各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

热点资讯

1. 微软疑似出现重大网络安全过失：美国参议院指控微软“养寇自重”

微软因十年未修复的安全漏洞导致医疗系统遭勒索攻击，被参议员指控"纵火后兜售消防服务"。其默认RC4加密技术助长黑客入侵，200亿美元安全业务被批双重收费。事件暴露微软安全文化缺陷，威胁国家安全，可能重塑行业安全标准。

2. iPhone17史上最重要安全升级：MIE技术抵御各类内存破坏漏洞

苹果发布MIE技术，通过硬件级同步EMTE防护阻断内存破坏漏洞，五年研发实现全设备持续保护，主要防御雇佣间谍软件，显著提升攻击成本，被誉为消费级系统最重要的内存安全升级。

3. AMD与英特尔CPU隔离缺陷漏洞可使虚拟机突破隔离

新型VMSCAPE攻击利用CPU分支预测隔离缺陷，使恶意虚拟机窃取宿主机敏感数据，影响AMD Zen和英特尔Coffee Lake等多款处理器。研究团队发现虚拟化环境中硬件防护不足，通过污染BPU状态诱导QEMU推测执行泄露数据。Linux已发布补丁，建议VMEXIT时使用IBPB指令清除恶意条目，性能影响1%-51%。

4. 强度最大的数据包洪水攻击：DDoS防护服务商遭遇每秒1.5Gpps数据包攻击

西欧某DDoS清洗服务商遭破纪录UDP洪水攻击，每秒15亿数据包创公开记录。攻击源自全球11,000网络的物联网僵尸网络，凸显设备安全漏洞。专家警告消费级设备正被武器化，高速检测技术成防御关键。

5. 每日5万封钓鱼邮件：云服务漏洞如何助长大规模网络钓鱼活动

Wiz团队披露攻击者利用AWS SES漏洞，通过窃取密钥突破限制，实现大规模钓鱼攻击。攻击者自动化请求提升配额，验证恶意域名发送钓鱼邮件，冒充税务通知，危害严重。事件凸显云服务滥用风险，表明攻击者可能掌握更多AWS凭证。

6. SpamGPT：攻击者利用AI驱动的邮件攻击工具发起大规模钓鱼攻击

SpamGPT新型AI犯罪工具包在暗网销售，整合AI技术与邮件营销功能，实现钓鱼攻击全自动化，降低犯罪门槛。其AI助手可生成高说服力钓鱼内容，滥用云服务规避检测，威胁网络安全。防御需加强邮件认证并部署AI安全方案。

7. APT37扩充攻击武器库：新增Rustonotto后门、PowerShell Chinotto及FadeStealer窃密程序

朝鲜黑客组织APT37持续升级攻击手段，采用Rust语言新型后门Rustonotto、模块化窃密工具FadeStealer及隐蔽注入技术，主要针对韩国涉朝人士，展现高度专业化和适应能力。

8. npm史上最大供应链攻击：每周下载量超20亿的软件包遭大规模攻击劫持

npm生态遭史上最大供应链攻击，18个流行包被篡改，周下载超20亿次。攻击者钓鱼入侵维护者账户，植入恶意代码劫持加密货币交易，1小时内被识别。建议回滚版本并审计依赖。

9. 苹果用户速更新！macOS存严重漏洞，用户隐私数据面临泄露风险

macOS曝高危漏洞CVE-2025-24204，CVSS评分9.8，攻击者可利用gcore工具绕过SIP保护读取进程内存，窃取钥匙串主密钥及TCC保护数据。苹果已在macOS 15.3修复，建议用户立即升级。

10. 新型APT组织"嘈杂熊"针对哈萨克斯坦能源部门发起网络间谍活动

"嘈杂熊"APT组织自2025年起针对哈萨克斯坦能源部门，通过伪装成KMG内部邮件的鱼叉式钓鱼攻击，利用PowerShell加载器和DLL植入技术实施四阶段入侵，基础设施与俄罗斯关联密切。

一周好文共读

1. 新型网络攻击技术剖析：Electron 劫持与无服务器 C2 通道的隐蔽对抗

新型网络攻击利用Electron等框架寄生合法应用，滥用云服务实现无服务器C2通信，隐蔽性极强。防御需多管齐下：强化代码校验、监控异常行为、分析云流量模式，结合UEBA和沙箱检测应对跨平台、无文件化攻击。【阅读原文】

2. 攻防 | 记一次完整外网打点到内网渗透再到提权获取root权限的过程

通过端口扫描发现目标主机开放服务，利用SQL注入获取管理员凭证，绕过文件上传限制上传恶意文件，最终通过反弹shell和SUID提权获取系统权限。【阅读原文】

3. 借助DeepSeek从漏洞挖掘的角度分析fastjson反序列化漏洞

本文逆向分析fastjson 1.2.24反序列化漏洞，通过控制@type触发TemplatesImpl链，利用_outputProperties属性反射调用getOutputProperties，最终实现恶意代码执行。关键点包括属性顺序控制、base64编码和131072特征值绕过。【阅读原文】