HackerNews 编译，转载请注明出处： 加拿大零售商罗布劳（Loblaw）在威胁行为者获取客户信息后，披露了一起数据泄露事件。 罗布劳是加拿大最大的食品和药品零售商之一。它在加拿大各地经营着 2400 多家门店，拥有诸如购物者药品超市（Shoppers Drug Mart）、平价超市（No Frills）、加拿大真实超市（Real Canadian Superstore）和总统之选（President’s Choice）等品牌。 该公司在一份简短的数据泄露通知中表示，其最近发现一个 “第三方犯罪分子” 获取了客户的基本信息，如姓名、电子邮件地址和电话号码。 该公司称：“罗布劳目前的调查显示，密码、健康信息和信用卡数据未遭泄露。调查还表明，PC 金融（PC Financial）未受此次数据泄露事件的影响。” 目前尚不清楚有多少客户受到罗布劳数据泄露事件的影响。 在撰写本文时，没有已知的勒索软件组织声称对罗布劳的攻击负责。 就在罗布劳披露数据泄露事件之际，星巴克刚刚开始通知数百名员工，告知他们发生了一起网络安全事件，其个人信息已被泄露。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出 GlassWorm 攻击活动的新变体，称其在通过 Open VSX 注册表传播的方式上出现 “显著升级”。 Socket 公司在周五发布的一份报告中称：“威胁行为者不再要求每个恶意插件直接嵌入加载程序，而是滥用 extensionPack（扩展包）和 extensionDependencies（扩展依赖项），在后续更新中将最初看似独立的扩展转变为间接传播工具，使得一个看似良性的软件包在建立信任后，才开始引入与 GlassWorm 相关的单独扩展。” 这家软件供应链安全公司表示，自 2026 年 1 月 31 日以来，他们发现至少还有 72 个针对开发者的恶意 Open VSX 扩展。这些扩展模仿广泛使用的开发者工具，包括代码检查器和格式化工具、代码运行器，以及诸如 Clade Code 和 Google Antigravity 等人工智能驱动的代码辅助工具。 以下是部分扩展的名称。此后，Open VSX 已采取措施将它们从注册表中移除： angular-studio.ng – angular – extension crotoapp.vscode – xml – extension gvotcha.claude – code – extension mswincx.antigravity – cockpit tamokill12.foundry – pdf – extension turbobase.sql – turbo – tool vce – brendan – studio – eich.js – debuger – vscode GlassWorm 是一场持续的恶意软件攻击活动，它多次通过恶意扩展渗透微软 Visual Studio Marketplace 和 Open VSX，这些恶意扩展旨在窃取机密信息、掏空加密货币钱包，并将受感染的系统用作其他犯罪活动的代理。 网络安全方面，虽然该活动于 2025 年 10 月首次被 Koi Security 标记，但早在 2025 年 3 月就已发现使用相同策略的 npm 包，特别是使用不可见的 Unicode 字符来隐藏恶意代码。 最新变体保留了与 GlassWorm 相关的许多特征：进行检查以避免感染俄罗斯区域设置的系统，并使用 Solana 交易作为一种隐秘通信方式来获取命令与控制（C2）服务器，以提高弹性。 但这组新的扩展还具有更强的混淆性，轮换 Solana 钱包以逃避检测，并且滥用扩展关系来部署恶意有效载荷，类似于 npm 包依赖恶意依赖项以躲避检测。无论一个扩展在其 “package.json” 文件中被声明为 “extensionPack” 还是 “extensionDependencies”，编辑器都会继续安装其中列出的所有其他扩展。 通过这种方式，GlassWorm 攻击活动使用一个扩展作为另一个恶意扩展的安装程序。这也开启了新的供应链攻击场景，攻击者首先将一个完全无害的 VS Code 扩展上传到市场以绕过审核，之后更新该扩展，将与 GlassWorm 相关的软件包列为依赖项。 Socket 公司称：“结果是，一个在最初发布时看似非传递性且相对良性的扩展，随后可以在不改变其表面用途的情况下，成为一个传递 GlassWorm 的工具。” 在一份同期发布的公告中，Aikido 将 GlassWorm 威胁行为者归因于一场在开源存储库中传播的大规模攻击活动，攻击者向各种存储库注入不可见的 Unicode 字符来编码有效载荷。虽然当内容加载到代码编辑器和终端中时不可见，但解码后会得到一个加载程序，该加载程序负责获取并执行一个第二阶段脚本，以窃取令牌、凭证和机密信息。 据估计，在 2026 年 3 月 3 日至 3 月 9 日期间，作为该活动一部分，不少于 151 个 GitHub 存储库受到影响。此外，相同的 Unicode 技术已被部署在两个不同的 npm 包中，这表明这是一次有协调的多平台攻击： @aifabrix/miso – client @iflow – mcp/watercrawl – watercrawl – mcp 安全研究员伊利亚斯・马卡里（Ilyas Makari）表示：“恶意注入并非出现在明显可疑的提交中。周围的更改很真实：文档调整、版本升级、小的重构以及与每个目标项目风格一致的错误修复。这种针对特定项目的定制程度强烈表明，攻击者正在使用大语言模型来生成令人信服的掩护提交。” PhantomRaven 还是研究实验？ 与此同时，Endor Labs 表示，他们发现从 2025 年 11 月到 2026 年 2 月，分三波通过 50 个一次性账户上传了 88 个新的恶意 npm 包。这些包具备从受感染机器上窃取敏感信息的功能，包括环境变量、CI/CD 令牌和系统元数据。 该活动因使用远程动态依赖项（RDD）而引人注目，在这种情况下，“package.json” 元数据文件在自定义 HTTP URL 指定依赖项，从而使操作者能够动态修改恶意代码并绕过检查。 在网络安全领域，虽然这些包最初被认定为 PhantomRaven 攻击活动的一部分，但这家应用安全公司在一次更新中指出，它们是一名安全研究人员作为合法实验的一部分制作的 —— 但 Endor Labs 对此说法提出质疑，并列举了三个警示信号。其中包括这些库收集的信息远超必要范围、对用户不透明，以及由故意轮换的账户名和电子邮件地址发布。 截至 2026 年 3 月 12 日，这些包的所有者已进行了更多更改，将在这三个月期间发布的一些 npm 包中用于收集数据的有效载荷替换为简单的 “Hello, world!” 消息。 Endor Labs 表示：“虽然移除收集大量信息的代码当然值得欢迎，但这也凸显了与 URL 依赖相关的风险。当软件包依赖托管在 npm 注册表之外的代码时，作者无需发布新的软件包版本就能完全控制有效载荷。通过修改服务器上的单个文件 —— 或者仅仅关闭它 —— 他们可以立即无声地更改或禁用每个依赖包的行为。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Payload 勒索软件组织宣称已入侵巴林一家主要医疗机构 —— 巴林皇家医院（RBH）。 Payload 勒索软件组织声称侵入了巴林皇家医院，并窃取了 110GB 的数据。该勒索软件团伙将这家医疗机构列入其暗网数据泄露网站，并公布了疑似被攻击系统的图片，以此作为攻击证据。 该组织威胁称，如果在 3 月 23 日前未收到赎金，就会公开所窃取的数据。 巴林皇家医院成立于 2011 年，是一家拥有 70 张床位的医疗机构，提供住院和门诊服务，包括手术、产科护理和诊断等。其服务对象来自巴林及阿曼、卡塔尔、沙特阿拉伯和阿联酋等周边国家。 Payload 勒索软件是一个相对较新的网络犯罪活动，采用双重勒索模式，即结合数据窃取和文件加密手段向受害者施压。该组织主要针对新兴市场中房地产和物流等行业的大中型企业。从技术层面看，这款勒索软件使用 ChaCha20 算法进行文件加密，Curve25519 算法进行密钥交换，同时会删除卷影副本并禁用安全工具。 与许多现代犯罪团伙一样，Payload 很可能是以勒索软件即服务的模式运营，并设有一个暗网泄露网站，用于公布未支付赎金受害者的数据。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦调查局（FBI）正在向安装了含恶意软件 Steam 游戏的玩家征集信息，这是针对上传至该游戏平台的 8 款恶意游戏所开展调查的一部分。 在 FBI 西雅图分局今日发布的一则通知中，该机构表示，正在试图确认 2024 年 5 月至 2026 年 1 月期间，在 Steam 上安装了其中一款恶意游戏后受到影响的人员。 通知中写道：“FBI 西雅图分局正在寻找可能安装了嵌入恶意软件 Steam 游戏的受害者。FBI 认为，威胁行为者主要针对的是 2024 年 5 月至 2026 年 1 月这一时间段内的用户。” “在调查中，已确定多款游戏存在问题，包括《方块爆破手》（BlockBlasters）、《化学世界》（Chemia）、《达什宇宙 / 达什第一人称射击》（Dashverse/DashFPS）、《小灯神》（Lampy）、《露娜拉》（Lunara）、《海盗加密》（PirateFi）和《托肯诺瓦》（Tokenova）。” “如果您和 / 或您监护的未成年人因安装这些游戏之一而成为受害者，或者拥有与此次调查相关的信息，请填写这份简短表格。” 调查问卷显示，FBI 关注的重点是安装恶意软件后的加密货币盗窃和账户劫持情况，询问有关加密货币交易、被盗用账户及被盗资金的问题。 该表格还要求提供与推广这些游戏的人员的通信截图，这有助于调查人员追踪被盗的加密货币，并追查到传播恶意软件的人。 FBI 向 BleepingComputer 表示：“法律要求 FBI 确认其调查的联邦犯罪受害者身份。受害者可能有资格根据联邦和 / 或州法律获得某些服务、赔偿并享有相应权利。所有受害者身份都将予以保密。” “2026 年 3 月 12 日发出的大规模通知中列出的网站和电子邮件是 FBI 官方授权的。目前，FBI 无法提供超出电子邮件通知中网站所提及信息之外的具体细节。” FBI 还呼吁任何知晓可能受影响人员的人，鼓励他们向 Steam_Malware@fbi.gov 提交问询。 BleepingComputer 也向 Valve 公司发送了有关此次调查的问题，但未收到回复。 Steam 游戏中隐藏的恶意软件 在过去两年里，Steam 平台上发现的多款恶意游戏传播了窃取信息的恶意软件，这些恶意软件旨在从玩家设备中获取凭证、加密货币钱包及其他敏感数据。 其中最引人注目的案例之一涉及《方块爆破手》，这是一款 2024 年 7 月至 9 月期间在 Steam 平台上提供的免费 2D 平台游戏。该游戏最初上传至 Steam 时是干净的程序，但后来被添加了加密货币窃取恶意软件。 这款 Steam 恶意游戏的情况是由视频游戏主播雷沃・普拉夫尼克斯（拉斯特兰 TV，Raivo Plavnieks/RastalandTV）在一次直播中揭露的，当时他正在为癌症治疗筹款。 这位主播下载了这款经 Steam 验证的游戏后，称其加密货币钱包损失了超过 3.2 万美元。 区块链调查员扎克 XBT（ZachXBT）后来估计，攻击者从 261 个 Steam 账户中窃取了约 15 万美元。网络安全研究员 VX-Underground 随后报告称，受害者数量高达 478 人。 在恶意生存建造游戏《化学世界》中，一个名为 EncryptHub 的威胁行为者添加了 HijackLoader 恶意软件，该软件会下载 Vidar 信息窃取器。后来发现，这款游戏还安装了 EncryptHub 定制的 Fickle Stealer 恶意软件，该软件会窃取凭证、浏览器数据、Cookie 和加密货币钱包信息。 《海盗加密》游戏也传播了 Vidar 信息窃取器，2025 年 2 月在 Steam 平台上存在了约一周时间。在该游戏从 Steam 下架前，可能有多达 1500 名用户下载了它。 Steam 随后警告启动该游戏的玩家，其电脑上可能已执行恶意文件，并建议他们运行杀毒扫描、检查已安装软件，并考虑重新安装操作系统。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰国家核研究中心（NCBJ）表示，其信息技术基础设施遭到黑客攻击，但在造成任何影响前就已被检测并拦截。 该机构本周在一份声明中宣布，其用于及早发现威胁的安全系统和内部流程，成功阻止了系统被入侵，并让信息技术人员迅速加固了受攻击目标。 波兰国家核研究中心称：“得益于安全系统与相关流程在此次事件中的快速高效运行，以及团队的迅速响应，攻击被成功挫败，系统完整性未受破坏。” 波兰国家核研究中心是该国主要的政府核科研机构，专注于核物理、反应堆技术、粒子物理和辐射应用领域，为波兰核电项目提供技术与科研支持。 该机构还运营着波兰唯一一座用于科研实验、中子研究及医用同位素生产的玛丽亚（MARIA）核反应堆，此反应堆不用于发电。 波兰国家核研究中心主任雅各布・库佩茨基教授表示，此次网络安全事件未影响玛丽亚反应堆的运行，反应堆仍以满功率安全稳定运转。 该机构已通报波兰相关部门并启动调查，同时内部安全团队已进入高度戒备状态，以应对任何新的威胁。 尽管该机构未将此次攻击归咎于任何特定黑客组织或国家，但路透社报道称，波兰当局发现伊朗可能是此次网络攻击的幕后方。不过调查人员仍持谨慎态度，因为这些迹象有可能是虚假旗标行动（故意嫁祸）。 本月早些时候，波兰国防部长弗拉迪斯拉夫・科希尼亚克 – 卡米什表示，波兰并未参与中东冲突。 今年 1 月有消息披露，波兰电网 —— 尤其是多个分布式能源资源站点、热电联产设施、风电与光伏调度系统 —— 曾遭到俄罗斯黑客组织 APT44（“沙虫”）的攻击。 2 月底，国际气候与环境研究中心（ICCT）的一份报告将波兰列为俄罗斯网络行动的重点目标之一：2025 年年中至 2026 年年初，已有31 起确认为俄罗斯方面发起的网络事件。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 星巴克披露了一起数据泄露事件，数百名员工的个人信息遭到波及。 这起网络安全事件于 2 月 6 日被察觉，当时这家咖啡巨头获悉其 “星巴克伙伴中心” 账户遭到未经授权的访问。 “伙伴中心” 是星巴克员工（公司称他们为 “伙伴”）用于管理个人信息、薪资以及福利数据的在线门户网站。 基于星巴克披露的有限信息来看，似乎其系统并非直接攻击目标，网络也未遭破坏。 一项调查发现，黑客通过网络钓鱼攻击获取用户凭证后，得以访问 “星巴克伙伴中心” 账户。此次网络钓鱼利用了模仿该门户网站设计的虚假网站。 星巴克在向受影响员工发出的通知中称：“基于我们的调查，我们了解到您的部分个人信息，包括姓名、社会安全号码、出生日期、金融账户号码及路由号码，可能已被未经授权的第三方获取。” 执法部门已得知这起事件，同时星巴克为受影响员工提供免费的身份信息保护服务。 根据提交给缅因州总检察长办公室的数据泄露通知，此次事件影响了近 900 名星巴克员工。该公司在美国拥有超过 20 万名员工。 该通知还显示，对员工账户的未经授权访问发生在 1 月 19 日至 2 月 11 日之间。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一份重要安全公告已发布，警告用户存在一个高严重性漏洞，同时影响 Enterprise 和 Cloud 平台。 该漏洞编号为 CVE-2026-20163，CVSS 评分为 8.0。它允许攻击者在目标系统上执行远程命令执行（RCE）。 该漏洞源于系统在对上传文件建立索引前进行预览时，对用户输入处理不当。 虽然该漏洞要求攻击者拥有高级别权限，但成功利用后可使恶意用户控制底层主机服务器。 Splunk 远程代码执行漏洞核心问题归类为 CWE-77，即对命令中使用的特殊元素未正确进行中性化处理。 该漏洞存在于 Splunk 的 REST API 组件中，具体针对 /splunkd/__upload/indexing/preview 端点。 攻击者要利用该漏洞，必须已拥有包含高权限 edit_cmd 功能的用户角色。 如果满足此条件，攻击者可在文件上传预览过程中操纵 unarchive_cmd 参数。 由于系统未正确清理该输入内容，攻击者可轻松在服务器上直接注入并执行任意 Shell 命令。 该漏洞已由安全研究员 Danylo Dmytriiev（DDV_UA）以及 Splunk 内部团队成员 Gabriel Nitu 和 James Ervin 负责任地披露。 该漏洞影响 Splunk 软件的多个近期版本。管理员应对照以下受影响版本检查自己的部署环境。 受影响版本包括 Enterprise 10.0.0–10.0.3、9.4.0–9.4.8、9.3.0–9.3.9，以及 Cloud Platform 低于 10.2.2510.5、10.1.2507.16、10.0.2503.12 和 9.3.2411.124 的版本。 基础版 Splunk Enterprise 10.2 不受该漏洞影响。此外，Splunk 正在主动监控并直接向受影响的 Cloud Platform 实例部署补丁。 为保护基础设施免受潜在利用，Splunk 强烈建议立即通过更新或临时缓解措施修复该漏洞。 升级 Splunk Enterprise：管理员应将安装版本升级至已修复版本 10.2.0、10.0.4、9.4.9、9.3.10 或更高版本。实施缓解措施：如果无法立即升级，可通过从所有用户角色中完全移除高权限 edit_cmd 功能来降低风险。这会通过拒绝执行恶意命令所需的权限来阻断攻击链。 目前尚无针对该漏洞的专用威胁检测特征库，因此主动打补丁和严格权限管理至关重要。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大最大的食品和药品零售商 Loblaw Companies Limited（Loblaw）宣布，黑客入侵了其部分 IT 网络并访问了客户的基础信息。 该零售商在全国拥有 2500 家门店（特许经营超市、药房、银行网点和服装店铺），并计划今年新增 70 家门店，作为其到 2030 年投资 100 亿加元的五年计划的一部分。 该公司拥有 22 万名员工，年收入 450 亿加元。其最知名的商业品牌和标识包括 Loblaws、Real Canadian Superstore、No Frills、Maxi、President’s Choice、PC Optimum 和 Joe Fresh。 本周早些时候，该公司告知客户，其在网络上检测到可疑活动，进而发现了入侵行为。 Loblaw 表示：“在其 IT 网络中一个隔离、非核心的部分发现可疑活动后，公司确认有犯罪第三方访问了部分客户基础信息，例如姓名、电话号码和电子邮件地址。” 泄露的数据属于个人可识别信息（PII），可能被用于钓鱼攻击和欺诈活动。Loblaw 的客户应警惕来自陌生联系人的可疑通信。 该公司指出，截至目前的调查未发现财务信息（如信用卡详情）、健康信息或账户密码遭到泄露的证据。 但出于高度谨慎，Loblaw 表示已将所有客户自动登出账户。需要使用公司数字服务的账户持有人必须重新登录。建议客户同时修改密码。 Loblaw 的调查显示，其金融服务品牌 PC Financial 未受此次事件影响。 截至发稿时，Bleeping Computer 未发现有威胁组织公开宣称对此次攻击负责，也未发现地下论坛上有兜售 Loblaw 相关数据的信息。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周三，美国与欧洲的执法机构联合捣毁了一个提供数千台家用路由器访问权限的网络犯罪平台。 SocksEscort 代理网络允许网络犯罪分子购买受恶意软件感染的路由器的访问权限。犯罪分子可通过受感染的路由器转发其网络活动，以此隐藏自身的地理位置与 IP 地址。 美国司法部表示，2020 年至 2026 年间，SocksEscort 提供了覆盖 163 个国家、约 36.9 万个不同 IP 地址的访问权限；截至今年 2 月，该平台仍上架了约 8000 个 IP 地址，其中 2500 个位于美国境内。 七个国家的执法机构共计查封了 34 个域名，关停了 23 台服务器。美国官方还冻结了价值 350 万美元的加密货币。 在针对 SocksEscort 采取行动的同时，美国联邦调查局（FBI）于周四发布了关于名为 AVRecon 的恶意软件的紧急警报，警告公众该恶意软件的攻击目标为路由器与物联网设备。 威胁行为者 “会入侵路由器、安装 AVRecon 恶意软件，随后通过 SocksEscort 住宅代理服务，将受感染设备的访问权限作为住宅代理出售”。 欧洲刑警组织指出，设备感染该恶意软件后，机主完全不会知晓自己的 IP 地址正被滥用。 欧洲刑警组织执行主任凯瑟琳・德・博勒表示，SocksEscort 这类代理服务 “为犯罪分子提供了发起攻击、传播非法内容、规避检测所需的数字掩护”。 德・博勒在声明中称：“通过拆除这一基础设施，执法机构捣毁了一项为全球范围网络犯罪提供支撑的服务。” 美国官方对支撑 SocksEscort 运作的多个美国境内域名执行了查封令。 法庭文件显示，SocksEscort 网站与数十种不同的网络诈骗相关，包括虚假失业保险申领、加密货币盗窃以及美国银行账户劫持。 据称，SocksEscort 的运营者通过该服务非法获利超 570 万美元。 奥地利、法国、荷兰的执法机构关停了 SocksEscort 的服务器，保加利亚、德国、匈牙利、罗马尼亚的官方也参与了这项始于 2025 年 6 月的调查。美国司法部指出，Lumen 旗下的 Black Lotus Labs、Shadowserver 基金会等私营机构也提供了协助。 Black Lotus Labs 发布了关于 AVRecon 与 SocksEscort 的专项公告，称过去几年间，该平台 “每周平均波及约 2 万名独立受害者，相关通信通过平均 15 个命令与控制（C2）节点进行转发”。 该公司曾在 2023 年表示，AVRecon 僵尸网络是其见过的针对家用 / 办公路由器的最大僵尸网络之一。 一名 FBI 官员向科技媒体 The Register 透露，SocksEscort 拥有 12.4 万名用户，官方计划利用查封的服务器追踪其他网络犯罪活动。 近年来，美国与欧洲的执法机构加大了僵尸网络的捣毁力度，以遏制网络犯罪与国家级攻击活动。自 2021 年以来，QakBot、911 S5、IPStorm、KV、DanaBot、Anyproxy、5socks 等多个僵尸网络均已受到执法机构的查处。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款疑似由人工智能（AI）生成的恶意软件的详细信息，该软件代号为 Slopoly，由以经济利益为动机的威胁行为者 Hive0163 使用。 IBM X-Force 研究员 Golo Mühr 在提前提供给 The Hacker News 的报告中表示：“尽管 Slopoly 这类 AI 生成的恶意软件目前仍相对普通，但它表明威胁行为者可以多么轻松地利用 AI 来开发新的恶意软件框架，所需时间仅为过去的一小部分。” Hive0163 的活动以大规模数据窃取和勒索软件勒索为驱动。该电子犯罪团伙主要与一系列恶意工具相关联，包括 NodeSnake、Interlock RAT、JunkFiction loader 和 Interlock ransomware。 在该公司 2026 年初观察到的一起勒索软件攻击中，威胁行为者在漏洞利用后阶段部署了 Slopoly，以便在受感染服务器上维持超过一周的持久访问权限。 Slopoly 的发现可追溯至一个很可能通过构建器部署的 PowerShell 脚本，该脚本还通过名为 “Runtime Broker” 的计划任务建立了持久访问权限。 有迹象表明，该恶意软件是在一个尚未确定的大语言模型（LLM）的帮助下开发的。这些迹象包括存在大量注释、日志记录、错误处理和命名准确的变量。注释还将该脚本描述为 “Polymorphic C2 Persistence Client”，表明它是一个命令与控制（C2）框架的一部分。 Mühr 指出：“不过，该脚本不具备任何高级技术，几乎不能被视为多态的，因为它无法在执行过程中修改自身代码。但构建器可能会生成具有不同随机配置值和函数名的新客户端，这在恶意软件构建器中是标准做法。” 该 PowerShell 脚本充当一个功能完整的后门，每 30 秒向 C2 服务器发送一次包含系统信息的心跳消息，每 50 秒轮询一次新命令，通过 “cmd.exe” 执行该命令，并将结果传回服务器。目前尚不清楚在受感染网络上运行的命令的具体性质。 据称，此次攻击本身利用了 ClickFix 社会工程策略，诱骗受害者运行一个 PowerShell 命令，该命令随后下载了 NodeSnake—— 一款被归因于 Hive0163 的已知恶意软件。 为第一阶段组件，NodeSnake 旨在运行 shell 命令、建立持久访问权限，并检索和启动一个更广泛的恶意软件框架，即 Interlock RAT。 Hive0163 有使用 ClickFix 和恶意广告进行初始访问的记录。该威胁行为者用来建立立足点的另一种方法是依赖初始访问代理，例如 TA569（又名 SocGholish）和 TAG-124（又名 KongTuke 和 LandUpdate808）。 该框架在 PowerShell、PHP、C/C++、Java 和 JavaScript 中有多种实现，以同时支持 Windows 和 Linux。与 NodeSnake 一样，它也与远程服务器通信以获取命令，这些命令允许它启动 SOCKS5 代理隧道、在受感染机器上生成反向 shell，并交付更多载荷，例如 Interlock ransomware 和 Slopoly。 Slopoly 的出现进一步扩大了 AI 辅助恶意软件的名单，该名单还包括 VoidLink 和 PromptSpy，凸显了不良行为者如何利用该技术加速恶意软件开发并扩大其活动规模。 IBM X-Force 表示：“从技术角度来看，AI 生成的恶意软件的引入并不构成新的或复杂的威胁。它通过减少操作者开发和执行攻击所需的时间，极大地增强了威胁行为者的能力。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文