加拿大多伦多大学公民实验室(Citizen Lab)发布调查报告称,约旦政府部门在国内抗议活动期间,使用以色列公司Cellebrite提供的手机取证破解技术,对本国活动人士和人权捍卫者实施非授权监控。研究人员对四名被扣押后归还手机的活动人士设备进行分析,发现这些设备高度可信地遭到Cellebrite取证工具的数据提取操作,并结合约旦2023年网络犯罪法相关司法文件确认了执法机构的参与。
美国运动品牌安德玛(Under Armour)正联合外部网络安全专家调查一起数据泄露事件,此前有网络犯罪分子在黑客论坛公开了7200万条用户记录。该事件与2025年11月珠峰勒索软件团伙(Everest ransomware gang)声称的攻击相关,当时该团伙宣称获取了343GB数据并试图勒索赎金,2026年1月相关用户数据被公开披露。泄露数据经平台确认,包含用户姓名、出生日期、性别、地理位置、电子邮箱及购买记录等,还涉及数百万条购买记录和员工邮箱地址,数据样本已提交给TechCrunch验证。安德玛方面表示,支付系统与密码未受影响,仅极少数用户可能泄露敏感信息,否认数千万条敏感记录遭泄露,目前调查仍在进行中。
https://www.jamf.com/blog/threat-actors-expand-abuse-of-visual-studio-code/
研究人员发现,与朝鲜相关联的“传染性面试”(Contagious Interview)攻击活动持续升级,已拓展出利用微软Visual Studio Code的新型攻击手法。去年年底,该实验室发布相关研究后,开源恶意软件研究团队(OSM)也披露了该活动早期攻击技术的进化特征。除原有攻击手段外,攻击者新增利用Visual Studio Code的tasks.json配置文件植入恶意载荷的方式,12月更引入含高度混淆JavaScript的字典文件,受害者打开恶意代码仓库时便会触发执行。双方团队持续监控后,OSM针对该混淆代码发布深度技术分析。
https://hackread.com/shinyhunters-leak-soundcloud-crunchbase-betterment-data/
黑客团伙ShinyHunters再度活跃,于2026年1月22日通过Telegram发布暗网链接,公开泄露SoundCloud、Crunchbase及Betterment三家平台的数百万条用户及企业数据,此次泄露源于对三家公司的勒索未遂。该团伙搭建专属暗网泄露站点,宣称“要么付款要么泄露”,并放话后续将发起更多数据泄露攻击。泄露数据含Betterment超2000万条个人身份信息、Crunchbase超200万条企业数据及SoundCloud超3000万条用户记录。值得注意的是,SoundCloud去年12月曾确认数据泄露,影响约3500至3600万用户,与该团伙宣称的泄露规模高度吻合。
美国网络安全与基础设施安全局(CISA)发布预警,确认四款企业软件漏洞正遭黑客主动利用,并已将其纳入已知被利用漏洞(KEV)目录。这四大漏洞分别影响Versa、Zimbra企业软件,Vite前端工具框架及Prettier代码格式化工具,对企业网络安全构成显著威胁。其中,CVE-2025-34026为Versa Concerto SD-WAN编排平台的严重级身份绕过漏洞,因反向代理配置不当导致管理端点暴露,厂商已于2025年3月修复;CVE-2025-68645是Zimbra协作套件的高危本地文件包含漏洞,未授权攻击者可通过特定端点读取敏感文件,修复版本为10.0.18及10.1.13以上。另有CVE-2025-31125访问控制漏洞及CVE-2025-54313供应链漏洞,后者通过恶意npm包窃取认证令牌,相关受影响版本均已推出补丁。
研究人员发现一种新型Osiris勒索软件,其在2025年11月针对东南亚某大型餐饮连锁运营商的攻击中被启用,攻击者借助自带易受攻击驱动(BYOVD)技术,滥用POORTRY驱动来禁用目标设备上的安全工具,为后续攻击铺路。这款勒索软件具备完整的攻击功能,可终止各类服务与进程、精准筛选文件及文件夹进行加密、投放勒索信,采用混合加密算法保障加密强度,给加密文件添加专属.Osiris后缀,同时删除系统快照并终止数据库、备份等关键进程,切断受害者的数据恢复路径。目前Osiris勒索软件的开发者身份及是否以勒索即服务(RaaS)模式运营尚未明确,但研究人员发现其与INC勒索软件团伙存在潜在关联,攻击中工具复用、数据窃取及伪装手法均与该团伙过往操作高度相似。
https://socket.dev/blog/pypi-package-impersonates-sympy-to-deliver-cryptomining-malware
研究人员发现一款名为sympy-dev的恶意PyPI包,该包仿冒热门Python符号数学库SymPy,后者月下载量达8500万次,攻击者复制了SymPy的项目描述及品牌元素,以此诱导用户误安装。该恶意包于2026年1月17日发布4个版本(1.2.3至1.2.6),均含恶意代码,维护者标注为Nanit,上线首日下载量即突破1000次,虽下载量不等同于感染量,但已快速渗透至开发者及持续集成(CI)环境。包内恶意代码注入下载器及内存执行程序到SymPy多项式代码路径,调用后会获取远程JSON配置、下载攻击者控制的ELF负载,通过Linux内存文件描述符技术执行,减少磁盘痕迹,实测下载的负载为XMRig加密挖矿程序,通过TLS连接矿池端点,配置及负载均来自两个指定控制服务器。
https://asec.ahnlab.com/en/92183/
研究人员披露韩国境内相关传播案例及IOC指标。以部署代理软件(Proxyware)闻名的威胁组织Larva‑25012,近期开始将恶意软件伪装成Notepad++安装程序传播,同时通过进程注入、Python加载器等手段更新技术,规避检测。代理劫持指未经用户同意安装代理软件,劫持设备带宽供第三方使用并从中牟利,与加密劫持类似但核心是利用带宽而非CPU/GPU资源。Larva‑25012至少自2024年起活跃,传播多款代理软件,主要通过免费YouTube视频下载网站、伪造盗版软件下载站的广告扩散恶意程序。
https://www.anquanke.com/post/id/314457
思科已向全球网络管理员发出紧急警告:其核心通信软件中存在一个严重远程代码执行(RCE)漏洞,目前正被黑客积极利用。该漏洞编号为 CVE-2026-20045,允许未授权攻击者接管受影响设备,并可能将权限提升至 root。该漏洞直击企业通信的核心,影响包括 Cisco Unified Communications Manager(Unified CM) 和 Cisco Unity Connection 在内的重要平台。
美国网络安全与基础设施安全局(CISA)发布预警,确认四款企业软件漏洞正遭黑客主动利用,并已将其纳入已知被利用漏洞(KEV)目录。这四大漏洞分别影响Versa、Zimbra企业软件,Vite前端工具框架及Prettier代码格式化工具,对企业网络安全构成显著威胁。其中,CVE-2025-34026为Versa Concerto SD-WAN编排平台的严重级身份绕过漏洞,因反向代理配置不当导致管理端点暴露,厂商已于2025年3月修复;CVE-2025-68645是Zimbra协作套件的高危本地文件包含漏洞,未授权攻击者可通过特定端点读取敏感文件,修复版本为10.0.18及10.1.13以上。另有CVE-2025-31125访问控制漏洞及CVE-2025-54313供应链漏洞,后者通过恶意npm包窃取认证令牌,相关受影响版本均已推出补丁。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
