1、MacSync变种通过公证应用部署可绕过macOS安全检查

https://www.bleepingcomputer.com/news/security/new-macsync-malware-dropper-evades-macos-gatekeeper-checks/

安全研究人员发现，macOS信息窃取程序MacSync的最新变种。此次攻击的核心是通过一个经过苹果官方代码签名和公证的Swift应用程序进行分发，这一合法化载体使其能直接绕过macOS的Gatekeeper安全检查。该恶意投放器通过将DMG文件膨胀至25.5MB（内含诱饵PDF）、执行后擦除脚本以及进行联网检查等多种机制规避检测与分析。投放器在系统上解码并执行的最终载荷为MacSync窃取程序，可窃取iCloud钥匙串凭证、浏览器密码、加密货币钱包及系统文件等敏感信息。

2、安全研究人员发现新型Android远程控制木马

https://securityonline.info/the-silent-hijacker-new-cellik-android-rat-turns-legitimate-google-play-apps-into-surveillance-tools/

安全研究人员发现，一款名为Cellik的新型Android远程控制木马正在网络犯罪论坛中作为“恶意软件即服务”销售。该木马最大的威胁在于其传播方式：攻击者可直接从控制面板选择Google Play商店中的热门合法应用，通过内置的“APK构建器”将Cellik的恶意负载注入其中，以绕过安全检测并提高用户安装几率。一旦安装，攻击者便能以每月150美元的低廉订阅费获得堪比国家级间谍软件的功能，包括实时屏幕流和远程控制、键盘记录、远程启用摄像头、麦克风、隐藏浏览器会话以及窃取其他应用数据的注入系统。其隐藏浏览器模块可后台登录受害者银行账户或钓鱼页面，风险极高。

3、新型二维码钓鱼利用假工资单与验证码窃密

https://securityonline.info/the-payroll-trap-new-quishing-campaign-uses-fake-captchas-to-hijack-employee-paychecks/

安全研究人员近日披露一种定制化的新型“二维码钓鱼”攻击。攻击者向目标员工发送伪装成工资更新通知的钓鱼邮件，内嵌二维码以规避传统邮件安全网关的链接检测。当员工使用个人手机扫描二维码后，将被引导至一个精心伪造的恶意网站。该网站首先会呈现一个虚假的验证码环节，其目的并非拦截机器人，而是在建立用户信任感的同时，为后台恶意脚本运行争取时间。该脚本会自动捕获并填充受害者的邮箱地址，进而诱导其输入密码，最终窃取登录凭证。

4、国际刑警组织在非洲逮捕网络犯罪574人

https://thehackernews.com/2025/12/interpol-arrests-574-in-africa.html

国际刑警组织协调19个非洲国家，于2025年10月27日至11月27日开展代号“哨兵”的联合执法行动，成功逮捕574名嫌疑人，缴获300万美元，并摧毁超6000个恶意链接。此次行动重点打击商业邮件诈骗、数字勒索及勒索软件，所涉案件造成经济损失超2100万美元。行动中捣毁了一个利用仿冒快餐品牌网站诈骗的超40万美元犯罪网络。与此同时，美国司法部宣布，一名35岁的乌克兰公民阿尔乔姆·斯特里扎克对其作为Nefilim勒索软件附属成员攻击美、加、澳等国企业的指控表示认罪。该被告人于2024年6月在西班牙被捕，其根据勒索软件服务模式，针对年收入超2亿美元的公司实施双重勒索。

5、WatchGuard Firebox防火墙曝关键零日漏洞正遭利用

https://www.bleepingcomputer.com/news/security/watchguard-warns-of-new-rce-flaw-in-firebox-firewalls-exploited-in-attacks/

12 月 22 日，安全厂商 WatchGuard 发出紧急警告，称其 Firebox 防火墙设备存在一个关键的远程代码执行（RCE）漏洞。该漏洞目前已被黑客在野外积极利用。据统计，全球有超过 11.5 万台暴露在公网的 Firebox 设备尚未修复，面临极高风险。

6、FBI 查封大规模银行账户接管诈骗域名，涉案达1460万美元

https://www.bleepingcomputer.com/news/security/fbi-seizes-domain-storing-bank-credentials-stolen-from-us-victims/

美国司法部（DoJ）于 12 月 24 日宣布，FBI 成功查封了域名 web3adspanels.org。该域名被网络犯罪集团用于托管从大规模钓鱼攻击中窃取的银行登录凭证。该犯罪网络此前通过“账户接管”攻击导致受害者损失超过 1460 万美元。

7、微软在 Windows 11 中推出硬件加速的 BitLocker

https://www.bleepingcomputer.com/news/security/microsoft-rolls-out-hardware-accelerated-bitlocker-in-windows-11/

微软正在 Windows 11 中推出硬件加速的 BitLocker，以利用系统级芯片和 CPU 的能力，解决日益增长的性能和安全问题。

8、安全研究人员披露AI聊天机器人Eurostar漏洞，反遭“勒索”指控

https://www.theregister.com/2025/12/24/pentesters_reported_eurostar_chatbot_flaws/

12 月 24 日，安全研究人员披露了欧洲之星（Eurostar）AI 客服机器人的多个关键漏洞，包括提示注入（Prompt Injection）和 HTML 注入。然而，Eurostar 并未感谢研究人员，反而指责其报告漏洞的行为构成“勒索”。此事件引发了关于 AI 安全研究伦理和“安全港”政策的激烈讨论。

9、Spotify确认大规模元数据抓取事件涉及2.56亿条记录

https://www.theregister.com/2025/12/22/hacktivists_scrape_songs_spotify/

Spotify 于 12 月 23 日回应了关于“Anna's Archive”盗版组织抓取其数据的报道。Spotify 承认发生了未经授权的大规模抓取，涉及 2.56 亿条曲目元数据和 8600 万个音频文件。虽然 Spotify 声称用户个人账户数据未受影响，但已禁用了相关被滥用的账户。

10、微软希望在2030年前将C 和 C++代码转换为Rust

https://www.theregister.com/2025/12/24/microsoft_rust_codebase_migration/

微软希望将其整个 C 和 C++代码库转换为 Rust，并正在招聘人员来实现这一目标。目标是到 2030 年彻底消除微软所有的 C 和 C++代码，“微软杰出工程师加伦·亨特”在最近的一篇 LinkedIn 帖子中写道。他补充道：“我们的策略是结合人工智能和算法来重写微软最大的代码库。目标是‘1 名工程师，1 个月，100 万行代码’。”

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。