每日安全简讯(20241203)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客利用武器化的JavaScript项目攻击开发人员

朝鲜黑客集团利用武器化的Javascript项目瞄准软件开发人员，其中包括通过NPM软件包部署的BeaverTail恶意软件。这些恶意软件旨在窃取信息，并加载进一步的恶意程序，尤其是一个基于Python的多阶段后门程序——InvisibleFerret。该后门程序能够记录按键、窃取敏感文件、下载AnyDesk远程控制工具，并窃取信用卡信息和浏览器凭证。攻击通过ZIP文件内的恶意NPM包传播，用户安装后，恶意JavaScript文件(error.js)被加载，从而窃取浏览器登录凭证、收集系统数据、窃取加密钱包信息等。研究人员指出，BeaverTail恶意软件针对了21种加密货币浏览器扩展程序，并与过去通过虚假工作机会诱骗开发者的“传染性面试”攻击手法相符。

https://cybersecuritynews.com/weaponized-javascript-projects/

---

2 新型钓鱼攻击利用损坏的Word文档绕过安全防护

一种新型的钓鱼攻击通过滥用微软Word的文件恢复功能，向受害者发送损坏的Word文档，成功绕过安全软件检测。这些附件看似来自薪资和人力资源部门，主题与员工福利和奖金相关，文件名如“Annual_Benefits_&Bonus_for[name]”。当受害者打开这些文件时，Word会提示文件内容无法读取，并询问是否要恢复，随后恢复后的文档展示了一个QR码，要求用户扫描以获取“正式文档”。扫描QR码后，用户会被引导至一个伪装成微软登录页面的钓鱼网站，旨在窃取用户凭证。研究人员指出，这些文件由于故意损坏，未能被大多数安全软件检测到，导致其广泛传播并成功达成攻击目的。尽管这种方法并不涉及恶意代码的嵌入，但凭借这种新颖的技巧，攻击者能够有效避开安全防护。

https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/

---

3 研究人员发现针对Magento电商网站的信用卡窃取恶意软件

针对Magento电商网站的新型信用卡窃取恶意软件在结账页面悄然激活，窃取客户支付信息。这款恶意JavaScript脚本通过注入方式，伪造虚假信用卡表单或直接提取支付字段数据，仅在结账时启动。被盗数据通过加密处理后，传输至远程服务器。该攻击首先由西顿·亨利（Weston Henry）在例行检查中发现，恶意脚本通过高级混淆技术隐藏，避免被检测到。感染源被追踪至黑名单域名“dynamicopenfonts.app”，并植入Magento的XML文件中，通过<referenceContainer>指令在<body>标签关闭前加载恶意JavaScript。脚本除了窃取信用卡信息外，还通过Magento的API获取用户的姓名、地址、电话等个人信息。所有敏感数据通过JSON编码、XOR加密并最终Base64编码，确保传输过程中信息不易被侦测。

https://blog.sucuri.net/2024/11/credit-card-skimmer-malware-targeting-magento-checkout-pages.html

---

4 HPE Insight Remote Support漏洞可让攻击者执行任意代码

Hewlett Packard Enterprise (HPE) 披露了其 Insight Remote Support (IRS) 软件中的多个高严重性漏洞，可能允许攻击者执行远程代码、执行目录遍历和访问敏感信息。受影响版本包括v7.14.0.629之前的所有HPE Insight Remote Support版本。最严重漏洞CVE-2024-53676的CVSS v3.1评分高达9.8，属于“严重”级别。攻击者可无需用户交互，仅通过网络进行利用，危害未打补丁的系统。该安全公告于2024年11月22日发布，敦促用户立即采取行动解决这些严重缺陷。HPE已发布更新，建议用户立即升级至版本7.14.0.629或更高版本，并启用“自动下载和安装”选项，以确保及时接收安全补丁。

https://cybersecuritynews.com/hpe-insight-remote-support-vulnerabilities/

---

5 攻击者伪造技术支持网站诱导受害者下载恶意程序

网络诈骗分子通过恶意广告瞄准打印机用户，利用虚假的技术支持网站诱使受害者下载无法安装的虚假驱动程序，最终达到窃取个人信息和远程控制电脑的目的。通过Google搜索打印机相关问题时，受害者常常会被引导到假冒的技术支持网站，这些网站通常冒用知名品牌如HP和Canon的名义，误导用户拨打电话或在线聊天寻求帮助。进入这些网站后，受害者被要求输入打印机型号下载驱动程序，但实际下载的驱动是假的，并显示无法安装的错误信息。诈骗分子通过这种方式引导用户与他们联系，获取远程访问权限，从而窃取数据、锁定电脑或甚至访问受害者的银行账户。为了防范此类骗局，用户应避免点击搜索广告，使用广告拦截插件，并通过官方论坛或向懂技术的人寻求帮助

https://www.malwarebytes.com/blog/scams/2024/11/printer-problems-beware-the-bogus-help

---

6 企业数据面临的量子计算威胁日益加剧

随着量子计算的迅猛发展，网络安全专业人士和企业领导者正面临一个新的威胁：当前的加密技术可能不再安全。量子计算的出现，给现有的加密算法带来了巨大的挑战，因为量子计算能够在极短的时间内破解传统加密系统，使得企业数据安全面临前所未有的风险。量子计算利用量子比特的多状态特性，可以在某些计算任务上远超传统计算机的速度，特别是对破解加密算法具有极大的潜力。现行的加密方法，如RSA和AES，依赖于一些数学问题的计算复杂性，但量子计算能够在几秒钟内解决这些问题，这使得当前的加密协议变得脆弱。尽管如此，量子计算的全面应用仍面临技术挑战，尤其是如何开发出大规模、稳定的量子计算机，这些计算机能够有效地运行后量子加密算法。为了应对量子威胁，企业需要加速转型，过渡到量子安全加密技术。NIST（美国国家标准与技术研究院）已发布了首批量子安全加密标准，为全球企业提供了清晰的指南。这些标准包括针对公钥加密和数字签名的算法，帮助企业在量子计算普及之前做好准备。

https://www.govinfosecurity.com/blogs/growing-quantum-threat-to-enterprise-data-what-next-p-3770

---