/
网络安全周报:电信潜伏威胁、大语言模型越狱攻击与苹果强制年龄验证
本周网络安全事件频发:中国红门深组织在全球电信基础设施部署BPF后门进行长期潜伏;FBI确认局长邮箱遭伊朗黑客入侵;Citrix NetScaler关键漏洞遭主动利用;GlassWorm恶意活动升级投放Chrome窃取扩展;苹果在英国推出强制年龄验证;多个高危漏洞需紧急修补,自动化流量增长速度是人类流量8倍。
新型"StoatWaffle"恶意软件对开发者实施自动化攻击
新发现的StoatWaffle恶意软件为针对开发者的"传染性面试"威胁活动增添新威力。攻击者利用区块链主题项目存储库作诱饵,嵌入恶意VS Code配置文件,当开发者打开并信任文件夹时自动触发代码执行。该恶意软件基于Node.js实现模块化架构,具备窃取和远程访问木马功能,可根据受害者浏览器类型执行定制化攻击行为。
黑客利用7个npm包发起Ghost攻击窃取加密货币钱包
网络安全研究人员发现了一组新的恶意npm包,专门用于窃取加密货币钱包和敏感数据。该活动被命名为Ghost活动,通过伪造安装日志和诱骗用户输入管理员密码来隐藏恶意功能。攻击者利用GitHub仓库和AI辅助开发工作流程,通过多阶段感染过程部署远程访问木马,最终收集浏览器凭据、加密钱包、SSH密钥等敏感信息,并通过Telegram机器人转发窃取的数据。
GlassWorm攻击利用窃取的GitHub令牌向Python仓库强制推送恶意软件
GlassWorm恶意软件活动正被用于持续攻击,通过窃取的GitHub令牌向数百个Python仓库注入恶意代码。攻击目标包括Django应用、机器学习研究代码、Streamlit仪表板和PyPI包,通过在setup.py、main.py和app.py等文件中附加混淆代码实现。攻击者获取开发者账户访问权限后,将恶意代码变基到目标仓库的默认分支并强制推送更改,同时保持原始提交信息、作者和日期不变。这种新的攻击变种被命名为ForceMemo。
网络犯罪团伙伪造思科、飞塔等厂商VPN客户端窃取凭据
微软发现Storm-2561犯罪团伙通过伪造CheckPoint、思科、Fortinet、Ivanti等厂商的企业级VPN客户端来窃取用户凭据。该团伙自2025年5月以来一直活跃,通常利用SEO操控和厂商冒充来分发恶意软件。攻击者操控搜索结果,将伪装成VPN更新的恶意网站推至搜索榜首,用户点击后被重定向至托管虚假VPN客户端的GitHub存储库。这些伪造的MSI安装文件会在安装过程中侧载恶意DLL文件,提示用户输入凭据并将其发送至攻击者控制的服务器。
Microsoft曝光Storm-2561组织利用SEO投毒传播木马VPN窃取凭据
微软披露了一项凭证窃取活动,攻击者通过SEO毒化技术分发虚假VPN客户端。该活动将搜索合法企业软件的用户重定向至恶意网站,下载数字签名的木马程序,这些程序伪装成可信VPN客户端以收集VPN凭证。微软将此活动归因于Storm-2561威胁组织,该组织自2025年5月以来一直通过SEO毒化传播恶意软件。攻击者利用GitHub等可信平台托管安装文件,显示虚假VPN登录对话框捕获凭证,并使用Hyrax信息窃取器变体。
恶意npm包伪装OpenClaw安装程序部署远控木马,窃取macOS凭证
研究人员发现一个名为"@openclaw-ai/openclawai"的恶意npm包,伪装成OpenClaw安装器来部署远程访问木马并窃取敏感数据。该包已被下载178次,能够窃取系统凭据、浏览器数据、加密钱包、SSH密钥等信息,并安装持久化RAT。恶意软件通过虚假命令行界面和伪造的iCloud钥匙串授权提示来欺骗用户输入系统密码,随后从C2服务器下载二阶段载荷进行数据窃取和远程控制。
Chrome浏览器扩展程序所有权转移后变恶意软件
两个Chrome扩展在所有权转让后变为恶意软件,攻击者可通过此方式向用户推送恶意代码并窃取敏感数据。QuickLens和ShotBird扩展原开发者将其出售给新的开发者后,新版本添加了恶意功能,包括绕过安全策略、指纹识别用户信息、定期接收并执行恶意JavaScript代码等。恶意代码可捕获用户输入的凭证、PIN码、银行卡信息等敏感数据,并窃取浏览器存储的密码和浏览记录。
npm蠕虫攻击瞄准CI管道与AI编程工具
Socket研究人员发现名为SANDWORM_MODE的大规模npm供应链蠕虫攻击,通过开发者机器、CI管道和AI编程工具传播。攻击者发布了至少19个伪造包,冒充热门开发工具和AI相关工具。恶意软件一旦安装,会执行多阶段载荷,窃取本地环境和CI系统的机密信息,并使用被盗令牌修改其他代码库。该恶意软件还包含"死亡开关"功能,可在被检测时清除主目录。攻击特别针对AI编程助手,通过恶意MCP服务器和提示注入技术窃取敏感数据。
UAT-10027组织利用Dohdoor后门攻击美国教育医疗机构
思科Talos发现名为UAT-10027的威胁活动集群,自2025年12月起持续攻击美国教育和医疗机构。攻击者部署全新后门程序Dohdoor,利用DNS-over-HTTPS技术进行隐蔽通信,通过DLL侧加载技术执行恶意载荷。该后门可绕过EDR检测,利用Cloudflare基础设施隐藏C2服务器,使恶意通信看似合法HTTPS流量。研究人员发现多所教育机构和养老医疗设施受到感染,但尚未发现数据泄露证据。
恶意StripeApi NuGet包模仿官方库窃取API令牌
网络安全研究人员发现NuGet Gallery上出现恶意包StripeApi.Net,伪装成金融服务公司Stripe的合法库。该包模仿拥有超过7500万下载量的官方Stripe.net库,使用相同图标和几乎相同的说明文档。攻击者人为夸大下载量至18万次,分布在506个版本中。该恶意包复制了合法包的部分功能,但修改了关键方法来收集和传输用户的Stripe API令牌等敏感数据。由于其余代码保持完全功能性,不易引起开发者怀疑。
Next.js开发者遭遇恶意代码库攻击窃取机密信息
微软发现黑客利用伪装成合法项目的恶意代码库攻击Next.js开发者。这些恶意库通过多种方式在开发者机器上执行,最终都导致恶意JavaScript在内存中运行。攻击路径包括滥用VS Code工作区自动化、运行开发服务器或启动应用后端等开发者日常操作。恶意代码会建立与攻击者C2基础设施的连接,窃取个人数据、源代码和云资源等敏感信息。
恶意NuGet包窃取ASP.NET数据,npm包投放恶意软件
网络安全研究人员发现了四个恶意NuGet包,专门针对ASP.NET开发者窃取敏感数据。这些包能够窃取ASP.NET身份数据,包括用户账户、角色分配和权限映射,并操纵授权规则在受害应用中创建持久后门。同时,恶意npm包ambar-src在被移除前获得超过5万次下载,该包针对不同操作系统投放不同恶意载荷,包括Windows上的加密shellcode、Linux上的SSH反向shell客户端以及macOS上的Apfell代理。
Notepad++修复劫持更新机制被利用投递定向恶意软件漏洞
Notepad++发布8.9.2安全更新,修复了被中国高级威胁行为者利用的软件更新机制漏洞。新版本采用"双重锁定"设计,验证从GitHub下载的签名安装程序和更新服务器返回的签名XML。同时移除了libcurl.dll以消除DLL侧载风险,修复了可能导致任意代码执行的高危漏洞CVE-2026-25926。此前攻击者通过劫持更新流量投放名为Chrysalis的后门程序。
Lazarus组织在npm和PyPI平台植入恶意软件包
网络安全研究人员发现了一系列与朝鲜Lazarus组织相关的恶意软件包,分布在npm和PyPI仓库中。该活动代号为graphalgo,自2025年5月起活跃。攻击者通过LinkedIn、Facebook等社交平台或Reddit论坛的虚假招聘接触开发者,创建区块链公司Veltrix Capital作为掩护。恶意包通过依赖项间接植入,部署远程访问木马收集系统信息。研究还发现了其他恶意npm包活动,包括Bada窃取器和XPACK勒索攻击。
SSHStalker僵尸网络通过暴力破解攻陷7000台Linux服务器
新发现的SSHStalker僵尸网络通过暴力破解弱SSH密码认证,已入侵至少七千台Linux服务器,其中一半位于美国。该僵尸网络使用可追溯至2009年的未修补Linux漏洞进行攻击,融合了IRC战术与现代自动化技术。研究人员建议禁用SSH密码认证,改用密钥认证或VPN保护,并实施暴力破解限制和监控措施来防范此类攻击。
伪装磁盘格式:PDF文件暗藏新威胁
最新钓鱼攻击活动通过虚拟硬盘链接伪装恶意软件为普通PDF文档。攻击者利用员工习惯接收PDF格式订单和发票的特点,诱导用户点击托管在IPFS去中心化存储网络上的恶意文件。这些虚拟硬盘文件被打开后会挂载为本地磁盘,绕过Windows安全防护,内含伪装成PDF的Windows脚本文件。用户一旦打开,恶意代码将被执行,使计算机面临AsyncRAT远程访问木马的控制威胁。
TeamPCP恶意蠕虫利用云基础设施构建犯罪网络平台
网络安全研究人员发现了一个名为TeamPCP的威胁组织发起的大规模攻击活动,该组织系统性地利用暴露的Docker API、Kubernetes集群、Ray仪表板和Redis服务器等云原生环境漏洞,以及React2Shell高危漏洞来构建恶意基础设施。攻击者通过蠕虫式传播方式,将受损基础设施用于加密货币挖矿、数据托管、代理和命令控制中继等多种犯罪活动,形成了自我传播的犯罪生态系统。
亚洲国家级黑客组织潜入37国关键网络实施间谍活动
一个与亚洲国家关联的网络间谍组织在持续的间谍活动中攻破了37个国家的政府和关键基础设施组织。该组织总共入侵了至少70个机构,并在其中几个机构中维持了数月的访问权限。成功入侵的目标包括五个国家警察或边境管制机构、一国议会、高级民选官员以及国家电信公司。网络安全研究人员发现该组织还开发了名为ShadowGuard的Linux内核级后门程序,能够在内核层面隐藏进程信息和文件。
Nitrogen勒索软件漏洞严重:连黑客都无法解锁受害者文件
网络安全专家发现Nitrogen勒索软件组织的程序存在严重编程错误,导致即使受害者支付赎金也无法恢复数据。该恶意软件在加密VMware ESXi文件时使用了错误的公钥,因为程序在内存中加载新变量时覆盖了公钥的前四个字节,使得生成的损坏公钥无法与任何私钥匹配。这个编程失误将经济驱动的勒索软件变成了纯粹的破坏性攻击,让双方都成为输家。
京公网安备 11010802021500号
