1、ChaosBot利用Discord频道控制受害者电脑

https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control

网络安全公司eSentire报告称，研究人员在2025年9月底于一家金融服务客户环境中首次发现一款名为ChaosBot的Rust编写后门。攻击者通过被窃取的Cisco VPN凭据与过度权限的AD账户（serviceaccount），利用WMI横向传播并部署恶意DLL（msedge_elf.dll，借助 identity_helper.exe侧载）。该后门常通过含恶意LNK的钓鱼邮件分发，打开时会执行PowerShell下载并运行，同时展示伪造的越南国家银行PDF作为诱饵。ChaosBot异常之处在于其把Discord频道作为C2（与账号chaos_00019、lovebb0024关联），以受害主机名为频道接收指令（支持shell、scr、download、upload等命令），并下载FRP建立反向代理维持访问。研究人员还发现其具备反取证与虚拟机检测技巧（打补丁绕过ETW，校验VM MAC前缀后退出）。此外，Fortinet披露与之相关的Chaos-C++勒索家族增加了文件销毁与剪贴板劫持功能，旨在同时实施破坏性勒索与加密货币转账劫持。

2、研究人员发现175个恶意npm包用于凭证钓鱼

https://socket.dev/blog/175-malicious-npm-packages-host-phishing-infrastructure

安全研究机构Socket披露，一场代号“Beamglea”的大规模凭证钓鱼行动利用175个恶意npm包（累计下载约2.6万次）和unpkg CDN托管重定向脚本，针对135+家工业、科技与能源企业。攻击者借助redirect_generator.py自动发布名为redirect-xxxx的包，注入受害者邮箱与定制钓鱼URL，生成含beamglea.js的HTML诱饵（已发现630余个），邮件或其它途径传播后，受害者在浏览器打开即被重定向到伪装的微软登录页面并预填邮箱，从而大幅提升点击与凭证泄露成功率。研究者称此为滥用合法开源与CDN基础设施进行低成本、可复用钓鱼的新型战术。

3、Stealit恶意软件通过游戏和VPN安装程序进行传播

https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application

Fortinet FortiGuard Labs披露，名为Stealit的活跃恶意软件团伙利用Node.js的Single Executable Application（SEA）及部分Electron打包特性，通过伪装的游戏和VPN安装程序在Mediafire、Discord等文件站点传播。该样本在运行前做反分析与沙箱检测，并将Base64编码的12字符认证密钥写入%temp%\cache.json以与C2认证，随后下载组件并尝试配置微软Defender排除项以规避检测。研究人员指出，Stealit由多个可执行文件组成：save_data.exe（提权时投放ChromElevator相关的cache.exe以提取Chromium浏览器数据）、stats_db.exe（窃取即时通讯、加密钱包与游戏平台数据），以及game_cache.exe（通过VBScript建立开机持久化、实时屏幕流、远程命令与文件传输）。威胁行为者甚至以订阅模式对外售卖该RAT/信息窃取服务，价格从周付到终身不等。

4、SonicWall VPN遭大规模入侵

https://www.huntress.com/blog/sonicwall-sslvpn-compromise

网络安全公司Huntress警告称，自2025年10月4日起，黑客正大规模入侵SonicWall SSL VPN设备，已影响超100个账户、涉及16家客户。攻击者通过已掌握的有效凭证快速登录多台设备，部分仅短暂连接即断开，部分则执行网络扫描并尝试访问本地Windows账户。此次事件发生背景为SonicWall此前确认MySonicWall云备份服务泄露防火墙配置文件，虽尚无证据表明两起事件关联，但安全专家提醒，配置文件中包含可被利用的敏感凭证与设置信息。Huntress建议受影响组织立即重置防火墙凭据、限制远程管理与外部API访问，并启用多因素认证，以防勒索软件组织（如Akira）利用已知漏洞（CVE-2024-40766）继续渗透网络。

5、Oracle EBS曝高危未授权漏洞

https://www.oracle.com/security-alerts/alert-cve-2025-61884.html

Oracle发布安全警报，披露其E-Business Suite存在编号为CVE-2025-61884的高危漏洞（CVSS 7.5），受影响版本涵盖12.2.3至12.2.14。该漏洞可被远程攻击者经HTTP在无身份验证的情况下利用，直接访问或控制Oracle Configurator中的敏感数据。尽管目前暂无在野利用报告，Oracle敦促用户尽快安装修复更新。首席安全官Rob Duhart表示，该问题影响部分EBS部署，若被武器化可能导致敏感资源泄露。值得注意的是，此次披露紧随另一EBS零日漏洞CVE-2025-61882之后，后者已被攻击者利用植入多种恶意代码（如GOLDVEIN.JAVA、SAGEGIFT、SAGELEAF与SAGEWAVE），显示针对Oracle企业系统的攻击活动仍在持续升级。

6、微软Defender for Endpoint漏洞3个月未修复

https://www.freebuf.com/articles/endpoint/452300.html

研究人员发现微软 Defender for Endpoint（DFE）与其云服务之间的网络通信存在严重漏洞，可使入侵后的攻击者绕过身份验证、伪造数据、泄露敏感信息，甚至将恶意文件上传至调查数据包。

7、7-Zip两大高危漏洞可导致任意代码执行

https://www.freebuf.com/articles/network/452293.html

Zero Day Initiative（ZDI）近日披露了开源压缩工具 7-Zip 中两处高危漏洞的技术细节，攻击者可诱骗用户打开特制 ZIP 文件实现任意代码执行。目前这两个漏洞已在 7-Zip 25.00 版本中完成修复。

8、微软终修复 Win11 异常重启故障："更新并关机"功能恢复正常

https://securityonline.info/microsoft-finally-fixes-windows-11-bug-causing-pcs-to-auto-restart-instead-of-update-and-shut-down/

Windows 11修复"更新并关机"异常重启问题，此前该选项会错误执行重启导致夜间自动开机。补丁已在预览版推出，正式版将很快更新。

9、Happy DOM曝CVSS 9.4严重RCE漏洞

https://www.freebuf.com/articles/web/452325.html

流行的JavaScript包Happy DOM曝出严重安全漏洞，该漏洞可使攻击者逃逸Node.js虚拟机（VM）上下文并在主机系统上执行任意代码。该漏洞被追踪为CVE-2025-61927，CVSSv4评分为9.4。Happy DOM是一款用于测试、爬取和服务器端渲染（SSR）的浏览器模拟工具。据安全公告显示："Happy DOM v19及更低版本存在安全漏洞，可能导致系统遭受远程代码执行（RCE）攻击。"

10、新型“Mic-E-Mouse”攻击：光学鼠标秒变隐蔽窃听设备

https://www.anquanke.com/post/id/312479

加州大学欧文分校的研究人员展示了一种新颖且实用的侧信道攻击，名为”Mic-E-Mouse”。该攻击利用日常光学鼠标的传感器来还原可理解的人声，从而将普通鼠标变成一种粗糙但隐蔽的麦克风。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。