
ThreatsDay简报:Claude滥用、npm恶意包、设备码钓鱼
本期汇总多起网络安全事件,包括 Windows Server 2025 启用 DoH、Chrome 扩展劫持搜索、macOS 无文件攻击、Claude 分享聊天被滥用、WhatsApp 旅行业务钓鱼及多种恶意 npm 包。多项攻击以信任平台或合法功能作掩护,建议审查扩展、聊天链接、OAuth 流程与软件包来源,并尽快修补高风险漏洞。
本周互联网没有“崩掉”。它只是按设计被使用了,而这更糟。
搜索被通过可疑浏览器附加组件转走。AI 聊天链接变成了恶意软件投递路径。macOS 攻击在内存中运行,几乎不留下痕迹。云代理看起来像助手,直到攻击者把它们当成开放的 shell。
再加上暴露在边界上的设备、被污染的软件包、现金提货骗局、stealer、loader,以及几乎不再伪装的钓鱼。下面是完整情况。
Windows Server 2025 中的 DoH 到来:Microsoft 让 Windows DNS Server 上的 DoH 正式可用 Microsoft 已宣布,Windows DNS Server 的 DNS-over-HTTPS(DoH)已在 Windows Server 2025 上正式可用,用于客户端到服务器的 DNS 流量。公司表示:“随着正式可用,组织现在可以在其现有本地 DNS 基础设施中,直接部署加密和经过身份验证的客户端到解析器 DNS 流量。”其目标是帮助提升隐私、降低欺骗风险,并推进 Zero Trust DNS,而无需新的解析器架构。在 Windows DNS Server 上启用 DoH 后,受支持的客户端将通过 HTTPS 获得加密通信,同时保持与大多数现有 DNS 部署的兼容性。组织可以预期,DoH 客户端与 Windows DNS Server 之间的流量会通过 TLS 加密,DNS 查询会以 HTTPS 请求传输,现有 DNS 功能会继续按预期运行,并且支持混合环境,即加密 DNS 与传统 DNS 并存。
Microsoft 已宣布,Windows DNS Server 的 DNS-over-HTTPS(DoH)已在 Windows Server 2025 上正式可用,用于客户端到服务器的 DNS 流量。公司表示:“随着正式可用,组织现在可以在其现有本地 DNS 基础设施中,直接部署加密和经过身份验证的客户端到解析器 DNS 流量。”其目标是帮助提升隐私、降低欺骗风险,并推进 Zero Trust DNS,而无需新的解析器架构。在 Windows DNS Server 上启用 DoH 后,受支持的客户端将通过 HTTPS 获得加密通信,同时保持与大多数现有 DNS 部署的兼容性。组织可以预期,DoH 客户端与 Windows DNS Server 之间的流量会通过 TLS 加密,DNS 查询会以 HTTPS 请求传输,现有 DNS 功能会继续按预期运行,并且支持混合环境,即加密 DNS 与传统 DNS 并存。
搜索劫持隐藏了变现层:SearchJack 扩展通过用户搜索获利 研究人员发现,一组 23 个欺骗性的 Chrome 浏览器扩展会偷偷覆盖用户的默认搜索引擎,并在返回结果前先把查询流量路由经过变现中间件。安全研究员 Jean-Marie R. 表示:“每个扩展都会声称自己有不同用途——卫星影像、生产力工具、新闻阅读器、地图等——但实际业务是搜索联盟收入。”这次活动至少涉及 8 个不同的变现中介,以及约 758,000 名受影响用户。看起来像普通 adware,但实际上是严重的安全风险。首先,这是大规模隐私侵犯:用户的每一次搜索都会被发送给匿名第三方中介。其次,由于操作者控制了网络流量,他们随时可以把正常搜索结果切换成钓鱼链接或恶意下载,而且无需更新扩展代码本身。
研究人员发现,一组 23 个欺骗性的 Chrome 浏览器扩展会偷偷覆盖用户的默认搜索引擎,并在返回结果前先把查询流量路由经过变现中间件。安全研究员 Jean-Marie R. 表示:“每个扩展都会声称自己有不同用途——卫星影像、生产力工具、新闻阅读器、地图等——但实际业务是搜索联盟收入。”这次活动至少涉及 8 个不同的变现中介,以及约 758,000 名受影响用户。看起来像普通 adware,但实际上是严重的安全风险。首先,这是大规模隐私侵犯:用户的每一次搜索都会被发送给匿名第三方中介。其次,由于操作者控制了网络流量,他们随时可以把正常搜索结果切换成钓鱼链接或恶意下载,而且无需更新扩展代码本身。
无文件 macOS ClickFix 攻击链:macOS ClickFix 诱饵投递 AppleScript 信息窃取器和 RAT 一名讲俄语的攻击者被观察到主要针对亚洲、北美和大洋洲的受害者,目标行业包括技术、媒体和商业服务,利用 ClickFix 诱饵向 macOS 用户投递基于 AppleScript 的信息窃取器。ClickFix 页面伪装成恶意软件扫描工具的下载页面。Netskope Threat Labs 表示:“为规避检测,从最初的剪贴板粘贴到载荷执行,整个感染链完全无文件,在建立持久化之前不会在磁盘上留下静态痕迹。” 受害者被社工诱导执行一个 curl 命令,该命令会获取一个 gzip 压缩的 stager,然后把第二阶段 AppleScript 直接管道到 osascript 内存中。第二阶段代号为 “Meow (DEBUG)”,使用伪造的系统对话框窃取凭证、浏览器数据、会话 cookie 和 Keychain 内容。它还具备将合法桌面加密货币钱包应用木马化的能力,并维持持久的命令和控制(C2)访问,使操作者能够运行任意载荷。
一名讲俄语的攻击者被观察到主要针对亚洲、北美和大洋洲的受害者,目标行业包括技术、媒体和商业服务,利用 ClickFix 诱饵向 macOS 用户投递基于 AppleScript 的信息窃取器。ClickFix 页面伪装成恶意软件扫描工具的下载页面。Netskope Threat Labs 表示:“为规避检测,从最初的剪贴板粘贴到载荷执行,整个感染链完全无文件,在建立持久化之前不会在磁盘上留下静态痕迹。” 受害者被社工诱导执行一个 curl 命令,该命令会获取一个 gzip 压缩的 stager,然后把第二阶段 AppleScript 直接管道到 osascript 内存中。第二阶段代号为 “Meow (DEBUG)”,使用伪造的系统对话框窃取凭证、浏览器数据、会话 cookie 和 Keychain 内容。它还具备将合法桌面加密货币钱包应用木马化的能力,并维持持久的命令和控制(C2)访问,使操作者能够运行任意载荷。
Claude 聊天滥用推动恶意软件投递:Claude Shared Chats 被用于 ClickFix 恶意广告活动 在另一场 ClickFix 活动中,威胁行为者被发现武器化 Anthropic Claude 的 shared chat 功能,利用合法域名带来的信任来投递 MacSync 凭证窃取恶意软件。Trend Micro 表示:“网络犯罪分子劫持了针对热门 AI 开发工具的 Google Ads 搜索,把超过 2,000 名受害者引导到恶意下载页面,然后悄悄把操作转移到 claude.ai 自己的平台,把这个受信任域名变成了凭证窃取恶意软件的投递机制。” 亚太地区承受了该活动的大部分影响,占所有已确认受害者的 67.2%;仅台湾就占总流量的 30.5%,这一集中度表明这是刻意的地理定向广告,而不是机会性传播。过去七周内,已识别出多达 106 个独特的恶意主机名,分布在六个不同攻击波次中。Anthropic 之后已封禁相关账户,禁用了恶意 shared conversations,并正在为其 shared chat 功能实施额外的滥用缓解措施。
在另一场 ClickFix 活动中,威胁行为者被发现武器化 Anthropic Claude 的 shared chat 功能,利用合法域名带来的信任来投递 MacSync 凭证窃取恶意软件。Trend Micro 表示:“网络犯罪分子劫持了针对热门 AI 开发工具的 Google Ads 搜索,把超过 2,000 名受害者引导到恶意下载页面,然后悄悄把操作转移到 claude.ai 自己的平台,把这个受信任域名变成了凭证窃取恶意软件的投递机制。” 亚太地区承受了该活动的大部分影响,占所有已确认受害者的 67.2%;仅台湾就占总流量的 30.5%,这一集中度表明这是刻意的地理定向广告,而不是机会性传播。过去七周内,已识别出多达 106 个独特的恶意主机名,分布在六个不同攻击波次中。Anthropic 之后已封禁相关账户,禁用了恶意 shared conversations,并正在为其 shared chat 功能实施额外的滥用缓解措施。
WhatsApp 预订诈骗全球扩散:WhatsApp Hotel Scams 盯上旅客 Bitdefender 警告称,一场持续中的钓鱼活动正在冒充酒店、度假村和住宿提供方,波及 10 多个国家。该公司表示:“不同于依赖通用钓鱼邮件的传统旅行诈骗,这次行动使用真实的预订信息、本地化消息和逼真的酒店品牌,诱骗旅客交出银行卡信息。” 受害者会收到个性化消息,内容包括姓名、入住日期、预订详情和取消警告。该活动完全依赖 WhatsApp,没有观察到对应的电子邮件或 SMS 基础设施。观察到的语言包括英语、德语、法语、西班牙语、罗马尼亚语和波兰语。此前,Sekoia 和 Netcraft 也报告过类似活动。
Bitdefender 警告称,一场持续中的钓鱼活动正在冒充酒店、度假村和住宿提供方,波及 10 多个国家。该公司表示:“不同于依赖通用钓鱼邮件的传统旅行诈骗,这次行动使用真实的预订信息、本地化消息和逼真的酒店品牌,诱骗旅客交出银行卡信息。” 受害者会收到个性化消息,内容包括姓名、入住日期、预订详情和取消警告。该活动完全依赖 WhatsApp,没有观察到对应的电子邮件或 SMS 基础设施。观察到的语言包括英语、德语、法语、西班牙语、罗马尼亚语和波兰语。此前,Sekoia 和 Netcraft 也报告过类似活动。
AI 代理瞄准漏洞混乱:Amazon 宣布 AWS Continuum 用于漏洞管理 Amazon Web Services(AWS)宣布推出一款新的人工智能(AI)驱动安全代理 AWS Continuum,用于代码漏洞管理;随着像 Claude Mythos 这样的模型被攻击者和防守方越来越多地用于加速发现和利用漏洞,这一工具应运而生。AWS Continuum “以机器速度处理代码漏洞管理的完整生命周期。它会持续发现漏洞,验证哪些真正可被利用,按照业务上下文排序,并帮助你在定义的护栏内跨整个技术栈进行修复。” AWS 表示,该代理与模型无关,并在各模型最擅长的地方使用多个前沿模型。
Amazon Web Services(AWS)宣布推出一款新的人工智能(AI)驱动安全代理 AWS Continuum,用于代码漏洞管理;随着像 Claude Mythos 这样的模型被攻击者和防守方越来越多地用于加速发现和利用漏洞,这一工具应运而生。AWS Continuum “以机器速度处理代码漏洞管理的完整生命周期。它会持续发现漏洞,验证哪些真正可被利用,按照业务上下文排序,并帮助你在定义的护栏内跨整个技术栈进行修复。” AWS 表示,该代理与模型无关,并在各模型最擅长的地方使用多个前沿模型。
AI 出口管制重塑模型访问:Mythos 5 限制与韩国电信巨头相关 WIRED 在一篇新报道中表示,美国政府决定限制 Anthropic 的 Claude Fable 5 和 Mythos 5 模型,是在其要求该 AI 公司撤销韩国 SK Telecom 的访问权限之后作出的,原因据称与其同中国的关联有关。
WIRED 在一篇新报道中表示,美国政府决定限制 Anthropic 的 Claude Fable 5 和 Mythos 5 模型,是在其要求该 AI 公司撤销韩国 SK Telecom 的访问权限之后作出的,原因据称与其同中国的关联有关。
SD-WAN 零日影响范围扩大:Cisco 更新 CVE-2026-20127 通告 Cisco 已更新其 2026 年 2 月发布的 CVE-2026-20127 通告。该漏洞是 Catalyst SD-WAN Controller 和 Catalyst SD-WAN Manager 中的严重权限提升漏洞,更新说明该漏洞同样影响 Catalyst SD-WAN Validator。该安全缺陷自 2023 年起已被名为 UAT-8616 的高级威胁行为者作为零日漏洞利用。它允许未经身份验证的远程攻击者通过发送特制请求绕过认证,并在受影响系统上获得管理员权限。
Cisco 已更新其 2026 年 2 月发布的 CVE-2026-20127 通告。该漏洞是 Catalyst SD-WAN Controller 和 Catalyst SD-WAN Manager 中的严重权限提升漏洞,更新说明该漏洞同样影响 Catalyst SD-WAN Validator。该安全缺陷自 2023 年起已被名为 UAT-8616 的高级威胁行为者作为零日漏洞利用。它允许未经身份验证的远程攻击者通过发送特制请求绕过认证,并在受影响系统上获得管理员权限。
AI 编码代理信任绕过被曝光:Cline 中的代码执行绕过 Manifold Security 标记出 Cline 中两条高危本地代码执行路径。Cline 是一款安装量超过 430 万的 AI 编码代理 VS Code 扩展,这些路径可通过恶意仓库在开发者机器上触发。仓库内容反过来会诱使代理在开发者账户下执行攻击者提供的 shell 命令,从而访问凭证、源代码和其他敏感数据。Manifold Security 研究主管 Ax Sharma 表示:“Cline 自带一个 Approve/Deny 对话框和一个 ‘Safe Commands’ 自动批准过滤器,本应阻止的正是这种情况。但两者都失效了。点击 URL 预览卡片来确认代理从哪里获取内容时,实际运行的是一个操作系统级命令。Approve/Deny 对话框从未拦住这次点击。‘Safe Commands’ 并不检查命令。它会问 AI 代理自己的命令是否安全,然后相信它的回答,即使同一个代理已经被攻击者内容操纵过。” 虽然这些发现被归类为“超出范围”,但 Cline 计划在后续版本中发布修复。
Manifold Security 标记出 Cline 中两条高危本地代码执行路径。Cline 是一款安装量超过 430 万的 AI 编码代理 VS Code 扩展,这些路径可通过恶意仓库在开发者机器上触发。仓库内容反过来会诱使代理在开发者账户下执行攻击者提供的 shell 命令,从而访问凭证、源代码和其他敏感数据。Manifold Security 研究主管 Ax Sharma 表示:“Cline 自带一个 Approve/Deny 对话框和一个 ‘Safe Commands’ 自动批准过滤器,本应阻止的正是这种情况。但两者都失效了。点击 URL 预览卡片来确认代理从哪里获取内容时,实际运行的是一个操作系统级命令。Approve/Deny 对话框从未拦住这次点击。‘Safe Commands’ 并不检查命令。它会问 AI 代理自己的命令是否安全,然后相信它的回答,即使同一个代理已经被攻击者内容操纵过。” 虽然这些发现被归类为“超出范围”,但 Cline 计划在后续版本中发布修复。
HTTP/2 滥用转向实时侦察:Reconaissance 和 PoC 验证瞄准 HTTP/2 Bomb 本月早些时候,Calif 使用 OpenAI 的 Codex 发现了一个名为 HTTP/2 Bomb 的利用。该漏洞正式编号为 CVE-2026-49975,讽刺的是,它把两个原本专为节省互联网带宽而设计的功能链在一起,帮助攻击者将垃圾流量放大数个数量级。Imperva 随后报告称,现实世界中的攻击者正在运行“专门用于绘制”易受攻击服务器的工具。一个可工作的概念验证(PoC)已公开。CyCognito 表示:“在这一组暴露资产中,通信服务占 24.9%,位居首位,信息技术占 18.0%,医疗保健紧随其后,为 17.0%。”
本月早些时候,Calif 使用 OpenAI 的 Codex 发现了一个名为 HTTP/2 Bomb 的利用。该漏洞正式编号为 CVE-2026-49975,讽刺的是,它把两个原本专为节省互联网带宽而设计的功能链在一起,帮助攻击者将垃圾流量放大数个数量级。Imperva 随后报告称,现实世界中的攻击者正在运行“专门用于绘制”易受攻击服务器的工具。一个可工作的概念验证(PoC)已公开。CyCognito 表示:“在这一组暴露资产中,通信服务占 24.9%,位居首位,信息技术占 18.0%,医疗保健紧随其后,为 17.0%。”
暴露的邮件服务器变成钓鱼中继:威胁行为者滥用终端服务器作为钓鱼起点 安全研究人员发现了一起“有趣的攻击”,未知攻击者将受害者对外暴露的终端服务器用作钓鱼起点。Huntress 表示,它恢复了完整的 staging 目录,包括合法的批量邮件软件 Gammadyne Mailer、一个名为 dracii.mmp 的项目文件,以及包含 8,894,920 个电子邮件地址的六个目标列表。公司称:“这次活动冒充英国连锁药店 Boots,使用‘免费礼物’调查作为诱饵。” 它指向受害者的载荷托管在一个被攻陷的玻利维亚政府网站 ipelc.gob[.]bo 上。该载荷是一个 Boots 钓鱼网页,位于 /boots_store/ 子目录中,诱使用户完成调查并通过输入个人和财务信息来领取免费礼物。
安全研究人员发现了一起“有趣的攻击”,未知攻击者将受害者对外暴露的终端服务器用作钓鱼起点。Huntress 表示,它恢复了完整的 staging 目录,包括合法的批量邮件软件 Gammadyne Mailer、一个名为 dracii.mmp 的项目文件,以及包含 8,894,920 个电子邮件地址的六个目标列表。公司称:“这次活动冒充英国连锁药店 Boots,使用‘免费礼物’调查作为诱饵。” 它指向受害者的载荷托管在一个被攻陷的玻利维亚政府网站 ipelc.gob[.]bo 上。该载荷是一个 Boots 钓鱼网页,位于 /boots_store/ 子目录中,诱使用户完成调查并通过输入个人和财务信息来领取免费礼物。
银行钓鱼投递内存加载型窃取器:Phantom Stealer 盯上银行 一场活跃的钓鱼活动正在针对银行投递 Phantom Stealer,这是一款信息窃取器,由名为 Oldphantomoftheopera 的威胁行为者以订阅模式出售,价格在 70 美元到 240 美元之间。Fortra 表示:“攻击始于含有恶意附件的钓鱼邮件,附件伪装成商务文档。执行后,恶意软件完全在内存中运行,有助于绕过传统防御。” 该公司补充说:“定向钓鱼投递、先进规避技术、广泛的凭证收集能力以及稳健的多渠道外传基础设施的组合,使这一威胁属于高严重性类别。” Phantom Stealer 既针对主流浏览器,也针对 Discord、Telegram 和 Steam。它还用于窃取金融信息、加密货币资产,并收集击键、截图和剪贴板数据。
一场活跃的钓鱼活动正在针对银行投递 Phantom Stealer,这是一款信息窃取器,由名为 Oldphantomoftheopera 的威胁行为者以订阅模式出售,价格在 70 美元到 240 美元之间。Fortra 表示:“攻击始于含有恶意附件的钓鱼邮件,附件伪装成商务文档。执行后,恶意软件完全在内存中运行,有助于绕过传统防御。” 该公司补充说:“定向钓鱼投递、先进规避技术、广泛的凭证收集能力以及稳健的多渠道外传基础设施的组合,使这一威胁属于高严重性类别。” Phantom Stealer 既针对主流浏览器,也针对 Discord、Telegram 和 Steam。它还用于窃取金融信息、加密货币资产,并收集击键、截图和剪贴板数据。
量子安全强制时间表确定:法国计划停止认证不具备量子安全加密的产品 法国网络安全机构 ANSSI 表示,自 2027 年起,将停止认证不具备量子抗性加密的安全产品。该机构还要求企业到 2030 年只采购量子安全产品。
法国网络安全机构 ANSSI 表示,自 2027 年起,将停止认证不具备量子抗性加密的安全产品。该机构还要求企业到 2030 年只采购量子安全产品。
国家层面筛查 .ru 邮件流量:爱沙尼亚将审查来自 .ru 域的邮件 根据当地媒体报道,爱沙尼亚计划在来自俄罗斯 .ru 顶级域名的邮件送达政府官员之前,增加额外安全筛查,理由是网络风险升高。新措施预计于 2026 年 8 月 31 日起生效。
根据当地媒体报道,爱沙尼亚计划在来自俄罗斯 .ru 顶级域名的邮件送达政府官员之前,增加额外安全筛查,理由是网络风险升高。新措施预计于 2026 年 8 月 31 日起生效。
冒充诈骗造成 35 亿美元损失:美国人在 2025 年因冒充诈骗损失 35 亿美元 美国联邦贸易委员会(FTC)披露,2025 年美国人在冒充诈骗中损失高达 35 亿美元,报告损失额自 2020 年以来几乎翻了三倍。FTC 表示:“这些诈骗通过短信、电话、电子邮件、社交媒体、搜索引擎结果和其他方式诱骗消费者。一些代价最高的冒充诈骗以虚假的安全警报开始,通常来自银行。” 他们会被说服转移资金来“保护”资金,而损失往往只受其可用资金限制。总体而言,2025 年各类欺诈报告损失约为 160 亿美元。
美国联邦贸易委员会(FTC)披露,2025 年美国人在冒充诈骗中损失高达 35 亿美元,报告损失额自 2020 年以来几乎翻了三倍。FTC 表示:“这些诈骗通过短信、电话、电子邮件、社交媒体、搜索引擎结果和其他方式诱骗消费者。一些代价最高的冒充诈骗以虚假的安全警报开始,通常来自银行。” 他们会被说服转移资金来“保护”资金,而损失往往只受其可用资金限制。总体而言,2025 年各类欺诈报告损失约为 160 亿美元。
Conti 操作者承认勒索软件角色:乌克兰国民对 Conti 攻击认罪 44 岁的 Oleksii Oleksiyovych Lytvynenko 已就与 Conti 相关的电信诈骗合谋罪认罪。Conti 是一种勒索软件变种,感染了全球超过 1,000 台计算机和网络。美国司法部表示:“来自爱尔兰科克的 Lytvynenko 与他人合谋部署 Conti 勒索软件,以勒索受害者并窃取其数据。” Lytvynenko 承认他最迟在 2021 年 9 月左右加入 Conti 共谋。他承认持有来自 8 名美国受害者和 4 名海外受害者的数据,这些数据是由 Conti 共谋者窃取的。Lytvynenko 还承认加入了一个由 Conti 共谋者管理的团队,在此期间他被指派编写一个“loader”,这通常是一种用于加载执行其他恶意攻击所需程序的恶意软件。到 2022 年 1 月,Conti 勒索软件攻击已造成至少 1.5 亿美元赎金支付。这名乌克兰国民于 2025 年 10 月被引渡至美国。他定于 2026 年 9 月 10 日宣判,最高可判 20 年监禁。
44 岁的 Oleksii Oleksiyovych Lytvynenko 已就与 Conti 相关的电信诈骗合谋罪认罪。Conti 是一种勒索软件变种,感染了全球超过 1,000 台计算机和网络。美国司法部表示:“来自爱尔兰科克的 Lytvynenko 与他人合谋部署 Conti 勒索软件,以勒索受害者并窃取其数据。” Lytvynenko 承认他最迟在 2021 年 9 月左右加入 Conti 共谋。他承认持有来自 8 名美国受害者和 4 名海外受害者的数据,这些数据是由 Conti 共谋者窃取的。Lytvynenko 还承认加入了一个由 Conti 共谋者管理的团队,在此期间他被指派编写一个“loader”,这通常是一种用于加载执行其他恶意攻击所需程序的恶意软件。到 2022 年 1 月,Conti 勒索软件攻击已造成至少 1.5 亿美元赎金支付。这名乌克兰国民于 2025 年 10 月被引渡至美国。他定于 2026 年 9 月 10 日宣判,最高可判 20 年监禁。
Steam 壁纸变成账号盗窃向量:Steam Workshop 中的恶意壁纸传播恶意软件 威胁行为者正在滥用 Steam Workshop,在数十个壁纸包中隐藏恶意软件,从而危及玩家账号安全。该活动自 2025 年底以来一直活跃。Kaspersky 表示:“攻击者主要针对中国和俄罗斯的玩家,目的是劫持他们的账户。” 为达成目的,他们利用 Steam 上流行的动态壁纸应用 Wallpaper Engine,具体利用其 Workshop sharing 功能。恶意软件被隐藏在用户彼此分享的壁纸包中。运行其中一个被攻陷的壁纸,可能导致 Steam 账户被盗,或者让受害者系统感染后门或加密矿工。
威胁行为者正在滥用 Steam Workshop,在数十个壁纸包中隐藏恶意软件,从而危及玩家账号安全。该活动自 2025 年底以来一直活跃。Kaspersky 表示:“攻击者主要针对中国和俄罗斯的玩家,目的是劫持他们的账户。” 为达成目的,他们利用 Steam 上流行的动态壁纸应用 Wallpaper Engine,具体利用其 Workshop sharing 功能。恶意软件被隐藏在用户彼此分享的壁纸包中。运行其中一个被攻陷的壁纸,可能导致 Steam 账户被盗,或者让受害者系统感染后门或加密矿工。
Rust C2 框架进入 npm 供应链:NastyC2 框架通过 npm 包分发 三个 npm 包 [email protected]、[email protected]、[email protected] 被发现可作为 Linux、Windows 和 macOS 系统的 dropper,用于投递一个此前未被记录的后渗透框架 NastyC2。Panther 表示:“它完全用 Rust 编写,提供超过 80 条命令,涵盖凭证收集、Active Directory 攻击、容器逃逸、云元数据窃取和无文件执行。” 该框架在范围上可与 Cobalt Strike 或 Sliver 相比,在 BOF/COFF 执行、反射式 DLL 加载、多技术进程注入、AD 原生 Kerberoasting 和 DCSync、AMSI/ETW patching、SOCKS5 pivoting 以及加密 sleep 等方面都有重叠。
三个 npm 包 [email protected]、[email protected]、[email protected] 被发现可作为 Linux、Windows 和 macOS 系统的 dropper,用于投递一个此前未被记录的后渗透框架 NastyC2。Panther 表示:“它完全用 Rust 编写,提供超过 80 条命令,涵盖凭证收集、Active Directory 攻击、容器逃逸、云元数据窃取和无文件执行。” 该框架在范围上可与 Cobalt Strike 或 Sliver 相比,在 BOF/COFF 执行、反射式 DLL 加载、多技术进程注入、AD 原生 Kerberoasting 和 DCSync、AMSI/ETW patching、SOCKS5 pivoting 以及加密 sleep 等方面都有重叠。
npm 包投递蠕虫、矿工和提权利用:恶意 npm 包下三重载荷 一个名为 [email protected] 的恶意 npm 包被观察到安装三种不同载荷,包括一个横跨六个构建生态系统(Rust、Cargo、Python、CMake 和 npm)的供应链蠕虫、一个 Monero 加密货币矿工,以及一个针对 Linux kernel 的 Dirty Frag 本地权限提升(LPE)漏洞利用。Panther 表示:“三者都从内存运行,磁盘上不会留下具名文件。” 内嵌 kernel 利用带有 GCC 构建时间戳 2026-04-30 1,比 Dirty Frag 漏洞公开披露早七天。尽管 ELF 时间戳可以伪造,但这一发展引发了这样的可能性:在该缺陷细节仍未公开时,威胁行为者可能已经拿到了可工作的利用代码。
一个名为 [email protected] 的恶意 npm 包被观察到安装三种不同载荷,包括一个横跨六个构建生态系统(Rust、Cargo、Python、CMake 和 npm)的供应链蠕虫、一个 Monero 加密货币矿工,以及一个针对 Linux kernel 的 Dirty Frag 本地权限提升(LPE)漏洞利用。Panther 表示:“三者都从内存运行,磁盘上不会留下具名文件。” 内嵌 kernel 利用带有 GCC 构建时间戳 2026-04-30 1,比 Dirty Frag 漏洞公开披露早七天。尽管 ELF 时间戳可以伪造,但这一发展引发了这样的可能性:在该缺陷细节仍未公开时,威胁行为者可能已经拿到了可工作的利用代码。
多阶段 loader 规避分析链:新的 OnionDrop loader 被分析 一场活跃活动正在利用名为 OnionDrop 的多阶段 loader 投递 LegionLoader(又名 CurlyGate)、CGrabber 和 Vidar Stealer 等恶意软件家族。OnionDrop 是一款高级恶意软件,具备广泛的防御规避和反分析特性。Cyderes 表示:“攻击链从一个 ZIP 压缩包和一个合法的、带 Adobe 签名的可执行文件开始,用于 DLL side-loading。随后,恶意 DLL 会经历四个变换阶段:自定义字节对解码、通过 RtlDecompressBufferEx 进行 Xpress Huffman 解压、使用轮换密钥材料的 AES-256-CBC 解密,以及最终通过滥用 Windows Thread Pool 中的 TpPostWork callback 执行 shellcode。这是一个专业设计的规避框架,任何有访问权限的人都可以把它指向任何目标。”
一场活跃活动正在利用名为 OnionDrop 的多阶段 loader 投递 LegionLoader(又名 CurlyGate)、CGrabber 和 Vidar Stealer 等恶意软件家族。OnionDrop 是一款高级恶意软件,具备广泛的防御规避和反分析特性。Cyderes 表示:“攻击链从一个 ZIP 压缩包和一个合法的、带 Adobe 签名的可执行文件开始,用于 DLL side-loading。随后,恶意 DLL 会经历四个变换阶段:自定义字节对解码、通过 RtlDecompressBufferEx 进行 Xpress Huffman 解压、使用轮换密钥材料的 AES-256-CBC 解密,以及最终通过滥用 Windows Thread Pool 中的 TpPostWork callback 执行 shellcode。这是一个专业设计的规避框架,任何有访问权限的人都可以把它指向任何目标。”
快递上门提取延长加密货币诈骗生命周期:骗子用快递员收取现金 美国联邦调查局(FBI)警告称,骗子在网上以寻求商业或恋爱关系的身份接触受害者后,会指示他们参与现金提取,而受害者通常是老年人。与受害者建立关系后,骗子会建议投资加密货币,并指示受害者下载某些加密货币交易应用并创建投资账户。FBI 表示:“骗子会安排快递员与受害者当面会合,领取用于欺诈性投资的现金。” 由于合法金融机构可能会拒绝可疑的资金转移,骗子会告诉受害者,必须通过上门现金提取才能继续在该欺诈投资公司投资,或者支付所谓罚款才能提取投资。另一种情况是,欺诈性的加密货币交易所会告诉受害者其账户已被“标记”,从而让骗子建议改用现金快递员。派出的快递员会用约定代码或某张钞票上的特定序列号来表明身份。当受害者试图提取其以为获得的利润时,威胁行为者会强迫他们支付不存在的税费和罚金,并再次通过快递员收现金继续骗局。
美国联邦调查局(FBI)警告称,骗子在网上以寻求商业或恋爱关系的身份接触受害者后,会指示他们参与现金提取,而受害者通常是老年人。与受害者建立关系后,骗子会建议投资加密货币,并指示受害者下载某些加密货币交易应用并创建投资账户。FBI 表示:“骗子会安排快递员与受害者当面会合,领取用于欺诈性投资的现金。” 由于合法金融机构可能会拒绝可疑的资金转移,骗子会告诉受害者,必须通过上门现金提取才能继续在该欺诈投资公司投资,或者支付所谓罚款才能提取投资。另一种情况是,欺诈性的加密货币交易所会告诉受害者其账户已被“标记”,从而让骗子建议改用现金快递员。派出的快递员会用约定代码或某张钞票上的特定序列号来表明身份。当受害者试图提取其以为获得的利润时,威胁行为者会强迫他们支付不存在的税费和罚金,并再次通过快递员收现金继续骗局。
白俄罗斯关联 Gmail 钓鱼激增:Ghostwriter 盯上波兰 Gmail 账户 CERT Polska 披露,与白俄罗斯有关联的 Ghostwriter 组织一直在针对 Gmail 用户开展钓鱼活动,使用伪造消息模仿官方 Gmail 通信,诱骗收件人点击可窃取凭证的恶意 URL。该机构表示:“这些活动强度很高,主要发生在工作日。值得注意的是,它们能够窃取双因素认证(2FA)凭证。过去几周,我们团队几乎每天都观察到用于钓鱼页面的新域名出现。” 该活动的目标包括研究人员、记者、公共行政和执法部门员工,以及与这些群体有家庭或社交关系的人。
CERT Polska 披露,与白俄罗斯有关联的 Ghostwriter 组织一直在针对 Gmail 用户开展钓鱼活动,使用伪造消息模仿官方 Gmail 通信,诱骗收件人点击可窃取凭证的恶意 URL。该机构表示:“这些活动强度很高,主要发生在工作日。值得注意的是,它们能够窃取双因素认证(2FA)凭证。过去几周,我们团队几乎每天都观察到用于钓鱼页面的新域名出现。” 该活动的目标包括研究人员、记者、公共行政和执法部门员工,以及与这些群体有家庭或社交关系的人。
OAuth 设备流被滥用于账号接管:Device Code 钓鱼盯上 Microsoft 365 账户 ReversingLabs 详细分析了一场 Microsoft 365 device code 钓鱼活动,该活动利用 Microsoft 正式的 OAuth 2.0 Device Authorization Grant 流来获取受害者账户访问权。安全研究员 Robert Simmons 表示:“发给受害者的初始邮件使用了一个诱饵,看起来像是供应商发给其客户的报价审批。” 这类钓鱼工具包并不是通过伪造登录页窃取密码,而是诱使受害者完成一个合法的 Microsoft 认证流程,从而授权一台由攻击者控制的设备。
ReversingLabs 详细分析了一场 Microsoft 365 device code 钓鱼活动,该活动利用 Microsoft 正式的 OAuth 2.0 Device Authorization Grant 流来获取受害者账户访问权。安全研究员 Robert Simmons 表示:“发给受害者的初始邮件使用了一个诱饵,看起来像是供应商发给其客户的报价审批。” 这类钓鱼工具包并不是通过伪造登录页窃取密码,而是诱使受害者完成一个合法的 Microsoft 认证流程,从而授权一台由攻击者控制的设备。
Stealer-as-a-service 加入退款保证:新 OnyxC2 信息窃取器现身 一种名为 OnyxC2 的新信息窃取器正在地下论坛上被推广,向客户提供 web 面板和载荷构建器。最重要的是,如果某个 build 被抓到,付费用户可获得退款。BlackFog 表示:“每月 250 美元,操作者可获得一套工具,能从大约 210 个应用和扩展中收集浏览器凭证、密码管理器、双因素认证(2FA)和加密钱包,然后通过加密通道全部回传。” 该窃取器覆盖 37 个基于 Chromium 的浏览器和 8 个基于 Gecko 的浏览器,以及 95 个 Chromium 和 14 个 Gecko 扩展,其中包括 6 个专门的双因素认证扩展。它还覆盖 5 个密码管理器、17 个加密货币钱包、11 个 FTP 客户端和 5 个邮件客户端,以及更多 VPN、远程访问、消息、笔记和游戏目标。高级订阅每月 500 美元。OnyxC2 还加入了通过网页浏览器实现的 HVNC、LSASS dumping、内存和磁盘上的 RunPE、反向 SOCKS5 代理、截图捕获、键盘记录器、文件管理器、通过 HTTP 的反向 shell,以及内置 TOR 隧道,超出传统窃取工具的范围。
一种名为 OnyxC2 的新信息窃取器正在地下论坛上被推广,向客户提供 web 面板和载荷构建器。最重要的是,如果某个 build 被抓到,付费用户可获得退款。BlackFog 表示:“每月 250 美元,操作者可获得一套工具,能从大约 210 个应用和扩展中收集浏览器凭证、密码管理器、双因素认证(2FA)和加密钱包,然后通过加密通道全部回传。” 该窃取器覆盖 37 个基于 Chromium 的浏览器和 8 个基于 Gecko 的浏览器,以及 95 个 Chromium 和 14 个 Gecko 扩展,其中包括 6 个专门的双因素认证扩展。它还覆盖 5 个密码管理器、17 个加密货币钱包、11 个 FTP 客户端和 5 个邮件客户端,以及更多 VPN、远程访问、消息、笔记和游戏目标。高级订阅每月 500 美元。OnyxC2 还加入了通过网页浏览器实现的 HVNC、LSASS dumping、内存和磁盘上的 RunPE、反向 SOCKS5 代理、截图捕获、键盘记录器、文件管理器、通过 HTTP 的反向 shell,以及内置 TOR 隧道,超出传统窃取工具的范围。
AI 主题钓鱼投递 AsyncRAT:AI 热度被用作诱饵投递 AsyncRAT 研究人员观察到一场新活动正在通过钓鱼邮件投递伪装成 AI 相关文档的恶意文件,以安装 AsynRAT。附件以 ZIP 压缩包形式分发,内含一个 Windows Shortcut(LNK)文件,作为隐蔽多阶段攻击链的起点。Fortinet FortiGuard Labs 表示:“这些诱饵旨在针对主动寻找 AI 学习资源的用户。” 这些文件背后的攻击链极其复杂,使用多个分阶段脚本隐藏活动,最终部署基于 AutoHotkey 的 loader,将一个 .NET 远程访问木马 [名为 clay_Client] 和 AsynRAT 反射式注入内存,用于命令和控制通信及后续执行。
研究人员观察到一场新活动正在通过钓鱼邮件投递伪装成 AI 相关文档的恶意文件,以安装 AsynRAT。附件以 ZIP 压缩包形式分发,内含一个 Windows Shortcut(LNK)文件,作为隐蔽多阶段攻击链的起点。Fortinet FortiGuard Labs 表示:“这些诱饵旨在针对主动寻找 AI 学习资源的用户。” 这些文件背后的攻击链极其复杂,使用多个分阶段脚本隐藏活动,最终部署基于 AutoHotkey 的 loader,将一个 .NET 远程访问木马 [名为 clay_Client] 和 AsynRAT 反射式注入内存,用于命令和控制通信及后续执行。
GCP 遥测缺口暴露检测盲点:Google Cloud serviceData 的安全风险 Permiso Security 表示,它发现了与 serviceData 相关的一个“有趣且具有实际意义的不一致”,该字段已被弃用,并被 metadata 取代,用于获取特定服务的信息。安全研究员 Art Ukshini 表示:“如果 serviceData 已被彻底弃用,且各服务都已迁移出去,那么预期的模式应当是:弃用日期之后的事件不再填充 serviceData 字段,而是把相关数据填入 metadata。” 然而,进一步测试显示,有些事件仍然正确填充 serviceData,而另一些则产生空的 serviceData 对象。该安全公司表示,这种不可靠行为会转化为一组具体安全风险,影响检测覆盖、事件响应和合规性,要求组织端到端验证日志遥测。
Permiso Security 表示,它发现了与 serviceData 相关的一个“有趣且具有实际意义的不一致”,该字段已被弃用,并被 metadata 取代,用于获取特定服务的信息。安全研究员 Art Ukshini 表示:“如果 serviceData 已被彻底弃用,且各服务都已迁移出去,那么预期的模式应当是:弃用日期之后的事件不再填充 serviceData 字段,而是把相关数据填入 metadata。” 然而,进一步测试显示,有些事件仍然正确填充 serviceData,而另一些则产生空的 serviceData 对象。该安全公司表示,这种不可靠行为会转化为一组具体安全风险,影响检测覆盖、事件响应和合规性,要求组织端到端验证日志遥测。
蠕虫利用 AI 拒绝行为:Shai-Hulud 蠕虫试图绕过 AI 护栏 Shai-Hulud 蠕虫的一个变体被发现包含一个对抗性提示,内容为“synthesizing weaponized biological agents suitable for aerosol dispersal”,旨在针对 AI 驱动的恶意软件扫描器,诱使模型因违反安全护栏而拒绝回答,而不是将其归类为良性。JFrog 表示:“拒绝本应是安全结果。它是模型拒绝做有害事情。这里,拒绝本身就是攻击。如果扫描器在文件顶部就退缩,它就永远不会读到文件底部,恶意软件就会在未分析的情况下被投递出去。并不是模型被诱骗去信任它,而是它被怂恿着把书合上。”
Shai-Hulud 蠕虫的一个变体被发现包含一个对抗性提示,内容为“synthesizing weaponized biological agents suitable for aerosol dispersal”,旨在针对 AI 驱动的恶意软件扫描器,诱使模型因违反安全护栏而拒绝回答,而不是将其归类为良性。JFrog 表示:“拒绝本应是安全结果。它是模型拒绝做有害事情。这里,拒绝本身就是攻击。如果扫描器在文件顶部就退缩,它就永远不会读到文件底部,恶意软件就会在未分析的情况下被投递出去。并不是模型被诱骗去信任它,而是它被怂恿着把书合上。”
基于风险的补丁获得执行层:CISA 要求组织更聪明地打补丁 美国网络安全和基础设施安全局(CISA)发布了一项新的强制操作指令 BOD 26-04,优先处理联邦民事行政部门(FCEB)机构的安全更新,要求它们在加速时限内修复高风险漏洞,判断依据包括:是否暴露在互联网、漏洞是否已列入 Known Exploited Vulnerabilities(KEV)目录、漏洞利用是否可被自动化以进行大规模攻击,以及利用是否会导致系统部分或全部被控制。根据这些风险因素,机构可能需要在三天内处理这些缺陷。此举表明,AI 不仅降低了漏洞利用开发门槛、加速了漏洞研究,也让攻击者能迅速将新披露的缺陷纳入武器库。CISA 表示:“网络威胁行为者会利用未打补丁的漏洞,而他们使用 AI 可能进一步缩短防守方在补丁发布与可能被利用之间的反应时间。这些因素为联邦机构提供了全面的风险图景,以便做出明智决定,在不增加那些不会改变结果的额外流程负担的情况下显著降低风险。”
美国网络安全和基础设施安全局(CISA)发布了一项新的强制操作指令 BOD 26-04,优先处理联邦民事行政部门(FCEB)机构的安全更新,要求它们在加速时限内修复高风险漏洞,判断依据包括:是否暴露在互联网、漏洞是否已列入 Known Exploited Vulnerabilities(KEV)目录、漏洞利用是否可被自动化以进行大规模攻击,以及利用是否会导致系统部分或全部被控制。根据这些风险因素,机构可能需要在三天内处理这些缺陷。此举表明,AI 不仅降低了漏洞利用开发门槛、加速了漏洞研究,也让攻击者能迅速将新披露的缺陷纳入武器库。CISA 表示:“网络威胁行为者会利用未打补丁的漏洞,而他们使用 AI 可能进一步缩短防守方在补丁发布与可能被利用之间的反应时间。这些因素为联邦机构提供了全面的风险图景,以便做出明智决定,在不增加那些不会改变结果的额外流程负担的情况下显著降低风险。”
本周的教训并不含蓄:信任现在就是攻击面。浏览器扩展、AI 聊天链接、OAuth 流、编码代理、软件包安装,以及“已知良好”的云助手。攻击者不总是在破门而入。他们是在找我们为了方便而早已把门撑开的那些入口。
这意味着防御必须少一点对默认设置的浪漫想象。要盯住用户信任的工具,不只是他们下载的文件。把代理当作账户来审计。把软件包当作代码执行。把来自受信任平台的链接当作链接,而不是安全证明。本周互联网没有崩溃。它只是提醒我们,“合法”并不等于“安全”。