每日安全简讯(20241008)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者假冒NPM包利用AnyDesk瞄准Windows用户

近日，研究人员发现多个伪装为流行JavaScript库Lodash的恶意npm包，目标为使用Windows操作系统的开发者。最具代表性的是“lodasher”包，该包利用打字错误欺诈（typosquatting）技术，假冒Lodash库，通过版本号迷惑用户，并内含被篡改的AnyDesk远程桌面工具。这些恶意包还包括“laodasher”和“them4on”，由同一作者发布，已被下载850次。通过伪装为Lodash功能，恶意包将AnyDesk.exe重命名为Chrome.exe，并在受害者系统上执行。该AnyDesk版本使用已泄露的旧版签名证书，并通过不可信连接进行通讯。

https://www.sonatype.com/blog/counterfeit-lodash-attack-leverages-anydesk-to-target-windows-users

---

2 黑客利用VS Code远程隧道功能实现未经授权的访问

研究人员揭露了一起利用Visual Studio Code（VS Code）远程隧道功能的复杂攻击。攻击者通过.LNK文件作为初始攻击载体，可能通过垃圾邮件或钓鱼邮件发送。该文件伪装为合法的安装程序图标，欺骗用户执行后下载Python包，并运行恶意脚本。此脚本利用VS Code工具启动远程隧道，允许攻击者获取激活码并对受害者的系统进行未经授权的远程访问。攻击者通过创建计划任务维持持久性，并获取系统级权限以执行更多恶意操作。

https://cyble.com/blog/silent-intrusion-unraveling-the-sophisticated-attack-leveraging-vs-code-for-unauthorized-access/

---

3 黑客劫持AI模型用于非法角色扮演

近六个月来，针对生成式AI基础设施（如AWS Bedrock）的攻击显著增加。攻击者利用暴露的访问密钥，劫持受害者的生成式AI（GenAI）基础设施来支持自己的大型语言模型（LLM）应用。研究人员发现，攻击者通过绕过模型的内容过滤机制，搭建了一个用于性角色扮演的AI聊天应用，允许用户与AI角色进行一对一对话。部分对话涉及暴力和非法内容，甚至包括儿童性剥削材料（CSEM）。这些攻击主要瞄准Anthropic的Claude模型，但也波及其他云平台（如Azure、GCP）及其支持的模型（GPT4、Mistral、Gemini）。黑客使用的技术被称为“LLM劫持”，旨在利用高性能的AI资源非法获利，凸显了GenAI基础设施在云安全中的新兴威胁。

https://permiso.io/blog/exploiting-hosted-models

---

4 搭载人工智能功能的网络钓鱼攻击正在增多

根据研究人员的报告，网络钓鱼攻击随着AI技术的广泛应用迅速增长，第二季度钓鱼攻击企图增加了28%。尽管攻击数量增加，攻击手法仍沿袭传统方法，44%的攻击源自已被攻陷的账户，8%来自供应链内部的账户。研究表明，45%的钓鱼邮件携带恶意链接，23%包含附件。值得注意的是，75%的钓鱼工具包在暗网上出售时都声称具备AI能力，82%还支持生成深度伪造内容（deepfake）。研究人员指出，AI技术的商品化让缺乏技术的犯罪分子也能发动先进攻击，敦促组织采用AI防御措施应对新型威胁。现代钓鱼攻击越来越依赖模仿手段，成为针对企业的主要攻击方式之一。

https://www.egress.com/newsroom/new-report-reveals-a-rise-in-phishing-attacks-as-commodity-campaigns-and-impersonation-attacks-escalate

---

5 21岁男子承认窃取571名受害者价值3700万美元的加密货币

印第安纳州一名21岁男子Evan Frederick Light因2022年一次网络攻击窃取了价值37704560美元的加密货币，近日认罪。美国司法部表示，Light通过盗取南达科他州苏福尔斯一家投资公司合法客户的身份信息，成功侵入其服务器。随后，Light与未指明的共犯利用该访问权限窃取了数百名客户的个人信息，并通过这些信息转移了客户的加密货币。为隐藏资金流动和掩盖身份，Light将窃取的加密货币转入多个混币服务和赌博网站。然而，联邦调查局最终成功追踪到Light并于2023年5月起诉。Light现面临长达20年的监禁，以及赔偿受害者的判决。

https://www.justice.gov/usao-sd/pr/indiana-man-pleads-guilty-conspiracies-involving-cyber-intrusion-and-37-million

---

6 FBCS数据泄露波及Comcast和Truist Bank超40万客户信息

omcast和Truist Bank近日披露，受到美国债务催收公司FBCS的网络攻击影响，数十万客户的个人信息被泄露。FBCS在2024年2月中旬遭遇数据泄露，攻击者窃取了包括全名、社会安全号码、出生日期、账户信息和驾照号在内的敏感数据。此次泄露最初影响了190万人，但后续调查将受影响人数提升至420万。Comcast方面透露，273703名客户的数据在此事件中泄露，而Truist Bank也已向客户发出数据泄露通知，但具体受影响人数尚未公开。两家公司均为受影响客户提供了为期一年的身份盗窃保护服务。此外，由于FBCS的财务状况恶化，相关公司将自行负责通知和补救措施。

https://www.bleepingcomputer.com/news/security/comcast-and-truist-bank-customers-caught-up-in-fbcs-data-breach/

---