1、EmEditor官网遭篡改分发恶意安装包 https://cybersecuritynews.com/emeditor-editor-website-hacked/ 安全研究人员发现，文本编辑器EmEditor的官方网站于12月19日至22日期间遭黑客入侵，其下载链接被篡改，导致通过官网“立即下载”按钮获取25.4.3版本的用户被引导至恶意安装包。该恶意软件包伪造了“WALSHAM INVESTMENTS LIMITED”的数字签名，其内嵌的VBScript脚本会执行PowerShell命令，从内存中加载后续恶意载荷，从而窃取Chrome、Edge等浏览器的密码、Cookie，以及Discord、Slack、Zoom、WinSCP等 2、攻击者滥用谷歌云服务发起钓鱼攻击 https://hackread.com/google-phishing-3000-global-organisations/ 安全研究人员发现，攻击者正在滥用谷歌云平台的“应用集成”工作流自动化工具，从合法的noreply-application-integration\@google.com地址发送钓鱼邮件。邮件伪装成“新语音邮件”或“Q4文件”等企业常规通知，诱使用户点击链接。攻击采用三步流程：先将用户引至真实的谷歌云存储页面，再通过谷歌usercontent域下的假验证码页面绕过安全检测，最终导向伪造的微软登录页面以窃取凭证。此次攻击在两周内向约3200家机构发送了超9300封邮件， 3、Gentlemen勒索软件攻击罗马尼亚关键能源供应商 https://www.bleepingcomputer.com/news/security/romanian-energy-provider-hit-by-gentlemen-ransomware-attack/ 近日，罗马尼亚最大的煤炭能源生产商——奥尔特尼亚能源供应商遭遇勒索软件攻击。此次攻击导致其企业资源计划（ERP）系统、文档管理应用、公司邮件服务和网站等关键IT基础设施瘫痪，部分文档被加密。该公司运营着占全国约30%发电量的设施，目前其生产运营受到部分影响，但国家能源系统总体运行未受危及。攻击事件发生后，公司IT团队已启动基于备份的系统重建工作，并向国家网络安全局及执法部门报告。 4、攻击者利用假期窗口发起大规模漏洞扫描 https://cybersecuritynews.com/coldfusion-servers-under-attack/ 圣诞节期间，攻击者从日本的基础设施发起了一场协调的大规模漏洞扫描与利用尝试。攻击在12月25日达到峰值，生成了超过250万次恶意请求，目标不仅针对Adobe ColdFusion服务器，还扫描了包括Java应用服务器、Web框架在内的47个以上技术平台，总计涉及767个不同的CVE漏洞。攻击者刻意选择安全团队值守能力下降的假期时段，并利用ProjectDiscovery Interactsh等带外测试平台进行回调验证，部署了近万个独特域。此次行动规模庞大、手法专业，具 5、Coupang将因前员工导致的数据泄露赔偿11.7亿美元 https://www.bleepingcomputer.com/news/security/coupang-to-split-117-billion-among-337-million-data-breach-victims/ 韩国电商巨头Coupang宣布，将就2025年6月发生、11月被发现的数据泄露事件，向3370万受影响客户支付总计11.7亿美元的赔偿。该泄露是韩国历史上最严重的数据安全事件之一，泄露信息包括客户姓名、电邮地址、实际住址及订单详情。调查确认，此次泄露源于一名已于2024年离职的43岁前IT员工，其利用职务之便非法下载并保存了相关数据。Coupang通过直接接触该前员 7、新型AI辅助开发钓鱼工具包窃取微软用户登录凭证 https://www.freebuf.com/articles/ai-security/464297.html 自2025年3月起，一个针对微软Outlook用户的西班牙语钓鱼活动持续活跃，其使用的复杂工具包显示出明显的AI辅助开发特征。该活动通过在字符串"OUTL"中嵌入四个蘑菇表情符号作为独特标识，已在超过75个不同部署中被发现。攻击者不仅窃取邮箱凭证，还收集受害者IP地址和地理位置数据，并通过Telegram机器人和Discord webhook外泄窃取的信息。 8、Silver Fox 以税务邮件向印度用户投放 ValleyRAT 恶意软件 https://thehackernews.com/2025/12/silver-fox-targets-indian-users-with.html 据 CloudSEK 研究人员 Prajwal Awasthi 和 Koushik Pal 分析，名为 Silver Fox 的威胁行为者最近将目标转向印度，利用与收入税相关的诱饵在钓鱼活动中分发一种名为 ValleyRAT（又名 Winos 4.0）的模块化远程访问木马。 9、新加坡CSA发布关于允许RCE的SmarterMail漏洞警报 https://thehackernews.com/2025/12/csa-issues-alert-on-critical.html 新加坡网络安全局（CSA）发布了一则公告，警告 SmarterTools SmarterMail 电子邮件软件中存在一个最高严重级别的安全漏洞，该漏洞可能被利用以实现远程代码执行。 10、黑客攻陷Trust Wallet浏览器插件，用户称数百万资产被盗 https://www.anquanke.com/post/id/314073 网络犯罪分子攻陷了 2025 年 12 月 24 日发布的 Trust Wallet 谷歌浏览器插件 2.68.0 版本，导致该钱包用户蒙受超 700 万美元的巨额损失。此次攻击仅针对桌面端用户，恶意更新程序发布数小时内，数百个钱包便被洗劫一空。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、XSpeeder网络设备曝未修复0day漏洞 https://hackread.com/xspeeder-0day-flaw-devices-vendor-ignores-alert/ 研究人员披露了XSpeeder网络设备中存在一个编号为CVE-2025-54322的严重零日漏洞，CVSS评分为满分10.0。该漏洞允许外部攻击者在无需密码的情况下，通过向特定参数注入恶意代码，获取设备的完全控制权。此漏洞由网络安全公司pwn.ai使用其专有的AI代理工具自主发现并验证其可远程利用，这被认为是首个公开的由AI代理发现的远程可利用零日漏洞。据估计，全球约有7万台工业和分支机构设备受到影响。尽管发现团队已尝试联系厂商超过七个月，但厂商XSpe 2、Apache Commons Text曝严重RCE漏洞 https://securityonline.info/cve-2025-46295-cvss-9-8-critical-apache-commons-text-flaw-risks-total-server-takeover/ Apache Commons Text库中被发现一个编号为CVE-2025-46295的严重远程代码执行漏洞，其CVSS评分高达9.8。该漏洞源于库的字符串插值功能存在缺陷，1.10.0之前的版本允许攻击者将不受信任的输入传递给文本替换API，从而可能触发命令执行或访问外部资源，实现完全控制受影响服务器的目的。其攻击机制与曾造成广泛影响的“Log4Shell”漏洞高 3、供应链攻击致大韩航空员工数据泄露 https://www.bleepingcomputer.com/news/security/korean-air-data-breach-exposes-data-of-thousands-of-employees/ 大韩航空披露，其机上餐饮供应商及前子公司大韩航空餐饮免税公司（KC&D）的系统近期遭黑客入侵，导致员工个人信息泄露。泄露数据包含员工姓名及银行账号，据当地媒体报道涉及约三万条记录。该航空公司表示，尽管事件发生在独立运营的前子公司，但因涉及员工信息而高度重视，已建议员工警惕后续钓鱼攻击。Clop勒索软件团伙已在其暗网泄露站点上声称对此次攻击负责，并将窃取数据列为可下载条目。 4、前Coinbase客服协助黑客被捕 https://www.bleepingcomputer.com/news/security/former-coinbase-support-agent-arrested-for-helping-hackers/ 加密货币交易所Coinbase证实，其一名前客服人员于今年早些时候在印度海得拉巴被捕，该人员被指控协助黑客入侵公司数据库窃取客户信息。此次事件源于2025年5月，Coinbase披露有内部客服人员向黑客提供了访问权限，黑客曾以此勒索2000万美元赎金。调查确认，此次泄露影响了约69,500名客户，泄露数据包括姓名、出生日期、社会保障号码后四位、地址、电话及邮箱，部分客户与“了解你的 5、MongoDB漏洞遭全球范围活跃利用 https://thehackernews.com/2025/12/mongodb-vulnerability-cve-2025-14847.html MongoDB高危漏洞MongoBleed（CVE-2025-14847）正被全球利用，CVSS 8.7分，攻击者可远程窃取内存敏感数据。全球超87,000实例受影响，42%云环境存风险。建议升级至安全版本或禁用zlib压缩。 6、OpenAI强化ChatGPT Atlas防御提示注入攻击 https://cybersecuritynews.com/openai-hardened-chatgpt-atlas/ OpenAI升级ChatGPT Atlas防御系统，新增强化学习红队机制抵御提示注入攻击，可预判复杂攻击链并自动更新模型。建议用户限制权限、审核操作指令，以应对通过网页内容植入恶意指令的新型威胁。 7、育碧彩六服务器遭入侵事件与MongoBleed漏洞关联 https://cybersecuritynews.com/ubisoft-rainbow-six-siege-servers-breached/ 黑客组织高调入侵《彩虹六号：围攻》，操控游戏货币、封禁系统并获取高级权限，育碧紧急维护。事件暴露多方威胁，包括源代码失窃和MongoBleed漏洞，玩家数据或面临回滚。 8、索尼等主流无线耳机芯片曝高危漏洞可接管用户手机 https://securityonline.info/headphone-jacking-critical-flaws-in-popular-earbuds-let-hackers-hijack-your-phone/ 主流蓝牙耳机芯片存三大漏洞，攻击者可窃听甚至劫持配对手机。索尼、JBL等品牌受影响，漏洞组合可渗透至手机操控。专家建议立即更新固件，高风险用户改用有线耳机。 9、27个恶意npm软件包被用作钓鱼基础设施窃取登录凭证 https://thehackernews.com/2025/12/27-malicious-npm-packages-used-as.html 网络安全研究人员发现持续5个月的钓鱼攻击，攻击者通过27个恶意npm软件包窃取关键行业销售人员的凭证，利用CDN托管钓鱼页面并规避检测，针对美欧等25家机构。建议加强依赖验证和MFA防护。 10、高度仿真的"Jackson"冒牌库入侵Maven中央仓库 https://securityonline.info/prefix-swap-panic-sophisticated-jackson-imposter-infiltrates-maven-central/ Java生态遭遇新型供应链攻击，恶意组件伪装成Jackson库，通过"前缀替换"手法欺骗开发者。攻击利用反向域名命名惯例缺陷，采用多阶段载荷和隐蔽C2基础设施，威胁罕见且复杂。专家呼吁Maven仓库立即部署前缀检测机制，防范模仿攻击泛滥。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Lazarus利用HWP文档与DLL侧加载攻击韩国 https://www.genians.co.kr/en/blog/threat_intelligence/dll 安全研究人员披露了Lazarus发起的代号为“Operation Artemis”的攻击行动。该组织通过鱼叉式钓鱼邮件，冒充电视编剧、大学教授等可信身份，向韩国目标投递携带恶意OLE对象的HWP文档。用户点击文档中的伪装链接后，攻击链随即触发：首先释放并执行合法的Sysinternals工具，然后通过DLL侧加载技术，诱使该工具加载同目录下的恶意version.dll文件。该DLL采用多层异或加密，最终在内存中解密并执行RoKRAT后门，攻击者滥用Yandex Cloud等合法 2、意大利Fineco银行遭钓鱼攻击 https://www.d3lab.net/attenzione-al-nuovo-portale-fake-di-fineco-la-trappola-scatta-dopo-il-captcha/ 安全研究人员近期监测到针对Fineco银行的大规模钓鱼攻击事件。攻击者发送伪装精良的邮件，以“确认账户保护措施”为名，谎称账户将受限制，诱使用户点击链接。攻击流程经过精心设计：用户点击后首先会遇到一个伪造的hCaptcha验证码页面，旨在建立安全假象；随后被引导至一个伪造的“投资账户税务条款更新”压力页面，谎称需在12月31日前完成以避免罚款；最终进入一个高度仿真的Fineco银行登录门户以窃 3、Trust Wallet Chrome浏览器扩展遭恶意植入 https://thehackernews.com/2025/12/trust-wallet-chrome-extension-bug.html 加密货币钱包服务商Trust Wallet近日披露，其Chrome浏览器扩展（版本2.68）遭恶意代码植入，导致用户损失约700万美元。安全分析显示，攻击者并非通过第三方依赖，而是直接篡改了钱包自身的分析逻辑代码，植入后门。该后门会遍历用户在该扩展中存储的所有钱包，诱导用户输入密码解密助记词，并通过伪装成官方数据分析域名的服务器将其窃取。被盗资金已通过中心化交易所和跨链桥转移。Trust Wallet敦促所有用户立即将扩展更新至已修复的2.69版本 4、攻击者利用NVR漏洞传播僵尸网络 https://thehackernews.com/2025/12/cisa-flags-actively-exploited-digiever.html 美国网络安全和基础设施安全局（CISA）将一个影响Digiever DS-2105 Pro网络视频录像机的漏洞（CVE-2023-52163）加入“已知被利用漏洞”目录。该漏洞是一个存在于time_tzsetup.cgi中的命令注入漏洞，CVSS评分为8.8，允许经过身份验证的攻击者实现远程代码执行。攻击者正在利用此漏洞传播Mirai和ShadowV2等僵尸网络。 5、Chrome恶意扩展“Phantom Shuttle”长期窃密 https://www.bleepingcomputer.com/news/security/malicious-extensions-in-chrome-web-store-steal-user-credentials/ 安全研究人员发现，Chrome网上应用店中至少自2017年起就潜伏着两款名为“Phantom Shuttle”的恶意扩展程序。它们伪装成面向 用户的网络代理与测速工具，实际通过硬编码的受控代理服务器劫持所有用户流量。该扩展会动态重写Chrome代理设置，在“智能”模式下将超过170个高价值域名的流量路由至攻击者服务器，从而中间人窃取表单凭证、会话Cookie、API令牌等 6、Everest勒索软件团伙声称窃取克莱斯勒超1TB数据 https://hackread.com/everest-ransomware-group-chrysler-data-breach/ 近日，Everest勒索软件组织在其暗网泄露站点声称已成功入侵美国汽车制造商克莱斯勒，并窃取了超过1TB的数据。攻击者称，这批数据时间跨度从2021年至2025年，是一个包含客户、经销商及内部代理信息的“完整数据库”，其中超过105GB为Salesforce平台的相关记录。泄露的示例截图显示数据极为敏感，包含客户姓名、电话、地址、车辆详情、召回案例乃至员工人力资源信息。该组织以公布全部数据及客户服务录音为威胁，设置了谈判倒计时。截至目前，克莱斯勒和其母公司S 7、MongoDB曝高危漏洞可导致读取堆数据 https://thehackernews.com/2025/12/new-mongodb-flaw-lets-unauthenticated.html MongoDB披露一个编号为CVE-2025-14847的高危安全漏洞，CVSS评分为8.7。该漏洞源于对Zlib压缩协议头中长度参数处理不当，可能导致未经身份验证的客户端读取数据库服务器的未初始化堆内存，从而泄露敏感的进程内部状态信息，为攻击者进一步利用系统提供便利。漏洞影响范围广泛，涉及MongoDB Server从v3.6到v8.2的几乎所有主流版本系列。官方已发布修复版本，并建议用户立即升级。 8、育碧《彩虹六号：围攻》服务器遭多组黑客入侵 https://cybersecuritynews.com/ubisoft-rainbow-six-siege-servers-breached/ 近日，育碧旗下游戏《彩虹六号：围攻》的在线服务器遭到多组黑客的入侵，导致游戏内出现大规模异常。攻击首先表现为游戏经济系统被破坏，大量玩家账户被莫名添加了巨额游戏货币和稀有物品，同时官方管理员及主播账号遭到恶意封禁。安全研究人员指出，此次事件涉及至少三个独立的黑客组织：“第一组”实施了此次游戏内破坏；“第二组”则利用了一个编号为CVE-2025-14847的高危MongoDB漏洞（MongoBleed），从数据库渗透至内部Git仓库，窃取了自20世 9、被盗的LastPass 备份使加密货币窃取行为持续至今 https://securityaffairs.com/186191/digital-id/stolen-lastpass-backups-enable-crypto-theft-through-2025.html 安全研究人员发现，密码管理器LastPass在2022年被盗的约3000万份加密保险库备份，至今仍因用户使用弱密码而被攻击者持续破解，并导致加密货币被盗事件延续至2025年。攻击者解密保险库后，窃取其中存储的加密货币密钥并盗取资产。TRM Labs已追踪到超过2800万美元的加密货币通过该途径被盗，资金在2024至2025年间被转换为比特币，并通过Wasabi Wallet等混币 10、TeamViewer DEX客户端被发现存在多个安全漏洞 https://cybersecuritynews.com/teamviewer-dex-vulnerabilities/ TeamViewer DEX客户端的内容分发服务被发现存在多个安全漏洞，其中最严重的是CVE-2025-44016（CVSS 8.8）。该漏洞源于输入验证不当，位于NomadBranch.exe组件中，允许同一本地网络内的攻击者通过构造特定请求绕过文件完整性检查，从而在服务上下文内执行任意代码。此外，还存在可导致服务拒绝服务的漏洞（CVE-2025-12687， CVSS 6.5）和可能泄露敏感信息的漏洞（CVSS 4.3）。所有漏洞均需要邻近网络访问权限，因此在点对点 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、仿冒MAS激活域名传播Cosmali恶意软件 https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/ 安全研究人员发现，攻击者正通过“域名抢注”手段，注册了一个与开源Windows激活工具官方域名极度相似的虚假域名，利用用户拼写错误分发恶意PowerShell脚本。该脚本会部署名为“Cosmali Loader”的恶意软件，进而植入门罗币加密货币挖矿程序和XWorm远程访问木马。 2、Webrat伪装漏洞利用程序通过GitHub针对安全人员 https://securelist.com/webrat-distributed-via-github/118555/ 安全研究人员发现，此前伪装成游戏作弊工具的Webrat后门恶意软件出现了新的攻击活动。攻击者自2025年9月起，在GitHub上创建多个仓库，将恶意软件伪装成针对多个高CVSS评分的漏洞利用程序或概念验证代码进行分发。这些仓库的描述模仿AI生成的漏洞报告用于建立信任。受害者下载并执行恶意压缩包中的文件后，恶意程序会提权、禁用Windows Defender，并最终下载执行Webrat。该后门功能全面，可窃取加密货币钱包、通讯软件凭证，并能进行屏幕录制、摄像头监控和键盘记录 3、FortiOS旧漏洞被利用可绕过V*PN双因素认证 https://thehackernews.com/2025/12/fortinet-warns-of-active-exploitation.html Fortinet发布警告，一个存在于FortiOS SSL VPN中、编号为CVE-2020-12812的五年旧漏洞正被威胁行为体在野外活跃利用。该漏洞属于认证不当问题，CVSS评分为5.2。在特定的“本地用户”启用双因素认证并引用LDAP远程认证的混合配置下，攻击者通过改变登录用户名的大小写，即可使FortiGate设备无法匹配到本地用户策略，转而fallback至仅依赖密码的LDAP组认证，从而成功绕过双因素认证层。此漏洞可导致管理员或 4、MongoDB曝高危RCE漏洞 https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/ MongoDB官方发布安全公告，披露一个编号为CVE-2025-14847的高危远程代码执行漏洞。该漏洞源于对zlib压缩实现中长度参数的处理不当，允许未经身份验证的攻击者利用此缺陷，在无需用户交互的情况下，远程在目标服务器上执行任意代码并可能获取控制权。该漏洞影响广泛，涉及MongoDB Server从3.6到8.2的几乎所有主要版本系列。官方建议管理员立即将受影响的数据库升级至已 5、新韩信用卡公司泄露19.2万商户信息 https://thecyberexpress.com/shinhan-card-data-breach/ 韩国新韩信用卡公司于12月23日确认发生一起数据泄露事件，波及约19.2万家签约商户。该公司声明，此次事件并非外部网络攻击所致，而是源于其销售分支一名员工的内部不当行为。该员工涉嫌为销售目的，将商户数据传输给外部卡片推销员。泄露的信息主要为手机号码，部分包含姓名、出生日期和性别。 6、美国SEC起诉涉AI概念的1400万加密货币骗局 https://thehackernews.com/2025/12/sec-files-charges-over-14-million.html 美国证券交易委员会（SEC）近日对多家公司提起诉讼，指控其参与一项精心设计的加密货币骗局，从零售投资者处诈骗了超过1400万美元。该骗局通过在社交媒体投放广告，将受害者引诱至WhatsApp等平台的投资群组。在群组中，诈骗者伪装成金融专业人士，并虚假承诺能提供人工智能（AI）生成的投资建议以建立信任，随后诱使受害者将资金投入名为Morocoin、Berge和Cirkor的虚假加密货币交易平台。这些平台谎称持有政府牌照并提供虚构的“证券代币发行”，实 7、OpenAI加固Atlas浏览器Agent防御"提示注入"攻击 https://www.freebuf.com/articles/ai-security/463716.html 随着人工智能开始代表我们浏览网页，安全战场正从服务器转移到浏览器标签页。OpenAI已为其ChatGPT Atlas的Agent模式部署关键安全更新，以抵御内部测试中发现的新型对抗性威胁。 8、LangChain高危缺陷使提示注入攻击可窃取机密 https://www.freebuf.com/articles/ai-security/463717.html 研究人员在流行的开源框架LangChain中发现一个关键漏洞，该框架广泛用于驱动大型语言模型（LLM）Agent。该漏洞编号为CVE-2025-68664，CVSS评分高达9.3分，攻击者可能利用该漏洞提取敏感环境变量或触发非预期的系统操作。 9、PCPcat行动：48小时内6万台Next.js服务器遭劫持 https://securityonline.info/operation-pcpcat-60000-next-js-servers-hijacked-in-just-48-hours/ "PCPcat"网络攻击利用Next.js和React漏洞48小时攻陷5.9万台服务器，窃取云凭证等敏感数据。攻击采用工业级精密手段，C2服务器暴露致规模曝光。建议立即修补漏洞并轮换凭证，否则月内或超120万服务器沦陷。 10、Net-SNMP9.8分高危缓冲区溢出漏洞威胁全球监控系统 https://securityonline.info/critical-network-collapse-9-8-severity-net-snmp-buffer-overflow-threatens-global-monitoring-systems/ Net-SNMP曝出高危漏洞CVE-2025-68615，CVSS评分9.8，攻击者可利用缓冲区溢出导致snmptrapd崩溃或远程代码执行。建议升级至5.9.5/5.10.pre2版本，并限制UDP 162端口访问。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、MacSync变种通过公证应用部署可绕过macOS安全检查 https://www.bleepingcomputer.com/news/security/new-macsync-malware-dropper-evades-macos-gatekeeper-checks/ 安全研究人员发现，macOS信息窃取程序MacSync的最新变种。此次攻击的核心是通过一个经过苹果官方代码签名和公证的Swift应用程序进行分发，这一合法化载体使其能直接绕过macOS的Gatekeeper安全检查。该恶意投放器通过将DMG文件膨胀至25.5MB（内含诱饵PDF）、执行后擦除脚本以及进行联网检查等多种机制规避检测与分析。投放器在系统上解码并执行的最终载荷为MacSy 2、安全研究人员发现新型Android远程控制木马 https://securityonline.info/the-silent-hijacker-new-cellik-android-rat-turns-legitimate-google-play-apps-into-surveillance-tools/ 安全研究人员发现，一款名为Cellik的新型Android远程控制木马正在网络犯罪论坛中作为“恶意软件即服务”销售。该木马最大的威胁在于其传播方式：攻击者可直接从控制面板选择Google Play商店中的热门合法应用，通过内置的“APK构建器”将Cellik的恶意负载注入其中，以绕过安全检测并提高用户安装几率。一旦安装，攻击者便能以每月 3、新型二维码钓鱼利用假工资单与验证码窃密 https://securityonline.info/the-payroll-trap-new-quishing-campaign-uses-fake-captchas-to-hijack-employee-paychecks/ 安全研究人员近日披露一种定制化的新型“二维码钓鱼”攻击。攻击者向目标员工发送伪装成工资更新通知的钓鱼邮件，内嵌二维码以规避传统邮件安全网关的链接检测。当员工使用个人手机扫描二维码后，将被引导至一个精心伪造的恶意网站。该网站首先会呈现一个虚假的验证码环节，其目的并非拦截机器人，而是在建立用户信任感的同时，为后台恶意脚本运行争取时间。该脚本会自动捕获并填充受害者的邮箱 4、国际刑警组织在非洲逮捕网络犯罪574人 https://thehackernews.com/2025/12/interpol-arrests-574-in-africa.html 国际刑警组织协调19个非洲国家，于2025年10月27日至11月27日开展代号“哨兵”的联合执法行动，成功逮捕574名嫌疑人，缴获300万美元，并摧毁超6000个恶意链接。此次行动重点打击商业邮件诈骗、数字勒索及勒索软件，所涉案件造成经济损失超2100万美元。行动中捣毁了一个利用仿冒快餐品牌网站诈骗的超40万美元犯罪网络。与此同时，美国司法部宣布，一名35岁的乌克兰公民阿尔乔姆·斯特里扎克对其作为Nefilim勒索软件附属成员攻击美、加、澳等国企业的指控 5、WatchGuard Firebox防火墙曝关键零日漏洞正遭利用 https://www.bleepingcomputer.com/news/security/watchguard-warns-of-new-rce-flaw-in-firebox-firewalls-exploited-in-attacks/ 12 月 22 日，安全厂商 WatchGuard 发出紧急警告，称其 Firebox 防火墙设备存在一个关键的远程代码执行（RCE）漏洞。该漏洞目前已被黑客在野外积极利用。据统计，全球有超过 11.5 万台暴露在公网的 Firebox 设备尚未修复，面临极高风险。 6、FBI 查封大规模银行账户接管诈骗域名，涉案达1460万美元 https://www.bleepingcomputer.com/news/security/fbi-seizes-domain-storing-bank-credentials-stolen-from-us-victims/ 美国司法部（DoJ）于 12 月 24 日宣布，FBI 成功查封了域名 web3adspanels.org。该域名被网络犯罪集团用于托管从大规模钓鱼攻击中窃取的银行登录凭证。该犯罪网络此前通过“账户接管”攻击导致受害者损失超过 1460 万美元。 7、微软在 Windows 11 中推出硬件加速的 BitLocker https://www.bleepingcomputer.com/news/security/microsoft-rolls-out-hardware-accelerated-bitlocker-in-windows-11/ 微软正在 Windows 11 中推出硬件加速的 BitLocker，以利用系统级芯片和 CPU 的能力，解决日益增长的性能和安全问题。 8、安全研究人员披露AI聊天机器人Eurostar漏洞，反遭“勒索”指控 https://www.theregister.com/2025/12/24/pentesters_reported_eurostar_chatbot_flaws/ 12 月 24 日，安全研究人员披露了欧洲之星（Eurostar）AI 客服机器人的多个关键漏洞，包括提示注入（Prompt Injection）和 HTML 注入。然而，Eurostar 并未感谢研究人员，反而指责其报告漏洞的行为构成“勒索”。此事件引发了关于 AI 安全研究伦理和“安全港”政策的激烈讨论。 9、Spotify确认大规模元数据抓取事件涉及2.56亿条记录 https://www.theregister.com/2025/12/22/hacktivists_scrape_songs_spotify/ Spotify 于 12 月 23 日回应了关于“Anna's Archive”盗版组织抓取其数据的报道。Spotify 承认发生了未经授权的大规模抓取，涉及 2.56 亿条曲目元数据和 8600 万个音频文件。虽然 Spotify 声称用户个人账户数据未受影响，但已禁用了相关被滥用的账户。 10、微软希望在2030年前将C 和 C++代码转换为Rust https://www.theregister.com/2025/12/24/microsoft_rust_codebase_migration/ 微软希望将其整个 C 和 C++代码库转换为 Rust，并正在招聘人员来实现这一目标。目标是到 2030 年彻底消除微软所有的 C 和 C++代码，“微软杰出工程师加伦·亨特”在最近的一篇 LinkedIn 帖子中写道。他补充道：“我们的策略是结合人工智能和算法来重写微软最大的代码库。目标是‘1 名工程师，1 个月，100 万行代码’。” 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用伪造官方函件攻击俄罗斯国防机构 https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing 安全研究人员近期发现，一个名为Goffee的网络攻击组织自2025年10月起，针对俄罗斯军方人员及国防工业实体发起新一轮攻击。攻击者使用包含语言错误、伪造粗糙的俄语钓鱼文件作为诱饵，其中包括伪造的高级军官新年音乐会邀请函以及冒充俄罗斯副部长的官方信函。感染链始于诱骗用户打开恶意LNK文件，最终在目标系统上部署此前未被记录的后门程序“EchoGather”。该后门功能全面，可实现信息窃取、命令执行与文件外传，数据被回传至伪装成外卖网站的C2服务器 2、攻击者滥用开源监控工具“Nezha”作为木马 https://hackread.com/hackers-abuse-monitoring-tool-nezha-trojan/ 安全研究人员近期发现，一款在GitHub上获得近万星标的开源服务器监控工具“Nezha”正被攻击者滥用作功能完整的远程访问木马。该工具因其合法性，在安全软件检测中显示为零告警，能完全绕过基于特征码的防御。攻击者利用其“开箱即用”、具备跨平台支持（Windows、Linux、macOS等）且通信流量酷似正常监控数据的特点，可隐秘地获取系统最高权限，实现文件管理、命令执行和实时终端控制。 3、HardBit 4.0勒索软件利用开放RDP与SMB服务入侵 https://cybersecuritynews.com/hardbit-4-0-ransomware-actors-attack-open-rdp/ 安全研究人员发现，活跃多年的HardBit勒索软件已升级至4.0版本，其攻击手法更具针对性。该团伙主要通过对暴露在互联网上的远程桌面协议和服务器消息块服务进行暴力破解，从而获得网络初始访问权限。一旦入侵成功，攻击者会利用一款名为Neshta作为投放器，来解密并部署HardBit勒索软件本体。该恶意软件会主动禁用Windows Defender的实时监控、防篡改等核心功能以规避检测，并通过注册表实现持久化驻留。与许多实施双重勒索的团伙不同，H 4、攻击者利用虚假法庭应用程序攻击土耳其安卓用户 https://hackread.com/frogblight-malware-android-fake-court-aid-apps/ 安全研究人员发现一款名为Frogblight的新型安卓银行木马正针对性攻击土耳其用户。该恶意软件主要通过短信钓鱼传播，诱饵包括伪造的法庭案件通知或社会援助申请，诱导受害者下载名为“Davalarım”的虚假应用。一旦安装并授予权限，该应用会打开真实的政府门户网站以增加可信度，随后通过注入隐藏的JavaScript代码来记录用户输入的所有内容，从而窃取网上银行凭证。其代码包含土耳其语注释，且能够检测运行环境，若发现设备位于美国或处于分析用的模拟器中则会自动关 5、恶意npm包伪装WhatsApp API窃取数据 https://thehackernews.com/2025/12/fake-whatsapp-api-package-on-npm-steals.html 网络安全研究人员发现，npm软件包仓库中出现一个名为“lotusbail”的恶意库。该包伪装成功能正常的WhatsApp API，自2025年5月上传以来已被下载超过5.6万次。其恶意代码通过包装WebSocket客户端，在开发者使用该库连接WhatsApp时，暗中窃取认证令牌、全部聊天记录、联系人列表等敏感数据，并加密外传。更严重的是，它会利用硬编码的配对码，将攻击者的设备永久性关联到受害者的WhatsApp账户，即使卸载包后访问权限 6、n8n工作流自动化平台曝高危漏洞 https://www.freebuf.com/articles/web/463408.html n8n工作流自动化平台近日披露一个高危安全漏洞，在特定条件下成功利用该漏洞可能导致任意代码执行。该漏洞被追踪为CVE-2025-68613，CVSS评分为9.9分（满分10分）。根据npm统计数据显示，该软件包每周下载量约为57,000次。 7、日产汽车确认因服务器遭未授权访问导致数据泄露 https://www.freebuf.com/articles/database/463303.html 日产汽车公司公开确认，由于负责开发客户管理系统的第三方承包商管理的红帽（Red Hat）服务器遭到未授权访问，导致重大数据泄露事件。该事件导致日产福冈销售公司约21,000名客户的个人信息外泄。 8、黑客滥用"设备代码"绕过安全防护劫持微软365账户 https://securityonline.info/hackers-abuse-device-codes-to-bypass-security-and-seize-microsoft-365-accounts/ 黑客利用微软合法认证功能发起"设备代码钓鱼"攻击，通过诱骗用户在官方门户输入代码窃取账户密钥，绕过传统防护和MFA。该手法被多类黑客组织采用，依赖社会工程制造紧迫感，威胁企业账户安全。 9、新型Cellik安卓远控木马将合法Google Play应用变为监控工具 https://securityonline.info/the-silent-hijacker-new-cellik-android-rat-turns-legitimate-google-play-apps-into-surveillance-tools/ 新型安卓木马Cellik通过寄生Google Play合法应用，提供"交钥匙"式手机劫持服务，每月50美元即可获得高级监控功能，包括实时屏幕控制、远程摄像头访问等，大幅降低网络犯罪门槛。 10、 AI系统的隐秘后门：Dify漏洞致系统配置遭未授权泄露 https://securityonline.info/ais-exposed-side-door-dify-flaw-cve-2025-63387-leaks-system-configs-to-anonymous-users/ 开源平台Dify曝高危漏洞CVE-2025-63387，未认证用户可访问敏感系统配置，CVSS评分7.5。漏洞源于API权限检查缺失，攻击者可获取内部数据。建议运行v1.9.1的组织立即修复。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、伊朗APT组织“Infy”沉寂五年后再度活跃 https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html 安全研究人员发现，与伊朗有关联的、代号为“Infy”的APT组织在沉寂近五年后重新出现。该组织近期针对伊朗、伊拉克、土耳其、印度、加拿大及欧洲的受害者发起攻击，使用了更新版的“Foudre”下载器和“Tonnerre”第二段植入程序。其攻击手法有所演变，并采用了域生成算法来增强其命令与控制基础设施的韧性。最新版本的“Tonnerre”包含通过C2服务器联系特定Telegram群组的机制，用于命令控制和数据收集。 2、新型窃密软件利用TikTok“自骗”教程传播 https://securityonline.info/tiktoks-scam-yourself-trap-how-aurastealer-malware-tricks-users-into-hacking-their-own-pcs/ 安全研究人员发现了一种名为AuraStealer的新型恶意软件即服务。该恶意软件自2025年7月开始活跃，其传播依赖于一种被称为“自骗”的社会工程学陷阱：攻击者在TikTok等平台发布伪装成软件免费激活教程的短视频，诱导观看者亲手在管理员权限的PowerShell中执行恶意命令，从而自行下载并运行窃密木马。AuraStealer功能繁杂，宣称能窃取超过11 3、虚假验证ClickFix成为Qilin勒索软件攻击入口 https://securityonline.info/clickfix-trap-fake-human-verification-leads-to-qilin-ransomware-infection/ 最新研究揭示，一种名为“ClickFix”的社交工程攻击策略已演变为大规模勒索软件入侵的起点。攻击者利用合法但已被入侵的网站，植入恶意脚本，向访客展示伪造的“人工验证”页面。诱使用户点击后，脚本会部署合法的远程管理工具NetSupport Manager作为后门，进而下载信息窃取程序StealC V2。攻击者利用窃取的凭证，通过Fortinet VPN设备侵入受害组织内网，最终部署了臭名昭 4、Nefilim勒索软件附属成员认罪 https://www.infosecurity-magazine.com/news/nefilim-ransomware-affiliate/ 美国司法部宣布，一名乌克兰公民Artem Aleksandrovych Stryzhak对其作为Nefilim勒索软件附属成员参与攻击的指控表示认罪。该被告人于2024年6月在西班牙被捕，后被引渡至美国。其作案模式典型，通过勒索软件即服务平台获取攻击工具，并针对年收入超过2亿美元的美国、加拿大及澳大利亚公司实施攻击，窃取数据后进行加密勒索。法庭文件显示，被告人在犯罪初期曾担忧其使用的用户名可能因“面板被联邦调查局入侵”而暴露。其同案犯目前仍在逃并被 5、美司法部起诉54人利用恶意软件劫持ATM https://thehackernews.com/2025/12/us-doj-charges-54-in-atm-jackpotting.html 美国司法部于12月20日宣布，对54名参与大规模ATM“劫机”诈骗计划的犯罪嫌疑人提出指控。该团伙隶属于已被美国列为外国恐怖组织的委内瑞拉犯罪集团“Tren de Aragua”。指控称，犯罪分子通过物理方式入侵ATM机，安装名为“Ploutus”的恶意软件，从而远程控制机器非法吐出现金，并清除作案痕迹以逃避检测。自2021年以来，美国已记录1529起此类事件，造成约4073万美元损失，这些非法所得被指用于资助该组织的恐怖活动及其他犯罪。此次 6、Linux内核首个Rust漏洞CVE-2025-68260曝光 https://securityonline.info/rusts-first-breach-cve-2025-68260-marks-the-first-rust-vulnerability-in-the-linux-kernel/ Linux内核首个Rust代码漏洞CVE-2025-68260曝光，影响Android Binder驱动，竞态条件可致系统崩溃。漏洞源于链表操作不安全，已在6.18.1及6.19-rc1修复，建议升级内核版本。 7、Log4j新 TLS 漏洞使攻击者可截获加密传输的敏感日志 https://securityonline.info/log4js-security-blind-spot-new-tls-flaw-lets-attackers-intercept-sensitive-logs-despite-encryption/ Apache Log4j修复中危漏洞(CVE-2025-68161)，2.0-beta9至2.25.2版本存在TLS主机名验证失效问题，可能导致中间人攻击窃取日志数据。建议升级至2.25.3版本或配置受限信任根证书。 8、DIG AI：犯罪组织与恐怖分子正在利用不受监管的暗网AI助手 https://securityaffairs.com/185842/cyber-crime/dig-ai-uncensored-darknet-ai-assistant-at-the-service-of-criminals-and-terrorists.html 2025年第四季度暗网AI犯罪激增，DIG AI被用于制作非法内容和犯罪指南，尤其AI生成儿童性虐材料带来新挑战。2026年重大赛事临近，犯罪AI威胁加剧，执法难度大，全球需警惕新型高科技犯罪风险。 9、华擎、华硕等主板的UEFI漏洞使黑客可绕过系统安全防护 https://securityonline.info/early-boot-attack-uefi-flaw-in-asrock-asus-msi-boards-lets-hackers-bypass-os-security-via-pcie/ 现代计算机UEFI固件漏洞（CVE-2025-14304等）导致DMA保护失效，攻击者可通过PCIe设备在系统启动前读写内存，华擎、华硕等主板受影响。建议紧急更新固件，高风险环境优先修补。 10、快手遭到灰黑产攻击，色情内容刷屏 https://finance.sina.com.cn/tech/roll/2025-12-23/doc-inhctsyv5643149.shtml 昨晚，快手突发严重网络安全事件——大量露骨色情内容短时间内侵入多个直播间，引发用户大量围观，部分直播间人数飙至5万+，该事件时长超过1小时。今天凌晨，快手官方紧急回应称，当晚22时左右，平台遭到黑灰产攻击，目前已紧急处理修复中，平台坚决抵制违规内容，相应情况已上报给相关部门，并向公安机关报警。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客劫持VNC连接入侵关键基础设施 https://cybersecuritynews.com/hackers-hijacking-vnc-connections/ 多国网络安全机构联合发布紧急警告，称亲俄黑客组织正利用暴露在互联网上且防护薄弱的虚拟网络计算连接，入侵水处理、食品与农业及能源等关键基础设施的操作技术系统。攻击组织包括“Cyber Army of Russia Reborn”、“Z-Pentest”等，其手法并不复杂，主要通过扫描5900等VNC默认端口，对使用默认或简单密码的人机界面发起暴力破解。一旦得手，攻击者会操控图形界面以修改参数、禁用警报，从而引发停机甚至物理过程中断。 2、朝鲜黑客2025年盗取20亿美元加密货币 https://thehackernews.com/2025/12/north-korea-linked-hackers-steal-202.html 安全研究人员发现，与朝鲜相关的威胁行为者在2025年1月至12月初，从全球盗取的超过34亿美元加密货币中至少占20.2亿美元，年增51%。其中仅2月对Bybit交易所的攻击就造成15亿美元损失。这些由国家支持的攻击不仅依赖传统技术漏洞，更日益通过名为“Wagemole”的计划，派遣IT工作者渗透全球公司或利用虚假身份远程入职，以获取对加密货币服务的特权访问。被盗资金通过洗钱服务、跨链桥等渠道进行长达45天的结构化洗钱。 3、工控协议Modbus曝露的端口使太阳能电站面临远程断电风险 https://hackernews.cc/archives/61939 安全研究人员发现，一种利用互联网上暴露的、不安全的工业控制协议（Modbus）对太阳能发电基础设施发起的攻击正在构成威胁。太阳能电站依赖网络化的运营技术设备，其中许多组串监测箱等关键设备仍使用设计上缺乏身份验证、加密等基本安全功能的Modbus协议。当这些设备的502端口暴露于公网时，攻击者仅需使用Nmap等常见扫描工具和mbpoll等免费Modbus客户端工具，即可远程读取设备状态，并通过向特定控制寄存器写入数据，直接发送命令关闭光伏组串，从而在几分钟内导致电力生产中断。更严峻的是，AI驱动的攻击框架能自动化完成大规 4、新窃密软件通过YouTube进行传播 https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/ 安全研究人员发现，一个被称为“YouTube幽灵网络”的恶意软件分发网络正在利用大量被入侵的账户，通过发布游戏外挂和破解软件等诱饵视频，传播一种新型高度混淆的Node.js加载器——GachiLoader。该恶意软件具备多重反分析和反虚拟机检测功能，并尝试禁用Windows Defender。其最终目的是在受害者机器上部署第二阶段的窃密软件，如Rhadamanthys。值得注意的是，部分变种会释放一个名为Kidkadi的二级加载 5、Clop勒索软件利用漏洞攻击CentreStack文件服务器 https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/ 安全研究人员发现，勒索软件团伙Clop正发起新一轮数据窃取勒索活动，其目标是暴露在互联网上的Gladinet CentreStack文件共享服务器。攻击者正在扫描并利用该系统中一个安全漏洞进行入侵。初步扫描数据显示，全球至少有200多个IP地址运行着可能受影响的CentreStack服务，使其面临高风险。Clop团伙长期以Accellion、MOVEit等文件传输产 6、WatchGuard防火墙V*PN高危漏洞遭在野利用 https://thehackernews.com/2025/12/watchguard-warns-of-active-exploitation.html 安全研究人员发现，其Fireware OS中存在一个已被在野利用的严重漏洞。该漏洞允许远程攻击者在未授权的情况下，通过VPN服务执行任意代码，完全控制受影响的防火墙设备。此次攻击中使用的IP地址与近期针对Fortinet设备的攻击活动存在重叠，引发关联猜测。受影响的版本涵盖Fireware OS 2025.1至12.x等多个系列。WatchGuard已发布修复版本并提供了包括异常日志、进程崩溃在内的入侵检测指标，建议所有用户立即更新系统 7、攻击者利用SVG与Office文档部署窃密木马 https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/ 安全研究人员发现一场针对意大利、芬兰和沙特阿拉伯等国制造业与政府机构的复杂电子邮件攻击活动。攻击者同时采用武器化的Microsoft Office文档、恶意SVG文件及携带LNK快捷方式的ZIP压缩包作为初始感染媒介。其中，Office文档利用了一个已知的Equation Editor高危漏洞。攻击链包含至少四个阶段，运用了高度混淆的JavaScript、从合法网站获取的藏有恶意代码的图片，以及对开源库进行木马化改造等规避检测的技术。 8、HPE OneView曝CVSS 10.0高危漏洞 https://thehackernews.com/2025/12/hpe-oneview-flaw-rated-cvss-100-allows.html Hewlett Packard Enterprise (HPE) 本周修复了其IT基础设施集中管理软件OneView中的一个严重安全漏洞。该漏洞被标记为CVE-2025-37164，CVSS评分为最高的10.0分，允许未经身份验证的远程攻击者执行任意代码，从而完全控制受影响系统。此漏洞影响11.00之前的所有版本。HPE已发布11.00版本以彻底修复问题，并为5.20至10.20版本提供了热修复补丁。虽然目前尚无该漏洞在野被利用的报告，但 9、攻击者利用采购订单PDF进行钓鱼攻击窃取企业凭证 https://www.malwarebytes.com/blog/threat-intel/2025/12/inside-a-purchase-order-pdf-phishing-campaign 安全研究人员发现了一起以“采购订单”为诱饵的PDF钓鱼活动。攻击者发送附带PDF的邮件，文件内含按钮诱骗收件人点击，将其导向一个仿冒的PDF查看器网站。该钓鱼页面已预填受害者邮箱，进一步诱导输入密码，旨在窃取企业邮箱凭证。攻击基础设施托管于IONOS Cloud等知名云服务以增强隐蔽性，并采用多重混淆的JavaScript脚本将窃取的凭证连同受害者浏览器、操作系统、位置等详细信息，直接发送至攻 10、Cloud Atlas利用Office漏洞渗透东欧中亚组织 https://cybersecuritynews.com/cloud-atlas-hacker-group/ 安全研究人员发现，APT组织“Cloud Atlas”持续活跃，针对东欧及中亚地区组织发起复杂攻击。该组织利用过时的Microsoft Office Equation Editor漏洞，通过鱼叉式钓鱼邮件投递恶意文档，触发多阶段感染链。攻击者使用包含CVE-2018-0802漏洞的RTF文件，最终在受害者系统上部署VBShower、PowerShower、VBCloud及CloudAtlas等一系列后门程序。这些恶意工具功能包含文件窃取、凭据收集、系统探测以及持久化驻留等。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Kimsuky组织利用伪造的物流APP传播安卓木马 https://thehackernews.com/2025/12/kimsuky-spreads-docswap-android-malware.html 安全研究人员发现，黑客组织Kimsuky正通过伪装成韩国CJ物流公司配送应用的二维码钓鱼网站，传播新型安卓恶意软件“DocSwap”。攻击者通过钓鱼短信或邮件诱导用户访问恶意链接，当桌面用户访问时，页面会显示二维码，提示用户用安卓手机扫描以安装所谓的“货物追踪应用”。实际下载的APP会解密并加载内嵌的加密APK，在后台启动远程访问木马服务。该恶意软件功能强大，能接收多达57种指令，实现键盘记录、录音录像、文件窃取、信息收集等。此外，攻击 2、华硕Live Update高危漏洞遭利用 https://thehackernews.com/2025/12/cisa-flags-critical-asus-live-update.html 美国网络安全和基础设施安全局（CISA）于12月18日将一个影响华硕Live Update工具的高危漏洞（CVE-2025-59374）添加至其已知被利用漏洞目录，并指出该漏洞正被积极利用。该漏洞实为2019年3月披露的“暗影之锤”供应链攻击事件，当时有高级威胁组织入侵华硕服务器，在Live Update客户端中植入恶意代码，通过硬编码的MAC地址列表精准攻击特定用户。虽然华硕早在当时就发布了修复版本，但由于该软件已于2025年12月4日停止 3、月下载量超1600万的systeminformation存在高危漏洞 https://www.freebuf.com/articles/system/462566.html 安全研究人员在广受欢迎的 Node.js 库 systeminformation 中发现一个高危漏洞，该库被数百万开发者用于获取系统指标。该漏洞编号为（CVE-2025-68154），会导致基于 Windows 的应用程序面临操作系统命令注入风险，攻击者可能借此执行任意代码并控制受影响服务器。这个库每月下载量"超过 1600 万次"，因此漏洞影响范围极大，波及依赖该库获取硬件和操作系统数据的监控仪表板、CLI 工具和 Web 应用程序。 4、微软桌面窗口管理器越界漏洞可导致攻击者权限提升 https://www.freebuf.com/articles/system/462532.html 微软已确认桌面窗口管理器（DWM）中存在一个严重的越界漏洞，该漏洞允许本地攻击者在受影响的Windows系统上将权限提升至SYSTEM级别。该漏洞编号为CVE-2025-55681，存在于dwmcore.dll组件中，影响全球范围内的Windows 10、Windows 11及相关服务器版本。 5、亚马逊披露俄罗斯GRU长达数年的网络攻击行动 https://thehackernews.com/2025/12/amazon-exposes-years-long-gru-cyber.html 俄罗斯黑客组织APT44在2021-2025年针对西方能源和云基础设施发起长期攻击，转向利用配置错误设备而非漏洞，通过凭证收集横向移动，目标包括北美和欧洲关键设施。亚马逊已中断相关攻击并建议加强边缘设备审核和认证监控。 6、APT-C-35利用Apache HTTP响应特征维持基础设施活动 https://cybersecuritynews.com/apt-c-35-infrastructure-activity-leveraged/ 印度APT组织APT-C-35持续活跃，针对南亚关键目标。研究发现其服务器具有独特HTTP响应特征，如特定过期日期和缓存控制头部，可用于追踪检测。该发现提升了对国家支持型威胁的防御能力。 7、“幻影窃取者” 恶意软件借 ISO 钓鱼攻击瞄准金融领域 https://www.anquanke.com/post/id/313818 一场精密的新型钓鱼攻击行动正瞄准某国金融基础设施核心领域，攻击者将一款功能强大的信息窃取恶意软件伪装成常规的银行转账确认文件。赛科瑞特实验室（Seqrite Labs）的研究人员将该攻击行动命名为 “金钱山 – ISO 行动”，其攻击目标明确锁定金融、会计及财务部门，借助高质量的社会工程学手段突破企业边界安全防护。 8、ScreenConnect高危漏洞存在配置泄露与恶意扩展安装风险 https://www.anquanke.com/post/id/313807 康耐视（ConnectWise）针对其广受欢迎的远程支持软件 ScreenConnect 发布了重要安全更新，修复了一个可能导致敏感配置数据泄露的高危漏洞。该漏洞编号为 CVE-2025-14265，通用漏洞评分系统（CVSS）分值高达 9.1，这意味着未打补丁的本地部署服务器将面临重大安全风险。 9、HPE修复 IT 基础设施管理软件中的关键漏洞 https://www.securityweek.com/hpe-patches-critical-flaw-in-it-infrastructure-management-software/ 惠普企业（HPE）本周宣布了针对其 OneView IT 基础设施管理软件中一个严重程度为关键的远程代码执行漏洞的补丁。该安全缺陷被追踪为 CVE-2025-37164（CVSS 得分为 10），公司在一个简明的公告中指出，该漏洞无需认证即可被利用。 10、主流主板中的UEFI漏洞可启用早期启动攻击 https://www.securityweek.com/uefi-vulnerability-in-major-motherboards-enables-early-boot-attacks/ ASRock、Asus、Gigabyte 和 MSI 主板存在早期启动 DMA 攻击漏洞。根据卡内基梅隆大学 CERT/CC 周三发布的一份公告，攻击者可以利用该漏洞访问内存中的数据或影响系统的初始状态。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、南美威胁组织BlindEagle针对哥伦比亚政府部署恶意软件 https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-government-agency-caminho-and-dcrat 安全研究人员发现，南美威胁组织BlindEagle针对哥伦比亚商业、工业和旅游部下属机构发起了一场复杂的鱼叉式钓鱼攻击。攻击者疑似利用从目标机构内部盗取的邮箱账户发送伪装成司法文书的钓鱼邮件，通过嵌入恶意SVG图像将受害者诱导至伪造的司法门户网站，进而触发一个多层无文件攻击链。该链条利用嵌套的JavaScript与PowerShell脚本，从Discord等合法服务下载 2、恶意NuGet包窃取加密货币钱包 https://thehackernews.com/2025/12/rogue-nuget-package-poses-as-tracerfody.html 安全研究人员发现一个伪装成流行.NET追踪库的恶意NuGet软件包“Tracer.Fody.NLog”。该包通过仿冒合法维护者用户名、在源代码中使用西里尔相似字符等手段，在官方仓库中隐匿了近六年，已被下载至少2000次。一旦被项目引用，其内嵌的恶意程序会扫描系统默认的Stratis加密货币钱包目录，读取钱包文件及内存密码，并将数据外泄至位攻击者服务器。 3、17款Firefox扩展藏匿GhostPoster恶意软件 https://thehackernews.com/2025/12/ghostposter-malware-found-in-17-firefox.html 安全研究人员发现一场名为“GhostPoster”的恶意活动，利用至少17款Mozilla Firefox浏览器扩展程序传播恶意软件，这些扩展累计下载量超过5万次。恶意代码被隐藏于扩展的图标文件中，通过多层规避检测技术（如下载前等待48小时、仅10%概率触发、安装后延迟6天激活）静默运行。感染后，恶意软件能实施联盟链接劫持、向网页注入跟踪代码、移除安全头部、注入隐藏iframe进行广告欺诈以及绕过CAPTCHA验证等多种恶意行为，严重威 4、Chrome修复可导致远程代码执行的高危漏洞 https://cybersecuritynews.com/chrome-security-update-dec/ Google于12月17日发布了Chrome浏览器143.0.7499.146/.147版本，紧急修复了两个可导致远程代码执行的高危漏洞。其中，CVE-2025-14765是WebGPU组件中的“释放后使用”漏洞；CVE-2025-14766是V8 JavaScript引擎中的“越界读写”漏洞。攻击者利用这些漏洞可操纵内存，在受影响系统上执行任意代码，潜在风险极高。更新正分批向Windows和Mac用户推送，Linux用户也可手动检查安装。Google建议所有用户立即更新浏览器 5、Windows Admin Center漏洞可导致攻击者提权 https://www.freebuf.com/articles/system/462288.html 微软Windows Admin Center（WAC）曝出新的本地提权漏洞，影响2.4.2.1及更早版本，包括运行WAC 2411及之前版本的环境。该漏洞编号为CVE-2025-64669，源于_C:\ProgramData\WindowsAdminCenter_目录权限设置不当——标准用户可写入该目录，而该目录却被高权限服务使用。由于Windows Admin Center广泛用作Windows Server、集群、超融合基础设施及Windows 10/11终端的管理网关，该漏洞具有广泛 6、大语言模型正加速勒索软件运营 https://www.freebuf.com/articles/462341.html 大语言模型（LLMs）与勒索软件运营的整合标志着网络犯罪格局的关键转变，这种技术更多是作为强大的运营加速器而非根本性变革。该技术显著降低了犯罪门槛，使低技术水平的攻击者也能构建功能性工具和复杂的勒索软件即服务（RaaS）基础设施。 7、攻击者利用React2Shell漏洞部署Linux后门程序 https://thehackernews.com/2025/12/react2shell-vulnerability-actively.html 黑客利用高危漏洞React2Shell传播KSwapDoor和ZnDoor恶意软件，具备隐蔽通信和休眠功能，主要攻击日本机构。多组织利用CVE-2025-55182漏洞投放多种后门，窃取云凭证并横向移动。Next.js漏洞被用于大规模数据窃取，超11万IP受影响，美国最严重。 8、FortiGate设备SSO高危漏洞遭野外利用 https://cybersecuritynews.com/fortigate-devices-sso-vulnerabilities/ Fortinet设备存在关键SSO漏洞（CVE-2025-59718/59719），攻击者可绕过认证获取管理员权限。影响FortiOS、FortiProxy等产品，默认配置易受攻击。建议立即升级至修复版本或禁用FortiCloud SSO功能，限制管理接口访问。 9、数据灾难：Claude AI执行rm -rf ~/命令清空开发者Mac主目录 https://securityonline.info/data-disaster-claude-ai-executes-rm-rf-and-wipes-developers-mac-home-directory/ AI辅助工具因权限管控缺失频发灾难性故障，如误删用户主目录数据。开发者建议采用容器化隔离方案，限制AI工具访问权限，防止系统级破坏。 10、Windows 10更新KB5071546因权限不足导致MSMQ服务故障 https://securityonline.info/enterprise-alert-windows-10-update-kb5071546-breaks-msmq-service-with-insufficient-permissions/ 微软证实Windows 10更新KB5071546导致MSMQ服务故障，因权限变更影响企业应用异步处理。故障表现为资源不足错误，需卸载更新等待修复。个人用户通常不受影响。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。