/
Aeternum C2僵尸网络利用Polygon区块链存储加密指令规避打击
网络安全研究人员披露了一种名为Aeternum C2的新型僵尸网络加载器,该恶意软件利用基于区块链的指令控制基础设施来抵御打击行动。该僵尸网络将指令存储在公共Polygon区块链上,而非依赖传统服务器或域名进行控制。威胁行为者LenAI在地下论坛以200美元价格出售该恶意软件。该C++加载器通过智能合约向受感染主机写入命令,机器人随后通过查询公共RPC端点读取指令。
Veracode警告:AI驱动的快速开发使全面安全保障无法实现
Veracode发布年度软件安全报告显示,基于160万应用程序测试数据,发现新增漏洞数量超过修复数量。82%企业存在"安全债务"(一年以上未解决的已知漏洞),较去年74%有所上升。高风险漏洞从8.3%增至11.3%。报告指出,AI驱动的高速开发使代码添加速度超过漏洞修复速度,技术复杂性不断增长。研究认为,AI时代的开发速度使全面安全保障变得不可实现,修复差距已达危机程度,需要变革性改变而非渐进式改进。
SolarWinds四个关键漏洞可获取root权限,需立即修复
SolarWinds文件传输软件Serv-U存在四个严重漏洞,CVSS评分均为9.1分,可导致攻击者以root权限执行代码。漏洞包括访问控制缺陷、类型混淆错误和不安全直接对象引用等,其中最严重的CVE-2025-40538允许恶意行为者创建系统管理员用户并执行任意代码。用户应尽快更新至15.5.4版本以修复所有安全漏洞。
专家建议:立即为后量子密码学做好准备
数字化发展势不可挡,恶意攻击者正采用"现在收获,稍后解密"策略,悄悄积累加密数据以待未来用量子计算机破解。量子计算机威胁现有加密基础,预计2030-2035年可在几分钟内破解现代加密。后量子密码学提供新算法抵御经典和量子计算机攻击。迁移需经历准备、诊断、规划、执行、持续监控五个步骤。组织需应对缺乏紧迫性、内部知识不足、系统刚性等挑战。
恶意StripeApi NuGet包模仿官方库窃取API令牌
网络安全研究人员发现NuGet Gallery上出现恶意包StripeApi.Net,伪装成金融服务公司Stripe的合法库。该包模仿拥有超过7500万下载量的官方Stripe.net库,使用相同图标和几乎相同的说明文档。攻击者人为夸大下载量至18万次,分布在506个版本中。该恶意包复制了合法包的部分功能,但修改了关键方法来收集和传输用户的Stripe API令牌等敏感数据。由于其余代码保持完全功能性,不易引起开发者怀疑。
软件漏洞武器化速度创历史新高
VulnCheck报告显示,尽管去年仅不到1%的软件漏洞在实际环境中被利用,但这些漏洞的武器化速度和规模达到前所未有的水平。研究人员追踪到超过14400个与约10500个独特CVE相关的攻击,同比增长16.5%。大部分增长与AI生成的概念验证代码有关,但研究人员警告许多AI生成代码无法正常运行。超过50%与勒索软件相关的CVE首先被识别为零日漏洞。
思科SD-WAN零日漏洞CVE-2026-20127自2023年起被利用获取管理员权限
思科Catalyst SD-WAN控制器和管理器中发现最高严重级别安全漏洞CVE-2026-20127,CVSS评分10.0分,自2023年起遭恶意利用。该漏洞允许未认证远程攻击者绕过身份验证获取管理员权限。澳大利亚网络安全中心发现威胁行为者UAT-8616利用此零日漏洞入侵SD-WAN系统,创建恶意对等设备加入网络管理平面。攻击者还利用CVE-2022-20775提升至root权限。CISA已将两个漏洞加入已知被利用漏洞目录,要求联邦机构24小时内修复。
英伟达联合安全厂商强化工业运营安全保护
英伟达与Akamai、Forescout、帕洛阿尔托网络、西门子和Xage Security等安全厂商扩大合作,旨在提升运营技术环境和工业控制系统的实时威胁检测与响应能力。合作将利用英伟达BlueField DPU处理安全工作负载,实现零信任分段、身份访问控制等功能。各厂商将在S4x26会议上展示相关技术集成方案。
思科Catalyst SD-WAN遭遇大规模网络攻击浪潮
英国国家网络安全中心与五眼联盟合作伙伴警告思科Catalyst SD-WAN用户立即采取行动,因发现针对该广泛使用产品的威胁活动集群。攻击者在入侵后添加恶意对等节点,随后获取根访问权限并在受害者网络中保持持续访问。活动可追溯至2023年,思科已修补相关漏洞,其中CVE-2026-20127认证绕过漏洞最为关键。组织应立即更新软件版本并应用加固指南。
Next.js开发者遭遇恶意代码库攻击窃取机密信息
微软发现黑客利用伪装成合法项目的恶意代码库攻击Next.js开发者。这些恶意库通过多种方式在开发者机器上执行,最终都导致恶意JavaScript在内存中运行。攻击路径包括滥用VS Code工作区自动化、运行开发服务器或启动应用后端等开发者日常操作。恶意代码会建立与攻击者C2基础设施的连接,窃取个人数据、源代码和云资源等敏感信息。
IBM网络安全部门:应用程序漏洞攻击激增44%
IBM X-Force威胁情报部门研究显示,利用面向公众应用程序漏洞的网络攻击增长44%,超过凭证滥用攻击。人工智能工具可能推动这一趋势,使攻击者更容易发现配置错误或易受攻击的应用程序。报告还发现超过30万个ChatGPT凭证在2025年遭泄露,活跃勒索软件组织增长49%。研究人员建议企业采用更主动的安全方法,加强访问控制和补丁管理。
Claude协作工具存在远程代码执行漏洞
安全研究人员发现Claude代码工具存在三个严重漏洞,攻击者可通过向代码库注入恶意配置文件实现远程代码执行和API密钥窃取。这些漏洞源于Claude的协作设计机制,允许通过存储库控制的配置文件执行任意命令,构成严重的供应链安全威胁。Anthropic公司已修复所有漏洞并发布相关CVE。研究人员警告,AI编程工具集成到开发流程中带来了新的攻击面。
黑客使用AI机器人大规模勒索谈判获利
勒索软件组织越来越多地将AI机器人融入谈判流程,用于筛选受害者、收集筹码并扩大运营规模。攻击者部署聊天机器人进行首次接触,只有在达到特定阈值后人工才会介入。AI使攻击者能够克服语言障碍,呈现更精致的沟通,并通过改变风格和元数据来模糊归因信号。防御者现在面临更快的攻击节奏,AI辅助的勒索活动可将从初始入侵到勒索要求的时间从数周缩短至数天甚至数小时。
ChatGPT结合Malwarebytes帮您轻松识别网络诈骗
Malwarebytes现已集成到ChatGPT中,为用户提供实时威胁情报服务。用户可以通过聊天方式检查可疑链接、邮件、电话号码和消息的安全性。该集成利用Malwarebytes数十年的网络安全数据库,涵盖钓鱼诈骗、恶意软件和恶意域名信息,为用户提供额外保护层和潜在威胁背景信息。目前该功能正向所有ChatGPT用户免费开放。
恶意NuGet包窃取ASP.NET数据,npm包投放恶意软件
网络安全研究人员发现了四个恶意NuGet包,专门针对ASP.NET开发者窃取敏感数据。这些包能够窃取ASP.NET身份数据,包括用户账户、角色分配和权限映射,并操纵授权规则在受害应用中创建持久后门。同时,恶意npm包ambar-src在被移除前获得超过5万次下载,该包针对不同操作系统投放不同恶意载荷,包括Windows上的加密shellcode、Linux上的SSH反向shell客户端以及macOS上的Apfell代理。
SolarWinds修复Serv-U 15.5四个严重漏洞防止root代码执行
SolarWinds发布更新修复其Serv-U 15.5文件传输软件中的四个严重安全漏洞,这些漏洞可能导致远程代码执行。四个漏洞的CVSS评分均为9.1分,包括访问控制缺陷、类型混淆漏洞和不安全直接对象引用漏洞,攻击者可利用这些漏洞以root权限执行任意代码。漏洞已在15.5.4版本中修复。
GitHub Codespaces存在RoguePilot漏洞,可致GitHub令牌泄露
研究人员发现GitHub Codespaces存在名为RoguePilot的AI驱动型安全漏洞,攻击者可在GitHub问题中注入恶意Copilot指令来控制代码仓库。该漏洞属于被动提示注入攻击,当用户从恶意问题启动Codespace时,隐藏在HTML注释中的恶意指令会被AI助手自动执行,导致敏感的GITHUB_TOKEN泄露到攻击者控制的服务器。微软已修复此漏洞。
科技专业人士差点被AI求职诈骗蒙骗的真实经历
一位经验丰富的科技专家在LinkedIn上寻找工作机会时,差点被冒充Docker招聘人员的诈骗分子欺骗。诈骗分子使用AI生成邮件内容,通过Gmail地址联系目标,并要求提供个人简历。作者通过发现邮件签名由AI生成、使用非正式称呼等细节识破骗局。LinkedIn已采用AI验证系统打击虚假账户,但求职者仍需保持警惕,建议直接联系公司核实招聘信息真实性。
网络安全协会发布安全从业者行为准则
ISC2网络安全专业人员非营利会员协会发布了新的行为准则,旨在在全球网络安全行业推广更加道德和有原则的实践。该准则建立在现有道德准则基础上,由来自世界各地的ISC2成员共同制定。准则涵盖职业义务和责任,重申道德行为的重要性,并在决策制定、建立信任和维护职业诚信等方面提供指导,特别是在人工智能等新兴技术快速发展的背景下。
意外黑客:一人如何获得7000台机器人控制权
软件工程师萨米·阿兹杜法尔在将大疆扫地机器人连接到PS5手柄时,意外发现了后端安全漏洞。他利用AI编程助手逆向工程了机器人与云服务器的通信方式,结果获得了24个国家近7000台设备的访问权限,包括实时摄像头画面、麦克风音频和房屋地图。他将发现报告给媒体,大疆声称已解决问题,但该事件凸显了智能家居设备的安全隐患。
京公网安备 11010802021500号
