1、SleepyDuck利用Open VSX扩展进行持久化攻击

https://secureannex.com/blog/sleepyduck-malware/

网络安全研究人员发现了一种名为SleepyDuck的恶意远程访问木马（RAT）在Open VSX IDE扩展市场中蔓延。该扩展以“juan-bianco.solidity-vlang”之名发布，最初被认为是一个无害的Solidity扩展，但在其下载量达到14000次之后，更新版本中添加了恶意功能。SleepyDuck利用沙箱规避技术，并通过以太坊合约实现数据的持久化和命令与控制地址的更新。研究人员指出，恶意软件在激活后会收集用户的机器信息，并定期与其命令与控制服务器进行通信，获取新的指令和配置。

2、Kimsuky与Lazarus组织近期同步更新攻击链

https://www.gendigital.com/blog/insights/research/dprk-kimsuky-lazarus-analysis

近日研究团队发现，Kimsuky以韩语VPN发票诱饵投递Go语言SCR投放器，经XOR解密后释放MemLoad_V3加载器，借伪装“AhnLabUpdate”计划任务每分钟自启动，最终在内存植入高度混淆的HttpTroy后门；Lazarus则在美国加州目标上复活Comebacker，DLL/EXE双形态验证特定参数后，可截屏、摄像头取像、文件删除及内存注入。当前IOC已公开，安全团队建议封锁相关C2、禁用非必要COM服务并强化scr与exe邮件过滤。

3、研究人员披露BankBot-YNRK手机银行木马

https://www.cyfirma.com/research/investigation-report-android-bankbot-ynrk-mobile-banking-trojan/

研究人员发现BankBot-YNRK正冒充印尼电子身份证App，针对Android 13及以下版本发动攻击。木马先静音再伪装成Google新闻，利用辅助功能一键赋予自身设备管理员权限，并通过JobScheduler持久驻留；其C2可下发62条指令，自动唤醒Exodus、MetaMask等钱包界面，截屏提取助记词并暗转资金。研究人员补充，自2024年4月起，760余款假支付App已滥用NFC与HCE功能，隔空窃取非接信用卡数据并在POS秒刷提现，波及俄、巴西、波兰等20余家银行。

4、新型BOF工具利用漏洞窃取用户数据

https://tierzerosecurity.co.nz/2025/11/03/teams-cookies-bof.html

网络安全研究人员发布了一款新型的信标对象文件（BOF）工具，名为teams-cookies-bof，旨在利用Microsoft Teams中存在的cookie加密漏洞，允许攻击者窃取用户的聊天记录及其他敏感信息。该工具通过在ms-teams.exe进程上下文中运行，利用DLL或COM劫持技术，成功规避了Teams应用程序在运行时锁定cookie文件的限制。研究人员强调，窃取的令牌不仅可以用于读取现有消息，还可能允许攻击者冒充受害者发送新消息，并扩展到其他Microsoft 365资源。

5、黑客攻击Balancer DeFi V2池窃取1.28亿美元

https://dailysecurityreview.com/cyber-security/balancer-protocol-breached-in-128-million-attack-on-defi-pools/

Balancer DeFi协议确认其V2池遭到黑客攻击，损失超过1.28亿美元。该协议是基于以太坊区块链的去中心化金融平台，提供流动性基础设施和自动做市商功能。安全专家认为这一漏洞源于Vault交换计算中的精度舍入误差，导致代币数量的微小差异在多次交易中累积成巨大的价格扭曲。此外，部分用户认为，攻击还涉及金库内部不当授权和回调处理，恶意合约在资金池初始化期间操纵金库调用，绕过安全措施。虽然关于攻击方法尚未达成一致，Balancer承诺会尽快提供更多信息。

6、研究人员披露 Windows SMB 服务器权限提升漏洞

https://www.freebuf.com/articles/system/455484.html

Semperis 公司研究员 Andrea Pierini 发现并披露了一个新型 Windows 漏洞（CVE-2025-58726），攻击者可利用 Kerberos 认证反射缺陷，以低权限账户远程获取 SYSTEM 级访问权限。该漏洞影响所有 Windows 版本，除非强制启用 SMB 签名功能。微软已在 2025 年 10 月的补丁星期二活动中发布修复程序。

7、黑客可利用间接提示操纵Claude AI API窃取用户数据

https://www.freebuf.com/articles/ai-security/455467.html

黑客可利用Anthropic公司的Claude AI窃取敏感用户数据。攻击者通过操纵该模型在代码解释器工具中新添加的网络功能，使用间接提示注入技术提取聊天记录等隐私信息，并直接上传至攻击者账户。

8、黑客正积极扫描与WSUS漏洞相关的端口

https://www.freebuf.com/articles/system/455533.html

网络安全研究人员和防火墙监控服务发现，针对Windows Server Update Services（WSUS）基础设施的侦察活动激增。来自Shadowserver等安全组织的网络传感器数据显示，过去一周针对TCP 8530和8531端口的扫描显著增加。

9、美国研究团队利用人工智能防御类似“震网”的网络攻击

https://www.secrss.com/articles/84673

美国能源部太平洋西北国家实验室（PNNL）和佐治亚理工学院合作成立的网络安全和弹性基础设施研究所（ICARIS）正在合作研究利用人工智能来保护美国关键基础设施免遭网络攻击，包括嵌入关键基础设施网络中的可编程逻辑控制器。

10、Operation South Star：针对国产手机的0day间谍活动

https://www.secrss.com/articles/84661

近几年，奇安信威胁情报中心红雨滴团队在与东北亚地区的高级 APT 组织进行高强度对抗的过程中，发现了近 20 个涉及国产软件的 0day 漏洞，部分细节我们已经在 Operation DevilTiger、Operation ShadowTiger、XSS 0day+Clickonce等对外报告中披露，实际上来自东北亚地区的 0day 活动远不止在终端侧，我们捕获了多个针对安卓邮件客户端的 0day 攻击，其技术水平已达 1click，且攻击者很可能已掌握如“三角测量”般的 0click 能力。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。