HackerNews 编译，转载请注明出处： 上周，俄罗斯彼尔姆市的停车支付系统遭网络攻击，导致服务中断，停车免费数天。目前该系统已恢复正常。 周一，该市当局证实停车支付系统现已全面恢复运行，所有支付方式均可正常使用。 据当地官员称，此次系统瘫痪是由大规模分布式拒绝服务（DDoS）攻击造成的，该攻击使该市的自动停车支付基础设施不堪重负。 近年来，这至少是俄罗斯城市停车系统遭遇的第三起此类事件。去年 1 月，克拉斯诺达尔的一家电信运营商遭到 DDoS 攻击，导致相关服务中断，司机无法支付停车费用。 2024 年 10 月，特维尔市的停车支付也因一场针对当地市政府网络的破坏性网络攻击而受到影响。 后来，乌克兰网络联盟（Ukrainian Cyber Alliance）宣称对特维尔市的攻击负责。这是一个亲乌克兰的黑客激进组织，自俄罗斯入侵乌克兰以来，一直对俄罗斯政府和企业系统发动攻击。 上周彼尔姆市的这起事件迫使当局暂停全市停车收费，司机无法通过官方应用程序和网站付费。 官员表示，在 3 月 10 日至 13 日系统瘫痪期间，未支付停车费的司机不会面临处罚。彼尔姆市的付费停车区通常在周末免费。 乌克兰网络联盟在 2024 年对特维尔市的攻击中称，他们已删除了该市行政部门的 “数十台虚拟机、备份存储、网站、电子邮件以及数百台工作站”。 目前尚不清楚彼尔姆市的这起事件是否与之前的攻击有关，也没有黑客组织宣称对此负责。 此次攻击是一系列影响俄罗斯服务的网络事件中的最新一起。今年 1 月初，俄罗斯弗拉基米尔地区一家主要面包生产商遭网络攻击，导致食品配送中断。 同月，一家为家庭、企业和车辆提供报警及安全系统的俄罗斯供应商遭受攻击，引发大范围服务中断，客户投诉不断。另有一起事件还影响了俄罗斯航空公司和机场使用的预订及登机系统。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦情报局（BND）前副局长阿恩特・弗赖塔格・冯・洛林霍芬（Arndt Freytag von Loringhoven）成为 Signal 网络攻击的目标，这是一系列针对德国官员和政客的攻击浪潮的一部分。 一场针对 Signal 和 WhatsApp 用户的网络攻击，波及了德国高级官员，其中包括前 BND 副局长阿恩特・弗赖塔格・冯・洛林霍芬。这位官员报告称，有人冒充 Signal 客服联系他，并索要他的个人识别码（PIN）。这一事件凸显了一场针对安全机构和政治要职敏感人员的广泛网络间谍活动。 《明镜》周刊（SPIEGEL）发布的报道称：“他绝非全球针对 Signal 和 WhatsApp 用户账号攻击浪潮中唯一的知名受害者。据《明镜》周刊了解，德国高级政客已向当局报案称自己是受害者，安全机构的在职官员也遭到了攻击。” 早在 2 月，德国联邦宪法保卫局（BfV）和联邦信息安全办公室（BSI）就将此次攻击归类为 “与安全相关”，并敦促受影响人员站出来。BfV 表示，这一警告得到了 “高度响应”，且他们认为这避免了更严重的损害。 德国当局警告 Signal 用户检查可疑迹象，比如在 “已配对设备” 下列出的未知设备，或者意外收到的重新注册账号提示。 以前 BND 官员阿恩特・弗赖塔格・冯・洛林霍芬的情况为例，攻击者利用他被盗取的账号向其联系人发送恶意链接。他迅速警告联系人不要打开链接，并删除了自己的账号。调查人员认为，这起事件是与俄罗斯有关的持续混合攻击行动的一部分。鉴于洛林霍芬曾研究俄罗斯混合战争，还著有《普京对德国的攻击》一书，他很可能被视为高价值目标。 Signal 方面表示，近期的这些事件是有针对性的网络钓鱼攻击，攻击者借此劫持官员和记者的账号。该公司强调其加密技术和基础设施并未受损，仍然安全。Signal 在 X 平台（原推特）上发文称：“我们知晓近期有关针对性网络钓鱼攻击导致部分 Signal 用户（包括政府官员和记者）账号被劫持的报道。我们对此高度重视。需要明确的是：Signal 的加密技术和基础设施并未受损，依然稳固。” Signal 警告称，此类攻击依赖社会工程学手段，攻击者冒充可信联系人或假冒客服，诱骗用户分享验证码或 PIN 码。该公司强调绝不会通过消息或社交媒体索要这些信息，并敦促用户保持警惕，切勿分享登录验证码。 3 月初，荷兰情报机构（军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD）发出警告，称存在一场由与俄罗斯有关的威胁行为者发起的全球行动，目标是入侵 Signal 和 WhatsApp 账号。此次行动的目标包括政府官员、公务员和军事人员，凸显了国家安全相关人员敏感通信面临的日益增长的网络风险。 荷兰情报机构发布的警报称：“俄罗斯国家黑客正在开展一场大规模全球网络行动，试图获取政要、军事人员和公务员的 Signal 和 WhatsApp 账号。荷兰军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD 可以证实，此次行动的目标和受害者包括荷兰政府雇员。荷兰情报机构还认为，俄罗斯政府感兴趣的其他人员，如记者，也可能成为此次行动的目标。” 俄罗斯网络间谍通过诱骗用户透露验证码，从而劫持 Signal 和 WhatsApp 账号。他们冒充 Signal 客服，或利用 “关联设备” 功能，获取消息和聊天群组的访问权限，这可能导致政府和军事目标的敏感信息泄露。 荷兰情报机构警告称，俄罗斯之所以瞄准 Signal，是因其强大的端到端加密功能，俄罗斯企图借此获取敏感的政府通信内容。官员们强调，Signal 和 WhatsApp 等应用不应被用于传输机密或保密信息。 政府专家指出，攻击者并非利用应用程序漏洞，而是滥用 Signal 和 WhatsApp 的合法功能。官员们表示，只有个别账号成为攻击目标，而非平台本身。 荷兰情报机构建议 Signal 用户仔细监控群组聊天，留意账号被入侵的迹象。如果同一联系人以相同或稍有改动的名字出现两次，这可能表明账号已遭入侵，或者是受害者新创建的账号。用户应向所在组织的信息安全团队报告可疑情况，并通过电子邮件或电话等其他渠道核实账号。群组管理员应移除任何未经授权的账号，之后合法成员可重新加入。受攻击者控制的账号可能会更改显示名称，例如改为 “已删除账号”，或者通过共享群组链接加入，从而触发通知。用户应警惕不熟悉的成员和异常的账号行为。如果怀疑群组管理员账号已遭入侵，建议离开该聊天群组并创建新群组，以确保群组内通信的安全性和完整性。 2025 年 2 月，谷歌威胁情报小组（GTIG）的研究人员发出警告，称多个与俄罗斯有关的威胁行为者正瞄准俄罗斯情报部门感兴趣人员使用的 Signal Messenger 账号。专家推测，针对 Signal 所采用的策略、技术和流程在短期内仍会普遍存在，且可能会在乌克兰以外的地区实施。 俄罗斯黑客利用 Signal 的 “关联设备” 功能，通过特制的二维码将受害者账号关联到攻击者控制的设备上，进而进行监视。 GTIG 发布的报告称：“俄罗斯方面试图入侵 Signal 账号时，最新颖且广泛使用的技术是滥用该应用程序合法的 ‘关联设备’ 功能，该功能允许 Signal 在多个设备上同时使用。由于添加关联设备通常需要扫描二维码，威胁行为者便制作恶意二维码，受害者扫描后，其账号就会与攻击者控制的 Signal 实例关联。如果成功，后续消息将实时同步发送给受害者和威胁行为者，这为攻击者提供了一种持续监听受害者安全对话的方式，而无需完全入侵设备。” 研究人员还报告称，与俄罗斯和白俄罗斯有关的威胁行为者能够使用脚本、恶意软件和命令行工具，从安卓和 Windows 设备上窃取 Signal 数据库文件，以实现数据渗出。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大零售商罗布劳（Loblaw）在威胁行为者获取客户信息后，披露了一起数据泄露事件。 罗布劳是加拿大最大的食品和药品零售商之一。它在加拿大各地经营着 2400 多家门店，拥有诸如购物者药品超市（Shoppers Drug Mart）、平价超市（No Frills）、加拿大真实超市（Real Canadian Superstore）和总统之选（President’s Choice）等品牌。 该公司在一份简短的数据泄露通知中表示，其最近发现一个 “第三方犯罪分子” 获取了客户的基本信息，如姓名、电子邮件地址和电话号码。 该公司称：“罗布劳目前的调查显示，密码、健康信息和信用卡数据未遭泄露。调查还表明，PC 金融（PC Financial）未受此次数据泄露事件的影响。” 目前尚不清楚有多少客户受到罗布劳数据泄露事件的影响。 在撰写本文时，没有已知的勒索软件组织声称对罗布劳的攻击负责。 就在罗布劳披露数据泄露事件之际，星巴克刚刚开始通知数百名员工，告知他们发生了一起网络安全事件，其个人信息已被泄露。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出 GlassWorm 攻击活动的新变体，称其在通过 Open VSX 注册表传播的方式上出现 “显著升级”。 Socket 公司在周五发布的一份报告中称：“威胁行为者不再要求每个恶意插件直接嵌入加载程序，而是滥用 extensionPack（扩展包）和 extensionDependencies（扩展依赖项），在后续更新中将最初看似独立的扩展转变为间接传播工具，使得一个看似良性的软件包在建立信任后，才开始引入与 GlassWorm 相关的单独扩展。” 这家软件供应链安全公司表示，自 2026 年 1 月 31 日以来，他们发现至少还有 72 个针对开发者的恶意 Open VSX 扩展。这些扩展模仿广泛使用的开发者工具，包括代码检查器和格式化工具、代码运行器，以及诸如 Clade Code 和 Google Antigravity 等人工智能驱动的代码辅助工具。 以下是部分扩展的名称。此后，Open VSX 已采取措施将它们从注册表中移除： angular-studio.ng – angular – extension crotoapp.vscode – xml – extension gvotcha.claude – code – extension mswincx.antigravity – cockpit tamokill12.foundry – pdf – extension turbobase.sql – turbo – tool vce – brendan – studio – eich.js – debuger – vscode GlassWorm 是一场持续的恶意软件攻击活动，它多次通过恶意扩展渗透微软 Visual Studio Marketplace 和 Open VSX，这些恶意扩展旨在窃取机密信息、掏空加密货币钱包，并将受感染的系统用作其他犯罪活动的代理。 网络安全方面，虽然该活动于 2025 年 10 月首次被 Koi Security 标记，但早在 2025 年 3 月就已发现使用相同策略的 npm 包，特别是使用不可见的 Unicode 字符来隐藏恶意代码。 最新变体保留了与 GlassWorm 相关的许多特征：进行检查以避免感染俄罗斯区域设置的系统，并使用 Solana 交易作为一种隐秘通信方式来获取命令与控制（C2）服务器，以提高弹性。 但这组新的扩展还具有更强的混淆性，轮换 Solana 钱包以逃避检测，并且滥用扩展关系来部署恶意有效载荷，类似于 npm 包依赖恶意依赖项以躲避检测。无论一个扩展在其 “package.json” 文件中被声明为 “extensionPack” 还是 “extensionDependencies”，编辑器都会继续安装其中列出的所有其他扩展。 通过这种方式，GlassWorm 攻击活动使用一个扩展作为另一个恶意扩展的安装程序。这也开启了新的供应链攻击场景，攻击者首先将一个完全无害的 VS Code 扩展上传到市场以绕过审核，之后更新该扩展，将与 GlassWorm 相关的软件包列为依赖项。 Socket 公司称：“结果是，一个在最初发布时看似非传递性且相对良性的扩展，随后可以在不改变其表面用途的情况下，成为一个传递 GlassWorm 的工具。” 在一份同期发布的公告中，Aikido 将 GlassWorm 威胁行为者归因于一场在开源存储库中传播的大规模攻击活动，攻击者向各种存储库注入不可见的 Unicode 字符来编码有效载荷。虽然当内容加载到代码编辑器和终端中时不可见，但解码后会得到一个加载程序，该加载程序负责获取并执行一个第二阶段脚本，以窃取令牌、凭证和机密信息。 据估计，在 2026 年 3 月 3 日至 3 月 9 日期间，作为该活动一部分，不少于 151 个 GitHub 存储库受到影响。此外，相同的 Unicode 技术已被部署在两个不同的 npm 包中，这表明这是一次有协调的多平台攻击： @aifabrix/miso – client @iflow – mcp/watercrawl – watercrawl – mcp 安全研究员伊利亚斯・马卡里（Ilyas Makari）表示：“恶意注入并非出现在明显可疑的提交中。周围的更改很真实：文档调整、版本升级、小的重构以及与每个目标项目风格一致的错误修复。这种针对特定项目的定制程度强烈表明，攻击者正在使用大语言模型来生成令人信服的掩护提交。” PhantomRaven 还是研究实验？ 与此同时，Endor Labs 表示，他们发现从 2025 年 11 月到 2026 年 2 月，分三波通过 50 个一次性账户上传了 88 个新的恶意 npm 包。这些包具备从受感染机器上窃取敏感信息的功能，包括环境变量、CI/CD 令牌和系统元数据。 该活动因使用远程动态依赖项（RDD）而引人注目，在这种情况下，“package.json” 元数据文件在自定义 HTTP URL 指定依赖项，从而使操作者能够动态修改恶意代码并绕过检查。 在网络安全领域，虽然这些包最初被认定为 PhantomRaven 攻击活动的一部分，但这家应用安全公司在一次更新中指出，它们是一名安全研究人员作为合法实验的一部分制作的 —— 但 Endor Labs 对此说法提出质疑，并列举了三个警示信号。其中包括这些库收集的信息远超必要范围、对用户不透明，以及由故意轮换的账户名和电子邮件地址发布。 截至 2026 年 3 月 12 日，这些包的所有者已进行了更多更改，将在这三个月期间发布的一些 npm 包中用于收集数据的有效载荷替换为简单的 “Hello, world!” 消息。 Endor Labs 表示：“虽然移除收集大量信息的代码当然值得欢迎，但这也凸显了与 URL 依赖相关的风险。当软件包依赖托管在 npm 注册表之外的代码时，作者无需发布新的软件包版本就能完全控制有效载荷。通过修改服务器上的单个文件 —— 或者仅仅关闭它 —— 他们可以立即无声地更改或禁用每个依赖包的行为。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Payload 勒索软件组织宣称已入侵巴林一家主要医疗机构 —— 巴林皇家医院（RBH）。 Payload 勒索软件组织声称侵入了巴林皇家医院，并窃取了 110GB 的数据。该勒索软件团伙将这家医疗机构列入其暗网数据泄露网站，并公布了疑似被攻击系统的图片，以此作为攻击证据。 该组织威胁称，如果在 3 月 23 日前未收到赎金，就会公开所窃取的数据。 巴林皇家医院成立于 2011 年，是一家拥有 70 张床位的医疗机构，提供住院和门诊服务，包括手术、产科护理和诊断等。其服务对象来自巴林及阿曼、卡塔尔、沙特阿拉伯和阿联酋等周边国家。 Payload 勒索软件是一个相对较新的网络犯罪活动，采用双重勒索模式，即结合数据窃取和文件加密手段向受害者施压。该组织主要针对新兴市场中房地产和物流等行业的大中型企业。从技术层面看，这款勒索软件使用 ChaCha20 算法进行文件加密，Curve25519 算法进行密钥交换，同时会删除卷影副本并禁用安全工具。 与许多现代犯罪团伙一样，Payload 很可能是以勒索软件即服务的模式运营，并设有一个暗网泄露网站，用于公布未支付赎金受害者的数据。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦调查局（FBI）正在向安装了含恶意软件 Steam 游戏的玩家征集信息，这是针对上传至该游戏平台的 8 款恶意游戏所开展调查的一部分。 在 FBI 西雅图分局今日发布的一则通知中，该机构表示，正在试图确认 2024 年 5 月至 2026 年 1 月期间，在 Steam 上安装了其中一款恶意游戏后受到影响的人员。 通知中写道：“FBI 西雅图分局正在寻找可能安装了嵌入恶意软件 Steam 游戏的受害者。FBI 认为，威胁行为者主要针对的是 2024 年 5 月至 2026 年 1 月这一时间段内的用户。” “在调查中，已确定多款游戏存在问题，包括《方块爆破手》（BlockBlasters）、《化学世界》（Chemia）、《达什宇宙 / 达什第一人称射击》（Dashverse/DashFPS）、《小灯神》（Lampy）、《露娜拉》（Lunara）、《海盗加密》（PirateFi）和《托肯诺瓦》（Tokenova）。” “如果您和 / 或您监护的未成年人因安装这些游戏之一而成为受害者，或者拥有与此次调查相关的信息，请填写这份简短表格。” 调查问卷显示，FBI 关注的重点是安装恶意软件后的加密货币盗窃和账户劫持情况，询问有关加密货币交易、被盗用账户及被盗资金的问题。 该表格还要求提供与推广这些游戏的人员的通信截图，这有助于调查人员追踪被盗的加密货币，并追查到传播恶意软件的人。 FBI 向 BleepingComputer 表示：“法律要求 FBI 确认其调查的联邦犯罪受害者身份。受害者可能有资格根据联邦和 / 或州法律获得某些服务、赔偿并享有相应权利。所有受害者身份都将予以保密。” “2026 年 3 月 12 日发出的大规模通知中列出的网站和电子邮件是 FBI 官方授权的。目前，FBI 无法提供超出电子邮件通知中网站所提及信息之外的具体细节。” FBI 还呼吁任何知晓可能受影响人员的人，鼓励他们向 Steam_Malware@fbi.gov 提交问询。 BleepingComputer 也向 Valve 公司发送了有关此次调查的问题，但未收到回复。 Steam 游戏中隐藏的恶意软件 在过去两年里，Steam 平台上发现的多款恶意游戏传播了窃取信息的恶意软件，这些恶意软件旨在从玩家设备中获取凭证、加密货币钱包及其他敏感数据。 其中最引人注目的案例之一涉及《方块爆破手》，这是一款 2024 年 7 月至 9 月期间在 Steam 平台上提供的免费 2D 平台游戏。该游戏最初上传至 Steam 时是干净的程序，但后来被添加了加密货币窃取恶意软件。 这款 Steam 恶意游戏的情况是由视频游戏主播雷沃・普拉夫尼克斯（拉斯特兰 TV，Raivo Plavnieks/RastalandTV）在一次直播中揭露的，当时他正在为癌症治疗筹款。 这位主播下载了这款经 Steam 验证的游戏后，称其加密货币钱包损失了超过 3.2 万美元。 区块链调查员扎克 XBT（ZachXBT）后来估计，攻击者从 261 个 Steam 账户中窃取了约 15 万美元。网络安全研究员 VX-Underground 随后报告称，受害者数量高达 478 人。 在恶意生存建造游戏《化学世界》中，一个名为 EncryptHub 的威胁行为者添加了 HijackLoader 恶意软件，该软件会下载 Vidar 信息窃取器。后来发现，这款游戏还安装了 EncryptHub 定制的 Fickle Stealer 恶意软件，该软件会窃取凭证、浏览器数据、Cookie 和加密货币钱包信息。 《海盗加密》游戏也传播了 Vidar 信息窃取器，2025 年 2 月在 Steam 平台上存在了约一周时间。在该游戏从 Steam 下架前，可能有多达 1500 名用户下载了它。 Steam 随后警告启动该游戏的玩家，其电脑上可能已执行恶意文件，并建议他们运行杀毒扫描、检查已安装软件，并考虑重新安装操作系统。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰国家核研究中心（NCBJ）表示，其信息技术基础设施遭到黑客攻击，但在造成任何影响前就已被检测并拦截。 该机构本周在一份声明中宣布，其用于及早发现威胁的安全系统和内部流程，成功阻止了系统被入侵，并让信息技术人员迅速加固了受攻击目标。 波兰国家核研究中心称：“得益于安全系统与相关流程在此次事件中的快速高效运行，以及团队的迅速响应，攻击被成功挫败，系统完整性未受破坏。” 波兰国家核研究中心是该国主要的政府核科研机构，专注于核物理、反应堆技术、粒子物理和辐射应用领域，为波兰核电项目提供技术与科研支持。 该机构还运营着波兰唯一一座用于科研实验、中子研究及医用同位素生产的玛丽亚（MARIA）核反应堆，此反应堆不用于发电。 波兰国家核研究中心主任雅各布・库佩茨基教授表示，此次网络安全事件未影响玛丽亚反应堆的运行，反应堆仍以满功率安全稳定运转。 该机构已通报波兰相关部门并启动调查，同时内部安全团队已进入高度戒备状态，以应对任何新的威胁。 尽管该机构未将此次攻击归咎于任何特定黑客组织或国家，但路透社报道称，波兰当局发现伊朗可能是此次网络攻击的幕后方。不过调查人员仍持谨慎态度，因为这些迹象有可能是虚假旗标行动（故意嫁祸）。 本月早些时候，波兰国防部长弗拉迪斯拉夫・科希尼亚克 – 卡米什表示，波兰并未参与中东冲突。 今年 1 月有消息披露，波兰电网 —— 尤其是多个分布式能源资源站点、热电联产设施、风电与光伏调度系统 —— 曾遭到俄罗斯黑客组织 APT44（“沙虫”）的攻击。 2 月底，国际气候与环境研究中心（ICCT）的一份报告将波兰列为俄罗斯网络行动的重点目标之一：2025 年年中至 2026 年年初，已有31 起确认为俄罗斯方面发起的网络事件。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 星巴克披露了一起数据泄露事件，数百名员工的个人信息遭到波及。 这起网络安全事件于 2 月 6 日被察觉，当时这家咖啡巨头获悉其 “星巴克伙伴中心” 账户遭到未经授权的访问。 “伙伴中心” 是星巴克员工（公司称他们为 “伙伴”）用于管理个人信息、薪资以及福利数据的在线门户网站。 基于星巴克披露的有限信息来看，似乎其系统并非直接攻击目标，网络也未遭破坏。 一项调查发现，黑客通过网络钓鱼攻击获取用户凭证后，得以访问 “星巴克伙伴中心” 账户。此次网络钓鱼利用了模仿该门户网站设计的虚假网站。 星巴克在向受影响员工发出的通知中称：“基于我们的调查，我们了解到您的部分个人信息，包括姓名、社会安全号码、出生日期、金融账户号码及路由号码，可能已被未经授权的第三方获取。” 执法部门已得知这起事件，同时星巴克为受影响员工提供免费的身份信息保护服务。 根据提交给缅因州总检察长办公室的数据泄露通知，此次事件影响了近 900 名星巴克员工。该公司在美国拥有超过 20 万名员工。 该通知还显示，对员工账户的未经授权访问发生在 1 月 19 日至 2 月 11 日之间。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一份重要安全公告已发布，警告用户存在一个高严重性漏洞，同时影响 Enterprise 和 Cloud 平台。 该漏洞编号为 CVE-2026-20163，CVSS 评分为 8.0。它允许攻击者在目标系统上执行远程命令执行（RCE）。 该漏洞源于系统在对上传文件建立索引前进行预览时，对用户输入处理不当。 虽然该漏洞要求攻击者拥有高级别权限，但成功利用后可使恶意用户控制底层主机服务器。 Splunk 远程代码执行漏洞核心问题归类为 CWE-77，即对命令中使用的特殊元素未正确进行中性化处理。 该漏洞存在于 Splunk 的 REST API 组件中，具体针对 /splunkd/__upload/indexing/preview 端点。 攻击者要利用该漏洞，必须已拥有包含高权限 edit_cmd 功能的用户角色。 如果满足此条件，攻击者可在文件上传预览过程中操纵 unarchive_cmd 参数。 由于系统未正确清理该输入内容，攻击者可轻松在服务器上直接注入并执行任意 Shell 命令。 该漏洞已由安全研究员 Danylo Dmytriiev（DDV_UA）以及 Splunk 内部团队成员 Gabriel Nitu 和 James Ervin 负责任地披露。 该漏洞影响 Splunk 软件的多个近期版本。管理员应对照以下受影响版本检查自己的部署环境。 受影响版本包括 Enterprise 10.0.0–10.0.3、9.4.0–9.4.8、9.3.0–9.3.9，以及 Cloud Platform 低于 10.2.2510.5、10.1.2507.16、10.0.2503.12 和 9.3.2411.124 的版本。 基础版 Splunk Enterprise 10.2 不受该漏洞影响。此外，Splunk 正在主动监控并直接向受影响的 Cloud Platform 实例部署补丁。 为保护基础设施免受潜在利用，Splunk 强烈建议立即通过更新或临时缓解措施修复该漏洞。 升级 Splunk Enterprise：管理员应将安装版本升级至已修复版本 10.2.0、10.0.4、9.4.9、9.3.10 或更高版本。实施缓解措施：如果无法立即升级，可通过从所有用户角色中完全移除高权限 edit_cmd 功能来降低风险。这会通过拒绝执行恶意命令所需的权限来阻断攻击链。 目前尚无针对该漏洞的专用威胁检测特征库，因此主动打补丁和严格权限管理至关重要。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大最大的食品和药品零售商 Loblaw Companies Limited（Loblaw）宣布，黑客入侵了其部分 IT 网络并访问了客户的基础信息。 该零售商在全国拥有 2500 家门店（特许经营超市、药房、银行网点和服装店铺），并计划今年新增 70 家门店，作为其到 2030 年投资 100 亿加元的五年计划的一部分。 该公司拥有 22 万名员工，年收入 450 亿加元。其最知名的商业品牌和标识包括 Loblaws、Real Canadian Superstore、No Frills、Maxi、President’s Choice、PC Optimum 和 Joe Fresh。 本周早些时候，该公司告知客户，其在网络上检测到可疑活动，进而发现了入侵行为。 Loblaw 表示：“在其 IT 网络中一个隔离、非核心的部分发现可疑活动后，公司确认有犯罪第三方访问了部分客户基础信息，例如姓名、电话号码和电子邮件地址。” 泄露的数据属于个人可识别信息（PII），可能被用于钓鱼攻击和欺诈活动。Loblaw 的客户应警惕来自陌生联系人的可疑通信。 该公司指出，截至目前的调查未发现财务信息（如信用卡详情）、健康信息或账户密码遭到泄露的证据。 但出于高度谨慎，Loblaw 表示已将所有客户自动登出账户。需要使用公司数字服务的账户持有人必须重新登录。建议客户同时修改密码。 Loblaw 的调查显示，其金融服务品牌 PC Financial 未受此次事件影响。 截至发稿时，Bleeping Computer 未发现有威胁组织公开宣称对此次攻击负责，也未发现地下论坛上有兜售 Loblaw 相关数据的信息。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文