表面上受到“允许用户角色（Allow User Role）”设置的限制。 但在后台，当表单提交时，插件会在 acfe_module_form_action_user 类中调用 insert_user() 函数。该函数会收集所有提交的数据（包括角色字段），并直接传递给 WordPress 原生的 wp_insert_user() 函数。 问题在于，在受影响版本中，插件并未在后端强制执行字段组中配置的角色限制。前端设置营造了安全假象，但后端逻辑并未遵守这些规则。 因此，只要存在一个包含角色字段的公开表单，未认证攻击者就可以绕过可见的角色选项，在 HTTP 请求中自行指定角色（如 administrator）。由于插件未对该值进行校验或过滤，WordPress 会接受请求并创建一个拥有完整管理员权限的账户。 整个过程无需已有账号、社会工程学手段或密码猜测，直接构成一条通向网站完全失陷的通道。 一旦攻击者以管理员身份进入系统，便拥有与合法站点所有者相同的控制能力，可持续操纵和破坏网站。这使得 CVE-2025-14533 成为在特定配置存在时，导致 WordPress 网站被全面攻陷的高危漏洞。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Patchstack称，一款名为Modular DS的WordPress插件中一个严重性最高的安全漏洞正在野外被活跃利用。 该漏洞被追踪为CVE-2026-23550（CVSS评分：10.0），被描述为影响插件2.5.1及之前所有版本的未授权权限提升漏洞。该漏洞已在2.5.2版本中修复。该插件拥有超过40,000个有效安装。 “在2.5.1及以下版本中，由于直接路由选择、绕过身份验证机制以及自动以管理员身份登录等多种因素结合，该插件存在权限提升漏洞，” Patchstack表示。 问题根源在于其路由机制，该机制本应将某些敏感路由置于身份验证屏障之后。该插件将其路由暴露在/api/modular-connector/前缀下。 然而，研究发现，每当启用”直接请求”时，通过提供设置为”mo”的”origin”参数和设置为任意值（例如"origin=mo&type=xxx"）的”type”参数，即可绕过此安全层。这将导致请求被视作Modular直接请求。 “因此，一旦网站已连接到Modular（令牌存在/可续订），任何人都可以通过身份验证中间件：传入请求与Modular本身之间没有加密链接，” Patchstack解释道。 “这将暴露多个路由，包括/login/、/server-information/、/manager/和/backup/，这些路由允许执行从远程登录到获取敏感系统或用户数据等多种操作。” 由于此漏洞的存在，未经身份验证的攻击者可利用/login/{modular_request}路由获取管理员访问权限，从而导致权限提升。这可能为攻击者完全入侵网站铺平道路，使其能够引入恶意更改、植入恶意软件或将用户重定向到诈骗网站。 根据该WordPress安全公司分享的详细信息，利用该漏洞的攻击据称首次于2026年1月13日世界标准时间凌晨2点左右被检测到，攻击通过向端点/api/modular-connector/login/发起HTTP GET调用，随后尝试创建管理员用户。 攻击源自以下IP地址： 45.11.89[.]19 185.196.0[.]11 鉴于CVE-2026-23550正被活跃利用，建议插件用户尽快更新至已修复的版本。 “此漏洞突显了当暴露于公共互联网时，对内网请求路径的隐性信任可能有多么危险，” Patchstack指出。 “在此案例中，问题并非由单一错误引起，而是由多个设计选择共同导致：基于URL的路由匹配、宽松的’直接请求’模式、仅基于站点连接状态的身份验证，以及自动回退到管理员账户的登录流程。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款流行的WordPress主题中发现安全漏洞，该漏洞可能允许权限最低的已登录用户获得受影响网站的完全控制权。 该问题涉及一个任意文件上传漏洞，允许”订阅者”及以上级别的用户安装并激活插件，从而可能执行恶意代码。Motors主题是一款广泛用于汽车网站的WordPress解决方案，包括汽车经销商、车辆租赁平台和分类信息列表网站。由StylemixThemes开发，目前拥有超过20，000个活跃安装。 此漏洞影响5.6.81及以下版本，已分配编号CVE-2025-64374。漏洞由Patchstack Alliance社区的成员Denver Jackson发现并负责任地报告。漏洞存在于一个允许通过后端功能安装插件的AJAX处理程序中。虽然该功能使用随机数（nonce）进行请求验证，但缺乏适当的权限检查。 由于”订阅者”级别的用户可以从WordPress管理界面获取该随机数值，任何已登录用户都可以提供任意的插件URL。这使得恶意插件可以被上传和激活，最终导致网站被完全控制。Patchstack指出，这反映了WordPress组件中普遍存在的一个更广泛的问题。随机数的设计目的是防止请求伪造，而非强制执行访问控制。 WordPress开发者文档建议：”切勿依赖随机数进行身份验证、授权或访问控制。请使用current_user_can()函数保护您的功能，并始终假设随机数可能被泄露。” 该问题已在Motors 5.6.82版本中修复，该版本引入了current_user_can权限检查。这确保了只有授权用户才能触发插件的安装和激活过程。该补丁于11月3日发布，此前在9月已向供应商披露。PatchStack今天发布的公告为开发者和网站所有者强调了几个关键教训： 仅靠随机数不足以保护特权功能 所有修改网站的操作都应执行严格的权限检查 绝不能默认假设已登录用户是可信的 强烈建议运行Motors主题的网站所有者更新至5.6.82或更高版本以降低风险。未能应用此更新将使网站暴露于WordPress最严重的漏洞类别之一。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Wordfence 的监测数据显示，WordPress 平台的 Sneeit Framework 插件中存在的一个高危安全漏洞已被攻击者在野环境中积极利用。 此次涉及的远程代码执行漏洞编号为 CVE-2025-6389（CVSS 评分 9.8），影响该插件 8.3 及以下的所有版本，该漏洞已于 2025 年 8 月 5 日发布的 8.4 版本中完成修复。目前该插件的活跃安装量超 1700 个。 Wordfence 表示：“该漏洞成因是 [sneeit_articles_pagination_callback ()] 函数接收用户输入后，直接将其传入 call_user_func () 函数执行。这使得未授权攻击者能够在服务器上执行代码，进而可用于植入后门，或是创建新的管理员账户等操作。” 也就是说，攻击者可利用该漏洞调用任意 PHP 函数，比如通过 wp_insert_user () 函数创建恶意管理员账户。一旦成功创建，攻击者便能借此掌控整个网站，注入恶意代码，将网站访客重定向至钓鱼网站、恶意软件下载页面或垃圾信息站点。 Wordfence 指出，针对该漏洞的在野利用始于 2025 年 11 月 24 日（即漏洞公开披露当日），该公司已拦截超 13.1 万次针对此漏洞的攻击尝试，仅过去 24 小时内就记录到 15381 次攻击。 攻击详情 部分攻击行为表现为向 “/wp-admin/admin-ajax.php” 端点发送特制 HTTP 请求，创建如 “arudikadis” 这类恶意管理员账户，并上传可能用于获取后门访问权限的恶意 PHP 文件 “tijtewmg.php”。 攻击来源的 IP 地址如下： 185.125.50[.]59 182.8.226[.]51 89.187.175[.]80 194.104.147[.]192 196.251.100[.]39 114.10.116[.]226 116.234.108[.]143 这家 WordPress 安全厂商还发现，攻击者使用的恶意 PHP 文件具备目录扫描、文件及权限的读写删操作、ZIP 文件解压等能力，涉及的恶意文件包括 “xL.php”“Canonical.php”“.a.php”“simple.php”。 据 Wordfence 披露，“xL.php” 后门程序由一款名为 “up_sf.php” 的漏洞利用 PHP 文件下载获取，同时该文件还会从外部服务器（racoonlab [.] top）下载 “.htaccess” 文件至受攻击主机。 伊斯万・马尔顿表示：“这份.htaccess 文件可确保 Apache 服务器上特定扩展名的文件能被正常访问。当其他.htaccess 文件限制了脚本访问（比如在上传目录中）时，该文件就能发挥作用。” ICTBroadcast 漏洞被用于传播 Frost DDoS 僵尸网络 与此同时，VulnCheck 称其监测到攻击者利用 ICTBroadcast 的高危漏洞（CVE-2025-2611，CVSS 评分 9.3），针对其蜜罐系统发起新攻击，通过下载 Shell 脚本加载器，获取多个不同架构版本的名为 “frost” 的恶意二进制文件。 这些恶意文件在执行后，会自行删除载荷与加载器以清除攻击痕迹，其最终目的是对目标发起分布式拒绝服务（DDoS）攻击。 VulnCheck 的雅各布・贝恩斯称：“这款 frost 二进制文件整合了 DDoS 攻击工具与传播逻辑，内置了针对 15 个 CVE 漏洞的 14 种利用程序。其传播方式的关键在于，攻击者并非对全网进行无差别攻击，frost 会先对目标进行检测，只有发现预期的特定特征时才会发起漏洞利用。” 例如，该恶意程序仅在接收到包含 “Set-Cookie: user=(null)” 的 HTTP 响应，且后续请求的响应中包含 “Set-Cookie: user=admin” 时，才会利用 CVE-2025-1610 漏洞发起攻击；若未检测到这些特征，程序则会保持休眠状态。相关攻击均来自 IP 地址 87.121.84 [.] 52。 尽管相关漏洞已被多个 DDoS 僵尸网络利用，但鉴于互联网上易受攻击的暴露系统不足 1 万台，证据表明此次攻击属于小规模定向操作。 贝恩斯补充道：“这限制了基于这些 CVE 漏洞构建的僵尸网络规模，也意味着该攻击者的体量相对较小。值得注意的是，用于传播该样本的 ICTBroadcast 漏洞利用程序并未出现在二进制文件中，说明攻击者还具备未被发现的其他攻击能力。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress 插件 King Addons for Elementor 被披露存在一个高危安全漏洞，目前已遭在野活跃利用。 该漏洞编号为 CVE-2025-8489，CVSS 评分为 9.8（严重级别），属于权限提升漏洞。未授权攻击者可在注册账户时直接指定管理员用户角色，从而获取网站管理员权限。 漏洞影响范围 受影响版本：24.12.92 至 51.1.14 版本 修复版本：51.1.35（2025 年 9 月 25 日发布） 插件规模：超过 10,000 个活跃安装量 漏洞发现者：安全研究员彼得・塔莱基斯（Peter Thaleikis）（已获官方致谢） 漏洞原理分析 Wordfence 安全团队在警报中指出：“该漏洞源于插件未对用户注册时可选择的角色进行严格限制，导致未授权攻击者可直接注册管理员级别的用户账户。” 具体来看，漏洞根源在于用户注册过程中调用的 handle_register_ajax() 函数。由于该函数实现存在安全缺陷，未授权攻击者可构造恶意 HTTP 请求，向 /wp-admin/admin-ajax.php 端点提交注册数据时，将角色字段指定为 “administrator”（管理员），进而实现权限提升。 漏洞危害与在野利用情况 成功利用该漏洞的攻击者可完全控制安装了该插件的目标网站，并利用获取的管理员权限实施以下攻击行为： 上传恶意代码，植入恶意软件； 篡改网站配置，将访客重定向至恶意站点； 注入垃圾内容或钓鱼链接。 Wordfence 数据显示，自 2025 年 10 月底漏洞公开披露以来，已拦截超过 48,400 次攻击尝试，仅过去 24 小时内就阻断了 75 次攻击。攻击主要来自以下 IP 地址： 45.61.157.120 182.8.226.228 138.199.21.230 206.238.221.25 2602:fa59:3:424::1 该安全公司表示：“攻击者最早可能于 2025 年 10 月 31 日开始针对该漏洞发起攻击，大规模利用始于 11 月 9 日。” 安全建议 网站管理员应立即采取以下防护措施： 确保插件已更新至最新版本（51.1.35 及以上）； 审计网站管理员账户列表，排查可疑新增账户； 持续监控网站日志，警惕异常操作行为（如未知 IP 登录、批量文件上传等）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Huntress 的最新调查结果显示，曾在今年 3 月出现活动激增的 GootLoader 恶意软件，在短暂沉寂后再度卷土重来。 这家网络安全公司表示，自 2025 年 10 月 27 日以来，已监测到三起 GootLoader 感染事件。其中两起导致攻击者手动入侵，且在初始感染后的 17 小时内就攻陷了域控制器。 安全研究员安娜・范指出：“GootLoader 回来了，如今它利用自定义 WOFF2 字体和字形替换技术混淆文件名。” 她补充道，该恶意软件 “利用 WordPress 评论端点，投递采用 XOR 加密的 ZIP 有效载荷，每个文件都配有唯一密钥”。 GootLoader 与代号为 Hive0127（又称 UNC2565）的威胁 actor 相关联，是一款基于 JavaScript 的恶意软件加载器。它常通过搜索引擎优化（SEO）投毒策略传播，用于投递勒索软件等其他有效载荷。 微软在去年 9 月发布的报告中披露，代号为 Vanilla Tempest 的威胁 actor 会接手 Storm-0494 通过 GootLoader 感染获取的访问权限，部署名为 Supper（又称 SocksShell 或 ZAPCAT）的后门程序，以及用于远程访问的 AnyDesk。这些攻击链最终会导致 INC 勒索软件的部署。 值得注意的是，Supper 还被发现与 Interlock 远程访问木马（RAT，又称 NodeSnake）存在关联 —— 后者主要与 Interlock 勒索软件相关联。Forescout 上月指出：“虽然没有直接证据表明 Interlock 使用 Supper，但 Interlock 和 Vice Society 都曾在不同时期与 Rhysida 勒索软件有关联，这表明在更广泛的网络犯罪生态系统中可能存在交集。” 今年早些时候，研究人员发现 GootLoader 背后的威胁 actor 曾利用谷歌广告，针对在搜索引擎上查找协议等法律模板的受害者，将其重定向至托管恶意 ZIP 压缩包的受攻陷 WordPress 站点。 Huntress 记录的最新攻击流程显示，攻击者利用必应（Bing）上 “密苏里州公用设施地役权道路保障” 等搜索词条，将毫无防备的用户引导至恶意 ZIP 压缩包的下载页面。此次攻击的显著特征是使用自定义网页字体，混淆浏览器中显示的文件名，以规避静态分析检测。 范解释道：“当用户试图复制文件名或查看源代码时，会看到诸如‘›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O [™€v3cwv,,’ 之类的怪异字符。” “但这些字符在受害者的浏览器中渲染时，会神奇地转化为完全可读的文本，比如‘Florida_HOA_Committee_Meeting_Guide.pdf’。这一效果通过自定义 WOFF2 字体文件实现 ——GootLoader 利用 Z85 编码（一种 Base85 变体，可将 32KB 的字体压缩至 40KB），将该字体文件直接嵌入页面的 JavaScript 代码中。” 研究人员还发现了一项新的规避技巧：恶意软件会修改 ZIP 文件，使其在通过 VirusTotal、Python ZIP 工具或 7-Zip 等工具打开时，解压出看似无害的.TXT 文件。而在 Windows 文件资源管理器中，该压缩包会提取出真正的目标有效载荷 —— 一个合法的 JavaScript 文件。 一位长期以 “GootLoader” 为化名追踪该恶意软件的安全研究员，在谈及此次技术演进时表示：“这种简单的规避技术通过向自动化分析工具隐藏有效载荷的真实性质，为攻击者争取了时间。” 压缩包中的 JavaScript 有效载荷用于部署 Supper 后门程序，该程序具备远程控制和 SOCKS5 代理功能。据称，在至少一起事件中，威胁 actor 利用 Windows 远程管理（WinRM）横向移动至域控制器，并创建了一个拥有管理员级权限的新用户。 Huntress 表示：“Supper SOCKS5 后门采用繁琐的混淆技术保护简单功能 ——API 滥用、运行时 shellcode 构建和自定义加密给分析工作带来了麻烦，但核心功能刻意保持基础：SOCKS 代理和远程 shell 访问。” “这种‘足够好用’的策略表明，当经过适当混淆的基础工具能够实现目标时，威胁 actor 并不需要尖端漏洞利用技术。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文