1、攻击者利用伪造官方函件攻击俄罗斯国防机构

https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing

安全研究人员近期发现，一个名为Goffee的网络攻击组织自2025年10月起，针对俄罗斯军方人员及国防工业实体发起新一轮攻击。攻击者使用包含语言错误、伪造粗糙的俄语钓鱼文件作为诱饵，其中包括伪造的高级军官新年音乐会邀请函以及冒充俄罗斯副部长的官方信函。感染链始于诱骗用户打开恶意LNK文件，最终在目标系统上部署此前未被记录的后门程序“EchoGather”。该后门功能全面，可实现信息窃取、命令执行与文件外传，数据被回传至伪装成外卖网站的C2服务器。

2、攻击者滥用开源监控工具“Nezha”作为木马

https://hackread.com/hackers-abuse-monitoring-tool-nezha-trojan/

安全研究人员近期发现，一款在GitHub上获得近万星标的开源服务器监控工具“Nezha”正被攻击者滥用作功能完整的远程访问木马。该工具因其合法性，在安全软件检测中显示为零告警，能完全绕过基于特征码的防御。攻击者利用其“开箱即用”、具备跨平台支持（Windows、Linux、macOS等）且通信流量酷似正常监控数据的特点，可隐秘地获取系统最高权限，实现文件管理、命令执行和实时终端控制。

3、HardBit 4.0勒索软件利用开放RDP与SMB服务入侵

https://cybersecuritynews.com/hardbit-4-0-ransomware-actors-attack-open-rdp/

安全研究人员发现，活跃多年的HardBit勒索软件已升级至4.0版本，其攻击手法更具针对性。该团伙主要通过对暴露在互联网上的远程桌面协议和服务器消息块服务进行暴力破解，从而获得网络初始访问权限。一旦入侵成功，攻击者会利用一款名为Neshta作为投放器，来解密并部署HardBit勒索软件本体。该恶意软件会主动禁用Windows Defender的实时监控、防篡改等核心功能以规避检测，并通过注册表实现持久化驻留。与许多实施双重勒索的团伙不同，HardBit目前仅专注于加密数据勒索。

4、攻击者利用虚假法庭应用程序攻击土耳其安卓用户

https://hackread.com/frogblight-malware-android-fake-court-aid-apps/

安全研究人员发现一款名为Frogblight的新型安卓银行木马正针对性攻击土耳其用户。该恶意软件主要通过短信钓鱼传播，诱饵包括伪造的法庭案件通知或社会援助申请，诱导受害者下载名为“Davalarım”的虚假应用。一旦安装并授予权限，该应用会打开真实的政府门户网站以增加可信度，随后通过注入隐藏的JavaScript代码来记录用户输入的所有内容，从而窃取网上银行凭证。其代码包含土耳其语注释，且能够检测运行环境，若发现设备位于美国或处于分析用的模拟器中则会自动关闭。研究还发现其控制面板采用青蛙主题，且源代码曾在GitHub与其他恶意软件一同出现，暗示其可能作为“恶意软件即服务”出售。

5、恶意npm包伪装WhatsApp API窃取数据

https://thehackernews.com/2025/12/fake-whatsapp-api-package-on-npm-steals.html

网络安全研究人员发现，npm软件包仓库中出现一个名为“lotusbail”的恶意库。该包伪装成功能正常的WhatsApp API，自2025年5月上传以来已被下载超过5.6万次。其恶意代码通过包装WebSocket客户端，在开发者使用该库连接WhatsApp时，暗中窃取认证令牌、全部聊天记录、联系人列表等敏感数据，并加密外传。更严重的是，它会利用硬编码的配对码，将攻击者的设备永久性关联到受害者的WhatsApp账户，即使卸载包后访问权限依然存在。

6、n8n工作流自动化平台曝高危漏洞

https://www.freebuf.com/articles/web/463408.html

n8n工作流自动化平台近日披露一个高危安全漏洞，在特定条件下成功利用该漏洞可能导致任意代码执行。该漏洞被追踪为CVE-2025-68613，CVSS评分为9.9分（满分10分）。根据npm统计数据显示，该软件包每周下载量约为57,000次。

7、日产汽车确认因服务器遭未授权访问导致数据泄露

https://www.freebuf.com/articles/database/463303.html

日产汽车公司公开确认，由于负责开发客户管理系统的第三方承包商管理的红帽（Red Hat）服务器遭到未授权访问，导致重大数据泄露事件。该事件导致日产福冈销售公司约21,000名客户的个人信息外泄。

8、黑客滥用"设备代码"绕过安全防护劫持微软365账户

https://securityonline.info/hackers-abuse-device-codes-to-bypass-security-and-seize-microsoft-365-accounts/

黑客利用微软合法认证功能发起"设备代码钓鱼"攻击，通过诱骗用户在官方门户输入代码窃取账户密钥，绕过传统防护和MFA。该手法被多类黑客组织采用，依赖社会工程制造紧迫感，威胁企业账户安全。

9、新型Cellik安卓远控木马将合法Google Play应用变为监控工具

https://securityonline.info/the-silent-hijacker-new-cellik-android-rat-turns-legitimate-google-play-apps-into-surveillance-tools/

新型安卓木马Cellik通过寄生Google Play合法应用，提供"交钥匙"式手机劫持服务，每月50美元即可获得高级监控功能，包括实时屏幕控制、远程摄像头访问等，大幅降低网络犯罪门槛。

10、 AI系统的隐秘后门：Dify漏洞致系统配置遭未授权泄露

https://securityonline.info/ais-exposed-side-door-dify-flaw-cve-2025-63387-leaks-system-configs-to-anonymous-users/

开源平台Dify曝高危漏洞CVE-2025-63387，未认证用户可访问敏感系统配置，CVSS评分7.5。漏洞源于API权限检查缺失，攻击者可获取内部数据。建议运行v1.9.1的组织立即修复。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。