1、安全机构联合预警Sha1-Hulud第二波供应链攻击

https://thehackernews.com/2025/11/second-sha1-hulud-wave-affects-25000.html

多家安全机构联合预警第二波"Sha1-Hulud"npm供应链攻击。攻击者于11月21日至23日通过预安装脚本入侵数百个npm包，受影响仓库超25,000个，涉及约350名GitHub用户。该恶意载荷通过setup_bun.js执行，窃取开发者NPM令牌及AWS/GCP/Azure云凭证，并将失窃数据上传至攻击者控制的GitHub仓库。与第一波不同，新版本具备破坏性擦除功能：当无法窃取凭证或建立持久化时，会清除受害者主目录所有可写文件。

2、新型安卓恶意软件运用多阶段技术规避检测

https://asec.ahnlab.com/ko/91104/

安全研究人员发现一款采用高级规避技术的新型Android恶意软件，在发现时多数杀毒软件无法检测。该应用将恶意功能分离存储，通过多阶段载荷投放技术实现动态解密与执行。为绕过检测，攻击者定制了软件包安装程序替换系统默认组件，并将恶意代码深度混淆压缩。应用还设置交互式触发机制，启动时要求用户输入特定文本，验证后伪装成Google Play商店更新界面，仅在满足条件时激活恶意行为。这种"条件唤醒"策略使其能长期潜伏。

3、FluentBit曝严重漏洞云环境可被远程接管

https://www.oligo.security/blog/critical-vulnerabilities-in-fluent-bit-expose-cloud-environments-to-remote-takeover

研究团队披露开源日志收集工具Fluent Bit存在五处严重安全漏洞，编号为CVE-2025-12969至CVE-2025-12972及CVE-2025-12977、CVE-2025-12978。这些缺陷可导致攻击者绕过身份验证、执行路径遍历、实现远程代码执行及拒绝服务攻击。作为部署超150亿次的核心云原生组件，该工具被AWS、谷歌云、微软Azure等平台广泛集成，Kubernetes环境面临突出风险。攻击者能够篡改日志数据、植入恶意文件并横向渗透云基础设施，部分漏洞已潜伏八年之久。AWS方面确认已通过升级至4.1.1版本修复所有内部系统，并敦促用户立即更新至v4.1.1或v4.0.12版本。

4、美国电信与汽车服务巨头遭Cl0p勒索攻击

https://www.bleepingcomputer.com/news/security/cox-enterprises-discloses-oracle-e-business-suite-data-breach/

美国电信与汽车服务巨头Cox Enterprises于2025年11月22日披露，其系统因Oracle E-Business Suite零日漏洞遭Cl0p勒索软件团伙入侵，导致9479名个人数据泄露。攻击发生于8月9日至14日，但直至9月29日才被发现。Cl0p声称利用CVE-2025-61882漏洞在补丁发布前实施攻击，该团伙惯用零日漏洞攻击企业软件。入侵后，Cox已通知受影响个人并提供12个月免费身份盗窃保护服务。

5、vLLM存在高危漏洞可致远程代码执行

https://securityonline.info/vllm-flaw-cve-2025-62164-risks-remote-code-execution-via-malicious-prompt-embeddings/

vLLM 0.10.2+存在高危漏洞CVE-2025-62164（CVSS 8.8），恶意提示嵌入可致服务器崩溃或远程代码执行，源于PyTorch 2.8.0稀疏张量检查缺陷。建议立即升级并审计接口。

6、CISA警告：Oracle身份管理器RCE漏洞正遭攻击者积极利用

https://cybersecuritynews.com/oracles-identity-manager-rce-vulnerability/

CISA紧急警告Oracle身份治理套件12c存在严重前认证RCE漏洞（CVE-2025-61757），攻击者可绕过认证执行任意代码，完全控制系统。建议立即打补丁或隔离服务，防范勒索软件等攻击。

7、 攻击者利用微软WSUS漏洞传播恶意软件获取系统控制权

https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html

攻击者利用微软WSUS漏洞(CVE-2025-59287)传播ShadowPad恶意软件，通过PowerCat获取系统权限，使用合法工具下载后门程序，实现远程代码执行和持久化攻击。

8、腾达路由器曝两大命令注入漏洞

https://securityonline.info/cert-cc-warns-of-unpatched-root-level-command-injection-flaws-in-tenda-4g03-pro-and-n300-routers-cve-2025-13207-cve-2024-24481/

腾达4G03 Pro和N300路由器存在未修复命令注入漏洞(CVE-2025-13207等)，攻击者可利用默认凭证以root权限完全控制设备。厂商暂无补丁，建议用户更换设备或限制网络访问，并关注固件更新。

9、Kimsuky与Lazarus联手利用0Day漏洞攻击全球关键行业

https://cybersecuritynews.com/north-korean-kimsuky-and-lazarus-join-forces/

朝鲜黑客组织Kimsuky和Lazarus联手发动协同攻击，结合钓鱼邮件与0Day漏洞窃取敏感情报和加密货币。攻击采用新型InvisibleFerret后门规避检测，已造成3200万美元损失，国防、金融等行业风险最高。

10、APT35组织内部文件泄露，暴露其攻击目标与方法

https://www.freebuf.com/news/458795.html

2025年10月，一次重大数据泄露事件曝光了APT35（又称"迷人小猫"）黑客组织的内部运作细节。该网络攻击单位隶属于伊朗情报组织。数千份泄露文件显示，该组织对中东和亚洲地区的政府与企业实施系统性攻击。泄露内容包含绩效报告、技术指南和操作记录，清晰展现了这一国家支持的黑客组织如何开展大规模网络间谍活动。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。