FreeBuf早报 | 新型工具可绕过iPhone生物识别验证;首款集成GPT-4的恶意软件MalTerminal
文章概述了全球网络安全领域的最新动态与威胁,包括新型iOS视频注入工具、集成GPT-4的恶意软件、零点击漏洞、微软Entra ID漏洞、Cloudflare服务中断、宝马勒索软件攻击、供应链攻击、ChatGPT数据窃取攻击、GitHub Actions令牌窃取事件以及Pixie Dust无线网络攻击等。这些事件凸显了数字身份攻击日益程序化、AI武器化以及供应链安全风险等关键问题,并提供了相应的防御建议和修复措施。 2025-9-22 01:41:4 Author: www.freebuf.com(查看原文) 阅读量:15 收藏

全球网安事件速递

1. 新型iOS视频注入工具可绕过越狱iPhone的生物识别验证

新型iOS视频注入工具利用越狱设备绕过生物识别验证,通过深度伪造技术实施欺诈,显示数字身份攻击日益程序化。需采用多层防御系统应对,包括活体检测和实时认证,以抵御快速演变的威胁。【外刊-阅读原文

2. 首款集成GPT-4的恶意软件MalTerminal,可动态生成勒索软件与反向Shell

网络安全研究人员发现首个集成GPT-4的恶意软件MalTerminal,可动态生成勒索代码。攻击者还利用AI绕过邮件安全检测,并借助AI平台托管钓鱼网站,标志着AI正被武器化,带来全新防御挑战。【外刊-阅读原文

3. ShadowLeak零点击漏洞可通过OpenAI ChatGPT深度研究Agent泄露Gmail数据

OpenAI ChatGPT深度研究Agent存在零点击漏洞ShadowLeak,攻击者通过隐藏指令的邮件可窃取Gmail数据,绕过传统防御。漏洞已修复,但凸显AI代理的安全风险,需加强上下文验证和红队测试。【外刊-阅读原文

4. 微软Entra ID漏洞暴露云身份信任模型缺陷

微软Entra ID高危漏洞(CVE-2025-55241)允许攻击者伪装任意租户用户,绕过MFA和审计。漏洞源于遗留API未验证Actor token租户来源,可致全局管理员权限沦陷。微软迅速修复但遗留系统风险仍存,专家呼吁加强全周期可见性防御。【外刊-阅读原文

5. Cloudflare API 服务中断事件分析:React useEffect 漏洞引发级联故障

Cloudflare因控制面板React代码缺陷与租户服务API更新叠加引发级联故障,导致服务中断1小时。团队通过扩容和回滚修复,数据平面未受影响。后续将改进部署工具、重试逻辑和监控系统防止类似事件。【外刊-阅读原文

6. 宝马集团疑遭 Everest 勒索软件攻击,大量内部文件据称失窃

Everest勒索软件团伙宣称窃取宝马60万行敏感数据并威胁公开,引发行业关注。专家警告数据泄露风险,建议企业避免支付赎金,配合执法。宝马尚未回应,事件真实性待验证。【外刊-阅读原文

7. 从"沙虫"自复制恶意软件发起的npm供应链大攻击中汲取的教训

2025年9月,"沙虫"蠕虫攻击了477个npm包,成为首个自动化传播的供应链攻击。通过钓鱼获取凭证,利用AI编写恶意脚本,自动感染依赖包并窃取高价值凭证。事件凸显供应链安全需根本性变革,应对新型自传播威胁。【外刊-阅读原文

8. 网络安全公司Radware披露针对ChatGPT的"零点击"数据窃取攻击

Radware发现ChatGPT服务器端数据窃取攻击ShadowLeak,利用深度研究代理的零点击漏洞,通过隐藏HTML指令的邮件静默窃取Gmail等平台敏感数据,企业防御系统无法察觉。攻击完全在OpenAI云环境内完成,比客户端泄露更隐蔽。建议监控代理行为以缓解风险,漏洞已于8月修复。【外刊-阅读原文

9. 黑客通过篡改GitHub Actions工作流窃取PyPI发布令牌

攻击者通过篡改GitHub Actions工作流窃取PyPI发布令牌,但平台未被入侵且令牌未被使用。PyPI建议启用"可信发布者"功能生成短期令牌,并检查账户安全记录。事件处置得益于安全团队与研究人员协作。【外刊-阅读原文

10. 揭秘Pixie Dust攻击:利用路由器WPS漏洞离线破解PIN码接入无线网络

Pixie Dust攻击利用WPS协议漏洞,可离线破解路由器PIN码获取网络访问权限。该攻击通过预测随机数实现高效破解,威胁数百万设备。建议立即更新固件或禁用WPS功能,防范未授权接入风险。【外刊-阅读原文

优质文章推荐

1. EDUSRC、CNVD挖洞技巧分享

文章探讨网络安全技术研究,强调指纹识别、供应链挖掘及弱口令检测等合法防御手段,旨在提升信息安全意识与防御能力。所有案例均已修复并脱敏,倡导技术向善、依法研究,反对非法攻击行为。【阅读原文

2. OSCP45靶场--Bottleneck

通过LFI漏洞获取源码,利用黑名单过滤缺陷和时间戳绕过,触发命令注入获取shell。提权阶段利用sudo权限和动态链接库漏洞,最终获取root权限。【阅读原文

3. FastJSON反序列化漏洞--手把手解析

Java RMI实现远程方法调用,通过序列化/反序列化传输对象,存在安全漏洞如反序列化攻击。JNDI结合RMI可突破限制实现远程代码执行。Fastjson反序列化漏洞利用@type动态加载类,结合JNDI/RMI触发恶意代码,需低版本JDK和开启autoType。【阅读原文

漏洞情报精华

1. 深大智能科技有限公司管控平台服务端 目录遍历漏洞

https://xvi.vulbox.com/detail/1968948799875452928

2. 深大智能科技有限公司管控平台服务端 getPerformInfo SQL注入漏洞

https://xvi.vulbox.com/detail/1968940909630459904

3. Jinjava反序列化漏洞导致远程代码执行

https://xvi.vulbox.com/detail/1968715367048155136

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/449690.html
如有侵权请联系:admin#unsafe.sh