CISA funds CVE program in the 11th hour of contract with MITREa year agohttps://www.scworld.com/news/cisa-funds-cve-program-in-the-11th-hour-of-contract...网络安全与基础设施安全局(CISA)宣布为CVE漏洞项目提供未来11个月的运营资金,确保服务不中断MITRE公司负责管理CVE项目,该项目主要负责识别和披露网络安全漏洞尽管获得资金暂缓,网络安全专家仍对该项目的未来发展和行业声誉表示担忧MITRE裁员可能导致CVE生态系统紊乱,或造成漏洞处理延迟及质量控制下降新成立的'CVE基金会'将确保CVE项目的长期独立运营能力行业专家强调CVE在网络安全中的核心地位,称其为安全团队的'罗塞塔石碑'
Using PDDL to find privilege escalation pathsa year agohttps://www.usenix.org/conference/usenixsecurity24/presentation/de-pasquale当前学术界的漏洞研究主要关注单个漏洞,但现代攻击往往利用漏洞链进行组合利用。ChainReactor是一款利用AI规划技术自动发现提权漏洞链的工具。该工具采用PDDL语言建模问题,并运用规划器生成漏洞利用链和良性操作序列。在合成环境和真实虚拟机上的评估表明,ChainReactor不仅能重现已知漏洞利用链,还能发现新的零日漏洞链。该工具成功在CTF靶机中识别出漏洞利用链,并在16个亚马逊EC2和4个Digital Ocean虚拟机上发现了新的攻击链。
Whistleblower claims Musk's DOGE potentially caused significant security breacha year agohttps://www.pbs.org/newshour/show/nlrb-whistleblower-claims-musks-doge-potential...美国国家劳工关系委员会(NLRB)一名IT员工提交的举报投诉称,埃隆·马斯克及其DOGE团队获取了敏感数据,可能导致重大网络安全漏洞。举报人丹尼尔·贝鲁利斯发现NLRB系统存在异常数据外泄——涉及10GB案件相关数据——其中包括工会组织者的私人信息和企业专有数据。数据激增现象与DOGE团队活动时间吻合,而关键时间段的日志被神秘删除,引发了对数据泄露范围和意图的严重担忧。律师安德鲁·巴卡吉指出,包括财政部、能源部和国防部在内的政府内部数据库均存在漏洞,部分数据可能通过星链系统传输至俄罗斯。举报人遭遇死亡威胁和无人机监控等恐吓手段,凸显了挺身举报的巨大风险。白宫辩称DOGE的行动属于清除浪费、欺诈和滥用行为的举措,但外界仍质疑其访问和窃取敏感数据的真实动机。
DPRK IT Workers in Open Source and Freelance Platformsa year agohttps://www.ketman.org/dprk-it-workers-in-freelance-platform-onlyDust.html在合法开发者仓库中发现可疑行为者,最终揭露了自由职业平台上的朝鲜IT工作者。朝鲜IT工作者被称为'PR刷单者',通过利用开源项目和onlyDust等自由职业平台获取信誉并收取加密货币报酬。已识别的行为者包括0xExp-po、bestselection18和aidenwong812/cryptogru812,他们通过篡改GitHub历史记录和身份伪装成合法用户。证据包括AI生成的头像、窃取的提交记录以及异常的GitHub活动模式。这些行为者在onlyDust平台上为Stellar和Starknet生态项目贡献代码,总计获得至少1,874美元报酬。在与motokimasuo/kirbyattack的视频通话中,当要求其用日语自我介绍时对方立即退出,证实了可疑行为。朝鲜IT工作者带来的风险不仅限于金融欺诈,还包括潜在的供应链攻击及为未来恶意活动积累信誉。建议措施包括严格审查远程工作者、视频通话验证身份,并警惕身份伪造手段。受影响项目涉及多个Stellar和Starknet相关代码库,部分项目曾获得高额资助。本文警示那些对远程工作者缺乏严格身份验证的平台,强调其对开发者生态的广泛风险。
Introducing Policy Serversa year agohttps://matrix.org/blog/2025/04/introducing-policy-servers/针对Matrix的持续攻击促使了新型反滥用工具的研发。基金会社区聊天室的服务器管理员现已可使用实验性Synapse模块。该模块处于实验阶段,预计将在5月21日左右停用,官方版本很快会集成至Synapse。策略服务器作为额外防护层,允许聊天室在事件到达客户端前主动选择进行内容审核。基金会计划提供官方策略服务器,并鼓励其他服务商开发替代方案。Element公司与基金会正在探索策略服务器实施方案,部分公开聊天室已开始测试实验版本。MSC4284提案开放社区协作以完善网络安全工具,特别呼吁非Synapse服务器的实现方案。有意测试策略服务器的社区管理员可通过[email protected]联系基金会。非营利组织Matrix.org基金会依赖捐款维护Matrix协议标准,持续捍卫数字隐私权。
Serbian student activist's phone hacked using Cellebrite zero-day exploita year agohttps://securityaffairs.com/174822/breaking-news/serbian-student-activists-phone...国际特赦组织报告称,塞尔维亚活动人士的一部安卓手机遭Cellebrite零日漏洞破解工具解锁Cellebrite公司因塞尔维亚警方滥用技术解锁并植入恶意软件至记者和活动人士手机,已中止向塞尔维亚提供服务该漏洞针对安卓USB驱动,因Linux内核USB驱动漏洞影响超10亿台安卓设备共发现三个漏洞(CVE-2024-53104、CVE-2024-53197、CVE-2024-50302),其中一处漏洞已在安卓2025年2月更新中修复CVE-2024-53104是内核USB视频类驱动中的权限提升漏洞,可导致任意代码执行或拒绝服务攻击塞尔维亚一名23岁学生活动人士被拘留,其三星Galaxy A32手机遭Cellebrite工具破解,并发现未知应用安装痕迹国际特赦组织报告塞尔维亚警方滥用技术后,Cellebrite立即暂停向该国提供技术支持国际特赦组织呼吁展开调查、追究责任并建立防护机制,防止塞尔维亚未来滥用监控技术
Deafening Silence from the Cybersecurity Industrya year agohttps://www.forbes.com/sites/tonybradley/2025/04/16/deafening-silence-from-the-c...特朗普总统签署了一项行政命令,针对前网络安全与基础设施安全局(CISA)局长克里斯·克雷布斯,原因是他公开肯定2020年大选的安全性。网络安全行业对此事普遍保持沉默,未能为克雷布斯和民主规范发声辩护。该行政命令引发宪法争议,可能因惩罚受保护的言论而违反第一修正案。法律专家指出该命令具有报复性质,破坏了权力制衡原则。与哈佛大学、珀金斯·科ie律师事务所等捍卫民主原则的机构相比,网络安全界的沉默形成鲜明对比。文章将当前局势与历史上的威权主义案例相类比,强调面对不公时保持中立的危险性。作者呼吁网络安全行业领袖打破沉默,强调该行业捍卫真相和民主价值观的责任。
Whistleblower: Doge came in, data went out, and Russians started to logina year agohttps://threadreaderapp.com/thread/1913023007263543565.html联邦举报人丹尼尔·贝鲁利斯(国家劳动关系委员会高级DevSecOps架构师)揭露了DOGE在联邦机构内实施的秘密网络行动DOGE被授予Azure'租户所有者'权限,使其凌驾于首席信息官之上完全掌控NLRB云端系统,并通过禁用日志功能掩盖操作痕迹NLRB法律案件数据库NxGen出现10GB以上出站流量暴增且无对应入站流量,表明存在数据外泄俄罗斯境内攻击者在DOGE账户创建后15分钟内便使用正确凭证尝试登录,暗示存在系统漏洞或内部威胁多因素认证在未经审批且无日志记录情况下被关闭,Azure计费激增8%,推测系数据提取所需高算力导致贝鲁利斯遭遇恐吓,包括门前被贴附威胁字条的无人机监控照片美国网络安全部门US-CERT遭高层勒令停止调查该事件微软关于'丝 Typhoon'组织的研究显示,黑客已转向使用窃取的API密钥和PAM凭证攻击州/地方政府及IT部门黑客宣称攻破Gravy Analytics公司,致使售卖给美国政府机构的数百万条手机定位记录泄露,存在去匿名化与追踪风险Palo Alto Networks Expedition曝出新漏洞(CVE-2024-9464和CVE-2024-9465),可导致任意操作系统命令执行与SQL注入,危及敏感数据安全
The Zoom attack you didn't see cominga year agohttps://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/Zoom会议允许参与者远程控制你的电脑,这一功能已被ELUSIVE COMET等威胁行为者恶意利用。ELUSIVE COMET通过伪装成合法机构,在社交媒体或邮件中诱骗受害者以虚假理由加入Zoom会议。攻击者在会议期间将远程控制请求伪装成系统通知,诱导用户同意后植入恶意软件。包括知名人士在内的受害者已遭受重大财务损失和账户入侵。安全专家建议在Zoom设置中禁用远程控制功能,或在高安全需求环境中彻底卸载Zoom。此类攻击标志着黑客策略正从技术漏洞转向利用人性弱点。
CISA warns threat hunting staff of end to Google, Censys contracts due to cutsa year agohttps://www.nextgov.com/cybersecurity/2025/04/cisa-warns-threat-hunting-staff-en...网络安全和基础设施安全局(CISA)因预算削减警告威胁追踪人员合同即将终止,涉及与谷歌和Censys的合作该机构计划在4月20日前停用谷歌旗下VirusTotal服务,并已中止与Censys的合作CISA正在寻找替代工具以尽量减少对其运营的干扰来自Nightwing和Peraton的承包商受到影响,部分人员被要求上交工作手机预算削减可能影响CISA防御网络威胁的能力,引发担忧CISA可能终止与私营部门的所有威胁追踪合同,已取消多项合作国土安全部长克里斯蒂·诺姆计划缩减CISA规模,称需重新聚焦核心任务一份泄露备忘录显示CISA曾计划停止支持CVE漏洞项目,但该决定后被撤销CISA成立于2018年,旨在应对网络安全威胁,首任局长遭特朗普解雇该机构此前曾标记网络误导性内容,但因言论自由争议缩减了相关行动
Can We Trust CVE?a year agohttps://opensourcesecurity.io/2025/04-can-we-trust-cve/CVE项目遭遇资金危机,由CISA临时提供11个月资助,未来仍存不确定性NVD在2024年初停止丰富CVE记录,因缺乏沟通导致信任丧失VulnCon会议暴露出CVE领导层在资金危机前就存在应对不足的问题MITRE、CISA和CVE在沟通上严重失职,缺乏明确计划和透明度使信任进一步崩塌替代CVE的方案正在涌现,包括OWASP全球漏洞情报统一框架和EUVDGCVE和CVE基金会等其他倡议也存在信任度参差及透明度问题公共机构的信任需建立在透明基础上——当前CVE利益相关者未能吸取这一教训漏洞管理的未来可能属于具有明确治理机制的去中心化开源解决方案
UK firms urged to hold video or in-person interviews amid North Korea job scama year agohttps://www.theguardian.com/technology/2025/apr/20/british-firms-urged-to-hold-v...英国企业被敦促通过视频或面对面方式进行IT职位面试,以防雇佣到假冒的朝鲜IT工作者。朝鲜正以英国为目标实施IT职位诈骗,利用远程工作逃避侦查并将工资汇往朝鲜政府。假冒IT工作者通过中介提供虚假证件和地址,有时利用'自带设备'政策进行欺诈。谷歌报告显示朝鲜IT工作者使用多重身份,针对国防和政府领域实施攻击,并威胁泄露数据。专家建议采取严格背景调查、身份验证及强制视频/面对面面试等措施应对此类诈骗。可疑迹象包括频繁变更地址,以及要求将工资汇至货币兑换服务等非传统账户。假冒IT工作者回避视频面试,常在拥挤的呼叫中心操作,这些异常行为在招聘过程中引发怀疑。
AI hallucinations lead to a new cyber threat: Slopsquattinga year agohttps://www.csoonline.com/article/3961304/ai-hallucinations-lead-to-new-cyber-th...研究人员警告'Slopsquatting'攻击——一种利用AI生成虚假软件包推荐的新型供应链攻击GPT-4、CodeLlama和DeepSeek等AI模型会虚构不存在的软件包,19.7%的推荐内容为虚假开源AI模型虚构包频率(21.7%)显著高于商业模型(5.2%)攻击者可注册这些虚构包名分发恶意代码,造成广泛安全风险虚构包具有持续性(43%在测试中重复出现)和语义欺骗性(38%与真实包名称相似)专家建议开发者使用依赖项扫描工具,并避免仓促进行安全测试以降低风险
Bulletproof hosting provider Proton66 steps-up malware campaignsa year agohttps://www.scworld.com/news/bulletproof-hosting-provider-proton66-steps-up-malw...俄罗斯防弹托管服务商Proton66自1月8日起加大针对WordPress网站和Android设备的恶意软件攻击活动TrustWave旗下SpiderLabs实验室监测到Proton66正在进行大规模扫描、凭证暴力破解及漏洞利用尝试安全专家强调必须取缔防弹托管服务,因其长期为网络犯罪活动提供基础设施支持Proton66攻击涉及勒索软件漏洞利用、WordPress安全缺陷及针对韩语聊天室的XWorm恶意软件传播专家建议部署分层网络安全防御体系,保持软件定期更新并及时修补漏洞以降低风险暴力破解攻击事件凸显监控登录行为及启用验证码工具的重要性,可有效提高攻击者成本
Offical XRP NPM package has been compromised and key stealing malware introduceda year agohttps://www.aikido.dev/blog/xrp-supplychain-attack-official-npm-package-infected...Aikido Intel检测到xrpl软件包的五个新可疑版本,该软件是XRP账本的官方SDK,每周下载量超过14万次。被篡改的软件包版本(4.2.1、4.2.2、4.2.3、4.2.4和2.14.2)包含可窃取加密货币私钥并访问钱包的后门程序。恶意代码存在于src/index.ts文件中,其中包含一个名为'checkValidityOfSeed'的函数,该函数会将私钥发送至可疑域名(0x9c[.]xyz)。攻击者不断升级手段,最初修改构建的JavaScript文件,后来直接在TypeScript文件中插入恶意代码。Aikido Intel通过LLM技术监控NPM等公共软件包管理器中的恶意代码,从而识别此次攻击。攻击痕迹包括特定软件包版本及域名0x9c[.]xyz。
CISA's Secure by Design initiative in limbo after key leaders resigna year agohttps://www.cybersecuritydive.com/news/cisa-secure-by-design-initiative-limbo-ke...网络安全与基础设施安全局(CISA)‘安全设计’计划核心领导人鲍勃·洛德和劳伦·扎比雷克已离职他们的离任使该计划雪上加霜——此前高级顾问杰克·凯布尔也已离职‘安全设计’计划旨在推动软件开发商重视网络安全,已获得250余家科技企业承诺CISA与科技行业因监管越界和企业压力问题产生紧张关系新政府上任后计划前景不明,行业团体持续抵制联邦监管代理局长布里奇特·比恩强调坚持‘安全设计’原则,但承认实施方式将‘动态调整’专家对该计划前景表示悲观,预计将面临资源不足与企业抵制的双重压力鲍勃·洛德对在政府体系外延续该计划势头仍持乐观态度
Does using Rust make your software safer?a year agohttps://tweedegolf.nl/en/blog/152/does-using-rust-really-make-your-software-safe...2021年发现Nucleus实时操作系统(应用于超30亿台设备)存在严重漏洞,攻击者可通过特制DNS响应操纵内存该漏洞属于NAME:WRECK系列漏洞,暴露出网络库处理不可信输入时的系统性问题,会导致系统崩溃或任意代码执行Rust语言的内存安全特性可预防此类漏洞,确保程序即使在恶意输入条件下也不会访问未授权内存实验证明:相比C语言,Rust实现的DNS解码器更安全(无可利用漏洞)、经过更彻底测试、且开发周期更短Rust的优势包括:算法表达能力、单元测试/模糊测试编写便捷性、自动内存安全机制,这些都能显著降低引入漏洞的可能性Nucleus NET漏洞涉及多重问题(如未检查的内存写入和无限循环),而Rust的编译时检查和安全抽象可有效缓解研究展示了基于Rust的DNS解码方案,其边界检查和安全内存管理等特性天然防范常见安全缺陷结论主张在关键系统中采用Rust语言,实际案例和实验结果证实其可提升安全性、降低成本和加速开发
$6.7M stolen from city of Portland in phishing schemea year agohttps://www.oregonlive.com/portland/2025/04/fraudster-tricks-city-of-portland-to...一名冒充波特兰供应商的诈骗犯转移了本应支付给合法供应商的670万美元资金。骗局通过欺骗市政员工更改银行账户信息实施。美国联邦调查局发现可疑活动后介入拦截了该笔付款。波特兰市正联合地方及联邦执法部门调查该事件。此前该市在2022年曾遭遇网络攻击,造成140万美元损失。
New Linux Rootkita year agohttps://www.schneier.com/blog/archives/2025/04/new-linux-rootkit.html一款名为'Curing'的rootkit恶意程序已被发布,其通过利用Linux内核的io_uring功能实现隐蔽的恶意操作。多数网络安全方案依赖系统调用监控,但攻击者通过io_uring可绕过检测,实现隐蔽网络通信或文件篡改。披露该研究的ARMO公司同时销售声称能阻断此类攻击的商业产品。缓解措施建议禁用io_uring功能,在多数场景下对系统性能影响甚微。io_uring功能在实现时可能未充分考量审计需求与安全性设计。
FBI offers $10M for information about Salt Typhoon membersa year agohttps://arstechnica.com/security/2025/04/fbi-offers-10-million-for-information-a...美国联邦调查局悬赏1000万美元征集中国黑客组织'盐台风'的情报盐台风是为中国效力的多个黑客组织之一,涉嫌从事间谍攻击活动该组织曾针对美国电信公司发起攻击,窃取通话记录日志和私人通讯信息盐台风拥有'红麦克'、'幽灵帝王'等多个别名,至少自2019年起开始活跃约一年前该组织加强了对全球电信网络的攻击活动