#malware

本文深入分析了名为 microsoftsystem64 的恶意 npm 包，该包伪装成合法依赖，实则充当供应链木马，将窃取的数据外泄至 HuggingFace 平台。安全团队还原了完整的攻击链，揭示了攻击者如何利用公共 AI 模型仓库进行数据窃取，以及对下游用户构成的潜在风险。

据 KrebsOnSecurity 报道，涉嫌操控 Kimwolf 僵尸网络的幕后黑手“Dort”已在美国和加拿大被逮捕并受到刑事指控。此人被指控制造并运营该恶意网络，用于发起分布式拒绝服务（DDoS）攻击及其他网络犯罪活动。此案标志着跨国打击网络犯罪的一次重要行动。

研究人员发现了一场大规模的恶意NPM包分发活动，该活动由176个包组成，旨在绕过企业的内部依赖管理机制。攻击者通过精心构造的包名和版本策略，诱使开发者误将恶意包作为内部私有依赖引入项目。这场持续数月的供应链攻击暴露了依赖混淆攻击的严重威胁，企业需加强内部包管理审查和依赖锁定策略。

当你在谷歌搜索"OpenAI Codex app"时，排名靠前的搜索结果中会出现一个伪装成官方应用的虚假网站，实际目的是传播恶意软件。这一发现提醒用户在下载AI相关工具时务必核实来源，警惕搜索引擎广告位中的钓鱼和恶意链接。

一名恶意软件开发者试图通过NPM包窃取Claude AI用户的机密信息，却因疏忽泄露了自己的GitHub私有令牌。这一安全事件暴露了供应链攻击中攻击者自身的操作失误，同时也凸显了开源生态系统中代码审查和令牌管理的重要性。

安全研究人员发现，黑客利用Ghost CMS的一个安全漏洞，在数百个网站上植入ClickFix攻击载荷。该漏洞允许攻击者绕过内容管理系统的安全限制，将恶意JavaScript代码注入网站页面，诱导用户执行恶意操作。受影响的网站数量已达数百个，用户访问这些站点时可能遭遇恶意弹窗和钓鱼攻击。

一名恶意软件开发者试图通过伪装成合法软件来窃取Claude人工智能助手用户的敏感信息，但在此过程中意外将自己的GitHub私人访问令牌泄露了出去。这一失误不仅暴露了其身份和源代码，还让安全研究人员得以追踪其攻击手法。该事件再次警示开发者在使用API密钥和令牌时务必谨慎，避免因疏忽导致自身数据外泄。

CrowdStrike披露了一项代号为"Glassworm"的复杂攻击行动，该僵尸网络专门针对软件开发人员，利用虚假开发工具和恶意代码注入等技术手段实施渗透。本文深入解析了CrowdStrike如何追踪并成功瓦解这一威胁，揭示了攻击者的技术手法、基础设施以及防御建议，为安全社区提供了宝贵的威胁情报和实战经验。

网络安全研究人员发现，GitHub和SourceForge等平台上出现大量伪造的ChatGPT桌面客户端安装程序，这些恶意软件实际携带Deno RAT远程访问木马。攻击者利用用户对AI工具的急切需求，通过假冒软件实施数据窃取和系统控制，用户应从官方渠道下载软件并验证数字签名。

一名开发者分享了自己疑似被朝鲜黑客组织通过复杂恶意软件活动攻击的经历。攻击者利用虚假招聘和模拟面试等手段，试图在开发者的机器上植入后门。文章详细描述了攻击手法及防范建议。

一场名为Shai-Hulud的新型恶意软件攻击浪潮已感染超过600个NPM软件包，对JavaScript生态系统构成严重威胁。攻击者通过依赖混淆和包名仿冒等技术进行投毒，受感染的包可能被用于数据窃取和后门植入。开发者和企业需立即审查项目依赖，并加强供应链安全防护措施。

安全研究人员在NPM、PyPI和crates.io平台上发现了一起新的供应链攻击，涉及34个软件包共100个版本。这些恶意软件包通过植入后门窃取加密货币，对开发者和用户构成严重威胁。建议开发者及时检查依赖项，避免使用受影响版本。

TrapDoor 是一种新型供应链攻击，同时影响了 PyPI、NPM 和 crates.io 三大主流软件包管理器。攻击者通过向这些平台发布含有恶意代码的软件包，在开发者安装时窃取敏感数据。该攻击展示了跨生态系统的供应链威胁正变得愈发复杂和普遍。

安全研究人员发现名为 TrapDoor 的跨生态系统加密货币窃取活动，该恶意软件能够同时针对多个区块链平台和钱包进行攻击。通过伪装成合法应用程序，TrapDoor 在感染设备后窃取私钥、助记词等敏感数据，对加密货币用户构成严重威胁。

Laravel 生态系统的 Lang 软件包遭到劫持，攻击者在其中植入恶意代码，用于窃取用户凭据。该安全事件影响了多个流行的语言包，用户应立即检查并更新受影响的软件包，以防止凭据泄露和进一步的安全风险。

APKPure 被发现正在分发一个包含恶意代码的 Telegram 副本。该恶意版本可能窃取用户数据或植入后门，对用户隐私和安全构成严重威胁。建议用户从官方渠道下载应用，并检查设备上是否安装了受影响的版本。

安全研究人员发现，多个 Laravel Lang 语言包被黑客劫持，攻击者通过植入恶意代码来部署窃取凭证的恶意软件。这些被篡改的包会窃取环境变量、数据库凭证等敏感信息，并发送给远程服务器。建议使用相关语言包的用户立即检查并更新至安全版本。

一场供应链安全攻击正针对 Laravel-Lang 语言包，恶意代码被植入以窃取开发者的凭据信息。攻击者通过篡改流行的 Laravel 多语言扩展包，在系统环境中植入凭证窃取器，导致使用受影响包的开发者面临敏感数据泄露风险。该事件再次凸显了开源软件供应链中依赖管理的安全挑战。

安全研究人员在超过 700 个 GitHub 仓库中发现恶意 postinstall 钩子，这些钩子被用于在安装依赖时执行恶意代码，受影响的项目包括多个 Node.js 相关仓库。攻击者通过向合法 npm 包注入恶意 postinstall 脚本，在开发者安装依赖时窃取敏感信息或获取远程访问权限。该发现凸显了供应链攻击的持续威胁，建议开发者审查依赖并验证安装脚本的安全性。

据报道，FBI局长卡什·帕特尔（Kash Patel）关联的服装网站Based Apparel被发现试图通过“ClickFix”攻击手段欺骗访客安装恶意软件。该网站利用虚假的系统提示诱导用户执行恶意命令，从而感染设备。安全专家已就此发出警告，提醒用户避免访问该站点。

CypherLoc 是一种新型高级浏览器锁定式恐吓软件，通过伪造系统警告锁定用户浏览器，诱骗数百万用户支付赎金。该恶意软件利用社会工程学手段制造紧迫感，诱导受害者拨打虚假技术支持电话或购买不存在的安全服务。Barracuda 安全团队详细分析了其传播机制与攻击链条，并为用户提供了防护建议。

Kash Patel的官方周边商品网站遭到黑客入侵，被篡改后用于诱骗访问者下载并安装恶意软件。该安全事件暴露了电商平台的风险，提醒用户注意可疑下载链接。网站已被暂时关闭以进行安全修复。

一个名为TeamTNT的黑客组织正在通过GitHub发起大规模软件供应链攻击，向开源项目中植入恶意代码。该攻击已被安全研究人员标记为"前所未有"级别，影响了大量开发者社区。攻击者通过伪装成合法更新和库文件的方式，传播后门程序，威胁全球软件供应链安全。

Valve 从 Steam 平台下架了一款免费游戏，原因是玩家发现该游戏内含恶意软件，会窃取用户数据。这一事件再次引发了对 Steam 平台游戏安全审核的关注，提醒玩家在下载免费游戏时需保持警惕。

据外媒报道，一名涉嫌运营名为"Kimwolf"僵尸网络的犯罪嫌疑人“Dort”已在美国和加拿大被逮捕并面临多项指控。该僵尸网络被指用于实施大规模网络攻击、窃取数据及进行其他非法活动。此次跨境执法行动凸显了国际社会在打击网络犯罪方面的合作力度。

几个月前，我们的团队因一次普通的 npm install 遭遇了第一版 Shai-Hulud 攻击，发现时为时已晚。为此我打造了 Computer Police，让团队不再重蹈覆辙。它作为本地注册表代理运行在包管理器与 npm/PyPI 之间，在确认恶意的包触及磁盘之前就予以阻止。它刻意保持功能窄小：仅针对恶意软件，无 CVE 扫描、无启发式检测、无遥测、无需 root 权限，一条命令即可卸载。支持本地、CI 环境和 agent 沙箱中使用。

Zimperium研究人员发现了一场名为“Premium Deception”的全球性安卓运营商计费诈骗活动。攻击者通过恶意应用诱导用户订阅高级服务，从而在用户不知情的情况下产生高额费用。该活动已影响多个国家和地区的用户，凸显了移动设备上运营商计费欺诈的持续威胁。

GitHub证实，攻击者通过一个恶意的Visual Studio Code扩展程序成功入侵了约3800个仓库。此次安全事件源于一个被篡改的VSCode扩展，该扩展在开发者环境中执行了恶意代码，导致大量仓库的凭据和敏感信息泄露。GitHub已采取相应措施并建议开发者审查受影响的仓库。

研究人员发现一款名为Fast16的恶意工具，专门设计用于破坏核武器模拟系统。该工具能够篡改模拟数据、干扰计算流程，并对关键基础设施构成严重威胁。分析表明，Fast16具备高度针对性，可能由国家支持的黑客组织开发，旨在影响国防领域的战略决策。

国际刑警组织在“拉姆兹行动”中查获了53台用于传播恶意软件和实施网络钓鱼攻击的服务器，打击了全球网络犯罪基础设施。此次行动涉及多个国家执法机构的协作，旨在削弱犯罪分子利用恶意软件和钓鱼手段窃取敏感信息的能力。被查封的服务器曾用于托管恶意代码和伪造的登录页面，以欺骗用户泄露凭证和财务数据。