每日安全简讯(20250117)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Snyk涉嫌上传恶意包针对Cursor测试人员
开发者安全公司Snyk被指涉嫌通过NPM上传恶意包,目标可能是AI代码编辑器Cursor。安全研究员Paul McCarty发现,名为“sn4k-s3c”的用户上传了三个包,分别为“cursor-retrieval”“cursor-always-local”和“cursor-shadow-workspace”,这些包会收集系统数据并发送至攻击者控制的服务器。其中“cursor-shadow-workspace”可窃取环境变量信息,如GitHub凭据、AWS密钥和NPM令牌。相关包现已从NPM下架,但元数据显示发布者使用了Snyk的邮箱地址。目前Snyk正调查此事,而Cursor尚未回应。有分析认为,Snyk可能是在测试Cursor的安全性,并无恶意,但Cursor联合创始人表示包名与Cursor内部扩展一致,否认这是NPM的命名冲突。此事引发广泛讨论,部分质疑Snyk意图不明。
https://sourcecodered.com/snyk-malicious-npm-package/
2 Fortinet警告零日漏洞攻击可暴露防火墙接口
Fortinet近日披露,未知威胁行为者利用零日漏洞针对暴露管理接口的FortiGate防火墙设备发起攻击。自2024年11月中旬起,攻击者通过未经授权的管理员登录更改配置、创建新账户,并利用DCSync技术提取凭据。受影响设备的固件版本为7.0.14至7.0.16。攻击分为四阶段,涵盖漏洞扫描、配置修改、创建超级管理员账户及SSL VPN隧道,最终通过VPN访问横向移动。攻击者活动与jsconsole接口的异常使用密切相关,涉及多个VPS托管IP地址。
https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/
3 黑客利用虚假YouTube链接窃取登录凭证
网络犯罪分子通过伪造的YouTube链接引导用户访问钓鱼页面,窃取登录凭证。ANY.RUN的分析显示,攻击者使用URI操控和多层重定向技术,使恶意链接看似可信。这些链接通常伪装为以“http://youtube”开头的地址,通过电子邮件诱导用户点击。重定向过程中,黑客还模拟Cloudflare验证页面,降低用户警觉。最终,受害者被引导至逼真的钓鱼页面输入登录信息。该攻击与Storm1747组织相关,利用Tycoon 2FA等钓鱼工具包,快速部署大规模攻击。
https://hackread.com/hackers-fake-youtube-links-steal-login-credentials/
4 SimpleHelp关键漏洞可致文件泄露及远程控制
研究人员披露了SimpleHelp远程访问软件中多个高危漏洞,可能导致信息泄露、权限提升及远程代码执行(RCE)。其中CVE-2024-57727允许未经身份验证的攻击者通过路径遍历下载敏感文件;CVE-2024-57728可让具有管理员权限的攻击者上传恶意文件;CVE-2024-57726则能让低权限技术员通过后端授权漏洞提升为管理员。这些漏洞可被组合利用,攻击者可完全接管SimpleHelp服务器。漏洞现已在最新版本中修复(5.3.9、5.4.10、5.5.8)。官方建议用户尽快升级软件,同时更改管理员密码、轮换技术员账户密码,并限制服务器登录IP范围,以防范潜在攻击。
https://www.horizon3.ai/attack-research/disclosures/critical-vulnerabilities-in-simplehelp-remote-support-software/
5 Kong Ingress Controller镜像遭篡改导致被植入挖矿代码
攻击者通过入侵Kong的DockerHub账户,将合法的Kong Ingress Controller v3.4.0镜像替换为含有挖矿代码的恶意版本。该代码会将受影响系统的资源指向加密货币矿池pool.supportxmr.com,导致系统资源被滥用。Kong团队于2025年1月2日发现此问题并迅速采取行动,移除了受影响版本,并发布了修复后的v3.4.1版本,同时重新标记了干净的v3.4.0版本。
https://github.com/Kong/kubernetes-ingress-controller/security/advisories/GHSA-58mg-ww7q-xw3p?ref=thestack.technology
6 美国保险公司被指控非法收集和出售位置数据
德州总检察长Ken Paxton指控保险公司Allstate及其子公司Arity,秘密嵌入软件至移动应用中,非法收集4500万美国用户的实时位置和驾驶数据,违反德州《数据隐私与安全法案》。这些数据被用于提高保险费率,并出售给第三方,包括其他保险公司。Arity通过支付应用开发者,将监控软件集成至用户安装的应用,未获用户知情同意,构建了全球最大驾驶行为数据库。
https://www.malwarebytes.com/blog/news/2025/01/insurance-company-accused-of-using-secret-software-to-illegally-collect-and-sell-location-data-on-millions-of-americans
页:
[1]