全球网安事件速递

1. Aisuru僵尸网络发起29.7Tbps DDoS攻击刷新世界纪录

Aisuru僵尸网络发起29.7Tbps DDoS攻击创纪录，暴露互联网基础设施脆弱性。Cloudflare成功缓解，显示多太比特攻击成常态。攻击采用UDP地毯式轰炸，每秒1.5万目标端口，但被快速拦截。2025年攻击量激增，电信、游戏等行业成主要目标，地缘冲突加剧攻击态势。【外刊-阅读原文】

2. React与Next.js严重RSC漏洞可导致未经认证的远程代码执行

React Server Components曝高危漏洞（CVE-2025-55182），攻击者可远程执行代码，影响react-server-dom等npm包及Next.js等框架。39%云环境受影响，建议立即升级至修复版本。【外刊-阅读原文】

3. 微软悄然修复潜伏8年的Windows LNK漏洞

微软修复2017年存在的Windows LNK文件漏洞（CVE-2025-9491），该漏洞可致远程代码执行，已被11个国家级黑客组织利用。微软通过补丁完整显示命令参数，0patch则对超长文件发出警告。此前微软认为需用户交互不构成严格漏洞。【外刊-阅读原文】

4. CISA警告Android 0Day漏洞正遭攻击者利用

CISA警告两个高危Android框架漏洞正被活跃利用，涉及权限提升和信息泄露，要求12月23日前完成修复。建议用户启用自动更新，企业优先部署补丁，组织监控入侵指标。【外刊-阅读原文】

5. BPFDoor与Symbiote两大rootkit利用eBPF技术攻击Linux系统

Linux高级rootkit BPFDoor和Symbiote利用eBPF技术规避检测，持续威胁关键基础设施。它们通过内核级隐蔽通信、端口跳跃和DNS伪装技术，成为国家级攻击者首选工具，传统安全系统面临严峻挑战。【外刊-阅读原文】

6. 恶意Rust组件针对Web3开发者投递跨平台恶意软件

恶意Rust组件"evm-units"伪装成以太坊工具，针对Windows、macOS和Linux系统隐蔽执行攻击，下载量超7000次。能检测360安全卫士并下载跨平台载荷，专门针对中国加密货币开发者。通过依赖项传播，Web3供应链攻击风险显著。【外刊-阅读原文】

7. 黑客利用虚假ChatGPT Atlas浏览器发起ClickFix攻击窃取密码

ClickFix攻击激增517%，黑客利用虚假ChatGPT Atlas网站窃取密码，通过命令行获取管理员权限，甚至绕过主流安全工具。专家警告勿执行不明命令行指令，警惕高度仿冒的钓鱼网站。【外刊-阅读原文】

8. 高危WordPress漏洞（CVE-2025-6389）遭活跃利用，可导致未授权远程代码执行

Sneeit Framework曝高危RCE漏洞（CVE-2025-6389），攻击者利用未净化的用户输入执行任意代码，已发起超13万次攻击，主要植入后门和提权。建议立即升级至8.4版本修复漏洞。【外刊-阅读原文】

9. 诗歌提示可突破AI安全护栏：25款前沿模型暴露出处理模糊语义的深层缺陷

研究发现诗歌形式能突破AI安全限制，诱使模型输出危险内容。测试25款前沿模型，部分成功率高达100%，暴露出AI决策的系统性缺陷。诗歌通过隐喻隐藏指令，不同模型表现差异显著，Google Gemini 2.5 Pro最易受影响。该攻击方式开创全新路径，对AI安全评估和监管提出挑战。【外刊-阅读原文】

10. Shai-Hulud 2.0恶意软件攻击波及3万个代码库，窃取500个GitHub账号及令牌

2025年11月发现Shai-Hulud 2.0恶意软件入侵3万GitHub库，通过NPM等平台传播，窃取开发者凭据。主要感染@postman/tunnel-agent等包，利用预安装脚本自动窃取50万密钥，60%NPM令牌仍有效，威胁持续。【外刊-阅读原文】

优质文章推荐

1. 依赖混淆攻击的体系化解读：从机制漏洞到企业级应急响应

依赖混淆攻击利用包管理器默认行为，通过公共仓库发布与企业内部同名的更高版本恶意包，劫持构建系统。防御需架构治理：严格配置私有源、使用scoped包、锁定依赖版本、持续监控公共包名，建立完整供应链安全体系。【阅读原文】

2. fastjson全版本漏洞深度剖析

Fastjson是Java库，用于JSON与Java对象转换。1.2.24及以下版本存在反序列化漏洞，利用@type指定恶意类触发RCE。后续版本通过黑白名单、哈希检测等机制修复，但1.2.47仍可绕过。1.2.68新增safeMode，但关闭时仍可利用expectClass绕过。【阅读原文】

3. Java序列化和反序列化基础（详解）

Java序列化将对象转为字节序列，反序列化恢复为对象，用于跨机器传输。核心包括Serializable接口、transient标记、serialVersionUID验证及安全风险。反射可动态操作对象，代理模式增强功能，类加载机制动态加载类。反序列化漏洞利用链如URLDNS触发DNS请求，需注意安全防护。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。