新闻速览

•特朗普将封禁DeepSeek？外交部回应

•工信部CSTIS提醒：防范网站被攻击网页被篡改的风险

•工信部CSTIS提醒：防范VMware ESXi等多个产品安全漏洞的风险

•美国当局追回2300 万美元，或与 LastPass 数据泄露有关

•日本电信巨头NTT系统遭入侵，1.8 万企业客户信息恐遭被泄露

•Medusa勒索软件日益猖獗，两月内攻击 40 余目标

•入侵超过 600 个组织，新兴恶意软件 EncryptHub 攻击链及运作模式曝光

•GitHub 仓库成为大规模恶意广告攻击跳板，近百万设备遭殃

•三分之二在野利用零日漏洞涉及内存损坏，警惕内存运行时攻击

•网络犯罪分子利用假冒CAPTCHA传播LummaStealer信息窃取恶意软件

•Jenkins 爆出四大高危漏洞，攻击者可能泄露敏感信息

特别关注

特朗普将封禁DeepSeek？外交部回应

3月10日，外交部发言人毛宁主持例行记者会。

法新社记者提问，据《华尔街日报》报道，美国总统特朗普正在权衡限制DeepSeek的措施，包括禁止政府设备使用DeepSeek。中方对此有何回应？

毛宁表示，我们一贯反对泛化国家安全概念、将经贸和科技问题政治化。我们也将坚定维护中国企业的合法权益。

原文链接：

https://mp.weixin.qq.com/s/DTWq3SmmCK0LAqFES0d5Yg

工信部CSTIS提醒：防范网站被攻击网页被篡改的风险

3月7日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布《关于防范网站被攻击网页被篡改的风险提示》。根据风险提示，CSTIS监测发现多个政府机构和企事业单位门户网站网页遭受攻击、篡改代码，导致违法违规信息传播、恶意链接推广、SEO（搜索引擎优化）劫持和钓鱼攻击等严重危害。

遭受攻击原因为网页存在安全漏洞，未严格校验上传文件格式和内容。恶意攻击者利用漏洞可上传恶意文件，植入非法链接，导致用户访问网站时被跳转到攻击者指定的恶意网站，诱导用户访问包含非法广告、钓鱼链接的网站或下载恶意代码、违法违规APP。

CSTIS建议各相关单位及个人加强网站网页的安全防护，强化风险防范，检查网站文件完整性，采取限制上传文件格式、严格校验文件内容、添加身份验证机制等安全措施，并做好应急响应，及时发现处置遭篡改网页代码。

原文链接：

https://mp.weixin.qq.com/s/Jt_Gz1MjGhthMHxQm9wxKg

工信部CSTIS提醒：防范VMware ESXi等多个产品安全漏洞的风险

3月7日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布《关于防范VMware ESXi等多个产品安全漏洞的风险提示》。根据风险提示，监测发现VMware ESXi等产品存在高风险安全漏洞，可被恶意利用导致代码执行、信息泄露等危害，且已发现在野利用情况。

VMware ESXi、Workstation、Fusion、Cloud Foundation等产品是博通公司旗下的虚拟化和云计算产品，广泛用于构建、管理和运行虚拟机和应用程序。由于其虚拟化组件在内存操作和权限校验时存在缺陷，可导致堆内存溢出、越界读取和越界写入等危害。恶意攻击者可利用相关缺陷构造恶意请求，实现远程代码执行、获取配置数据等危害，甚至获取主机控制权限。受影响的产品包括：VMware ESXi、VMware Workstation、VMware Fusion、VMware Cloud Foundation、VMware Telco Cloud Platform。

博通公司已修复上述漏洞并发布安全公告（链接：https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390）。CSTIS建议相关单位和用户立即开展全面排查，及时升级至最新安全版本，并可通过采取限制网络访问、加强系统日志检查、禁用不必要的服务、启用强认证等安全防护措施，防范网络攻击风险。

原文链接：

https://mp.weixin.qq.com/s/Ai_blkthK0lppaLbFay3cg

热点观察

美国当局追回2300 万美元，或与 LastPass 数据泄露有关

美国当局近日查获了超过 2300 万美元的加密货币，这些资金与 2024 年 1 月从一个 Ripple 加密钱包中被盗的 1.5 亿美元有关。调查人员认为，2022 年入侵 LastPass 的黑客可能是这起攻击的幕后黑手。

根据美国司法部公开的一份没收诉状，执法人员在 2024 年 6 月至 2025 年 2 月期间追踪到 23,604,815.09 美元的被盗数字资产，这些资产分布在 OKX、Kraken、WhiteBIT、AscendEX 等多个加密货币交易所。美国特勤局的调查人员通过对受害者的采访，认为攻击者只可能是通过破解 2022 年在线密码管理器数据泄露事件中被盗的密码库，提取私钥后实施了这次盗窃。他们没有发现受害者设备被黑客入侵的证据，这进一步表明解密被盗的在线密码管理器数据是攻击者获取密钥的唯一途径。

诉状中提到相关平台在 2022 年 8 月和 11 月遭遇了 “两次重大数据泄露”，这一时间线与 LastPass 三年前披露的安全漏洞一致。当时该公司表示攻击者在入侵其云存储后窃取了源代码、专有技术信息以及客户保管库数据。这起加密货币盗窃案的细节与 2024 年 1 月 31 日披露的 Ripple 联合创始人兼执行主席 Chris Larsen 遭遇 1.5 亿美元加密货币被盗事件相吻合。

原文链接：

https://www.bleepingcomputer.com/news/security/us-seizes-23-million-in-crypto-stolen-via-password-manager-breach/

网络攻击

日本电信巨头 NTT系统遭入侵，1.8 万企业客户信息恐被泄露

日本电信服务提供商 NTT近日发布公告，警告约 1.8 万家企业客户的信息在一起网络安全事件中遭到泄露。

NTT 于 2 月 5 日发现被入侵，并在次日阻止了威胁行为者对被入侵系统的访问。然而，进一步调查显示，攻击者已经转移到 NTT 网络上的另一台设备。NTT迅速断开了该设备的连接以防止进一步的横向移动，并确信威胁已被完全遏制。但黑客最初进入 NTT 系统的确切日期尚未确定。

根据 NTT 的声明，黑客入侵了该公司的 “订单信息分发系统”，该系统存储了 17,891 家企业客户的详细信息，但不包含个人消费者的数据。可能被黑客窃取的数据类型包括：客户名称（注册合同名）、客户代表姓名、合同编号、电话号码、电子邮件地址、物理地址以及服务使用信息。NTT 表示，NTT Docomo 直接提供的企业智能手机和移动电话合同不受此次事件影响。值得注意的是，NTT 表示不会向受影响的客户发送个性化通知，公司网站上的公开声明将是唯一的通知方式。

原文链接：

https://www.bleepingcomputer.com/news/security/data-breach-at-japanese-telecom-giant-ntt-hits-18-000-companies/

Medusa勒索软件日益猖獗，两月内攻击 40 余目标

据 Symantec 威胁猎捕团队最新分析，Medusa 勒索软件声称在 2025 年前两个月已攻击了超过 40 个目标，其中包括一起针对美国医疗机构的确认攻击。这一数字几乎是 2024 年同期攻击数量的两倍。自 2023 年初活跃以来，Medusa 在其数据泄露网站上已列出近 400 个受害者。

Symantec 认为，实际受害者数量可能更高，因为这些数据并未包括那些支付赎金以阻止信息公开的受害者。Medusa 被认为被Symantec 追踪为 Spearwing 的团伙以勒索软件即服务（RaaS）的方式运营。

研究人员认为，Spearwing 及其附属机构通常通过利用面向公众的应用程序中未修补的漏洞（尤其是 Microsoft Exchange Server）来获得初始访问权限。攻击者使用多种利用本地资源和合法工具来逃避检测、实现横向移动和窃取数据，然后加密系统。一旦勒索软件被执行，加密文件会添加.medusa 扩展名，并在加密机器上放置名为 “!READ_ME_MEDUSA!!!.txt” 的赎金通知。Medusa 勒索软件的赎金要求从 10 万美元到 1500 万美元不等。

原文链接：

https://www.infosecurity-magazine.com/news/medusa-claims-victims-2025/

入侵超过 600 个组织，新兴恶意软件 EncryptHub 攻击链及运作模式曝光

近日，Outpost24 的 KrakenLabs 威胁情报团队揭露了新兴恶意软件威胁团伙 EncryptHub 的内部运作和攻击链细节。据悉，该组织已成功入侵超过 600 个组织。

研究发现，EncryptHub 的多阶段攻击链始于安装特洛伊化的应用程序。这些应用程序模仿了包括微信、Google Meet、Microsoft Visual Studio 2022 等在内的多个流行合法应用。攻击链首先执行 PowerShell 脚本下载 payload.ps1 文件，该文件从受害机器提取敏感数据并将其发送到攻击者的服务器。随后，通过一系列复杂的步骤，最终在受害系统上安装并执行 Rhadamanthys 信息窃取器。

EncryptHub 使用第三方按安装付费（PPI）代理 LabInstalls 来传播其恶意软件。这种服务帮助自动化恶意文件的分发，费用根据安装数量从 100 次 10 美元到 10000 次 450 美元不等。此外，EncryptHub 正在开发名为 EncryptRAT 的命令与控制（C2）面板，用于管理活跃的恶意软件感染、发送远程命令、监控受感染设备的日志，以及配置恶意软件样本和数据窃取渠道。

随着 EncryptHub 不断发展和改进其战术，网络防御人员需要保持警惕，监控其威胁指标（IOCs），并确保只从合法来源安装受信任的应用程序，以防止感染。

原文链接：

https://www.scworld.com/news/encrypthub-malware-operations-attack-chain-exposed

GitHub 仓库成为大规模恶意广告攻击跳板，近百万设备遭殃

近日，Microsoft 威胁情报团队披露了一起影响全球近 100 万消费者和企业设备的大规模恶意广告活动。该活动主要通过非法流媒体网站上的恶意广告重定向器，将用户引导至中间网站，随后重定向到 GitHub、Discord 和 Dropbox 等平台，以窃取敏感信息。

Microsoft 详细描述了这次攻击的三个阶段：托管在 GitHub 上的第一阶段有效载荷作为下一阶段有效载荷的投放器；第二阶段文件用于进行系统侦察，并将收集到的系统信息（如设备内存大小、图形详情、屏幕分辨率、操作系统和用户路径）通过 Base64 编码嵌入 URL，通过 HTTP 发送到指定 IP 地址；根据第二阶段有效载荷的不同，部署各种第三阶段有效载荷，主要用于执行额外的恶意活动，如命令与控制（C2）下载其他文件和窃取数据。

安全专家建议安全团队采取多管齐下的方法，包括有效的系统加固、基于角色的访问控制、使用支持性安全应用、企业零信任基础实践、用户培训以及通过企业网关使用集中式浏览控制。

原文链接：

https://www.scworld.com/news/malvertising-campaign-uses-malicious-github-repos-to-target-nearly-1-million-devices

三分之二在野利用零日漏洞涉及内存损坏，警惕内存运行时攻击

内存运行时攻击作为一种新兴的高级技术，正以前所未有的频率出现。根据 Google 的 Project Zero 报告，2024 年在野检测到的零日漏洞中，三分之二利用了内存损坏漏洞，凸显了攻击者对这类技术的持续利用。内存攻击技术代表了威胁格局的根本性转变，为仅依赖传统检测型防御的组织带来了巨大挑战。

内存运行时攻击不同于传统的依赖磁盘存储恶意可执行文件的攻击，而是在应用程序运行时直接在内存中操作，几乎不留下任何可供防御者检测的痕迹。进程注入是内存运行时攻击的一种典型形式，它通过多种方法将恶意代码注入合法运行进程的内存空间。内存代码注入则是直接将代码写入内存，随后恶意软件会自我分发并重新注入到合法进程中，包括那些对 Windows 正常运行至关重要的进程。

内存攻击之所以难以检测和防范，主要有以下原因：数据临时性和动态性、大规模扫描困难、多态性和混淆技术，以及内存钩子绕过。面对这些挑战，组织需要采取主动预防措施来防止运行时内存被破坏，创建动态防御环境，在运行时随机化内存结构、API 和系统资源，增加攻击者定位和利用漏洞的难度。

原文链接：

https://www.infosecurity-magazine.com/opinions/threat-in-memory-cyber-attacks/

网络犯罪分子利用假冒CAPTCHA传播LummaStealer信息窃取恶意软件

网络安全公司G DATA的研究人员最近发现了一种精心策划的恶意软件活动,它利用假冒的CAPTCHA提示来传播危险的信息窃取恶意软件LummaStealer。这种感染机制代表了信息窃取者传播方式的重大演变。

该攻击专门针对预订网站的用户,通过展示需要CAPTCHA验证才能查看文件详细信息的虚假预订确认页面。感染始于受害者访问诸如”hxxps://payment-confirmation.82736[.]store/pgg46″之类的恶意URL,随后会被重定向到一个假冒的预订确认页面。该页面会呈现一个假冒的CAPTCHA验证,采用了一种被称为ClickFix的复杂社会工程技术。这种恶意版本会指示用户打开Windows运行命令,并粘贴已自动复制到他们剪贴板中的命令。在检查页面源代码时,安全研究人员发现了一个被混淆的JavaScript,它从另一个URL上托管的PHP脚本加载命令。该脚本使用ROT13加密来隐藏其真实目的,即将一个Base64编码的PowerShell命令复制到受害者的剪贴板中。一旦通过Windows运行对话框执行PowerShell命令,它就会联系攻击者的服务器并下载额外的恶意软件。

安全专家建议,在访问通过意外电子邮件收到的预订确认链接时要格外小心,切勿执行来自声称是CAPTCHA验证的网站的任何命令。

原文链接：

https://cybersecuritynews.com/beware-of-fake-captcha-prompts-that-may-install-lummastealer/

安全漏洞

Jenkins 爆出四大高危漏洞，攻击者可能泄露敏感信息

广泛应用于 CI/CD 流程中的开源自动化服务器 Jenkins 近日披露了四个严重安全漏洞，这些漏洞可能导致未经授权的秘密信息泄露、跨站请求伪造（CSRF）和开放重定向攻击。受影响的版本包括 Jenkins 2.499 和 LTS 2.492.1 及更早版本，最新的修复版本为 2.500（每周版）和 2.492.2（LTS 版）。

其中，CVE-2025-27622 和 CVE-2025-27623 源于代理和视图配置中加密密钥的不当编辑。具有 Agent/Extended Read 或 View/Read 权限的攻击者可以利用 REST API 或 CLI 端点检索包含未编辑密钥的 config.xml 文件，从而绕过 Jenkins 的安全控制，暴露 API 密钥、数据库密码和加密令牌等敏感信息。这两个漏洞的根本原因是在处理 config.xml 请求时缺乏足够的访问验证。

CVE-2025-27624 引入了 Jenkins 处理侧面板小部件状态（如构建队列）时的 CSRF 风险。攻击者可以通过精心构造的链接，强制经过身份验证的用户通过 GET 请求切换小部件可见性，这些请求缺乏 CSRF 保护。利用这一点，攻击者可以将任意字符串注入受害者的用户配置文件，为存储型 XSS 或数据泄露创造持久机制。

CVE-2025-27625 则通过滥用 Jenkins 宽松的 URL 验证，实现了开放重定向。攻击者可以在 URL 后附加反斜杠（\），诱使浏览器将其解释为相对路径，从而便于进行钓鱼攻击。

安全专家建议管理员立即升级到 Jenkins 2.500 或 LTS 2.492.2。对于需要延迟修补的环境，可采取以下临时措施：将 Agent/Extended Read 和 View/Read 权限限制为必要用户；实施反向代理规则以阻止包含反斜杠的 URL；启用 CSRF 过滤器并审核用户配置文件中的异常条目。

原文链接：

https://cybersecuritynews.com/jenkins-vulnerability-expose-secrets/