每日安全简讯(20250102)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 VibeBP插件漏洞致网站面临高危威胁

印度计算机应急响应小组（CERT-In）发布了关于VibeBP WordPress插件的紧急漏洞通告（CIVN-2024-0360）。该插件存在多项严重漏洞，包括代码执行、权限提升及SQL注入风险。这些漏洞允许攻击者利用低权限账户获取管理员权限，从而执行任意代码、窃取敏感数据或安装恶意软件。VibeBP作为一种增强BuddyPress插件的工具，为WordPress网站提供社交网络功能，但这些安全漏洞可能导致网站完全被恶意控制，给数据安全带来极大威胁。CERT-In建议所有用户尽快采取措施修补漏洞，以避免潜在损失。

https://cyble.com/blog/cert-in-warns-of-vibebp-vulnerabilities/

---

2 GitHub虚假“星标”泛滥影响信任

研究发现，GitHub平台存在大量虚假“星标”用于人为提升项目排名，涉及超过310万个假星标和27.8万个账户。这些虚假星标不仅助长恶意软件分发，还损害了平台信任。由Socket、卡内基梅隆大学和北卡罗来纳州立大学合作开发的“StarScout”工具，分析了20TB数据，检测出协同操作和低活跃度账户行为模式，从而揭示了虚假星标网络的规模。研究显示，2024年虚假星标活动显著增加，其中15.8%的项目受影响。尽管GitHub已移除部分问题项目，但研究人员警告用户需超越星标数量，综合评估项目质量以避免安全风险。

https://arxiv.org/pdf/2412.13459

---

3 35款Chrome扩展被劫持植入窃密代码

近期曝光的网络钓鱼攻击导致至少35款Chrome扩展被劫持，受影响用户超过260万。攻击者通过伪造谷歌政策违规通知邮件，引导开发者点击恶意链接并授权虚假OAuth应用，获得Chrome扩展管理权限。随后，攻击者篡改扩展代码，植入窃取Facebook账户信息的恶意脚本，包括用户ID、访问令牌、广告账户信息等。恶意代码还通过监听Facebook用户行为，绕过双因素认证，劫持商业账户。此次攻击影响范围广泛，始于2024年3月并在年底愈发猖獗。专家建议开发者提高安全意识，谨慎核实官方通知来源，避免类似攻击风险。

https://groups.google.com/a/chromium.org/g/chromium-extensions/c/mJn0ynfgNq8?pli=1

---

4 美制裁俄伊团体干预2024年大选

美国国务院制裁两家外国机构及一名个人，指控其代表俄罗斯和伊朗情报机构干预2024年美国大选。这些实体包括与伊朗革命卫队合作的“认知设计生产中心”和与俄罗斯格鲁乌关联的“地缘政治专家中心”。据美国财政部透露，这些组织利用生成式人工智能工具制造并传播虚假信息，旨在煽动社会政治分裂并破坏选民对民主机构的信任。此外，这些活动还包括伪造新闻网站、资金输送至网络影响者，以及针对美国观众的虚假宣传。尽管干预活动效果有限，美国官员强调外国干预对选举安全构成复杂威胁。

https://home.treasury.gov/news/press-releases/jy2766

---

5 BitLocker漏洞修复后仍可被利用

安全研究员在德国混沌通信大会上展示了名为“Bitpixie”的攻击方法，可通过网络利用已修复的Windows BitLocker漏洞（CVE-2023-21563）。该攻击通过PXE启动诱使设备遗忘加密密钥，进而从内存中提取主密钥解密数据。研究表明，仅禁用BIOS网络功能才能有效防御此攻击。微软正尝试在安全补丁与设备兼容性间寻求平衡，但其计划在2026年停止当前引导认证的提议可能带来新的安全与兼容性挑战。

https://www.govinfosecurity.com/patched-bitlocker-flaw-still-susceptible-to-hack-a-27195

---

6 罗德岛健康福利系统数据泄露至暗网

罗德岛州健康福利系统RIBridges遭黑客攻击，居民数据被泄露至暗网。RIBridges支持多个州级福利项目，受影响的数据范围尚不明确。州长丹尼尔·麦基称州政府已预先采取防范措施，并敦促居民保护个人信息。外包公司德勤正调查此次安全事件，并将为受影响者提供免费信用监控服务。州政府建议冻结信用记录、启用多因素认证，并警惕网络钓鱼风险，以降低潜在损失。

https://apnews.com/article/cybersecurity-breach-data-rhode-island-e4a7298010d59fe6cb095a436f912a5d

---