勒索软件组织将目标瞄准波斯语系统

2026-03-30 14:30 by 约纳丹号历险记

被称为 TeamPCP 的勒索软件组织试图卷入伊朗战争，他们释出了一种蠕虫，旨在抹掉使用伊朗时区或默认语言为波斯语的受感染系统上的数据。TeamPCP 从去年底开始利用蠕虫感染云端环境，窃取身份凭证，通过 Telegram 勒索受害者。安全公司 Flare 今年 1 月报告，被 TeamPCP 蠕虫感染的云服务 Azure（61%）和 AWS（36%）合计占到 97%。TeamPCP 最近被发现部署了新的恶意程序，如果检测到用户的时区和语言区域与伊朗相符，它将执行数据清除攻击；如果检测到受害者位于伊朗并有权访问 Kubernetes 集群，它将清除该集群每个节点上的数据，否则只清除本地计算机上的数据。

https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/

#安全

德国公开俄罗斯勒索软件组织 REvil 头目的身份

2026-04-06 23:30 by 未来学大会

德国公开了曾在早期运营俄罗斯勒索软件组织 GandCrab 和 REvil 的头目 UNKN 的身份。31 岁的 Daniil Maksimovich Shchukin 于 2019-2021 年间在德国实施了至少 130 起计算机破坏和勒索行动。德国称，Shchukin 以及另一名俄罗斯人——43 岁 Anatoly Sergeevitsch Kravchuk——一起勒索了近 200 万欧元，造成经济损失逾 3500 万欧元。德国联邦刑事警察局（BKA）称他领导的 GandCrab 和 REvil 首创了双重勒索——先向受害者收取赎金提供解锁的密钥，然后再收取一笔费用换取不公开被盗数据的承诺。GandCrab 在 2019 年成功勒索逾 20 亿美元后宣布解散，但随后就以 REvil 的名字再次亮相。

https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/

#安全

欧盟在一次供应链攻击中被盗走 92 GB 压缩数据

2026-04-07 14:06 by 空气的颜色

黑客组织 TeamPCP 利用 Trivy 的 GitHub 库在二月底被入侵之后凭证轮换不完整的漏洞推送了恶意代码。Trivy 是广泛使用的开源漏洞扫描器。欧盟委员会的自动化安全流程下载了含有恶意代码的 Trivy 更新，恶意代码窃取了 AWS API 密钥，攻击者随后访问了欧盟委员会在 AWS 的云账号，窃取了 92 GB 的压缩数据。这次攻击始于 3 月 19 日，安全团队直到 3 月 24 日才检测到异常活动。另一个黑客团队 ShinyHunters 公开了部分窃取的数据。一个网络犯罪团队负责攻击，另一个团队负责泄露，凸显了网络犯罪活动的专业分工程度在提高。公开的数据集在解压后大小为 340GB，包含了数万电邮和个人信息。

https://thenextweb.com/news/european-commission-breach-trivy-supply-chain

#安全

流行 NPM 软件包维护者成为 AI 深度伪造攻击目标

2026-04-07 23:31 by 帕迪多街车站

多位流行 NPM 软件包维护者成为 AI 深度伪造攻击目标，他们遭遇了相似的社会工程攻击。axios 维护者 Jason Saayman 称，疑似 APT 组织 UNC1069 的黑客冒充一家公司的创始人联系他，他们不仅克隆了创始人的外表，还克隆了公司本身。他们邀请他加入一个真实的 Slack 工作区（workspace），还创建了频道分享 LinkedIn 帖子，非常逼真。然后黑客邀请参加一个 Microsoft Teams 虚拟会议，会议提示其系统存在问题。他以为这与 Teams 有关，于是安装了缺失组件，结果却植入了远程访问木马。他维护的 axios 周下载量 1 亿，被云服务和编码环境广泛使用，黑客窃取了维护者的凭证释出了 axios 的恶意版本。这不是一起孤立事件，多位周下载量上亿的 NPM 软件包维护者遭遇了类似的 AI 深度伪造攻击。

https://it.slashdot.org/story/26/04/05/0316250/top-npm-maintainers-targeted-with-ai-deepfakes-in-massive-supply-chain-attack-axios-briefly-compromised

#安全

FBI 称 2025 年美国因网络犯罪损失 210 亿美元

2026-04-09 19:34 by 树语

FBI 称 2025 年美国因网络犯罪损失 210 亿美元，比 2024 年的 166 亿美元增长了 26%。主要网络犯罪类型包括：投资诈骗、商业电邮入侵、技术支持欺骗和数据泄露。美国 Internet Crime Complaint Center (IC3)去年收到的投诉最多的是钓鱼攻击（19.1 万）、勒索（8.9 万）和投资诈骗（7.2 万），商业电邮入侵（24,700 ）、数据泄露（3,900）、勒索软件攻击（3,600）和 SIM 卡劫持（971 起）。投资诈骗造成了 86 亿美元的损失。针对加密货币的网络犯罪造成了逾 110 亿美元损失。60 岁以上的美国人报告的损失 77 亿美元，比上一年增长了 37%。

https://www.bleepingcomputer.com/news/security/fbi-americans-lost-a-record-21-billion-to-cybercrime-last-year/

#安全

涉嫌向 Sam Altman 住宅扔燃烧瓶的嫌疑人被捕

2026-04-11 19:58 by 迷失的世界

旧金山警方逮捕了一名涉嫌向 OpenAI CEO Sam Altman 扔燃烧瓶的嫌疑人，还嫌疑人还跑到 OpenAI 位于旧金山 Mission Bay 的总部大楼前发表威胁言论。OpenAI 在发给员工的内部声明中表示，在周五 3:45am PT 左右，嫌疑人接近 Sam 住宅投掷了一枚燃烧装置。该装置落在附近并熄灭。无人受伤，仅造成轻微损失。不久后安保在总部大楼 MB1 外发现了与一位描述的嫌疑人相符的人。OpenAI 通知员工，安保可能会有所加强，办公室仍然正常开放，建议员工不要让任何人尾随进入大楼。

https://yro.slashdot.org/story/26/04/10/205209/suspect-arrested-for-allegedly-throwing-molotov-cocktail-at-sam-altmans-home

#安全

CPUID 网站下载链接被劫持传播恶意程序

2026-04-12 13:20 by 机器人的逃跑计划

提供 CPU-Z 和 HWMonitor 等流行免费系统分析工具的 CPUID 网站遭到入侵，导致用户在短时间内下载了恶意程序。用户首先通过社交媒体报告安装从 CPUID 下载的程序时杀毒软件弹出了警告。CPUID 网站随后证实，它使用的一个第三方 API 在 4 月 9-10 日期间被入侵了大约 6 个小时，导致主网站随机显示恶意链接。CPUID 提供的应用本身没有被纂改。攻击者主要针对 HWMonitor 用户，恶意版本包含了一个假的 CRYPTBASE.dll 文件，它会连接指令控制服务器下载更多恶意负荷。CPUID 表示问题已修复。

https://www.theregister.com/2026/04/10/cpuid_site_hijacked/

#安全

31 个 WordPress 插件被收购后植入了后门

2026-04-14 15:59 by 气球上的五星期

一个印度开发团队以 Essential Plugin 的名义开发了 31 款 WordPress 插件，插件有免费版本也有付费版本。2024 年底由于收入下降了 35-45% 开发者将所有插件出售给了一个有 SEO、加密货币和赌博背景的买家，金额是六位数。2025 年 8 月 8 日买家释出了更新，其中包含了后门，但后门一直处于休眠状态。2026 年 4 月 5-6 日后门激活开始向所有运行相关插件的网站传播恶意载荷。恶意代码从指令控制服务器获取垃圾链接、重定向和虚假页面。这些垃圾信息只会显示给 Google 的机器人 Googlebot，对网站所有者不可见。WordPress.org 插件团队次日关闭了所有插件，但 SEO 垃圾信息注入攻击仍在进行中。这不是 WordPress.org 第一次遭遇模式相似的供应链攻击——收购信任插件然后注入恶意代码，它没有机制标记或审查插件所有权转移，也没有向用户发出插件所有权变更的通知，新所有者也不会触发额外的代码审查。最新攻击有数十万安装这些插件的网站受到影响。

https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

#安全

Scattered Spider 资深成员 Tylerb 认罪

2026-04-22 15:03 by 流星追逐记

24 岁的英国公民、勒索组织 Scattered Spider 资深成员 Tyler Robert Buchanan aka Tylerb 认罪。他目前关押在美国，面临逾 20 年监禁。Scattered Spider 以利用社交工程方法入侵公司窃取数据勒索赎金闻名，该组织成员通常采取的方法是冒充员工或合同工欺骗 IT 授予企业的访问权限。作为认罪协议的一部分，Tylerb 承认与其他人合谋，在 2022 年发起数万起基于短信的钓鱼攻击，导致包括 Twilio、LastPass、DoorDash 和 Mailchimp 在内的科技公司系统遭到入侵。攻击者利用窃取的数据对加密货币投资者发起 SIM-swapping 攻击，仅在美国就从受害者手中窃取了至少 800 万美元的虚拟货币。Tylerb 被发现是因为他使用相同的用户名和电子邮件注册了钓鱼域名，域名注册商 NameCheap 提供的注册时使用的 IP 地址暴露了其身份。

https://krebsonsecurity.com/2026/04/scattered-spider-member-tylerb-pleads-guilty/

#安全

加密货币骗子瞄准滞留在霍尔木兹海峡附近的船只

2026-04-23 20:49 by 冰上斯芬克斯

由于伊朗关闭了霍尔木兹海峡，目前有约 2000 艘船只和 2 万名海员滞留在附近。伊朗几周前表示通过海峡的油轮需要以加密货币形式支付过境费，但美国随后也宣布关闭海峡搜查过往船只。形势相当混乱，而在混乱之中骗子开始浑水摸鱼。据报道，加密货币骗子正冒充伊朗当局，向航运公司发送信息，要求以比特币或泰达币支付过境费。未经证实的消息称，有船只认为已经支付了过境费而试图通过海峡，在遭到伊朗炮击后不得不返回。目前已发生了两次类似事件，一次是 4 月 18 日，一次是 4 月 22 日。

https://arstechnica.com/security/2026/04/crypto-scam-lures-ships-into-strait-of-hormuz-falsely-promising-safe-passage/

#安全

英国生物银行 50 万参与者健康数据泄漏

2026-04-24 22:12 by 超时空碎片

英国生物银行（UK Biobank）有 50 万参与者的健康数据泄漏，泄漏数据集在阿里巴巴上出售。英国科技大臣 Ian Murray 称英国生物银行运营机构已向政府通报了这起事件，泄露的信息不包含姓名、地址、联系方式或电话号码，但可能包括性别、年龄、出生年月、社会经济地位、生活习惯以及生物样本的测量数据。英国生物银行收集志愿者提供的健康数据，被用于帮助改进痴呆症、癌症和帕金森病的检测和治疗。有逾 1.8 万篇论文使用了英国生物银行的数据。阿里巴巴已经删除了数据，但相关数据又被上传到了 GitHub 上，英国生物银行向 GitHub 递交了大量 DMCA 删除通知。

https://www.bbc.com/news/articles/cpvxgl3n138o
https://www.ukbiobank.ac.uk/news/a-message-to-our-participants-uk-biobank-data-security-update/
https://news.ycombinator.com/item?id=47875843

#安全

MS Edge 被发现会在内存中明文加载所有密码

2026-05-05 22:12 by 一九八四·上来透口气

MS Edge 浏览器被发现启动时会在内存中明文加载其保存的所有密码。相比下 Chrome 只在需要时解密凭证，没有将所有密码保存在内存中。Edge 和 Chrome 都是基于开源的 Chromium。微软的做法让从内存中抓取重要数据变得更容易，也增加了共享环境下密码泄露的风险。安全研究人员将这一问题报告给了微软，收到的回应是该行为就是这么设计的。研究人员在 GitHub 上发布了概念演示工具 EdgeSavedPasswordsDumper。

https://lemmy.zip/post/63729962?scrollToComments=true
https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper/tree/main/EdgeSavedPasswordsDumper

#安全

美国学习管理平台 Canvas 被入侵和勒索

2026-05-08 17:58 by 驶入深海

美国教育科技公司 Instructure 旗下的学习管理平台 Canvas 被勒索组织 ShinyHunters 入侵和篡改，它威胁如果学校不在 5 月 12 日前联系它协商赎金将会泄露窃取的学校信息。攻击者利用 Instructure 系统漏洞入侵篡改了约 330 所教育机构的 Canvas 登录门户，将登录页面替换为勒索信息。ShinyHunters 声称它窃取了 8809 所学校的数据，涉及 2.75 亿名学生和教职工。它窃取的信息包括了学生姓名、邮箱地址、ID 号和消息等。在篡改事件后 Instructure 将 Canvas、Canvas Beta 和 Canvas Test 置于维护模式。

https://www.bleepingcomputer.com/news/security/canvas-login-portals-hacked-in-mass-shinyhunters-extortion-campaign/

#安全

JDownloader 网站被入侵用户被推送恶意程序

2026-05-08 21:58 by 洛基启示录

下载管理器 JDownloader 的网站遭到攻击，攻击者在一天多时间里向 Windows 和 Linux 用户推送了恶意程序。JDownloader 团队确认了此次攻击，它立即关闭了网站展开全面调查。调查显示，攻击者于 5 月 6 日专门修改了替代下载页，用未签名的恶意可执行文件替代了所有 Windows 安装程序的替代链接。Linux shell 安装程序也被替换为包含恶意 shell 代码的版本。但主 JDownloader.jar 文件、macOS 安装程序以及 Winget、Flatpak 和 Snap 等软件库中的软件包未受到破坏。

https://www.neowin.net/news/if-you-downloaded-this-popular-software-recently-you-might-have-installed-malware/

#安全

富士康证实遭遇网络攻击

2026-05-13 17:42 by 微光城市

在勒索组织 Nitrogen 宣布它窃取了 8TB 数据逾 1100 万文件后，富士康证实它在北美地区的部分工厂遭遇了网络攻击，称“网络安全团队立即启动响应机制，采取多项运营措施，确保生产和交付的连续性。受影响的工厂目前正在恢复正常生产”。Nitrogen 声称它窃取的文件包括了英特尔、苹果、Google、戴尔和英伟达等公司项目相关的技术图纸。这不是富士康第一次遭遇勒索组织的网络攻击，此前 LockBit 先后在 2022 年和 2024 年攻击了富士康旗下子公司。

https://www.theregister.com/cyber-crime/2026/05/12/foxconn-confirms-cyberattack-after-nitrogen-claims-apple-nvidia-data-theft/5239144

#安全

Bug 悬赏项目被 AI 报告淹没

2026-05-19 23:29 by 开普罗纳的魔法师

企业通过 Bug 悬赏项目向白帽子黑客支付发现 bug 的赏金，但此类项目如今被低质量的 AI 报告淹没，迫使部分企业终止项目。Bugcrowd 的客户包括 OpenAI、T-Mobile 和摩托罗拉，该公司表示 3 月三周内收到的报告数量翻了四倍多，大部分报告被证实是错误的。Curl 项目在 1 月暂停了 Bug 悬赏项目。网络安全公司 Sophos 的首席信息安全官 Ross McKerchar 表示，低质量 AI 报告正迅速成为一大问题，Bug 悬赏会继续 存在，但必须做出改变。Nextcloud 在 4 月暂停了 Bug 悬赏。Bug 悬赏项目平台 HackerOne 也开始引入 AI 智能体去筛选递交的 Bug 报告，CEO Kara Sprague 表示高质量的 AI 报告最近也略有增加。

https://arstechnica.com/ai/2026/05/bug-bounty-businesses-bombarded-with-ai-slop/

#安全

GitHub 证实黑客窃取了其内部代码库

2026-05-20 16:37 by 智能侵略

GitHub 通过 X 平台官方账号证实黑客窃取了其内部代码库，它正对此展开调查。此前黑客组织 TeamPCP 通过 Breached 论坛声称获得了 GitHub 内部源代码和内部组织的访问权限，窃取了大约 3800 个代码库，它对想要访问源代码的人开出了 5 万美元的报价。TeamPCP 坚称这不是勒索，只要有人开出不低于 5 万美元的报价，它们会在收钱之后销毁数据，如果没有买家则将会免费公开。GitHub 称它的调查显示一名员工的计算机被入侵，其源头是安装的恶意 VS Code 扩展，他们移除了扩展隔离了设备，正继续进行调查。GitHub 表示目前没有证据表明客户数据受到影响。

https://xcancel.com/github/status/2056949169701720157https://www.bleepingcomputer.com/news/security/github-investigates-internal-repositories-breach-claimed-by-teampcp/

#安全

Google 意外公开了未修复 Chromium 漏洞的利用代码

2026-05-21 14:02 by 飞行村

Google 周三公开了一个未修复 Chromium 漏洞的利用代码。该漏洞影响所有使用基于 Chromium 浏览器的用户。独立安全研究员 Lyra Rebane 在 2022 年底向 Google 报告了漏洞，但 29 个月后它仍然没有修复。本周三上午 Google 向 Chromium 的 bug 跟踪系统披露了漏洞，Rebane 一开始以为漏洞已经修复了，结果发现根本没有。Google 虽然之后删除了帖子，但其内容已被其它网站存档。该漏洞滥用了 Chromium 的 Browser Fetch API 打开一个持续活动的 Service Worker，恶意网站可通过 JavaScript 触发该 Service Worker 创建连接，监视用户的部分活动，它还可作为代理访问网站和发起 DDoS 攻击。安全研究人员认为这是一个严重的漏洞，它实际上相当于一个受限的后门，将浏览器变成僵尸网络的一部分。

https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/

#安全

欧洲执法部门黑进 VPN 服务识别勒索组织用户

2026-05-26 00:30 by 惨败

欧洲刑警组织披露，他们黑进了被网络犯罪分子使用的 VPN 服务“First VPN”，访问了用户数据库，识别了数千用户身份。First VPN 的网站已经显示被执法部门扣押的信息，它过去曾在俄语网络犯罪论坛上打广告，宣称能隐藏用户的 IP 地址，加密所有通信，不记录任何日志。它还声称将拒绝与司法机关合作，其服务不受任何司法管辖，且不会存储任何用户数据。First VPN 的活动始于 2014 年，在 27 个国家/地区提供了 32 个出口节点服务器。至少有 25 个勒索软件组织利用了其基础设施进行网络侦察和入侵。警方搜查了该服务管理员在乌克兰的住所，拆除了 33 台服务器。

https://arstechnica.com/tech-policy/2026/05/police-boast-of-hacking-vpn-where-criminals-believed-themselves-to-be-safe/

#安全

Red Hat 官方 NPM 账号被入侵，软件包被植入恶意程序

2026-06-02 15:09 by 即临之族

Red Hat 官方 NPM 账号 @redhat-cloud-services 被入侵，该账号相关联的多个软件包植入了窃取凭证的恶意程序。恶意程序旨在窃取 GitHub Action Secret、以及 AWS、GCP、Azure、Kubernetes、HashiCorp Vault、npm 和 CircleCI 等的凭证，它还是一种能自我传播的蠕虫，会利用窃取的 npm 令牌和 npm 的 bypass_2fa 参数，自动重新发布其它软件包的后门版本。Red Hat 在一份声明中表示，恶意软件包已经移除，它仍然在进行调查，初步分析未发现对客户或合作伙伴环境或 Red Hat 生产系统造成任何影响。

https://www.stepsecurity.io/blog/multiple-redhat-cloud-services-npm-packages-compromised
https://arstechnica.com/security/2026/06/dozens-of-red-hat-packages-backdoored-through-its-offical-npm-channel/

#安全