【智行信息安全】每周快报第11期 2025年10月20日

本周共有59条新闻。

澳洲禁止16岁以下使用社媒YouTube：立意良善但难保安全

10月13日，影片串流媒体巨头YouTube周一警告，澳洲推动禁止儿童使用社交媒体的举措“出于好意”，但这并不能让他们在网络上更安全。法新社报导，澳洲总理阿尔巴尼斯去年宣布了一项具有里程碑意义的法律，该法律将于2025年底前禁止16岁以下儿童与青少年使用社群媒体。

面子书（Facebook）、TikTok 和Instagram等热门平台若违反这些法律，将面临巨额罚款。YouTube也被列入禁令范围，该公司辩称，自己并非社群媒体平台，应该获得某种豁免。该公司在澳洲的发言人洛德告诉参议院委员会，这项禁令“出于好意”，但可能会带来“意想不到的后果”。

她周一说：“这项立法不仅执行起来极其困难，而且也未能兑现其让儿童在网上更安全的承诺。”“精心制定的立法可以成为行业努力的有效工具，以保障儿童和青少年的网络安全，但保障儿童网络安全的解决方案并非阻止他们上网。”洛德表示，该平台“应该不在该立法的范围内，因为我们不是社群媒体服务”。

Windows 10 明起“停服” 全球数亿设备面临安全危机

10月13日，据媒体报道，微软将于10月14日起，停止对Windows 10系统提供安全更新和技术支持，这意味着大量用户的电脑可能更容易遭到网络攻击。根据第三方数据，截至2025年7月，Windows 10仍占据全球桌面操作系统约45%的市场份额，全球目前仍有超5亿台活跃设备运行该系统，其中大量设备部署于金融、医疗、制造等关键行业。一旦停服，这些设备将面临漏洞无补丁、攻击面扩大、合规风险上升等多重挑战。

此前微软曾表示，安装Windows 10系统的设备还可继续运行，但将不再接受定期的安全更新，同时部分应用程序的功能可能会减弱，并建议用户尽快升级到Windows 11系统。

华为印尼因网络安全转型解决方案而获得奖项

华为印度尼西亚在2025年印度尼西亚技术卓越奖上获得网络安全 - 电信类别的奖项,以表彰其在国家电信基础设施中的网络安全转型解决方案。华为印度尼西亚的网络安全与隐私官(CSPO)Syarbeni强调,华为解决方案的设计是对产品在网络上使用,运营开始,运营,维护和运营结束期间的整个产品生命周期风险的深入了解。

该奖项庆祝有远见的领导者,他们推动数字颠覆,带头技术革命,并通过创新改变产业。

「华为在各个阶段,都与客户密切合作,将保护与其业务和安全目的相匹配。这种协作方法确保了解决方案的技术强劲,而且在其实施中也很实用,“Syarbeli说。

网络安全转型解决方案通过结构化措施改善合规性、弹性和安全能力,以克服脆弱性并加强所有重要系统的防御。

联通网络安全股权投资基金登记成立 出资额10亿

10月13日，雷达财经讯，天眼查App显示，联通网络安全股权投资基金（广州）合伙企业（有限合伙）成立，执行事务合伙人为联通新沃创业投资管理（上海）有限公司，出资额10亿人民币，经营范围为以自有资金从事投资活动。合伙人信息显示，该基金由中国联通旗下联通战新私募股权投资基金（武汉）合伙企业（有限合伙）、联通创新创业投资有限公司、联通新沃创业投资管理（上海）有限公司及上海国泰君安创新股权投资母基金中心（有限合伙）等共同出资。

国家网络安全通报中心通报一批境外恶意网址和恶意IP

10月13日电 据国家网络安全通报中心微信公众号消息，中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、德国、加拿大、巴西、印度尼西亚、拉脱维亚、土耳其、捷克、摩洛哥。

华瑞银行被罚70万 生产环境数据安全管控不足等

10月13日讯 国家金融监督管理总局网站近日公布的行政处罚信息公开表(沪金罚决字〔2025〕171、172号)显示，上海华瑞银行股份有限公司生产环境数据安全管控不足、现场检查发现问题整改不彻底，上海金融监管局对其罚款70万元。刘玉轩(时任上海华瑞银行股份有限公司信息科技部安全团队团队长)被警告。

泄露22万余人个人信息，知名医学检测机构被罚2700万元

10月13日消息，澳大利亚临床实验室（Australian Clinical Labs）因2022年发生的数据泄露事件被罚款580万澳元（约合人民币2698万元）。该事件导致超过22.3万人的个人信息外泄，这也是澳大利亚信息专员办公室（OAIC）首次动用其执法权力。

联邦法院认定，该公司的Medlab病理检测业务未能采取合理措施保障数据安全，也未能及时评估此次泄露事件或向监管机构报告。这是《隐私法》首次适用民事罚款的案例。Halley法官指出，这些违法行为“范围广泛且性质严重”，并表示公司高层管理人员直接参与了有关其IT系统及网络攻击应对策略的决策。

新型Rust恶意软件“ChaosBot”利用Discord频道控制受害者电脑

10月13日消息，网络安全公司eSentire报告称，研究人员在2025年9月底于一家金融服务客户环境中首次发现一款名为ChaosBot的Rust编写后门。攻击者通过被窃取的Cisco VPN凭据与过度权限的AD账户（serviceaccount），利用WMI横向传播并部署恶意DLL（msedge_elf.dll，借助 identity_helper.exe侧载）。该后门常通过含恶意LNK的钓鱼邮件分发，打开时会执行PowerShell下载并运行，同时展示伪造的越南国家银行PDF作为诱饵。ChaosBot异常之处在于其把Discord频道作为C2（与账号chaos_00019、lovebb0024关联），以受害主机名为频道接收指令（支持shell、scr、download、upload等命令），并下载FRP建立反向代理维持访问。研究人员还发现其具备反取证与虚拟机检测技巧（打补丁绕过ETW，校验VM MAC前缀后退出）。此外，Fortinet披露与之相关的Chaos-C++勒索家族增加了文件销毁与剪贴板劫持功能，旨在同时实施破坏性勒索与加密货币转账劫持。

研究人员发现175个恶意npm包用于凭证钓鱼
10月13日消息， 安全研究机构Socket披露，一场代号“Beamglea”的大规模凭证钓鱼行动利用175个恶意npm包（累计下载约2.6万次）和unpkg CDN托管重定向脚本，针对135+家工业、科技与能源企业。攻击者借助redirect_generator.py自动发布名为redirect-xxxx的包，注入受害者邮箱与定制钓鱼URL，生成含beamglea.js的HTML诱饵（已发现630余个），邮件或其它途径传播后，受害者在浏览器打开即被重定向到伪装的微软登录页面并预填邮箱，从而大幅提升点击与凭证泄露成功率。研究者称此为滥用合法开源与CDN基础设施进行低成本、可复用钓鱼的新型战术。

Stealit恶意软件通过游戏和VPN安装程序进行传播
10月13日消息， Fortinet FortiGuard Labs披露，名为Stealit的活跃恶意软件团伙利用Node.js的Single Executable Application（SEA）及部分Electron打包特性，通过伪装的游戏和VPN安装程序在Mediafire、Discord等文件站点传播。该样本在运行前做反分析与沙箱检测，并将Base64编码的12字符认证密钥写入%temp%\cache.json以与C2认证，随后下载组件并尝试配置微软Defender排除项以规避检测。研究人员指出，Stealit由多个可执行文件组成：save_data.exe（提权时投放ChromElevator相关的cache.exe以提取Chromium浏览器数据）、stats_db.exe（窃取即时通讯、加密钱包与游戏平台数据），以及game_cache.exe（通过VBScript建立开机持久化、实时屏幕流、远程命令与文件传输）。威胁行为者甚至以订阅模式对外售卖该RAT/信息窃取服务，价格从周付到终身不等。

英国开出首张《在线安全法》罚单，4chan 论坛被罚 2 万英镑

10 月 14 日消息，英国通讯管理局 Ofcom 宣布开出首张《在线安全法》（OSA 法案）罚单，4chan (4ch) 论坛被处以 20000 英镑的罚款。

4chan 运营方未回应 Ofcom 要求提供非法危害风险评估副本的请求，对于第二次要求提供符合条件的全球收入情况的请求也没有作出回应，这违反了《在线安全法》的规定。除 20000 英镑基础罚款外，4chan 每有一天未能向 Ofcom 提供后者所需信息都将追加 100 英镑罚款，最多增加到 26000 英镑。

内蒙古深入开展网络举报辟谣宣传

10月14日讯，2025年国家网络安全宣传周内蒙古自治区活动在呼和浩特市启动。本次宣传周以“网络安全为人民 网络安全靠人民——以高水平安全守护高质量发展”为主题，组织开展成果展示、互动体验、职业技能竞赛、进企公益宣讲等系列活动。

在体验区，通过向前来参观的群众发放宣传册，介绍互联网违法和不良信息在现实生活中的具体表现，详细解读网络安全有关政策，以及违法和不良信息类型和举报方式等，科普了反电信诈骗、人肉开盒、网络安全知识，耐心解答了大家提出的各种疑问。“智慧通关”有奖答题等互动活动深受欢迎，进一步深化大家对互联网举报辟谣工作的认识。

全国产40万兆网络测试仪发布！64核心国产飞腾处理器

10月14日消息，近日在广州召开的中国移动合作伙伴大会上，飞腾联合中国移动智慧家庭运营中心、中国移动研究院、北京信而泰科技，共同发布了“中国移动全国产400G高端网络测试仪”。它采用了拥有高性能算力与I/O能力的飞腾腾云S5000C处理器，融合了中国移动智慧家庭运营中心自研的高性能转发与匹配软件。

腾云S5000C系列处理器兼容Arm架构，最多64核心、32MB二级缓存、32MB三级缓存、8通道DDR5内存、96通道PCIe 5.0，支持PSPA 1.0安全规范。不过，官方未披露使用的具体是哪款型号。这款国产400G网络测试仪科全面覆盖网络性能测试、安全防护测试、业务拨测、虚拟化测试等多种场景。

网络安全团队Security Alliance推出TLS证明工具用于钓鱼检测

10月14日讯 一家网络安全非营利组织发布了一款新工具，帮助安全研究人员验证加密货币钓鱼攻击，今年上半年此类攻击导致超过4亿美元被盗。

Security Alliance（SEAL）宣布一直在开发一款新工具，使"高级用户和安全研究人员"能够通过验证举报的钓鱼网站是否恶意来加入打击加密货币钓鱼的战斗。网络安全研究人员通常无法看到或复制用户遇到潜在恶意链接时所看到的内容，因为诈骗者已开发出"隐藏功能"，向疑似网络扫描器提供良性内容，他们补充说。

SEAL的新工具名为"TLS证明和可验证钓鱼报告"系统，旨在帮助安全研究人员，现在将有助于证明恶意网站确实包含用户声称看到的钓鱼内容。"这是一个旨在帮助经验丰富的'好人'更好地合作的工具，而不是针对普通用户，"SEAL告诉Cointelegraph。

越南航空730万条客户个人数据泄露，IT供应链国际化惹的祸？

10月14日消息，据多个黑客论坛消息，一个黑客组织已公开泄露超过2300万条记录，其中包括大量越南航空客户的个人信息。除越南航空外，该黑客组织还在出售其他大型企业的客户数据，包括澳洲航空和GAP公司。

被窃数据包括客户姓名、出生日期、电话号码、电子邮箱地址和居住地址。最早的记录可追溯至2020年11月23日，最新的数据则来自今年6月20日。10月12日，《越南网》曾联系越南航空以获取官方回应，但截至目前，该航空公司尚未就此次数据泄露事件发布公开声明。

10月13日上午，越南国家计算机应急响应中心（VNCERT）代表向《越南网》证实，越南航空的客户数据确实已在黑客论坛上被挂出出售。VNCERT正积极调查此事件。

Oracle与Duality合作提供加密数据协作解决方案

10月14日消息，奥斯汀 - Oracle，一家年收入达590.2亿美元的软件行业知名企业，与Duality Technologies宣布，Duality的安全数据协作平台现已在Oracle云市场上线，并可部署在Oracle云基础设施（OCI）上。根据InvestingPro数据显示，Oracle的盘坚地位反映在其8776.2亿美元的巨大市值上。

此次合作旨在为政府、国防和情报客户提供工具，使其能够在保持机密性的同时实现跨网络的安全数据协作。该平台允许组织发出加密查询并接收结果，同时不会泄露敏感信息。

Duality的解决方案将在Oracle的专业政府云环境中提供，包括为机密和主权工作负载设计的Oracle云隔离区域。"政府和国防组织需要在创新与绝对保密之间取得平衡，"Duality Technologies首席执行官Alon Kaufman博士在新闻稿中表示。

大规模僵尸网络攻击美国RDP服务

10月14日消息，研究人员发现，一个由逾百个国家受控设备组成的大规模僵尸网络，正针对美国的远程桌面协议（RDP）服务发起攻击。该活动自10月8日开始，涉及超过10万条来自不同地区的IP地址。监测平台GreyNoise指出，攻击者主要通过“RD Web Access定时攻击”和“RDP Web客户端账户枚举”两种方式，利用响应时间差异推测用户名，从而进行后续入侵尝试。最初的异常流量来自巴西，随后蔓延至阿根廷、伊朗、俄罗斯等国。研究人员建议管理员及时封禁可疑IP，并避免将RDP暴露在公网，同时启用VPN与多因素认证以增强防护。

虚假“通胀退税”短信诈骗袭击纽约州居民
10月14日消息， 纽约州近期出现一波伪装为州税务与财政部门的短信诈骗活动，诱骗居民点击所谓“通胀退税”链接并提交个人及财务信息。诈骗短信声称用户的退税申请已获批准，要求在指定日期前提供银行信息，否则将“永久失去退税资格”。点击链接后，受害者会被引导至伪造的纽约州税务官网，页面要求填写姓名、住址、邮箱、电话及社会安全号等敏感数据。州长霍楚及税务部门均已发布警告，强调退税支票会自动发放，无需提供额外信息，并提醒公众警惕任何以退税为名的短信、电话或邮件，避免身份盗窃与财务损失。

西班牙摧毁“GXC Team”网络犯罪集团
10月14日消息， 西班牙国民警卫队成功捣毁名为“GXC Team”的网络犯罪组织，并逮捕其核心成员——25岁的巴西籍嫌犯“GoogleXcoder”。该团伙运营“犯罪即服务”（CaaS）平台，通过Telegram和俄语黑客论坛出售AI钓鱼工具包、安卓恶意软件及语音诈骗工具。调查显示，其攻击目标涵盖西班牙、英国、美国、斯洛伐克及巴西的银行、电商与交通企业，至少运营250个仿冒网站及9种拦截短信与一次性密码的恶意程序。警方在多地同步突袭中缴获源代码、加密货币与通信记录，并关闭多个诈骗推广频道。目前调查仍在进行，警方预计将有更多涉案成员被捕。

FBI查封BreachForums网站以打击Salesforce勒索行动
10月14日消息， 美国联邦调查局（FBI）在法国执法机构协助下，查封了被黑客组织ShinyHunters用于Salesforce数据勒索的BreachForums域名。该网站此前被多个网络犯罪团伙用于发布被窃数据及勒索信息，包括与ShinyHunters、Lapsus$和Scattered Spider相关的成员。此次行动不仅关闭了公开站点，还使执法部门获取了自2023年以来的论坛数据库及后端服务器。尽管暗网版本仍在运行，黑客声称将继续泄露未支付赎金的企业数据。受影响企业包括FedEx、Google、Marriott、Cisco、Adidas、IKEA等，泄露信息或超过十亿条。ShinyHunters随后表示BreachForums时代已终结，并警告未来类似网站恐成执法“蜜罐”。

海南自贸港推进“向数图强” 数据跨境流动有优势

10月15日电 (记者 王子谦)海南省委常委、宣传部部长，省委新闻发言人王斌15日在海口说，海南自由贸易港积极推进“向数图强”，数字经济蓬勃发展，全省数字经济年产值已超1000亿元。当天，由国务院新闻办新闻局和海南省新闻办公室联合举办的中外记者见面会在海口举行。回答记者提问时，王斌具体介绍了海南自贸港数据安全有序流动的优势。

机制建设方面，海南自贸港积极构建与新业态新模式新技术相适应的体制机制，成立了海南自由贸易港数据安全有序流动统筹推进机制，制定了顶层设计方案，为数据安全有序流动提供了工作机制保障。

“校园表白墙”暗藏风险 检察公益诉讼护航未成年人网络安全

10月15日讯，“检察机关辖区内的9所中学共有11个类似‘校园表白墙’的同类账号，涉及中学生数千人”“发布一条信息收费几元至几十元不等”“内容包含大量色情、低俗、交友等信息”……

近日，记者在新疆维吾尔自治区乌鲁木齐市天山区人民检察院(以下简称“天山检察院”)采访时了解到，在办理一起涉未成年人刑事案件时，一个隐藏在“校园表白墙”背后的网络风险浮出水面，由此开启了一场关乎数千名未成年人网络安全的公益诉讼。

“校园表白墙”是校园中广泛存在的非官方虚拟社交平台，主要通过QQ群、微信公众号、小程序等形式运营，为学生提供情感表达、信息交流和生活服务功能。在“表白墙”上，同学们不仅可以交友表白，还能寻找丢失物品或告知重要信息等。

中信国际电讯CPC强化智赋云网安 智链未来 跨越AI+安全

10月15日讯 中信国际电讯集团有限公司全资拥有的中信国际电讯(信息技术)有限公司(「中信国际电讯CPC」) 致力于创新发展，实现数据赋能新模式，推动技术与数据双轨发展。中信国际电讯CPC进一步延续AI+创新理念，推出自主研发的「SIEM-MiiND星智神盾」- 数智化安全信息与事件管理平台，利用大数据与智能化技术跃升安全运营中心（AI SOC）整体效能，跨越AI+ 安全，构筑智链未来的数智新纪元。

中信国际电讯 CPC 行政总裁黄政华先生表示：「我们致力成为企业国际化、智能化发展的高质量合作伙伴，推动AI SOC成为企业信息安全保护的理想选择。最新推出的数智化核心技术「SIEM-MiiND星智神盾」正是迈向这愿景的重要一步, 不仅跃升AI SOC运营，强化信息安全框架，夯实了创新研发团队对大数据、AI技术及应用场景的落地能力，更彰显我们在AI浪潮下对网络安全变革创新的坚定承诺。凭借智链全球的市场策略, 我们将持续投入并致力运用高质量"智赋云网安"服务，助力企业在瞬息万变的安全环境中保持竞争力, 并在国际市场上赢得先机。」

工信部：关于防范Google Chrome远程代码执行高危漏洞的风险提示

10月15日讯，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，Google Chrome存在远程代码执行高危漏洞，已被用于网络攻击。

Google Chrome是谷歌公司开发的网页浏览器，由于其V8引擎对JavaScript对象类型处理不当，未经身份验证的远程攻击者可构造恶意页面诱导用户访问，导致内存损坏，甚至远程执行代码，受影响版本为Google Chrome＜140.0.7339.185。

目前，Google官方已修复该漏洞并发布更新公告（https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html），建议相关单位和用户立即开展隐患排查，及时升级至最新安全版本，避免点击不明链接，防范网络攻击风险。

网安龙头创始人放言：不要再做（传统）网络安全了

10月15日消息，国际网安龙头企业Zscaler创始人兼首席执行官Jay Chaudhry日前指出，近期针对网络防火墙和VPN等网络安全设备漏洞的攻击激增，这使得企业加快向基于零信任安全原则的现代安全架构转型变得愈发紧迫。

Chaudhry接受外媒CRN采访时表示，防火墙和VPN“确实曾发挥过重要作用”。但他同时强调，近期诸如思科防火墙零日漏洞被广泛利用等事件，充分说明这些技术已无法继续承担其提升安全性的核心使命。

他指出，影响思科自适应安全设备的漏洞，促使美国网络安全和基础设施安全局（CISA）在9月罕见地发布了“紧急指令”；而CISA此前发布的类似指令之一，则与2024年的Ivanti VPN漏洞事件有关。

美军拟组建数据部队，以“数据弹药”强化联合作战能力

10月15日报道 近日，美陆军G-6副参谋长杰斯·雷伊称，伴随“下一代指挥控制”系统加速推进，数据已成为现代战场新型“弹药”，美军筹划组建专职部队，统筹管理和整合全军数据。该部队将整合美军从国内外驻地到战术前沿的所有数据，核心职能包含四项：一是推进数据格式标准化，保障兼容性；二是运用人工智能与机器学习挖掘数据价值，提炼关键信息；三是实现美军以数据为中心的作战，不受部署地点限制；四是协调美军联合部队及多国部队数据，为战区联合作战指挥官提供支持。该部队成立后，将深度联动“下一代指挥控制”系统的应用层与数据层，使其成为数据流转交互的“监督者”与“协调者”。

Astaroth银行木马利用GitHub发起攻击

10月15日讯 网络安全研究人员报告称，Astaroth银行木马在新一轮活动中利用GitHub作为配置后备，通过托管隐写图片来更新配置，使得在传统C2被查封后仍能继续运行。攻击链始于仿DocuSign的钓鱼邮件，受害者下载并打开被压缩的.lnk快捷方式，内含混淆JavaScript以拉取额外代码并下载AutoIt脚本，随后执行shellcode、加载Delphi DLL并注入RegSvc.exe进程。该木马每秒检测浏览器窗口并在访问多家巴西及拉美银行与加密服务时进行按键记录，窃取的数据通过Ngrok回传；同时具备反分析、语言与地域围栏及开机自启动等持久化与防护规避能力。

澳多名政要私人电话被美国网站泄露 数字时代的隐私警示

10月15日讯 秋日的澳大利亚政坛突然迎来一阵寒风，私人电话号码泄露的消息像冰冷的浪潮撞进每个高官的日常生活。总理阿尔巴尼斯、前总理莫里森、自由党领导人苏珊·利以及多名政府高官，平日里习惯了政务繁忙和媒体聚焦，却未曾料到自己的私人联系方式会在海外网站上公之于众。这种信息泄露不仅是隐私问题，更像是一种突如其来的警示：在数字时代，政治权力与信息安全并非永远对等。

媒体报道称，这些网站不仅公布了当前政界人士的电话，还涉及前总理、各州州长乃至部分政府工作人员的信息。副总理兼国防部长理查德·马尔斯表示，已经知晓此事，并已通知相关部门，目前正在处理中。苏珊·利的发言人也表达了担忧，并要求删除相关信息。然而，信息一旦上网，其传播速度和范围远超官方处理速度，这场泄露的影响恐怕还远未结束。

政府拟设互联网安全委员会 为受网络危害者提供及时援助

10月15日讯，政府计划在明年上半年设立互联网安全委员会（Online Safety Commission），负责落实举报机制，为受到网络危害的人提供及时援助。

《互联网安全（援助与问责）法案》（Online Safety (Relief and Accountability) Bill）在国会进行一读，旨在加强网络安全和保护国人免受网络伤害。数码发展及新闻部和律政部的联合文告指出，互联网安全委员会将由数码发展及新闻部长委任的委员长领导，负责处理13类网络危害。委员会明年上半年之前会先处理五种最严重和常见的问题，包括恶意泄露他人隐私（doxxing）、网络骚扰、线上跟踪、滥用私密影像等，之后则会分阶段逐步处理其他伤害类型。

锐成信息入选2025年度上海市网络安全产业创新攻关成果目录

10月15日讯，上海经信委发布了《2025年度上海市网络安全产业创新攻关成果目录》,目录涵盖基础技术创新、应用技术创新以及服务业态创新3大类别,囊括了量子安全、软件供应链安全和数据流通安全等12个攻关方向,共计收录21项网络安全产业创新攻关成果。锐成信息自研的“SSL证书自动化运维系统”,凭借其在“应用技术创新”类别“数据流通安全”攻关方向的卓越表现,成功入选该目录。

锐安信CLM(SSL证书自动化运维系统)是锐成信息基于多年在网络安全领域的持续研发投入和深厚技术积累,专门为大小金融、运营商、政府等复杂网络环境下的SSL证书自动化运维需求设计。可全链路自动化管理SSL证书生命周期,实现对SSL证书的自动续签、自动推送、自动部署、自动发现、自动监控和自动预警等,解决了手工操作繁琐、过期风险高、合规管理难等管理难题,有效提高了证书管理效率。

威胁行为者通过OpenVSX平台投放恶意VSCode扩展

10月16日讯 安全研究机构Koi Security发现，名为TigerJack的威胁行为者再次通过OpenVSX平台投放恶意VSCode扩展，针对开发者窃取加密货币并植入后门。此前已在微软VSCode市场下架的扩展 “C++ Playground” 和 “HTTP Format” 仍在OpenVSX上可下载。前者通过监听编辑事件实时外传源代码，后者则在后台运行CoinIMP挖矿程序，占用全部主机算力。此外，部分扩展还能从远程服务器周期性加载并执行JavaScript代码，实现任意指令执行与凭证窃取。研究者指出，TigerJack利用多个伪装账号运营，伪造GitHub页面与功能描述以误导用户。目前OpenVSX方面尚未回应，研究人员呼吁开发者仅从可信发布者处获取扩展。

近20万台Framework笔记本曝Secure Boot绕过风险

10月16日讯  固件安全公司Eclypsium报告称，美国电脑厂商Framework约20万台运行Linux的笔记本和桌面系统存在Secure Boot绕过风险。问题源于其出厂固件中包含签名的UEFI Shell组件，其中的 “mm” 命令 可直接读写系统内存。攻击者可利用该命令篡改关键变量gSecurity2，将其置空以禁用签名验证，从而加载恶意bootkit（如 BlackLotus、HybridPetya）并在系统重装后仍能持久存在。该问题被认为是开发疏忽而非入侵所致。Framework已发布多型号固件更新以修复漏洞，并计划进一步推送DBX安全更新。研究人员建议用户尽快安装补丁，尚未修复的系统应限制物理访问或临时删除BIOS中的Framework DB密钥以降低风险。

美司法部查获150亿美元“杀猪盘”加密资产

10月16日讯  美国司法部宣布，从柬埔寨犯罪组织 “Prince Group” 首领陈志（又名Vincent）处查获约150亿美元比特币。该集团自2015年起在全球三十余国设立百余家空壳公司，通过社交媒体与交友平台实施“杀猪盘”式加密投资诈骗，诱骗受害者投入虚假项目后转移资金。调查显示，组织在柬埔寨设有封闭园区，强迫数千人从事诈骗并以暴力威胁控制。陈志涉嫌贿赂官员、运营劳改式诈骗营地，并利用“喷洒”“漏斗”等复杂手法洗钱，将赃款转入交易所及银行账户，用于豪华消费和艺术品购买。美财政部及英方已对陈志及集团146名成员实施制裁。美国政府估计，仅2024年美国民众在此类东南亚诈骗中损失逾100亿美元。

F5遭国家级黑客入侵泄露BIG-IP源代码与漏洞信息

10月16日讯  美国网络安全公司F5披露，其系统遭国家级黑客入侵，导致BIG-IP产品源代码及未公开漏洞信息被窃取。事件最早于2025年8月9日被发现，调查显示攻击者长期潜伏于F5的产品开发与工程知识平台中，外泄部分客户配置与实现细节。尽管尚无证据表明被盗漏洞被利用或源代码遭篡改，F5强调软件供应链安全未受影响。公司已重置凭据、强化访问控制，并委托NCC Group、IOActive、CrowdStrike与Mandiant独立审查。为防范潜在风险，F5发布多项安全更新及威胁狩猎指南，建议用户及时升级BIG-IP、F5OS、BIG-IQ等组件，并避免在公网暴露管理接口。F5表示，此次事件未对业务运营造成实质影响。

黑客假冒LastPass与Bitwarden邮件诱导用户下载远控木马

10月16日讯  安全通报指出，一波冒充LastPass与Bitwarden的钓鱼邮件谎称发生泄露，诱导用户下载“更安全”的桌面客户端。实际上，所下载二进制会安装Syncro MSP代理并进一步部署ScreenConnect远程访问工具——隐藏托盘、定期回连、并尝试禁用安全软件。攻击者可借此远程控制受害主机、部署恶意载荷并窃取密码管理器凭证。LastPass已声明未遭入侵，Cloudflare已屏蔽相关落地页；安全研究建议用户仅通过官方网站获取更新，切勿运行来路不明的安装包。

西班牙时尚品牌MANGO披露数据泄露事件

10月16日讯 西班牙服饰零售商MANGO通报，其外部营销服务供应商遭未授权访问，导致部分客户个人信息泄露。受影响数据包括客户姓名（仅名字）、国家、邮政编码、邮箱及电话号码，但未涉及银行卡号、身份证件或账户凭证。MANGO强调，其企业核心系统与电商平台未受影响，业务运行正常。事件发生后，公司已启动安全应急流程，并向西班牙数据保护局（AEPD）及相关主管部门报告。虽然暴露信息有限，但专家警告攻击者可能利用这些数据发动精准钓鱼攻击。MANGO已为受影响客户设立专用邮箱和服务热线以提供支持，目前尚无勒索组织宣称对此事件负责。

防诈任务重中之重　国行：金融机构需强化网络安全

国家银行发布《2025上半年金融稳定性报告》，其中表明，防范诈骗工作与打造营运韧性是金融机构的首要重任。

国行在上述报告中表示，金融机构在上半年持续展现良好的营运韧性。此外，为了应对网络威胁，金融机构也费心费力加强它们的网络安全能力，以便有效地防范诈骗，从而得以最大程度地降低营运干扰及建立人们对金融体系的信任。国行副总裁阿兹南阿都阿兹表示：“诈骗风险越来越趋向以社交工程手段造成的“授权型诈骗”的形式。我们和本地金融领域增强了应对诈骗活动的措施，提升人们的防范意识。”

Altamides监控平台曝光：全球上万位政要、记者与高管遭秘密追踪

10月16日，一项国际调查揭露了一个名为Altamides的电话跟踪平台，这个平台已秘密运作20年，利用电信协议漏洞，仅凭一个电话号码就能实时定位全球任何人的位置。根据泄露的记录，这个平台被用于监视超过14,000个电话号码，目标包括政治人物、知名高管、记者和活动人士。这不仅仅是技术漏洞的滥用，更是全球监视产业的黑暗一角。

这项调查源于Lighthouse Reports获得的秘密档案，该档案包含超过150万条追踪记录，涵盖2007年至2014年的百万次操作，涉及168个国家的14,000多个独特电话号码。这些数据详细记录了追踪时间、位置和观察内容，揭示了监视的规模和滥用程度。

Confucius（孔夫子）APT组织攻击技术迭代升级深度分析

10月16日，网络安全公司FortiGuard Labs发布最新报告，揭示了南亚地区活跃的Confucius（孔夫子）APT组织在间谍活动中的显著演变。该组织自2013年被首次识别以来，一直持续针对巴基斯坦的政府机构、军事组织、国防承包商及关键行业发起攻击活动。研究人员基于2024年至2025年观察到的多起攻击活动深度分析发现，在2024年12月至2025年8月期间该组织完成显著技术迭代。从完全依赖WooperStealer数据窃取工具，逐步升级为部署基于Python的AnonDoor后门。其攻击活动在地理空间上具有高度针对性，仅允许特定区域如巴基斯坦的IP地址访问指挥与控制服务器，确保情报收集的精准性。其攻击手法的复杂性与适应性持续提升，凸显国家背景黑客组织恶意软件及工具的进化趋势。

泄露众多客户敏感数据，外包巨头被重罚1.34亿元

10月17日消息，英国信息专员办公室（ICO）日前对外包巨头Capita开出了总额达1400万英镑（约合人民币1.34亿元）的罚款，此前该公司在2023年遭遇严重网络攻击，导致660万人个人数据泄露。罚款具体分配为：Capita plc 800万英镑，Capita Pension Solutions 600万英镑。此次数据泄露影响了依赖Capita服务的600多个组织中的325个，涉及敏感的员工及养老金记录。

欧盟拟禁止16岁以下未成年人使用社交网络

10月17日讯 目前，欧洲正采取措施，建立更为有力的机制，以保护青少年，回应社会对网络技术对儿童安全和健康影响日益增长的担忧。

上述内容摘自欧洲议会内部市场与消费者保护委员会通过的一份报告。报告中，议员们建议全面禁止13岁以下儿童访问社交网络，即使获得家长许可也不例外。此外，报告还建议，对违反欧盟《数字服务法》（DSA）中青少年保护条款的平台，应实施处罚，情节严重者可被禁止运营。

为限制未成年人接触有害内容，议员们支持禁止针对儿童用户使用基于互动度的算法，同时要求禁用具有成瘾性的功能，并禁止在儿童游戏中设置类似赌博的“盲盒”机制。报告还明确指出，社交平台不得通过“少儿网红营销”（kidfluencing）进行盈利或鼓励相关活动。

中央网信办王琦：推动完善汽车数据安全防护国家标准体系

10月17日电，中央网信办网络数据管理局副局长王琦今日在2025世界智能网联汽车大会上提出，坚持依法治理，指导汽车数据处理者落实安全管理要求。要贯彻落实网络数据安全管理条例、汽车数据安全管理若干规定等法规，充分发挥汽车数据安全管理机制作用，加快建立完善汽车数据产权认定、权益分配、利益保护等基础性制度体系。加快制定、出台汽车数据出境安全管理的指引性文件，推动完善汽车数据安全防护国家标准体系。王琦同时表示，抓紧抓实汽车数据安全管理常态化工作，有序开展汽车领域重要数据识别认定和出境管理，督促汽车企业切实提升数据安全风险意识和防范的能力水平。

LinkPro Linux Rootkit使用eBPF隐藏并通过Magic TCP数据包激活

10月17日电，研究人员发现，攻击者利用暴露的Jenkins（CVE-2024-23897）入侵AWS环境，并通过已删除的恶意镜像kvlnt/vv在多集群部署后载入多种后门与载荷。其根套件LinkPro（Go 编写）配合两个eBPF模块（Hide与Knock）实现内核级隐蔽与“魔术”TCP包触发激活（窗口值54321），并可通过修改/etc/ld.so.preload加载libld.so钩取libc接口隐藏痕迹。LinkPro支持被动/主动两种通信模式，主动模式可用HTTP、WebSocket、UDP、TCP、DNS五种协议，与C2（56.155.98.37）通信，并以systemd保持持久性。该样本需特定内核配置（CONFIG_BPF_KPROBE_OVERRIDE），疑为以盈利为目的的攻击。

超过100个VS Code扩展使开发人员面临隐藏的供应链风险
10月17日电， 研究指出，云安公司Wiz发现逾550个已验证密钥散布于500+扩展，且100余扩展泄露了VS Code Marketplace PAT，影响约8.5万次安装，另有30个扩展泄露Open VSX令牌。泄露密钥涵盖AI、公有云、数据库等67类敏感凭证，攻击者可借此推送恶意更新或横向入侵。与此同时，安全公司披露代号TigerJack的活动通过伪装扩展（如C++ Playground、HTTP Format）窃取源码、挖矿并以远程eval维持后门。微软已撤销泄露令牌并计划加入密钥扫描，建议用户精简扩展、关闭自动更新并建立集中白名单与清单管理。

黑客利用思科SNMP漏洞在“Zero Disco”攻击中部署Linux Rootkit恶意软件
10月17日电， 研究人员披露，代号“Zero Disco”的攻击利用Cisco IOS/IOS XE中的SNMP栈溢出漏洞CVE-2025-20352（CVSS 7.7）在未打补丁的旧设备（9400、9300、3750G 等）上部署Linux根套件。入侵者通过构造的SNMP包触发代码执行，随后在IOSd内存植入钩子、设置包含“disco”字样的通用密码、并通过UDP控制器开启后门、禁用日志与篡改配置时间戳以维持隐蔽性。攻击还伴随对修改版Telnet漏洞（基于CVE-2017-3881）的尝试。厂商已在上月发布补丁，但研究者指出该活动利用零日真实攻击且主要针对未启用EDR的旧Linux系统。


SAP NetWeaver漏洞可使攻击者无需登录即可接管服务器
10月17日电， SAP发布10月安全更新，修复13项漏洞，其中最严重的CVE-2025-42944（CVSS 10.0）存在于NetWeaver AS Java中，源于RMI-P4模块的不安全反序列化，攻击者可在无需登录的情况下通过开放端口提交恶意载荷，实现任意系统命令执行，完全控制服务器。此次更新在原有修复基础上新增JVM级过滤机制（jdk.serialFilter），防止敏感类被反序列化。此外，SAP还修复了打印服务目录遍历漏洞（CVE-2025-42937，CVSS 9.8）与供应商关系管理系统的任意文件上传漏洞（CVE-2025-42910，CVSS 9.0）。尽管暂无在野利用迹象，研究者提醒企业应立即部署补丁，以防高危远程入侵风险。


黑客利用Cookie漏洞攻击ICTBroadcast服务器以获取远程Shell访问权限
10月17日电， 研究人员警告，呼叫中心软件ICTBroadcast（7.4及以下版本）存在高危漏洞CVE-2025-2611（CVSS 9.3），正遭黑客在野利用。该漏洞源于会话Cookie输入验证缺陷，攻击者可通过“BROADCAST” Cookie注入恶意Shell命令，绕过认证并远程执行代码。VulnCheck检测到10月11日以来的攻击分两阶段实施：先注入Base64命令“sleep 3”验证漏洞，再建立反向Shell以控制主机。攻击者使用与Ratty RAT攻击活动相关的localto[.]net链接及IP（143.47.53[.]106），显示可能存在工具重用。全球约200个实例暴露受害，厂商尚未发布修复方案。

Red Lion RTU中的两个CVSS 10.0漏洞可能使黑客获得完全工业控制权
10月17日电， 研究人员披露，Red Lion SixTRAK与VersaTRAK系列RTU存在两处最高评分漏洞（CVE-2023-42770、CVE-2023-40151），可被未认证攻击者绕过验证并以根权限执行任意命令，影响能源、水务、交通等工业控制场景。厂商与CISA已发布通告并提供修补建议；建议用户尽快打补丁、启用设备用户认证并阻断对受影响设备的TCP访问以降低被链式利用的风险。

朝鲜黑客利用区块链“EtherHiding”技术投递恶意软件

10月18日讯 Google威胁情报组（GTIG）发现，朝鲜国家级黑客组织UNC5342自2025年2月起在“Contagious Interview”行动中采用“EtherHiding”技术，通过智能合约在以太坊和币安智能链上隐藏并投递恶意代码。这是首次发现国家级攻击者使用该方法。该技术可将载荷嵌入区块链智能合约中，凭借匿名性和抗下架性实现隐蔽传播。攻击者伪装成招聘人员，诱骗开发者在“面试考核”中运行JavaScript下载器，加载名为“JADESNOW”的模块，从区块链中提取第三阶段载荷“InvisibleFerret”，用于长期间谍活动。该恶意程序可窃取浏览器中保存的凭证、信用卡及加密钱包信息。专家警告，此举使攻击追踪与防御难度显著提升，并建议企业强化浏览器策略与下载限制。

微软阻断针对Teams用户的勒索攻击

10月18日讯 微软近日成功阻止一系列由威胁组织“Vanilla Tempest”（又称 Vice Society、VICE SPIDER）发起的Rhysida勒索软件攻击。该组织通过伪造的Teams安装网站（如teams-install[.]top等）和恶意广告投放传播伪造的“MSTeamsSetup.exe”文件，利用签名恶意证书分发Oyster后门（又名Broomstick或CleanUpLoader）。微软在10月初吊销了200余个用于签署假安装包的证书，从而中断攻击链。Oyster后门可为攻击者提供远程访问、文件窃取及命令执行能力。Vanilla Tempest自2021年起活跃，主要针对教育、医疗、IT和制造业部门实施勒索和数据窃取。此次行动显示微软持续强化其生态系统中针对恶意签名和假冒应用的防护措施。

PowerSchool黑客被判四年监禁

10月18日讯 19岁的马萨诸塞州学生Matthew D.Lane因策划2024年12月对PowerSchool的网络攻击而被判处四年监禁，并被罚款2.5万美元及支付1400万美元的赔偿金。PowerSchool是一家为全球K-12学校和学区提供云服务的软件公司。Lane及其同伙通过盗取分包商凭证，突破PowerSource客户支持门户，下载了包含950万名教师和6240万名学生个人信息的数据库。数据泄露包括姓名、地址、电话号码、社会安全号码等敏感信息。攻击者随后向PowerSchool索要285万美元的比特币赎金，并继续威胁各学校学区支付额外赎金。尽管PowerSchool支付了赎金，但攻击者仍试图从学区获得更多资金。此次案件揭示了数据安全漏洞，PowerSchool因此面临德州总检察长的诉讼，指控其未能有效保护数据安全。

CISA警告Adobe严重漏洞已被攻击者利用

10月18日讯 CISA近日警告称，攻击者正积极利用Adobe Experience Manager（AEM）中的严重漏洞（CVE-2025-54253）发起攻击。该漏洞源自AEM Forms在JEE 6.5.23及更早版本中的配置缺陷，允许未认证的攻击者绕过安全机制并执行远程代码。成功利用该漏洞无需用户交互，攻击复杂度低。该漏洞于2025年4月由Searchlight Cyber的研究员发现，并报告给Adobe，但Adobe在90天内未及时修复该漏洞，直至2025年8月发布补丁。CISA将此漏洞列入“已知利用的漏洞目录”，并要求联邦机构在11月5日前完成修复。CISA还建议所有组织尽快修补该漏洞，尤其是在私有部门，避免此类漏洞成为攻击目标。

Gladinet修复了文件共享软件中被积极利用的零日漏洞

10月18日讯 Gladinet已为CentreStack发布安全更新，修补自9月底被滥用的本地文件包含漏洞（CVE-2025-11371）。Huntress披露，攻击者可通过/storage/t.dn?s=…读取Web.config，提取ASP.NET machineKey后利用此前的反序列化RCE（CVE-2025-30406）实现远程代码执行。厂商已在CentreStack 16.10.10408.56683中修复该缺陷，并建议尽快升级；无法升级者可通过在Web.config中禁用temp handler（UploadDownloadProxy）作为临时缓解措施。

Capita因数据泄露支付1400万英镑罚款

10月18日讯 英国信息委员会（ICO）对Capita公司处以1400万英镑（1870万美元）罚款，因2023年发生的数据泄露事件暴露了660万人个人信息。Capita是一家提供数据驱动业务流程服务的公司，涉及多个行业，包括地方政府、NHS、国防部等。2023年3月，黑客通过恶意文件入侵Capita内部网络，导致约1TB的数据被窃取，并部署了Black Basta勒索病毒。尽管攻击发生后Capita在10分钟内检测到异常，但由于未能及时隔离受感染设备，黑客在58小时内得以扩展攻击。ICO指出，Capita在访问控制、响应安全警报、运维不足等方面存在严重问题。Capita公司已同意承担责任，并已采取改进措施，向受影响的个人提供数据保护服务。

Astaroth银行木马利用GitHub发起攻击

10月18日讯 网络安全研究人员报告称，Astaroth银行木马在新一轮活动中利用GitHub作为配置后备，通过托管隐写图片来更新配置，使得在传统C2被查封后仍能继续运行。攻击链始于仿DocuSign的钓鱼邮件，受害者下载并打开被压缩的.lnk快捷方式，内含混淆JavaScript以拉取额外代码并下载AutoIt脚本，随后执行shellcode、加载Delphi DLL并注入RegSvc.exe进程。该木马每秒检测浏览器窗口并在访问多家巴西及拉美银行与加密服务时进行按键记录，窃取的数据通过Ngrok回传；同时具备反分析、语言与地域围栏及开机自启动等持久化与防护规避能力。

研究人员揭露TA585的MonsterV2恶意软件功能和攻击链

10月18日讯 研究人员披露，名为TA585的威胁组织通过钓鱼、网页注入与伪造GitHub告警等多种自持交付手段，独立掌控完整攻击链以传播MonsterV2木马。MonsterV2为即付即用的远控/信息窃取/加载器，支持HVNC、剪贴板替换、按键记录、屏幕截取与远程命令执行，常用PowerShell或ClickFix社会工程触发，通常由SonicCrypt加壳并带有反调试、反沙箱与持久化功能；其控制端按地理位置下发任务，可下载StealC、Remcos等后续负载。该恶意软件以订阅形式出售，并刻意回避独联体国家。

开发者包被滥用向Discord泄密

10月18日讯 研究人员发现，多款npm、PyPI和RubyGems恶意软件包利用Discord webhook作为C2渠道，将开发者敏感数据发送至攻击者控制的频道。例如，mysql-dumpdiscord窃取配置文件，sqlcommenter_rails收集系统信息发送至固定webhook。此类攻击可在安装或构建阶段悄然获取.env、API密钥及主机信息，绕过运行时监控。同时，北朝鲜相关组织通过“Contagious Interview”运动上传数百个恶意或拼写相似包，目标锁定Web3、加密货币及技术求职者，诱导其运行带后门的项目，进一步下载BeaverTail、InvisibleFerret等多平台恶意负载，实现凭证、钱包及键盘记录等信息窃取。

IE模式被滥用引发安全隐患

10月18日讯 微软宣布对Edge浏览器的IE模式进行了严格限制，此前有报告称不明攻击者利用该向后兼容功能，通过社会工程和IE JavaScript引擎（Chakra）0-day漏洞获得远程执行权限，并提升特权完全控制受害设备。攻击者先诱导用户在IE模式下重新加载网页，再利用Chakra漏洞实施攻击，可能进行恶意软件部署、横向移动及数据外泄。为降低风险，微软移除了IE模式的工具栏按钮、右键菜单及主菜单项，现在用户需在Edge设置中手动启用特定站点的IE模式。微软表示，此举旨在平衡安全性与旧版兼容需求，同时增加攻击者利用门槛。

免责声明：此文为综述相关智能网联网联和信息安全文献撰写，传播汽车网络信息安全相关知识；若有相关侵权异议等请及时联系我们协商或删除。

想获取网络安全最新研报与资讯，请扫码加客服微信，免费入群领取汽车网络安全相关重磅报告。