1、俄黑客利用Blender传播StealC V2窃密器 https://www.morphisec.com/blog/morphisec-thwarts-russian-linked-stealc-v2-campaign-targeting-blender-users-via-malicious-blend-files/ 安全团队披露，发现一起与俄罗斯关联的威胁组织针对Blender用户的StealC V2窃密攻击活动。该活动持续至少六个月，攻击者将恶意Python脚本植入.blend 3D模型文件，上传至CGTrader等资源平台，诱导用户下载。文件打开后自动执行多阶段攻击链：通过PowerShell下载器获取包含StealC V2及辅助窃取器 2、在线格式化工具 JSONFormatter和CodeBeautify泄露8万密钥 https://labs.watchtowr.com/stop-putting-your-passwords-into-random-websites-yes-seriously-you-are-the-problem/ 根据网络安全机构最新研究，多个行业的组织正在无意中将敏感凭据粘贴到在线工具 JSONFormatter 和 CodeBeautify 中，从而导致数千个密码和API密钥的泄露。这项研究捕获了超过80,000个文件的数据集，涵盖了用户的用户名、密码、存储库身份验证密钥、Active Directory凭据等敏感信息。泄露的信息包括来自国家关键基础设施、政府、金融、医疗等行业的 3、ClickFix利用隐写术将恶意代码藏于图片中 https://www.huntress.com/blog/clickfix-malware-buried-in-images 近期ClickFix社会工程学攻击活动采用高级隐写术，将LummaC2与Rhadamanthys窃密木马直接编码于PNG图像像素数据中。自2025年10月初起，攻击者通过"机器人验证"页面及高度仿真的"Windows更新"全屏界面诱骗用户执行Win+R快捷键粘贴恶意命令。该攻击链历经mshta执行、PowerShell加载、.NET反射程序集、隐写提取及Donut封装shellcode五阶段，利用Blob URL注入、AES/XOR加密和冗长变量名混淆等手段规避检测 4、间谍软件RadzaRat伪装文件管理器进行窃密 https://hackread.com/radzarat-spyware-hijack-android-devices/ 一款名为RadzaRat的Android远程控制木马，伪装成普通文件管理器应用，在VirusTotal上实现0/66的零检出率。此RAT具备键盘记录、文件浏览与下载功能，支持传输高达10GB数据，由地下论坛用户"Heron44"于2025年11月8日起公开销售。攻击者仅需利用Render.com服务器和Telegram机器人即可低成本部署，恶意程序通过激进手段防止系统关闭并实现开机自启。 5、FBI警告ATO网络欺诈损失达2.62亿美元 https://thehackernews.com/2025/11/fbi-reports-262m-in-ato-fraud-as.html 美国联邦调查局（FBI）发布的报告显示，网络犯罪分子通过冒充金融机构实施账户接管（ATO）欺诈，造成的损失高达2.62亿美元。自年初以来，FBI已收到超过5100起相关投诉，受害者包括各行各业的个人和企业。该报告指出，攻击者通过社交工程手段，利用短信、电话和电子邮件诱骗用户提供登录凭据，并通过恶意手段获取敏感信息。网络犯罪分子还利用搜索引擎优化（SEO）投毒和恶意广告来引导用户点击虚假链接，进一步增加了攻击的隐蔽性。FBI呼吁用户在分享个人信息时保持 6、房地产金融服务商SitusAMC发生数据泄露事件 https://www.bleepingcomputer.com/news/security/real-estate-finance-services-giant-situsamc-breach-exposes-client-data/ 房地产金融服务商SitusAMC披露近日发现一起数据泄露事件，导致部分客户及其终端客户的数据遭到未经授权访问。该公司为1500余家金融机构提供抵押贷款后台服务，年收入约10亿美元，客户包括摩根大通、花旗集团和摩根士丹利等银行业巨头。泄露信息涉及企业会计记录、法律协议及部分客户个人信息。事件未部署加密恶意软件，业务运营保持正常。公司在发现后三天内确认漏洞性质， 7、Cobalt Strike 4.12发布新增进程注入技术、UAC绕过与可定制C2选项 https://www.freebuf.com/articles/459123.html 最新版本采用完全重新设计的图形界面，提供多种主题选项（包括Dracula、Solarized和Monokai）。所有可视化组件均已更新，改进后的Pivot Graph现在可显示监听器名称和传输类型，便于基础设施管理。 8、黑客利用新型黑产AI工具KawaiiGPT发起网络攻击 https://www.freebuf.com/articles/ai-security/459002.html KawaiiGPT是一款免费恶意大语言模型（LLM），最早于2025年7月被发现，目前版本已升级至2.5。该工具为网络犯罪新手提供了生成钓鱼邮件、勒索软件说明文档和攻击脚本的能力，大幅降低了网络犯罪的技术门槛。 9、零检出RelayNFC安卓恶意软件将手机变为远程读卡器 https://www.freebuf.com/articles/endpoint/459054.html 2025年11月26日，Cyble研究与情报实验室（CRIL）发现针对巴西移动支付用户的NFC中继恶意软件攻击活动正在快速演变。新发现的RelayNFC恶意软件家族可将受害者的安卓设备变成远程读卡器，使攻击者能够实施非接触式欺诈交易，如同物理卡片就在手中。 10、Firefox曝出严重漏洞，致1.8亿用户面临安全风险 https://www.anquanke.com/post/id/313385 Firefox 中一个 隐蔽但危险的内存漏洞 在被安全研究人员发现前已静默存在六个月，影响超过 1.8 亿用户。该漏洞允许攻击者通过 恶意构造的 WebAssembly 负载 破坏内存，甚至可能执行任意代码。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、安全机构联合预警Sha1-Hulud第二波供应链攻击 https://thehackernews.com/2025/11/second-sha1-hulud-wave-affects-25000.html 多家安全机构联合预警第二波"Sha1-Hulud"npm供应链攻击。攻击者于11月21日至23日通过预安装脚本入侵数百个npm包，受影响仓库超25,000个，涉及约350名GitHub用户。该恶意载荷通过setup_bun.js执行，窃取开发者NPM令牌及AWS/GCP/Azure云凭证，并将失窃数据上传至攻击者控制的GitHub仓库。与第一波不同，新版本具备破坏性擦除功能：当无法窃取凭证或建立持久化时，会清除受害者主目录所有可写文件。 2、新型安卓恶意软件运用多阶段技术规避检测 https://asec.ahnlab.com/ko/91104/ 安全研究人员发现一款采用高级规避技术的新型Android恶意软件，在发现时多数杀毒软件无法检测。该应用将恶意功能分离存储，通过多阶段载荷投放技术实现动态解密与执行。为绕过检测，攻击者定制了软件包安装程序替换系统默认组件，并将恶意代码深度混淆压缩。应用还设置交互式触发机制，启动时要求用户输入特定文本，验证后伪装成Google Play商店更新界面，仅在满足条件时激活恶意行为。这种"条件唤醒"策略使其能长期潜伏。 3、FluentBit曝严重漏洞云环境可被远程接管 https://www.oligo.security/blog/critical-vulnerabilities-in-fluent-bit-expose-cloud-environments-to-remote-takeover 研究团队披露开源日志收集工具Fluent Bit存在五处严重安全漏洞，编号为CVE-2025-12969至CVE-2025-12972及CVE-2025-12977、CVE-2025-12978。这些缺陷可导致攻击者绕过身份验证、执行路径遍历、实现远程代码执行及拒绝服务攻击。作为部署超150亿次的核心云原生组件，该工具被AWS、谷歌云、微软Azure等平台广泛集成 4、美国电信与汽车服务巨头遭Cl0p勒索攻击 https://www.bleepingcomputer.com/news/security/cox-enterprises-discloses-oracle-e-business-suite-data-breach/ 美国电信与汽车服务巨头Cox Enterprises于2025年11月22日披露，其系统因Oracle E-Business Suite零日漏洞遭Cl0p勒索软件团伙入侵，导致9479名个人数据泄露。攻击发生于8月9日至14日，但直至9月29日才被发现。Cl0p声称利用CVE-2025-61882漏洞在补丁发布前实施攻击，该团伙惯用零日漏洞攻击企业软件。入侵后，Cox已通知受 5、vLLM存在高危漏洞可致远程代码执行 https://securityonline.info/vllm-flaw-cve-2025-62164-risks-remote-code-execution-via-malicious-prompt-embeddings/ vLLM 0.10.2+存在高危漏洞CVE-2025-62164（CVSS 8.8），恶意提示嵌入可致服务器崩溃或远程代码执行，源于PyTorch 2.8.0稀疏张量检查缺陷。建议立即升级并审计接口。 6、CISA警告：Oracle身份管理器RCE漏洞正遭攻击者积极利用 https://cybersecuritynews.com/oracles-identity-manager-rce-vulnerability/ CISA紧急警告Oracle身份治理套件12c存在严重前认证RCE漏洞（CVE-2025-61757），攻击者可绕过认证执行任意代码，完全控制系统。建议立即打补丁或隔离服务，防范勒索软件等攻击。 7、 攻击者利用微软WSUS漏洞传播恶意软件获取系统控制权 https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html 攻击者利用微软WSUS漏洞(CVE-2025-59287)传播ShadowPad恶意软件，通过PowerCat获取系统权限，使用合法工具下载后门程序，实现远程代码执行和持久化攻击。 8、腾达路由器曝两大命令注入漏洞 https://securityonline.info/cert-cc-warns-of-unpatched-root-level-command-injection-flaws-in-tenda-4g03-pro-and-n300-routers-cve-2025-13207-cve-2024-24481/ 腾达4G03 Pro和N300路由器存在未修复命令注入漏洞(CVE-2025-13207等)，攻击者可利用默认凭证以root权限完全控制设备。厂商暂无补丁，建议用户更换设备或限制网络访问，并关注固件更新。 9、Kimsuky与Lazarus联手利用0Day漏洞攻击全球关键行业 https://cybersecuritynews.com/north-korean-kimsuky-and-lazarus-join-forces/ 朝鲜黑客组织Kimsuky和Lazarus联手发动协同攻击，结合钓鱼邮件与0Day漏洞窃取敏感情报和加密货币。攻击采用新型InvisibleFerret后门规避检测，已造成3200万美元损失，国防、金融等行业风险最高。 10、APT35组织内部文件泄露，暴露其攻击目标与方法 https://www.freebuf.com/news/458795.html 2025年10月，一次重大数据泄露事件曝光了APT35（又称"迷人小猫"）黑客组织的内部运作细节。该网络攻击单位隶属于伊朗情报组织。数千份泄露文件显示，该组织对中东和亚洲地区的政府与企业实施系统性攻击。泄露内容包含绩效报告、技术指南和操作记录，清晰展现了这一国家支持的黑客组织如何开展大规模网络间谍活动。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、S3勒索软件新变种威胁AWS云存储安全 https://www.trendmicro.com/en_us/research/25/k/s3-ransomware.html 最新研究显示，勒索软件攻击正从传统系统转向AWS云环境，其中Amazon S3存储桶成为首要目标。攻击者利用配置错误和失窃凭证，通过五种主要变种实施攻击：使用默认KMS密钥加密后删除密钥、利用客户提供的密钥（SSE-C）使数据永久不可访问、窃取并删除数据以双重勒索、导入外部密钥材料设置短期过期，以及部署外部密钥库（XKS）完全掌控加密。这些攻击均可在无需直接部署恶意软件的情况下完成，传统安全工具难以检测。 2、汽车SoC芯片存在严重漏洞可获远程控制权 https://ics-cert.kaspersky.com/publications/reports/2025/11/20/god-mode-on-researchers-run-doom-on-a-vehicles-head-unit-after-remotely-attacking-its-modem/ 研究机构发现汽车SoC芯片存在严重远程代码执行漏洞。该漏洞（CVE-2024-39432）位于3G RLC协议栈，攻击者通过移动网络发送特制数据包即可触发缓冲区溢出，在调制解调器执行任意代码。研究团队利用DMA控制器等硬件级漏洞，突破调制解调器与应用处理器(AP)的内存隔离，实现SoC 3、西班牙国航因供应商漏洞致客户数据泄露 https://www.bleepingcomputer.com/news/security/iberia-discloses-customer-data-leak-after-vendor-security-breach/ 西班牙国家航空公司伊比利亚航空于2025年11月23日披露，其第三方供应商发生安全漏洞，导致部分客户信息泄露。受影响数据包括客户姓名、电子邮件地址及伊比利亚航空俱乐部会员卡识别号码，但官方强调账户密码和支付信息未被访问。该事件披露前夕，一名网络威胁行为者曾在黑客论坛声称窃取了77GB航空公司数据并索价15万美元，但尚未证实与本次供应商事件存在直接关联。伊比利亚航空已启动 4、Windows图形组件曝严重漏洞，单张图片即可接管系统 https://www.zscaler.com/blogs/security-research/cve-2025-50165-critical-flaw-windows-graphics-component 研究人员披露编号为CVE-2025-50165的Windows图形组件高危漏洞，CVSS评分达9.8。该漏洞存在于windowscodecs.dll中，攻击者通过构造恶意JPEG图像，诱使用户在Office等应用中打开即可触发远程代码执行。威胁研究证实，此缺陷影响Windows 11 24H2、Windows Server 2025等主流版本，微软已于2025年8月12日发布补丁。技术层 5、Wireshark漏洞可通过注入畸形数据包导致程序崩溃 https://www.freebuf.com/articles/network/458697.html Wireshark 基金会已为其广泛使用的网络协议分析工具发布重要安全更新，修复了多个可能导致拒绝服务状态的漏洞。最新版本 4.6.1 专门针对 Bundle Protocol version 7（BPv7）和 Kafka 解析器中发现的安全缺陷。这些漏洞若未修补，攻击者可通过向网络流或跟踪文件注入恶意数据强制使应用程序崩溃。 6、代码注入漏洞威胁NVIDIA Isaac-GROOT机器人平台安全 https://www.freebuf.com/articles/ai-security/458671.html 2025年11月24日，NVIDIA发布安全更新，修复其Isaac-GROOT软件中两个高危漏洞。Isaac-GROOT是面向通用人形机器人推理与技能开发的开放基础模型，这一安全缺陷对快速发展的机器人行业开发者和研究人员构成潜在威胁。 7、md-to-pdf高危漏洞可通过Markdown前置元数据实现JS注入攻击 https://www.freebuf.com/articles/458665.html 2025年11月24日，广受欢迎的npm包md-to-pdf（每周下载量超47,000次的命令行工具）曝出高危漏洞（CVE-2025-65108）。该漏洞获得CVSS满分10分评级，攻击者可通过恶意前置元数据解析执行任意JavaScript代码。任何使用该包处理不可信Markdown内容的应用程序、构建系统或云服务均面临严重风险。 8、Xillen v4通过多态与DevOps窃取技术攻击上百款浏览器及70多种钱包 https://www.freebuf.com/articles/database/458657.html Darktrace 分析师近日对一款快速演变的跨平台信息窃取恶意软件家族 Xillen Stealer 发出警告。该恶意软件新发布的 v4 和 v5 版本显著扩展了攻击目标范围，引入了高级规避机制，并采用多种现代化 C2（命令与控制）和数据外泄技术。 9、黑客论坛惊现微软Office 0Day RCE漏洞交易 https://cybersecuritynews.com/microsoft-office-0-day-rce-claim/ 黑客Zeroplayer出售Office和Windows高危0Day漏洞，含沙箱逃逸功能，标价3万美元，可突破最新防护系统。该漏洞通过恶意文档传播，威胁企业安全，微软尚未修复。建议禁用宏、启用受保护视图并部署防护工具。 10、Ollama漏洞允许攻击者通过解析恶意模型文件执行任意代码 https://cybersecuritynews.com/ollama-vulnerabilities-code-execution/ Ollama开源项目曝严重漏洞，0.7.0前版本解析恶意GGUF模型文件时可触发越界写入，导致远程代码执行。漏洞已通过Go重写代码修复，用户需立即升级至0.7.0版本。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型僵尸网络利用Node.js扩展攻击 https://securelist.com/tsundere-node-js-botnet-uses-ethereum-blockchain/117979/ 2025年年中发现新型Tsundere僵尸网络，该威胁基于Node.js开发，通过伪装成《Valorant》等热门游戏的MSI安装器或PowerShell脚本感染Windows用户。该恶意程序刻意避开独联体地区，感染后借助pm2工具实现持久化驻留。其控制面板"Tsundere Netto"采用开放注册模式，集成黑市交易功能，允许攻击者买卖僵尸节点使用权。研究人员将该网络归因于俄语黑客"koneko"，其同期运营123 Stealer窃 2、黑客通过网络侦察引导导弹袭击货轮 https://aws.amazon.com/cn/blogs/security/new-amazon-threat-intelligence-findings-nation-state-actors-bridging-cyber-and-kinetic-warfare/ 与伊朗关联的黑客组织通过预先网络侦察为物理导弹袭击提供精确目标数据，开创了"网络赋能的动能目标定位"新范式。报告显示，疑似伊朗革命卫队支持的Imperial Kitten组织自2021年12月起持续入侵海上船舶自动识别系统与监控设备，2024年1月27日针对特定货轮AIS数据进行定向搜索，数日后该货轮即遭胡塞武装导弹袭击。 3、TamperedChef恶意广告活动滥用数字签名伪装合法应用 https://www.acronis.com/en/tru/posts/cooking-up-trouble-how-tamperedchef-uses-signed-apps-to-deliver-stealthy-payloads/ 名为TamperedChef的全球恶意广告活动通过伪造数字签名应用程序传播隐蔽恶意载荷。攻击者伪装成浏览器、PDF编辑器和游戏等日常软件，利用恶意广告与SEO优化诱骗用户下载运行。该活动采用美国空壳公司网络获取代码签名证书，建立工业化商业运作体系，证书吊销后立即注册新实体轮换身份。其攻击链通过投放XML配置文件创建计划任务实现持久化，每24小时执行高度混淆 4、D-Link停产路由器曝远程代码执行漏洞 https://www.bleepingcomputer.com/news/security/d-link-warns-of-new-rce-flaws-in-end-of-life-dir-878-routers/ D-Link已停产的DIR-878路由器存在三个可远程利用的命令执行漏洞（CVE-2025-60672、CVE-2025-60673、CVE-2025-60676），相关技术细节与概念验证代码已公之于众。该型号于2021年停产，但二手市场仍以75至122美元价格流通。D-Link明确表示不会为此发布安全更新，建议用户立即更换为仍在支持的产品。漏洞分别存在于动态DNS设置、DMZ 5、黑客公开售三星麦迪逊医疗数据 https://hackread.com/hacker-samsung-medison-data-breach-3rd-party/ 近日，化名为"888"的黑客在网络犯罪论坛兜售据称通过第三方承包商入侵窃取的三星麦迪逊医疗数据。该黑客声称掌握源代码、私钥、SMTP凭证、配置文件及从医疗备份中提取的用户个人身份信息，并已导出MSSQL数据库和AWS S3存储桶内容，同时提供持续访问权限作为附加服务。三星麦迪逊隶属三星集团，主营超声等医学影像设备。交易要求买家通过Keybase提交报价，并以门罗币支付。经研究分析，泄露截图显示后端数据库、员工记录及云存储日志等敏感信息。 6、Matrix Push C2通过浏览器实施钓鱼攻击 https://www.blackfog.com/new-matrix-push-c2-deliver-malware/ 网络犯罪分子利用新型命令与控制平台Matrix Push C2，通过浏览器通知实施无文件的跨平台钓鱼攻击。攻击者通过社会工程学手段，诱使用户在恶意或已被攻陷的网站上同意接收通知，从而利用浏览器的推送通知机制，发送伪装成操作系统警报的消息。这些通知通常涉及可疑登录或浏览器更新，用户一旦点击链接，便可能被引导至虚假网站。Matrix Push C2作为一种恶意软件即服务工具，以分层订阅方式提供给其他犯罪分子，吸引力在于其允许攻击者实时追踪受害者行为，并根据知名品牌自定义钓鱼通 7、Everest勒索组织声称入侵巴西石油巨头 https://hackread.com/everest-ransomware-brazil-petrobras-breach/ 近日，Everest勒索软件组织在其暗网泄露网站上声称已成功入侵巴西国有石油公司Petrobras的系统，窃取了超过180GB的地震勘测数据。该组织在两份公告中指出，首批泄露的数据包含超过176GB的地震导航数据，其中90GB直接属于Petrobras。泄露的数据包括船舶定位、设备配置和深度测量等敏感信息，这些信息对石油和天然气行业至关重要，可能被竞争对手利用。Everest要求Petrobras在四天内通过加密通讯平台Tox与其联系，并设置了倒计时警告。Petr 8、意大利铁路IT服务商Almaviva遭窃2.3TB数据 https://www.bleepingcomputer.com/news/security/hacker-claims-to-steal-23tb-data-from-italian-rail-group-almaviva/ 黑客声称从意大利国家铁路运营商FS Italiane集团的IT服务商Almaviva窃取2.3TB数据，并已泄露至暗网论坛。此次泄露数据为近期产生，包含2025年第三季度文件，涉及内部共享文档、技术资料、公共实体合同、人力资源档案、会计数据及多家FS集团完整数据集。专家认为该事件作案手法与2024-2025年活跃的勒索软件组织特征相符，排除系2022年Hive攻击遗留 9、SonicWall SonicOS漏洞可致防火墙崩溃 https://www.bleepingcomputer.com/news/security/new-sonicwall-sonicos-flaw-allows-hackers-to-crash-firewalls/ SonicWall发布安全公告，提醒客户修复SonicOS SSLVPN高危漏洞CVE-2025-40601。该漏洞源于基于堆栈的缓冲区溢出，可导致远程未认证攻击者实施拒绝服务攻击，使Gen7和Gen8硬件及虚拟防火墙崩溃。尽管官方未发现实际利用案例或公开PoC代码，但仍强烈建议用户立即升级至7.3.1-7013或8.0.3-8011及以上版本。无法及时更新的管理员应禁用SSL 10、黑客组织ShinyHunters声称窃取近千家Salesforce客户数据 https://hackread.com/shinyhunters-breach-gainsight-salesforce-1000-firms/ 黑客组织ShinyHunters声称对Gainsight应用数据泄露事件负责，窃取近千家Salesforce客户数据。攻击者利用先前攻击中窃取的凭证和被入侵的API令牌，绕过安全过滤器访问集成应用，影响F5、GitLab、Verizon、LinkedIn等知名企业。泄露数据可能包含业务联系人和许可信息。Salesforce已紧急撤销所有受影响的访问令牌，并将Gainsight从AppExchange平台移除。Gainsight确认检测到来自未经授 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客利用Tuoni C2框架实施隐蔽攻击 https://cybersecuritynews.com/hackers-using-leverage-tuoni-c2-framework-tool/ 安全研究人员披露，攻击者正利用新型Tuoni命令与控制框架实施隐蔽攻击。该框架通过钓鱼邮件或失陷网站传播初始代码，随后采用内存执行技术，将恶意载荷直接注入svchost.exe等合法Windows进程，规避传统文件扫描检测。Tuoni运用VirtualAllocEx与WriteProcessMemory等API实现进程注入，并以AES-256加密C2通信，使其网络流量混杂于正常业务中难以识别。攻击者可借此投递凭证窃取程序、勒索软件及远程访 2、W3 Total Cache插件曝严重PHP注入漏洞 https://www.bleepingcomputer.com/news/security/w3-total-cache-wordpress-plugin-vulnerable-to-php-command-injection/ WordPress知名缓存插件W3 Total Cache被曝存在高危PHP命令注入漏洞CVE-2025-9501，影响2.8.13之前所有版本。该漏洞位于_parse_dynamic_mfunc()函数，允许未经身份验证的攻击者通过发布恶意评论在服务器上执行任意PHP命令，从而完全控制网站。该插件安装量超百万，尽管开发者已于10月20日发布修复版本，但约43万次 3、7-Zip远程代码执行漏洞遭积极利用 https://thehackernews.com/2025/11/hackers-actively-exploiting-7-zip.html 英国国家医疗服务体系（NHS）英格兰数字部门11月18日发布安全公告称，文件压缩工具7-Zip近期修复的远程代码执行漏洞CVE-2025-11001已遭公开利用。该漏洞CVSS评分为7.0，源于ZIP文件符号链接处理缺陷，攻击者可诱导进程跳转至非预期目录，进而以服务账户身份执行任意代码。安全研究员已发布概念验证代码，并指出该漏洞仅影响Windows系统，需提升权限或启用开发者模式方能利用，NHS数字部门敦促用户立即升级至最新版本。 4、新一代勒索软件瞄准AWS S3进行不可逆数据销毁 https://securityonline.info/next-gen-ransomware-targets-aws-s3-five-cloud-native-variants-exploit-misconfigurations-for-irreversible-data-destruction/ 勒索软件转向云原生环境，重点攻击Amazon S3，利用配置错误和凭证泄露实施五种变种攻击，导致数据不可逆丢失，云安全失误是主因。 5、Apache Causeway 框架存在高危RCE漏洞 https://securityonline.info/critical-apache-causeway-rce-flaw-cve-2025-64408-allows-authenticated-code-execution-via-java-deserialization/ Apache Causeway框架存在高危反序列化漏洞CVE-2025-64408，攻击者可利用该漏洞通过URL参数执行任意代码，影响2.0.0至3.4.0及4.0.0-M1版本，建议升级至3.5.0修复 6、华芸NAS严重漏洞可导致本地DLL劫持实现权限提升 https://securityonline.info/critical-asustor-flaw-cve-2025-13051-allows-local-dll-hijacking-for-system-privilege-escalation/ 华芸科技警告Windows版备份与同步客户端存在严重DLL劫持漏洞（CVE-2025-13051，CVSS 9.3），攻击者可提升至SYSTEM权限执行任意代码。受影响版本为ABP 2.0.7.9050及更早、AES 1.0.6.8290及更早，建议立即升级至修复版本。 7、Cline AI 编程工具存在漏洞可导致提示注入、代码执行和数据泄露 https://cybersecuritynews.com/cline-ai-coding-agent-vulnerabilities/ Cline AI编程工具存在四个高危漏洞，可导致任意代码执行和数据泄露，攻击者通过恶意代码仓库即可利用。漏洞源于提示注入防护不足，厂商修复迟缓凸显AI工具安全响应滞后问题。 8、全球多个AI集群遭AI恶意软件劫持，被改造成挖矿僵尸网络 https://www.secrss.com/articles/85203 攻击者利用AI框架Ray缺乏身份验证机制的缺陷，利用AI增强恶意软件实施攻击，窃取算力资源进行加密货币挖矿，或实施进一步攻击；当前互联网上暴露的Ray服务器数量已超过23万台，其中隐藏着巨大的风险。 9、三星手机预装以色列公司开发的AppCloud应用遭争议 https://www.secrss.com/articles/85181 2025年11月，三星Galaxy手机预装以色列公司开发的AppCloud事件持续在社交媒体曝光，事件源头可追溯到2025年初黎巴嫩数字权利组织SMEX发布的调查报告和公开信。 10、新型Sturnus银行木马针对WhatsApp、Telegram、Signal等 https://www.securityweek.com/new-sturnus-banking-trojan-targets-whatsapp-telegram-signal-messages/ 据移动安全与欺诈检测公司 ThreatFabric 称，一种名为 Sturnus 的新型安卓银行木马程序旨在针对来自 WhatsApp、Telegram 和 Signal 等安全通讯应用程序的通讯。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ShadowRay 2.0利用AI形成自我传播僵尸网络 https://www.oligo.security/blog/shadowray-2-0-attackers-turn-ai-against-itself-in-global-campaign-that-hijacks-ai-into-self-propagating-botnet 研究人员揭露了ShadowRay 2.0的复杂网络攻击活动，这一活动利用了人工智能系统中的漏洞进行自我传播。攻击者通过CVE-2023-48022漏洞，获得了对Ray集群的控制权，并将这些集群转化为加密货币挖矿和数据窃取的工具。目前已有超过20万台Ray服务器暴露在互联网上，面临着网络攻击的风险。攻击者在各个阶 2、Fortinet警告FortiWeb出现新零日漏洞 https://fortiguard.fortinet.com/psirt/FG-IR-25-513 Fortinet发布安全更新，修复其Web应用程序防火墙FortiWeb中的一个新零日漏洞。该漏洞被标记为CVE-2025-58034，已被威胁行为体积极利用。根据报告，经过身份验证的攻击者可以通过操作系统命令注入漏洞执行未经授权的代码，攻击复杂度低且无需用户交互。Fortinet在公告中指出，他们已经观察到该漏洞在实际攻击中被利用，迄今为止约有2000次攻击被检测到。为防止潜在的攻击，Fortinet建议管理员及时升级FortiWeb设备至最新软件版本。 3、法国Pajemploi机构数据泄露影响120万人 https://www.urssaf.fr/accueil/actualites/pajemploi-vol-de-donnees.html 法国托儿服务机构Pajemploi披露一起数据泄露事件，影响约120万名注册专业护理人员。攻击者于11月14日窃取包括全名、社保号码、出生地、邮政地址及认证编号等个人信息，银行账号、邮箱和密码未被获取。该机构已通知法国数据保护局和国家信息安全局，并承诺单独联系每位受害者。事件未影响工资申报等核心业务运营。 4、900万次安装：恶意Chrome V*PN扩展劫持用户流量 https://securityonline.info/9-million-installs-malicious-chrome-vpn-extensions-hijack-user-traffic-via-remote-pac-proxy-injection/ 5、 D-Link DIR-878路由器终止支持：3个未修复漏洞可导致RCE https://securityonline.info/d-link-dir-878-reaches-eol-3-unpatched-rce-flaws-allow-unauthenticated-remote-command-execution/ D-Link警告DIR-878路由器用户，该产品已终止支持，存在四个未修复漏洞，其中三个允许未经认证的远程命令执行，可能导致设备完全沦陷。建议用户立即更换设备以避免重大安全风险。 6、WhatsApp严重漏洞致35亿用户电话号码泄露 https://cybersecuritynews.com/whatsapp-vulnerability-exposes-3-5-billion-users/ WhatsApp严重漏洞致35亿用户数据泄露，攻击者可获取号码、加密密钥等敏感信息，Meta虽修复但风险犹存，凸显便利功能与隐私保护的矛盾，监管或将加强。 7、Windows 11 新增三大恢复工具：时间点还原与网络化恢复环境支持 https://securityonline.info/new-windows-11-tools-point-in-time-restore-network-enabled-recovery-environment/ 微软将推出Windows 11新型恢复工具：时间点还原可回滚系统快照；WinRE恢复环境支持自动联网；企业级云重建功能可保留用户数据，并隐藏公共屏幕错误信息。 8、谷歌已修复2025年第7个被积极利用的Chrome零日漏洞 https://www.anquanke.com/post/id/313261 谷歌已发布 Chrome 浏览器安全更新，修复其 V8 JavaScript 引擎 中的两个高危漏洞，其中 CVE-2025-13223 已被证实存在 在野利用。这是今年修复的第 7 个 Chrome 零日漏洞。 9、Serv-U 中存在严重漏洞可导致远程代码执行 https://www.anquanke.com/post/id/313245 SolarWinds 已发布安全更新，修复其文件传输管理和 FTP 服务器平台 Serv-U 中的三个严重漏洞。每个漏洞的 CVSS 评分均为 9.1，经认证的管理员滥用这些漏洞时可实现远程代码执行（RCE）。这三个漏洞均影响 15.5.3 版本之前的 Serv-U，SolarWinds 强烈敦促客户立即更新。 10、欧盟EDPS发布《人工智能系统风险管理指南》 https://www.secrss.com/articles/85164 2025年11月11日，欧盟数据保护监督局（EDPS）发布了《人工智能系统风险管理指南》（以下简称为“该指南”），该指南重点聚焦人工智能系统在数据处理链条中引入的技术性风险，并提出全流程风险管理方法与合规建议。该指南旨在帮助数据控制者在根据《2018/1725号条例》（EUDPR）开发、采购和部署人工智能系统时进行数据保护风险评估。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

mab 多臂老虎机，又称为mab。 同一个环境，动作，状态下有可能返回1，有可能返回0。 也就是说环境反馈它不是一个固定的值。 可以假设为有五个函数，也就是相当于五种反馈，第一个函数返回1的概率是20％，返回0的概率是80％。 代码实现： import numpy as np import pandas as pd class MultiArmedBandit:    def __init__(self, n_arms, true_rewards):        self.n_arms = n_arms        self.true_rewards = true_rewards        self.estimates = np.zeros(n_arms)  # 每个臂的奖励估计        self.action_counts = np.zeros(n_arms)  # 每个臂被选择的次数    def select_arm(self, epsilon):        if np.random.rand() < epsilon:            return np.random.randint(self.n_arms)  # 探索        else:            return np.argmax(self.estimates)  # 开发    def update_estimates(self, chosen_arm, reward):        self.action_counts[chosen_arm] += 1        # 更新奖励估计        self.estimates[chosen_arm] += (reward - self.estimates[chosen_arm]) / self.action_counts[chosen_arm] def simulate_bandit(n_arms, true_rewards, n_rounds, epsilon):    bandit = MultiArmedBandit(n_arms, true_rewards)    rewards = np.zeros(n_rounds)    cumulative_rewards = np.zeros(n_rounds)    for round in range(n_rounds):        chosen_arm = bandit.select_arm(epsilon)        reward = np.random.normal(true_rewards[chosen_arm], 1)  # 奖励是正态分布        bandit.update_estimates(chosen_arm, reward)        rewards[round] = reward        cumulative_rewards[round] = np.sum(rewards)    return cumulative_rewards # 参数设置 n_arms = 5 true_rewards = [1.0, 1.5, 2.0, 0.5, 1.2]  # 每个臂的真实奖励均值 n_rounds = 1000 epsilon = 0.1 cumulative_rewards = simulate_bandit(n_arms, true_rewards, n_rounds, epsilon) results_df = pd.DataFrame({    'Round': np.arange(1, n_rounds + 1),    'Cumulative Rewards': cumulative_rewards }) results_df 类定义：MultiArmedBandit n_arms 老虎机的数量 true_rewards 每个臂的真实平均奖励 estimates 目前认为每个臂的平均回报是多少，初始全为0。 action_counts 记录每个臂被拉了多少次，用于更新均值。 选择臂：select_arm(self, epsilon) 然后定义一个随机数。 以概率 ε 进行探索，也就是随机选一个臂，以概率 1 - ε 进行开发（选当前估计奖励最高的臂）。 比如说当 epsilon = 0.1： 10% 概率随机探索 90% 概率选估计最好的那一个 更新估计值：update_estimates() R 是这次的实际奖励；N 是该臂被选过的次数；Q 是对该臂期望奖励的估计。 模拟函数：simulate_bandit() 初始化一个 MultiArmedBandit 实例； 进行多轮（n_rounds）实验； 每一轮： 用 select_arm() 决定拉哪一台机器； 根据真实均值 true_rewards[chosen_arm] 生成一个服从正态分布的奖励； 用 update_estimates() 更新估计； 记录当前的奖励和累计奖励 效果如图所示： ucb UCB算法是一种用于解决探索与利用问题的策略选择方法，广泛应用于多臂老虎机问题。 其核心思想是通过估计每个选项的潜在收益来平衡探索新选项和利用已知最佳选项 之间的权衡。 基本原理 探索与利用： 探索：尝试新的选项以获取更多的信息。 利用：选择当前已知的最佳选项以最大化收益。 UCB值计算： 对于每个选项，UCB算法计算一个上置信界值也就是UCB值，该值结合了成功率和探索因子。 计算公式： X_i 是选项 i 的成功率,即平均收益; n 是当前总的尝试次数; n_i 是选项 i 的尝试次数。 第一项是指当前已知的平均成功率；第二项是指置信区间，也就是越没试过的策略，这项越大；比如说你去饭堂吃饭，吃过 10 次的店你知道它一般，但没吃过的店你可能会想试一试，这就是 UCB 的探索机制。 应用场景 UCB算法广泛应用于在线广告推荐、A/B测试、动态定价、机器学习模型选择等领域，尤其是在需要实时决策和反馈的环境中。 ucb的通俗解释：一个左撇子，用手拿东西的时候，用右手的概率是20% ，用左手的概率是80%由于第一次选择的时候左右都会选，但是概率不同，选择不同手的频率就会影响两边ubc（可以理解为Q表）的值 那么我们就可以根据两边受频率影响的值动态调整我们是否选择高的那边的概率。 防火墙策略 假设有五个防火墙策略，并且拦截攻击的成功率都不一致。 但是在实际项目中，不用都写出成功率出来，毕竟只要知道哪个防火墙拦截的成功率高，那肯定优先选择那个防火墙。 现在是不知道概率多少。 import numpy as np import pandas as pd def check1(payload):    return np.random.rand() < 0.5  # 50%成功率 def check2(payload):    return np.random.rand() < 0.7  # 70%成功率 def check3(payload):    return np.random.rand() < 0.4  # 40%成功率 def check4(payload):    return np.random.rand() < 0.3  # 30%成功率 def check5(payload):    return np.random.rand() < 0.6  # 60%成功率 # 将所有检查函数放入列表中 check_functions = [check1, check2, check3, check4, check5] # 定义防火墙策略选择器类 class FirewallPolicySelector:    def __init__(self, n_policies):        self.n_policies = n_policies        self.successes = np.zeros(n_policies)        self.attempts = np.zeros(n_policies)    def select_policy(self):        total_attempts = np.sum(self.attempts)        if total_attempts == 0:            return np.random.randint(self.n_policies)  # 如果没有尝试过，随机选择        ucb_values = self.successes / (self.attempts + 1e-5) + np.sqrt(2 * np.log(total_attempts) / (self.attempts + 1e-5))        return np.argmax(ucb_values)  # 选择UCB值最高的策略    def update(self, chosen_policy, success):        self.attempts[chosen_policy] += 1        self.successes[chosen_policy] += success # 模拟防火墙策略优化过程 def simulate_firewall(n_policies, n_rounds):    policy_selector = FirewallPolicySelector(n_policies)    results = []    for round in range(n_rounds):        chosen_policy = policy_selector.select_policy()        payload = np.random.randint(0, 100)  # 生成随机攻击样本        success = check_functions[chosen_policy](payload)  # 使用选定的check函数        policy_selector.update(chosen_policy, success)        results.append((round + 1, chosen_policy, success))    results_df = pd.DataFrame(results, columns=['轮次', '选择的策略', '成功拦截'])    return results_df # 参数设置 n_policies = len(check_functions)  # 策略数量 n_rounds = 1000 # 运行模拟 results_df = simulate_firewall(n_policies, n_rounds) # 筛选出成功拦截的部分 successful_results = results_df[results_df['成功拦截'] == 1] # 输出每个策略的成功率 print("\n每个策略的成功率：") print(results_df.groupby('选择的策略')['成功拦截'].mean()) # 显示成功拦截的结果 print("\n成功拦截的结果：") print(successful_results) # 统计每个策略的选择次数 policy_counts = results_df['选择的策略'].value_counts() # 创建 DataFrame 显示所有策略及其选择次数 result_df = pd.DataFrame({    '选择次数': policy_counts }).reset_index() # 重命名列 result_df.columns = ['选择的策略', '选择次数'] # 设置行标题 result_df.index = [f'策略 {i+1}' for i in range(len(result_df))] result_df 防火墙策略选择器类 FirewallPolicySelector n_policies: 策略数量;successes[i]: 第 i 个策略成功的次数;attempts[i]: 第 i 个策略被尝试的次数 策略选择核心 select_policy() 这里用的ucb计算公式，在上述已贴出。 模拟防火墙运行：simulate_firewall() 循环共执行 n_rounds，比如 1000 轮： 选择一个策略，然后模拟生成攻击，接着判断是否成功拦截，最后更新策略统计。 简单来说，这份代码就是模拟了一个基于UCB算法的自适应防火墙策略选择系统，它通过统计每个检测策略的历史成功率和尝试次数，自动在多轮攻击中选择最有效的策略，在“探索新方法”和“利用已知最优”之间取得平衡，最终趋向于选择拦截率最高的策略。 效果如图： 其实还有其他场景也适合，比如说什么恶意代码识别，邮箱识别，毕竟是策略选择。 邮件攻防 假设现在有个角色A 通过mba模型实现强化学习下的优化钓鱼邮件内容。 还有一个角色B 通过Q-learning的方式实现强化学习下的钓鱼邮件内容识别。 当然也可以换成一边是恶意软件，一边杀毒软件，做一个养蛊哈哈。 整个流程就是攻击方不断发送不同类型的钓鱼邮件，防御方在识别的过程中逐渐学习，而攻击方也会记录哪些内容更容易成功，从而倾向选择这些高成功率内容。 import numpy as np import pandas as pd class PhishingContentOptimizer:    def __init__(self, contents, phishing_probabilities, epsilon=0.1):        self.contents = contents  # 钓鱼邮件内容列表        self.phishing_probabilities = phishing_probabilities  # 各内容被识别为钓鱼邮件的概率        self.epsilon = epsilon  # 探索率        self.success_counts = np.zeros(len(contents))  # 各内容成功次数        self.total_counts = np.zeros(len(contents))  # 各内容尝试次数    def select_content(self):        if np.random.rand() < self.epsilon:            return np.random.choice(self.contents)  # 随机选择        else:            success_rates = self.success_counts / (self.total_counts + 1e-5)  # 避免除零            return self.contents[np.argmax(success_rates)]  # 选择成功率最高的内容    def update(self, chosen_content, success):        index = self.contents.index(chosen_content)        self.total_counts[index] += 1        if success:            self.success_counts[index] += 1 class QLearningPhishingDetector:    def __init__(self, actions, learning_rate=0.1, discount_factor=0.9, exploration_rate=1.0):        self.q_table = {}  # Q值表        self.actions = actions  # 可采取的动作        self.learning_rate = learning_rate  # 学习率        self.discount_factor = discount_factor  # 折扣因子        self.exploration_rate = exploration_rate  # 探索率        self.exploration_decay = 0.99  # 探索率衰减    def get_action(self, state):        if state not in self.q_table:            self.q_table[state] = [0] * len(self.actions)        if np.random.rand() < self.exploration_rate:            return np.random.choice(self.actions)  # 探索        else:            return self.actions[np.argmax(self.q_table[state])]  # 利用    def update_q_value(self, state, action, reward, next_state):        current_q = self.q_table[state]        max_future_q = max(self.q_table.get(next_state, [0] * len(self.actions)))        current_q[action] += self.learning_rate * (reward + self.discount_factor * max_future_q - current_q[action])  # 更新Q值    def decay_exploration(self):        self.exploration_rate *= self.exploration_decay # 示例钓鱼邮件内容及其被识别为钓鱼邮件的概率 contents = [    "您的账户存在异常，请立即验证。",    "恭喜您获得奖品，请点击链接领取。",    "重要通知：请更新您的账户信息。",    "您有新的消息，请查看。",    "系统升级，请确认您的信息。", ] # 各内容被识别为钓鱼邮件的概率 phishing_probabilities = {    contents[0]: 0.1,    contents[1]: 0.3,    contents[2]: 0.6,    contents[3]: 0.5,    contents[4]: 0.4, } # 初始化角色A（内容优化器） optimizer = PhishingContentOptimizer(contents, phishing_probabilities) # 初始化角色B（钓鱼邮件识别器） actions = [0, 1]  # 0: 正常邮件, 1: 钓鱼邮件 detector = QLearningPhishingDetector(actions) # 预训练阶段 pretrain_steps = 50  # 预训练步骤数 for _ in range(pretrain_steps):    chosen_content = np.random.choice(contents)  # 随机选择内容    action = detector.get_action(chosen_content)  # 识别邮件    # 根据内容的钓鱼概率判断    success = np.random.rand() < phishing_probabilities[chosen_content] if action == 1 else False    reward = 1 if action == 1 and success else -1  # 奖励机制    detector.update_q_value(chosen_content, action, reward, chosen_content)  # 更新Q值    detector.decay_exploration()  # 衰减探索率 # 模拟钓鱼攻击过程 results = [] for _ in range(100):  # 模拟100次钓鱼攻击    chosen_content = optimizer.select_content()        # 角色B识别邮件    action = detector.get_action(chosen_content)  # 识别邮件    results.append({        '选择的内容': chosen_content,        '识别结果': '钓鱼邮件' if action == 1 else '正常邮件'   }) # 统计识别结果的成功率 for result in results:    if result['识别结果'] == '钓鱼邮件':        # 根据内容的钓鱼概率判断        success = np.random.rand() < phishing_probabilities[result['选择的内容']]    else:        success = False  # 正常邮件识别为钓鱼邮件的成功率为0    # 更新角色A的成功与否    optimizer.update(result['选择的内容'], success)    # 更新角色B的Q值    reward = 1 if action == 1 and success else -1  # 奖励机制    detector.update_q_value(result['选择的内容'], action, reward, result['选择的内容'])  # 更新Q值    detector.decay_exploration()  # 衰减探索率 # 转换为DataFrame results_df = pd.DataFrame(results) # 输出结果 print(results_df) # 统计每个内容的使用频率 content_counts = results_df['选择的内容'].value_counts() most_used_content = content_counts.idxmax() most_used_count = content_counts.max() # 筛选出使用最多的内容的结果 most_used_results = results_df[results_df['选择的内容'] == most_used_content] # 输出使用最多的内容 print(f"\n使用最多的内容: {most_used_content}, 使用次数: {most_used_count}") print("\n使用最多内容的结果：") print(most_used_results) # 统计识别结果为正常邮件的百分比 normal_email_count = results_df[results_df['识别结果'] == '正常邮件'].shape[0] total_count = results_df.shape[0] normal_email_percentage = (normal_email_count / total_count) * 100 print(f"\n识别结果为正常邮件的百分比: {normal_email_percentage:.2f}%") 钓鱼内容优化器 PhishingContentOptimizer contents: 所有钓鱼邮件的模板内容 phishing_probabilities: 每种内容被识别为钓鱼的概率，也就是被识破的难度 epsilon: ε-贪婪算法中的“探索率”，比如 0.1 意味着 10% 概率随机探索 success_counts: 各邮件“成功骗过检测”的次数 total_counts: 每个内容被使用的次数 选择内容 select_content 每轮发送邮件前，优化器根据历史成功率决定发哪种内容： 90% 概率选择成功率最高的邮件 10% 概率随机选一个探索新的可能 这样攻击方会逐渐聚焦在最有效的邮件内容上。 钓鱼邮件检测器 QLearningPhishingDetector 更新 Q 值 update_q_value 在状态 s 采取动作 a 后，得到奖励 r，下一状态 s' 的最大潜在价值是 max_future_q，于是把当前的 Q 值往新的期望值方向更新一点。 预训练阶段，让检测器先学习 模拟 50 封训练邮件，让检测器初步学会识别钓鱼概率高的邮件。 奖励逻辑： 检测为钓鱼且确实钓鱼 → 奖励 +1 否则 → 惩罚 -1 如果检测器判断为“钓鱼邮件”，就按对应概率看它是否真识别成功， 否则认为识别失败。 然后，攻击方更新该邮件的成功率，防御方更新Q值，探索率继续衰减。 这里其实还有个预训练，先让钓鱼邮件识别器跑起来，学习里面一些东西，分辨出哪个是钓鱼邮件，哪个是正常邮件。 然后再去模拟钓鱼邮件攻击的过程，结果如下图所示： 结果看起来比较发散，没有那么真实，其实可以把Q-Learing算法那一部分改为神经网络。 GAN网络其实就是Ai和Ai之间对打的过程。

1、Npm恶意包利用Adspect窃取加密货币 https://socket.dev/blog/npm-malware-campaign-uses-adspect-cloaking-to-deliver-malicious-redirects 研究人员发现威胁行为体"dino_reborn"通过七个npm恶意包实施复杂供应链攻击。该活动利用Adspect Cloaking技术构建虚假验证码页面，精准识别并分流安全研究人员与潜在受害者。恶意代码自动采集浏览器指纹、系统信息等13个数据点，通过代理转发至C2服务器判定访问者身份。研究人员遭遇反调试陷阱，受害者则被重定向至伪装成Uniswap等去中心化交易所的加密货币诈骗网站。攻击者同时嵌入Of 2、欧洲光纤法国公司遭黑客入侵 https://www.bleepingcomputer.com/news/security/eurofiber-france-warns-of-breach-after-hacker-tries-to-sell-customer-data/ 欧洲光纤网络法国公司（Eurofiber France）披露，11月13日其票务管理系统遭黑客入侵，约10000家企业客户数据被盗。自称"ByteToBreach"的威胁行为者声称掌握包括截图、VPN配置、凭证、源代码等敏感信息，并试图出售。该公司确认事件仅影响法国分部及云部门ATE门户、子品牌Eurafibre等，银行信息等关键数据未受影响。发现漏洞 3、荷兰警方摧毁防弹托管服务商(BPHS) https://www.bleepingcomputer.com/news/security/dutch-police-seizes-250-servers-used-by-bulletproof-hosting-service/ 荷兰警方查获海牙和佐特梅尔数据中心约250台物理服务器，导致数千台虚拟服务器下线。此次行动针对一家自2022年起运营的防弹托管服务提供商，该服务商承诺完全匿名且拒绝配合执法部门，涉嫌为勒索软件、僵尸网络、钓鱼活动及儿童虐待内容提供便利，已出现在80余起国内外网络犯罪调查中。调查人员将对服务器进行取证分析以追踪运营者及客户。目前警方尚未公布逮捕信息，且未透露服务商具 4、谷歌紧急修复Chrome浏览器正被利用的0Day漏洞 https://www.freebuf.com/articles/network/457698.html 谷歌紧急修复正被利用的Chrome零日漏洞，可导致远程代码执行！ 5、微软成功抵御史上最大规模云DDoS攻击，峰值达15.7 Tbps https://www.freebuf.com/articles/es/457658.html 微软抵御15.7Tbps史上最大云DDoS攻击，Aisuru僵尸网络威胁升级！ 6、信息窃取木马Lumma在遭曝光后重现 https://www.anquanke.com/post/id/313209 科技（Trend Micro）研究人员观察到 Lumma Stealer（又名 Water Kurita） 活动显著复苏。尽管上月针对该恶意软件核心成员的定向 dox 活动曾短暂扰乱其运营，但如今其活跃度已大幅回升。 7、美国CISA发布警告：Lynx+网关存在严重漏洞 https://www.anquanke.com/post/id/313206 网络安全与基础设施安全局（CISA）发布新安全公告，详细披露通用工业控制公司（GIC）生产的 Lynx+ Gateway 存在多个高严重性漏洞。公告指出：“成功利用这些漏洞可能导致敏感设备信息泄露、未授权访问或造成拒绝服务状态。” 8、美网军斥资千万美元聘用AI黑客，开发自动化网络战武器 https://www.secrss.com/articles/85127 美国正悄然投资可用于网络战的AI代理，今年已向一家利用AI对美国敌人实施进攻性网络攻击的神秘初创公司投入了数百万美元。根据美国联邦合同记录，总部位于弗吉尼亚州阿灵顿的隐身初创公司名为Twenty（又称XX），今年夏天与美国网络司令部签署了一份最高可达1260万美元的合同。它还从海军获得了一份价值24万美元的研究合同。 9、黑客叫卖三星内部数据，包含源代码和硬编码凭证 https://www.secrss.com/articles/85090 威胁行为者在网络犯罪论坛上发帖，声称已成功入侵三星，并正在出售据称属于该公司的内部数据。该黑客在帖子中称，他们入侵了一家为多家大型公司提供服务的三方承包商，这表明此次据称的泄露事件潜在影响范围可能不仅限于三星。 10、Cloudflare称周二客户大规模服务中断并非黑客攻击引起 https://www.securityweek.com/cloudflare-says-highly-disruptive-outage-not-caused-by-attack/ 故障影响了包括 ChatGPT、X、Dropbox、Shopify 和游戏《英雄联盟》在内的大量在线服务。据报道，该事件还导致了一些与关键机构（如新泽西交通公司、纽约市应急管理机构和法国国家铁路公司 SNCF）相关的网站和其他数字服务出现中断。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、RondoDox利用XWiki漏洞扩展僵尸网络 https://www.vulncheck.com/blog/xwiki-under-increased-attack 近期，网络安全研究人员发现，名为RondoDox的僵尸网络正在利用XWiki服务器的严重安全漏洞CVE-2025-24893，迅速扩展其控制范围。该漏洞允许攻击者未授权地执行远程代码，已被证明自3月起便遭到利用。尽管XWiki团队已在2025年2月修复了该漏洞，攻击者依然通过各种方式利用这一缺陷，导致大量设备被纳入僵尸网络，并发起DDoS攻击。11月7日和11月11日的攻击尝试数量显著上升，表明多个威胁行为体正在积极利用该漏洞进行攻击。 2、ClickFix滥用Finger协议进行远程攻击 https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/ 近日，ClickFix的恶意软件利用了Finger协议的漏洞，重新将这一存在数十年的命令带入攻击活动。Finger命令可在Unix和Linux系统上查询用户信息，现如今却被黑客滥用，以获取对Windows设备的远程控制。研究人员发现通过执行特定的批处理文件，攻击者能够利用Finger协议从远程服务器检索并执行命令。研究还显示，虽然一些Finger协议的主机已停止响应，但仍有 3、恶意MCP服务器可劫持Cursor窃取凭据 https://cybersecuritynews.com/hackers-rogue-mcp-server-malicious-code/ 网络安全研究人员发现，Cursor IDE的模型上下文协议服务器存在严重安全缺陷。攻击者可通过恶意MCP服务器向Cursor内置浏览器注入任意JavaScript代码，完全控制浏览器行为。该漏洞源于Cursor未对其专有功能实施完整性校验，攻击者利用"document.body.innerHTML"替换技术覆盖页面内容，轻松绕过UI层安全检查。由于MCP服务器本身需广泛系统权限，一旦遭滥用即可修改组件、提升权限。此威胁将CI/CD安全边界延伸至开发者终 4、钓鱼邮件伪装成垃圾邮件提醒窃取凭证 https://www.malwarebytes.com/blog/news/2025/11/phishing-emails-disguised-as-spam-filter-alerts-are-stealing-logins 网络钓鱼活动再度升级，网络犯罪分子通过伪装成垃圾邮件过滤器的邮件，成功诱骗用户点击恶意链接。这类邮件声称由于企业内部的安全消息系统升级，导致未送达的邮件需进行处理。用户在点击链接后，会被引导至一个伪造的登录页面，攻击者实时获取用户的登录凭证，极大增加了账号被盗的风险。 5、捷豹路虎遭网络攻击损失超2.2亿美元 https://media.jaguarlandrover.com/news/2025/11/jlr-performance-impacted-challenging-quarter 捷豹路虎披露2025年第三季度网络安全事件造成约2.2亿美元损失。9月2日，黑客组织Scattered Lapsus$ Hunters攻击其系统并窃取数据，导致主要工厂停产，3.3万名员工受影响。数周中断引发供应链流动性危机，英国政府于9月29日紧急批准15亿英镑贷款担保。经分阶段复工，生产于10月8日恢复。英国央行在近期的货币政策报告中指出，此次网络攻击是导致2025年第三季度国内生产总值（GDP）低于预期的 6、高度复杂的macOS DigitStealer采用多阶段攻击逃避检测 https://cybersecuritynews.com/highly-sophisticated-macos-digitstealer/ 新型macOS恶意软件DigitStealer针对M2及以上芯片设备，通过伪装合法软件和多阶段攻击链窃取数据。采用高级硬件检测规避分析环境，利用Cloudflare托管有效载荷，极具隐蔽性。 7、研究人员发现严重AI漏洞影响Meta、Nvidia及微软推理框架 https://thehackernews.com/2025/11/researchers-find-serious-ai-bugs.html 网络安全研究人员发现多个主流AI推理引擎存在远程代码执行漏洞，涉及Meta、Nvidia等厂商，根源是ZeroMQ和Python pickle反序列化的不安全使用。漏洞通过代码复用传播，攻击者可执行任意代码窃取数据或部署恶意负载。建议严格审查代码和扩展，仅使用可信来源。 8、pgAdmin曝出高危漏洞通过 PostgreSQL 转储文件实现RCE https://securityonline.info/critical-pgadmin-flaws-cve-2025-12762-cvss-9-1-allow-remote-code-execution-via-postgresql-dump-files/ pgAdmin 9.9及以下版本曝出四个高危漏洞，包括严重远程代码执行（CVSS 9.1）、Windows命令注入、LDAP注入和TLS证书验证绕过漏洞，可导致服务器被完全控制或数据泄露。建议立即升级至v9.10版本修复风险。 9、IBM AIX 曝出高危漏洞NIM 私钥泄露与目录遍历风险并存 https://securityonline.info/critical-ibm-aix-rce-cve-2025-36250-cvss-10-0-flaw-exposes-nim-private-keys-and-risks-directory-traversal/ IBM披露AIX和VIOS系统四大高危漏洞，包括远程命令执行（CVSS 10.0）、私钥泄露和目录遍历，攻击者可控制主机。受影响版本为AIX 7.2/7.3及VIOS 3.1/4.1，需尽快安装补丁。 10、华硕DSL路由器曝出关键认证绕过漏洞可远程控制设备 https://securityaffairs.com/184636/security/critical-cve-2025-59367-flaw-lets-hackers-access-asus-dsl-routers-remotely.html 华硕多款DSL路由器曝高危认证绕过漏洞（CVE-2025-59367），攻击者可远程控制设备。受影响机型需立即升级至1.1.2.3_1010固件，淘汰机型应加强密码并禁用暴露服务。华硕路由器常被僵尸网络攻击，用户需警惕。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客注册4300个域名攻击酒店预订平台 https://www.netcraft.com/blog/thousands-of-domains-target-hotel-guests-in-massive-phishing-campaign 网络安全专家披露了一项针对旅行者的大规模网络钓鱼活动，攻击者利用4300多个注册域名，伪装成知名旅游品牌，以诱骗计划度假的用户。攻击者构建了复杂的钓鱼页面，模仿如Airbnb和Booking.com等网站，利用“Want Your Feedback”的名义发送恶意邮件，引导受害者点击链接，声称需要确认酒店预订。然而，这些链接实际上会将用户重定向到钓鱼网站。此外，钓鱼工具包还支持多种语言，增加了攻 2、Chrome扩展程序窃取以太坊钱包助记词 https://socket.dev/blog/malicious-chrome-extension-exfiltrates-seed-phrases 网络安全研究人员发现了一款名为“Safery: 以太坊钱包”的恶意Chrome扩展程序，该程序伪装成合法的钱包，但实际上隐藏了窃取用户助记词的功能。这款扩展于2025年9月29日上传至Chrome网上应用商店，最近一次更新是在11月12日，至今仍可供用户下载。该扩展声称是“一个简单、安全的以太坊钱包”，但实际上却包含一个后门，能够将用户的助记词编码为虚假的Sui地址，并向攻击者控制的钱包发送微交易，进而窃取助记词。这种攻击方式使得攻击者能够在 3、攻击者利用WhatsApp屏幕共享功能窃取资金 https://hackread.com/whatsapp-screen-sharing-scammers-steal-otps-funds/ 诈骗分子正大规模滥用WhatsApp屏幕共享功能实施诈骗，已致全球巨额损失，一受害者损失约70万美元。攻击者通过陌生视频通话冒充银行或Meta客服，谎称账户异常制造恐慌，诱骗受害者开启屏幕共享或安装远程应用，进而窃取密码、银行信息及一次性验证码。该攻击利用2023年推出的功能，核心在于心理操纵而非技术手段。 4、WatchGuard高危漏洞威胁5.4万台防火墙 https://thehackernews.com/2025/11/cisa-flags-critical-watchguard-fireware.html 美国网络安全和基础设施安全局（CISA）周三将WatchGuard Fireware严重漏洞CVE-2025-9242（CVSS 9.3）列入已知已利用漏洞目录。该越界写入漏洞影响Fireware OS 11.10.2至2025.1版本，允许未经身份验证的远程攻击者执行任意代码。尽管WatchGuard已于9月发布补丁，近日确认该漏洞正被积极利用。Shadowserver数据显示，截至11月12日全球仍有54,300台Firebox设备 5、终局行动全球围剿Rhadamanthys窃密软件 https://www.europol.europa.eu/media-press/newsroom/news/end-of-game-for-cybercrime-infrastructure-1025-servers-taken-down 欧洲刑警组织与欧洲司法组织协调启动"终局行动3.0"，联合澳、加、美等11国及Shadowserver等30余家机构，针对肆虐全球的信息窃取恶意软件Rhadamanthys展开跨国打击。2025年3月14日至11月11日期间，该软件已发起8621万余次窃密事件，感染52.5万个独立IP，波及226个国家及17,674个自治系统。执法部门缴获的后端数据已 6、新型蠕虫病毒正侵袭npm生态，已污染超过10万个软件包 https://www.sonatype.com/blog/unprecedented-automation-indonesianfoods-pits-open-source-against-itself 名为"IndonesianFoods"的新型蠕虫病毒正侵袭npm生态系统，已污染超过10万个软件包。该恶意程序每七秒自我复制一次，通过自动化手段快速部署大量无害但资源消耗性的包，使注册表系统不堪重负。研究显示，这并非首次类似攻击，早在9月10日就已出现早期版本。攻击者利用自动化工具，以远超响应速度的方式制造混乱。尽管当前蠕虫未直接窃取凭证或植入恶意代码，但其展示了开放生态系统固有的脆弱性。 7、Fortinet FortiWeb防火墙漏洞遭公开利用 https://www.bleepingcomputer.com/news/security/fortiweb-flaw-with-public-poc-actively-exploited-to-create-admin-users/ 网络安全研究人员披露，Fortinet FortiWeb Web应用防火墙存在路径遍历漏洞正被主动利用。攻击者无需认证即可通过特定API端点创建管理员账户，该漏洞影响8.0.1及更早版本，已在10月底发布的8.0.2版本中修复。威胁情报机构10月首次发现该漏洞，随后攻击活动激增，多个IP地址参与攻击。watchTowr Labs已验证漏洞并发布检测工具。Fo 8、ImunifyAV严重RCE漏洞影响5600万网站 https://patchstack.com/articles/remote-code-execution-vulnerability-found-in-imunify360/ 安全研究人员披露，ImunifyAV杀毒软件组件AI-bolit存在严重远程代码执行漏洞，影响32.7.4.0之前版本，波及5600万个网站。该漏洞CVSS评分8.2，源于反混淆逻辑执行攻击者控制的危险PHP函数（system, exec, eval等），可导致服务器完全接管。Imunify360集成扫描器默认强制启用反混淆功能，使共享主机环境面临root权限提升风险。CloudLinux于10月底发布修复补丁但未发 9、英国国家医疗服务体系遭Clop勒索攻击 https://www.govinfosecurity.com/uk-nhs-named-in-clop-gangs-exploits-oracle-zero-days-a-30030 勒索软件团伙Clop利用Oracle E-Business Suite零日漏洞发动攻击，英国国家医疗服务体系（NHS）被列入受害者名单。攻击者通过CVE-2025-53072和CVE-2025-62481两个CVSS 9.8分的严重漏洞，无需认证即可接管Oracle Marketing系统。该攻击自2025年7月开始，9月底Clop向受害者发送勒索邮件，索要高达5000万美元赎金。NHS于10月下旬发布安全公 10、伊朗APT42发起SpearSpecter间谍行动 https://thehackernews.com/2025/11/iranian-hackers-launch-spearspecter-spy.html 以色列国家数字机构披露，伊朗国家支持的黑客组织APT42正针对国防和政府机构实施"SpearSpecter"持续性间谍行动。该行动自2025年9月起活跃，通过WhatsApp发送伪装成会议文件的恶意链接，利用search-ms协议和WebDAV托管的LNK文件部署PowerShell后门TAMECAT。攻击者采用HTTPS、Discord、Telegram三通道架构维持持久化访问，具备浏览器数据窃取、Outlook邮件提取及定时屏幕截图 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。