FreeBuf早报 | 新供应链攻击波及npm仓库;GitHub为SSH访问增加抗量子加密保护
全球网络安全事件频发,涉及供应链攻击、软件包篡改、恶意代码窃取凭证等威胁;GitHub推出抗量子加密保护;微软与Cloudflare联手打击钓鱼网站;LG智能电视及苹果系统曝高危漏洞;AISURU僵尸网络升级;云环境隐藏恶意软件技术出现;MCP服务器被滥用;安全公司通过收购增强AI防护能力。 2025-9-17 08:7:29 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

全球网安事件速递

1. 新供应链攻击波及npm仓库,40余个软件包遭篡改

npm仓库遭供应链攻击,40余个包被篡改,恶意代码窃取开发者凭证和云密钥,植入持久化GitHub Actions持续外泄数据。建议卸载受影响包、轮换密钥并监控异常活动。【外刊-阅读原文

2. GitHub为SSH访问增加抗量子加密保护

GitHub推出抗量子SSH混合密钥,兼容现有系统并抵御未来量子攻击。该密钥采用NIST推荐算法,目前为可选更新。安全团队需提前测试适配性,行业正逐步转向抗量子加密技术以应对未来威胁。【外刊-阅读原文

3. 微软与Cloudflare联手捣毁RaccoonO365钓鱼网络,查封338个域名

微软与Cloudflare联合查封338个钓鱼域名,摧毁金融犯罪团伙RaccoonO365的钓鱼即服务平台。该团伙通过简易工具窃取5000+账户,每日可攻击9000目标。主犯仍在逃,行动显著提高犯罪成本,展示主动打击网络犯罪的战略转变。【外刊-阅读原文

4. LG WebOS智能电视漏洞可绕过认证实现完全控制

LG智能电视WebOS系统曝高危漏洞,攻击者可利用路径遍历漏洞获取root权限,完全控制设备,安装恶意软件。漏洞涉及多款机型,LG已发布安全公告建议用户更新固件。【外刊-阅读原文

5. 苹果为CVE-2025-43300漏洞发布回溯补丁,该漏洞已被用于复杂间谍软件攻击

苹果修复ImageIO高危漏洞CVE-2025-43300(CVSS 8.8),该漏洞与WhatsApp漏洞形成攻击链,已被用于精准间谍攻击。苹果紧急推送多版本补丁,建议用户立即更新系统以防风险。【外刊-阅读原文

6. Spring框架安全漏洞导致授权绕过与注解检测失效

Spring Security和Spring Framework曝出两个高危漏洞(CVE-2025-41248/41249),可绕过授权控制。影响版本包括Spring Security 6.4.x/6.5.x和Spring Framework 5.3.x/6.1.x/6.2.x,建议升级至修复版本或在具体类中重新声明安全注解。【外刊-阅读原文

7. AISURU僵尸网络:从破纪录DDoS攻击到住宅代理帝国的演变

AISURU僵尸网络从DDoS攻击转向多功能犯罪,2025年发动11.5Tbps破纪录攻击,控制30万设备,并拓展住宅代理服务,采用先进加密和规避技术,威胁持续升级。【外刊-阅读原文

8. AWSDoor新型持久化技术:攻击者可将恶意软件隐藏在AWS云环境中

攻击者利用AWSDoor工具通过IAM后门和Lambda层污染在AWS云中持久潜伏,禁用日志并滥用S3规则。防御需监控IAM变更、审计Lambda层,结合CSPM和EDR检测异常行为。【外刊-阅读原文

9. 攻击者可武器化MCP服务器窃取敏感数据

MCP协议被滥用于供应链攻击,恶意服务器伪装成合法工具窃取SSH密钥、云凭证等敏感数据,利用默认信任机制绕过审查。防御需加强审批、沙箱隔离和异常监控。【外刊-阅读原文

10. CrowdStrike与Check Point通过收购扩展AI安全能力

网络安全巨头CrowdStrike和Check Point分别收购AI安全初创公司Pangea和Lakera,强化AI防护能力。Pangea专注监控AI交互与内部防护,Lakera提供恶意提示词防御和漏洞扫描。收购将整合至各自旗舰产品,提升企业AI应用安全。【外刊-阅读原文

优质文章推荐

1. 从 CC1 到 CC7:Java反序列化漏洞的攻击链分析与防御解析

Java反序列化漏洞利用CC链实现RCE攻击,核心在于恶意构造对象触发命令执行。防御关键:禁用不可信数据反序列化,升级依赖库,使用白名单过滤,优先采用JSON/Protobuf替代方案。【阅读原文

2. XCTF-stack2那失踪的16字节:对一个"简易均值计算程序"的深度追查

分析XCTF-Pwn-stack2题目,发现通过change numbers功能可实现任意地址写,利用小端序单字节写入覆盖返回地址至hackhere函数,最终构造payload调用system("sh")获取shell。【阅读原文

3. Linux udisksd 和 libblockdev权限提升漏洞(CVE-2025-6019)利用过程

Linux存在udisksd漏洞,允许allow_active组用户本地提权至root,影响Fedora、SUSE等发行版。复现需创建XFS镜像并执行脚本提权,开发者已修复该漏洞,强化了权限验证。【阅读原文

漏洞情报精华

1. 孚盟云 AjaxContractList.ashx SQL注入漏洞

https://xvi.vulbox.com/detail/1968233254368710656

2. IDEMIA BIOMetrics 弱口令漏洞

https://xvi.vulbox.com/detail/1968206490145787904

3. 索贝融合媒体内容管理平台 countJztMonthsDetailArticle SQL注入漏洞

https://xvi.vulbox.com/detail/1968190184621215744

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/449071.html
如有侵权请联系:admin#unsafe.sh