1、GlassWorm蠕虫入侵VS Code与OpenVSX扩展平台

https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace#heading-5

Koi Security研究人员披露，一场名为“GlassWorm”的供应链攻击正在针对OpenVSX与Microsoft VS Code扩展平台的开发者。该自传播恶意软件通过隐藏的Unicode字符伪装代码，利用被盗账户信息在多个扩展间传播，迄今已感染约3.58万次。GlassWorm可窃取GitHub、npm与加密钱包凭证，并部署SOCKS代理与HVNC组件实现隐蔽远控。其指令控制系统基于Solana区块链，并辅以Google日历和BitTorrent DHT以增强隐蔽性与抗封锁能力。最终载荷“ZOMBI”为高度混淆的JavaScript模块，使受感染的开发者主机成为犯罪网络节点。目前，微软已下架相关扩展，但部分感染版本仍在OpenVSX上可下载。

2、Pwn2Own爱尔兰首日曝34个零日漏洞

https://www.bleepingcomputer.com/news/security/hackers-exploit-34-zero-days-on-first-day-of-pwn2own-ireland/

在2025年Pwn2Own爱尔兰黑客竞赛首日，参赛研究人员共成功利用34个零日漏洞，赢得总计52.25万美元奖金。来自Team DDOS的Bongeun Koo与Evangelos Daravigkas通过八个零日漏洞链攻击QNAP路由器与NAS设备，单项奖金达10万美元。Synacktiv、DEVCORE、Summoning等团队亦成功攻破Synology、QNAP与Home Assistant设备。Summoning团队以总奖金10.25万美元暂居积分榜首。此次赛事由趋势科技旗下Zero Day Initiative（ZDI）主办，旨在于漏洞被威胁行为者利用前促成厂商修补，厂商获90天修复期。本届新增移动设备USB攻击向量，并设立高达100万美元的WhatsApp零点击漏洞奖金，赛事于10月21日至24日在爱尔兰科克举行。

3、Cursor、Windsurf曝90余个Chromium漏洞

https://www.ox.security/blog/94-Vulnerabilities-in-Cursor-and-Windsurf-Put-1-8M-Developers-at-Risk/

安全公司Ox Security披露，AI 代码编辑器Cursor与Windsurf因内嵌过旧的Electron/Chromium与V8引擎，累计存在94个已修补的n-day漏洞，约180万开发者面临风险。研究人员以CVE-2025-7656为例，演示通过deeplink触发渲染器崩溃（DoS），并警示真实攻击可构造成内存破坏或远程执行。攻击向量包括恶意扩展、带毒的文档/README预览与钓鱼链接。Cursor将部分报告定为“超出范围”，Windsurf未回应，厂商尚未全面跟进修复。Ox建议立即升级至最新VS Code/Electron版本并审查扩展与文档预览策略以减轻风险。

4、GitLab 多安全漏洞可致攻击者触发拒绝服务状态

https://www.freebuf.com/articles/453728.html

GitLab 已紧急发布社区版（CE）和企业版（EE）的 18.5.1、18.4.3 和 18.3.5 补丁版本，修复多个关键安全漏洞，其中包括数个高危拒绝服务（DoS）漏洞。

5、Rust异步TAR库TARmageddon漏洞可植入恶意档案

https://www.freebuf.com/articles/453730.html

Edera安全团队披露了Rust异步TAR库async-tar及其分支（如tokio-tar）中存在的一个高危漏洞（CVE-2025-62518，CVSS评分8.1），该漏洞被命名为TARmageddon。攻击者可利用此漏洞实现远程代码执行。

6、微软365 Copilot 提示注入漏洞可导致攻击者窃取敏感数据

https://www.freebuf.com/articles/ai-security/453577.html

研究人员发现Microsoft 365 Copilot（M365 Copilot）存在一项复杂漏洞，攻击者可通过间接提示注入攻击窃取租户敏感数据，包括近期电子邮件内容。

7、AWS服务大规模中断，基础设施故障影响全球企业

https://hackread.com/aws-outage-mitigated-impact-what-happened/

AWS云服务DNS故障引发全球中断，影响Reddit、金融平台等多领域，凸显数字基础设施依赖风险，专家呼吁加强备份与监管。

8、Xubuntu官方网站遭入侵，下载链接被替换为恶意软件

https://securityonline.info/warning-xubuntu-website-compromised-to-deliver-malware/

Xubuntu官网遭黑客入侵，下载链接被替换为含恶意EXE的ZIP文件，32款安全引擎标记为后门程序。攻击者捆绑正常安装程序掩盖恶意行为，疑似窃取加密货币钱包等财务信息。团队已移除恶意链接。

9、逾7.1万台WatchGuard设备存在远程代码执行漏洞风险

https://cybersecuritynews.com/watchguard-devices-rce-attack/

WatchGuard防火墙曝高危漏洞CVE-2025-9242，全球超7.1万台设备未修复，攻击者可远程执行任意代码。该漏洞源于IKEv2协议缺陷，CVSS评分9.8，建议立即升级系统或禁用IKEv2协议。

10、微软紧急修复Windows恢复环境关键漏洞

https://securityonline.info/emergency-fix-microsoft-rushes-patch-for-critical-windows-recovery-bug/

微软紧急修复Windows 11更新KB5066835引发的严重漏洞：localhost访问问题已通过KIR解决，但WinRE输入故障需额外补丁KB5070773修复，否则用户将无法使用恢复功能。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。