全球网安事件速递

1. 暗网现新型OT攻击框架，能源基础设施面临威胁

暗网出现针对能源电网的工控攻击框架，疑似伊朗黑客组织开发，可精确操控配电系统，威胁关键基础设施安全，表明国家背景黑客攻击能力升级。【外刊-阅读原文】

2. 一键触发漏洞：OpenClaw远程代码执行漏洞分析

开源AI助手OpenClaw曝高危漏洞，攻击者通过恶意链接可远程执行任意命令，CVSS评分9.8+。漏洞源于未验证URL参数和自动传输令牌，已紧急修复。建议用户立即升级并加强权限管控。【外刊-阅读原文】

3. Notepad++官方更新机制遭劫持，部分用户被定向投递恶意软件

Notepad++更新机制遭黑客劫持，攻击者通过入侵托管服务商重定向用户流量至恶意服务器，利用验证缺陷传播恶意软件。攻击始于2025年6月，潜伏半年才被发现，网站已迁移新服务商。【外刊-阅读原文】

4. RondoDox僵尸网络利用React2Shell漏洞劫持数万台未修复设备

RondoDox僵尸网络利用Next.js的React2Shell漏洞大规模入侵智能设备，已控制超9万台设备，主要攻击网站、家用路由器和物联网设备，安装挖矿及Mirai变种恶意软件。建议立即打补丁、隔离设备并更新固件。【外刊-阅读原文】

5. IIS服务器遭攻击：UAT-8099组织部署地域锁定型"BadIIS"恶意软件及Linux变种

思科Talos发现UAT-8099组织针对亚洲IIS服务器发起地域定制化攻击，BadIIS恶意软件新增地域锁定和Linux跨平台功能，与WEBJACK组织关联，建议相关地区加强防御。【外刊-阅读原文】

6. 攻击者利用开发者账号入侵 Open VSX 供应链传播 GlassWorm 恶意软件

网络安全研究人员披露Open VSX注册表遭供应链攻击，攻击者入侵开发者账号推送含GlassWorm恶意软件的扩展更新，窃取macOS凭证、加密货币钱包及开发者认证材料，影响超2.2万次下载。【外刊-阅读原文】

7. 谷歌发现ShinyHunters威胁活动采用新战术大幅扩张

ShinyHunters组织通过语音钓鱼和伪造网站窃取云系统凭证，扩大勒索攻击范围，采用骚扰和DoS等激进手段。专家建议使用FIDO2等防钓鱼认证技术应对。【外刊-阅读原文】

8. 隐匿于伪装：Python RAT藏身ELF二进制文件逃避检测

新型Python远程木马伪装成ELF文件，利用隐蔽性、自适应信标和自毁机制攻击多平台，凸显通用语言恶意软件的易用威胁，需警惕非标准可执行文件检测。【外刊-阅读原文】

9. Windows 11 新增安全功能：禁止未经授权访问系统文件

微软在Windows 11预览版更新中加强存储设置访问控制，要求管理员权限以提升安全性，同时更新AI框架并提醒部署注意事项。【外刊-阅读原文】

10. "修复"实为陷阱：ConsentFix钓鱼攻击利用Azure CLI绕过MFA认证

新型钓鱼攻击ConsentFix滥用微软官方工具信任，通过OAuth 2.0授权流程窃取授权码而非密码，绕过多因素认证。攻击者诱导用户复制含授权码的URL，获取账户权限，且兑换令牌时避开安全控制。该技术针对身份认证协议基础环节，需通过日志追踪异常活动防范。【外刊-阅读原文】

优质文章推荐

1. 红队武器库的十年演进：从Metasploit到AI辅助攻击的范式转移

网络安全攻防十年演进：从手工精准狙击到AI降维打击，攻击技术经历四次范式转移（手工→自动化→云化→AI），核心逻辑是攻击门槛降低与效率提升，倒逼防御体系从特征检测转向行为分析和AI对抗。【阅读原文】

2. 高级提示注入绕过技术：基于Base64编码绕过的深层分析

大模型能自动识别解码Base64字符串，绕过传统安全检测，利用编码混淆执行恶意指令。攻击者通过多层编码和诱导性输入触发模型隐式解码，形成新型安全威胁。防御需转向行为验证机制。【阅读原文】

3. Host头碰撞漏洞揭秘：如何撞出“不存在”的网站

Host碰撞攻击利用HTTP协议Host头，通过伪造内部域名访问隐藏站点，绕过访问限制。其核心在于服务器依赖Host头分发请求，若配置不当，攻击者可访问未公开的内部系统，导致信息泄露等风险。防御需严格验证Host头并加强网络隔离。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。