朝鲜APT组织“传染访谈”利用假加密货币公司传播恶意软件 一个朝鲜APT组织创建了假加密货币咨询公司，以高薪职位吸引求职者，并通过虚假面试流程传播恶意软件窃取钱包信息。... 2025-4-25 08:43:45 | 阅读: 4 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com winreg beavertail victim lianxinxiao blocknovas

SAP NetWeaver RFI漏洞导致的恶意JSP网络外壳攻击 定向网络攻击利用SAP NetWeaver未知漏洞上传恶意JSP网页壳，实现远程控制企业系统；研究人员发现该零日RFI漏洞影响最新补丁版本；建议禁用开发功能并监控异常活动以应对风险。... 2025-4-25 05:53:24 | 阅读: 2 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com webshells netweaver attackers malicious irj

ToyMaker攻击链与LAGTOY后门技术分析 2023年发现的网络攻击中，威胁组织ToyMaker通过初始访问代理入侵关键基础设施企业，利用SSH工具部署LAGTOY后门提取凭证，并将控制权转交给Cactus勒索软件集团实施双重勒索。该恶意软件采用独特的时间机制和非加密通信方式规避检测。... 2025-4-24 15:51:9 | 阅读: 8 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com toymaker lagtoy c2 cactus ransomware

利用隐写术隐藏恶意代码的复杂恶意软件攻击 网络研究人员发现一起复杂恶意软件活动，利用隐写术将恶意代码隐藏于图片文件中。攻击链通过微软Office旧漏洞CVE-2017-0199投放远程访问木马AsyncRAT。该活动通过钓鱼邮件传播，多阶段执行并采用混淆技术规避检测。研究人员指出其危险性在于隐写技术和多阶段特性可绕过传统安全控制。... 2025-4-24 15:15:39 | 阅读: 6 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com malicious remote microsoft asyncrat

Linux安全框架中的关键漏洞使运行时安全工具难以检测威胁 Linux 安全框架现重大漏洞，io_uring 接口使恶意活动绕过传统监控。主流安全工具如 CrowdStrike 和微软 Defender 无法检测相关威胁。研究团队开发 Curing 根木马演示攻击效果，多数产品未能有效防御。部分厂商已修复问题，但整体应对不一。此漏洞对云环境和数据中心构成严重威胁。... 2025-4-24 14:41:16 | 阅读: 8 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com security monitoring microsoft armo gap

Zyxel FLEX-H系列设备的数据库查询与远程代码执行漏洞 Zyxel FLEX-H系列设备存在严重漏洞，允许攻击者无需认证即可通过SSH隧道访问PostgreSQL数据库并执行任意SQL查询及远程代码执行。该漏洞源于数据库服务的架构配置错误，攻击者可利用此漏洞获取系统级权限并完全控制设备。Zyxel已发布补丁修复此问题，建议受影响组织立即更新固件并加强安全措施。... 2025-4-24 13:52:29 | 阅读: 9 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com database ssh zyxel security attackers

Langflow零日漏洞CVE-2025-3248：远程代码执行威胁 Langflow平台发现严重远程代码执行漏洞（CVE-2025-3248），CVSS评分9.8。该漏洞影响所有1.3.0以下版本，攻击者可无需认证执行任意命令。漏洞源于/api/v1/validate/code端点不当使用Python的exec()函数且缺乏认证与沙盒保护。恶意代码通过函数装饰器或默认参数值注入。建议立即升级至1.3.0或更高版本，并采取网络分段和零信任架构等措施以缓解风险。... 2025-4-24 12:4:12 | 阅读: 15 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com langflow attackers malicious python

脚本恶意软件的隐蔽性与危险性：技术分析与防御策略 基于脚本的恶意软件利用JavaScript、Python等语言编写，在内存中运行且难以检测。它们通过混淆代码和合法工具隐藏行为，并可快速修改以适应新环境。相比传统编译型恶意软件，脚本型更具灵活性和隐蔽性，但后者在系统底层控制方面更具优势。ANY.RUN的互动沙盒工具能有效分析此类威胁并提供防护建议。... 2025-4-23 15:13:11 | 阅读: 5 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com malicious windows powershell analysis processes

Synology DSM NFS服务严重漏洞分析（CVE-2025-1021） Synology DSM软件发现严重安全漏洞（CVE-2025-1021），允许未授权远程攻击者通过NFS服务读取任意文件。该漏洞影响多个DSM版本，风险等级为“重要”，CVSS3基分为7.5。建议用户立即更新系统至最新版本，并检查NFS配置以防止数据泄露。... 2025-4-23 14:19:47 | 阅读: 20 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com dsm synology security network nfs

新型Docker恶意软件活动：多层混淆技术与加密货币劫持的新手法 一种新型恶意软件针对Docker环境展开攻击,采用多层混淆技术隐藏自身以逃避检测,并劫持计算资源进行加密挖矿。研究人员发现,该恶意软件通过63次解码才暴露出真实代码,并利用合法Web3平台赚取加密货币奖励,而非传统挖矿方式。专家建议加强Docker环境的安全防护措施以应对日益复杂的威胁。... 2025-4-23 11:36:35 | 阅读: 8 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com attackers security network ten

针对俄罗斯组织的高级后门恶意软件分析 一种伪装成ViPNet安全软件更新的复杂后门程序被发现针对俄罗斯政府、金融和工业部门的大规模组织进行攻击。该恶意软件通过模仿合法更新分发，并利用路径替换技术在处理过程中触发恶意组件，从而窃取敏感数据并建立与命令控制服务器的连接。专家警告需加强多层防御措施以应对日益复杂的网络威胁。... 2025-4-23 08:16:8 | 阅读: 2 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com vipnet malicious security software

Google云平台权限提升漏洞ConfusedComposer详解 Google Cloud Platform发现名为“ConfusedComposer”的权限提升漏洞，允许攻击者通过滥用Cloud Composer与Cloud Build的交互机制获取敏感资源的高级访问权限。该漏洞源于自定义PyPI包安装功能的不当处理。Google已修复该问题，并建议用户更新服务以增强安全性。... 2025-4-23 06:7:32 | 阅读: 2 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com cloud pypi gcp attackers security

Cookie-Bite 攻击：无声绕过多因素认证的新威胁 一种名为“Cookie-Bite”的高级网络攻击技术通过窃取浏览器中的关键认证 cookie（如 ESTSAUTH 和 ESTSAUTHPERSISTENT），绕过多重身份验证（MFA），实现对 Azure 环境的长期非法访问。攻击者利用多种手段窃取 cookie，并通过恶意浏览器扩展等工具持续提取有效会话令牌，在不依赖密码或 MFA 码的情况下维持对云资源的持久访问。... 2025-4-23 05:9:39 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com cloud attackers microsoft victim

人工智能生成关键漏洞攻击代码：GPT-4的突破性成果 安全研究员Matt Keeley利用GPT-4成功生成针对Erlang/OTP SSH漏洞CVE-2025-32433的 exploits，展示了AI在漏洞研究中的潜力。该漏洞允许远程代码执行，CVSS评分为满分10分。Keeley通过AI分析代码差异、定位漏洞并自动生成修复代码。专家认为AI将加速漏洞利用开发，但也带来恶意滥用风险。建议受影响组织立即升级至最新版本以应对威胁。... 2025-4-23 01:58:46 | 阅读: 16 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com otp erlang keeley ssh security

利用Cloudflare隧道基础设施分发恶意软件的复杂攻击 网络攻击者利用Cloudflare隧道基础设施分发远程访问木马（RAT），通过伪装成发票或订单的钓鱼邮件传播。恶意附件以看似无害的格式绕过安全网关，并连接到远程资源下载恶意软件。感染链涉及多阶段机制：LNK文件执行HTA脚本下载BAT文件安装Python并执行恶意代码。最终注入到notepad.exe进程并创建启动项实现持久化。多个安全厂商已记录此威胁，强调其复杂性和隐蔽性。... 2025-4-22 21:4:24 | 阅读: 12 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com remote security stage payload

针对Linux开发者的Telegram机器人生态系统供应链攻击 文章描述了一起针对Linux开发者的供应链攻击事件。攻击者通过伪装成合法的npm包（如node-telegram-bot-api），植入SSH后门并窃取敏感数据。这些恶意包通过拼写错误和模仿合法库的文档及功能来欺骗开发者下载，并自动在Linux环境中执行恶意代码以获取持久访问权限和窃取信息。... 2025-4-22 20:25:7 | 阅读: 5 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com ssh malicious developers username attackers

复杂的Magecart攻击模式针对电子商务平台，采用混淆的JavaScript代码窃取支付信息 Magecart攻击针对电商平台，利用混淆JavaScript入侵后台系统，上传PHP木马并注入恶意代码，在结账时窃取支付信息，并通过WebSocket和图片对象双重渠道传输数据。... 2025-4-22 18:11:19 | 阅读: 2 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com attackers yarix magecart oxe38f46

开源库中的恶意包暗中窃取加密货币钱包凭证 恶意软件包伪装成合法开发工具，在npm和PyPI上窃取加密货币钱包凭证。这些包通过Google Analytics和Telegram bots等常用服务传输数据，导致用户资产损失。... 2025-4-22 14:13:49 | 阅读: 5 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com malicious pypi security

TP-Link路由器多处SQL注入漏洞及其风险 TP-Link多款路由器被发现存在SQL注入漏洞，允许攻击者绕过认证并获取设备管理权限，影响包括EAP120、TL-WR840N、M7200和M7450等型号。这些漏洞可能导致网络监控、DNS劫持及设备完全控制等风险。目前尚未发布补丁，建议用户更改默认密码、禁用远程管理并更新固件以降低风险。... 2025-4-22 13:54:11 | 阅读: 11 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com security 4g injection lte attacker

SSL.com披露域名验证系统漏洞，可能导致伪造SSL证书 SSL.com披露其域名验证系统存在重大安全漏洞,可能导致攻击者获取非自身拥有的域名的欺诈SSL证书。研究人员通过该漏洞成功为aliyun.com获取证书,问题源于DCV方法错误实现。 SSL.com已禁用相关验证方法并展开调查。... 2025-4-22 13:16:6 | 阅读: 9 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com aliyun dcv security fraudulent kelley