每日安全简讯(20250104)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 恶意NPM包伪装以太坊工具部署Quasar RAT木马

研究人员发现一个恶意NPM包，伪装成用于检测以太坊智能合约漏洞的库，但实际上该包在开发者系统上安装后，会部署一个名为Quasar RAT的远程控制木马。该包名为“ethereumvulncontracthandler”，于2024年12月18日发布，至今已被下载66次。该恶意包使用多层混淆技术，包括Base64编码、XOR编码和代码最小化，以逃避分析和检测。一旦安装，该包会从远程服务器获取并执行恶意脚本，进而在Windows系统上部署Quasar RAT。木马通过修改Windows注册表来实现持久性，并与一个命令与控制（C2）服务器通信，以接收更多指令，进行信息收集和数据外泄。Quasar RAT自2014年发布以来，已被用于多个网络犯罪和间谍活动。研究人员指出，感染的设备完全被攻击者控制，随时可以接收进一步的命令和更新。

https://socket.dev/blog/quasar-rat-disguised-as-an-npm-package

---

2 超过300万邮件服务器因缺乏加密面临嗅探攻击风险

研究报告显示，全球约330万台运行POP3和IMAP服务的邮件服务器未启用TLS加密，导致用户凭证和邮件内容以明文形式传输，暴露于嗅探攻击的风险中。IMAP和POP3是访问邮件的主要协议，其中IMAP适合多设备同步，而POP3则仅在单设备上访问邮件。TLS协议为用户在邮件传输过程中提供加密保护，但未启用TLS的服务器会将用户名和密码以明文形式传输，容易被攻击者拦截。此外，这些服务的暴露还可能引发密码猜测攻击。

https://www.bleepingcomputer.com/news/security/over-3-million-mail-servers-without-encryption-exposed-to-sniffing-attacks/

---

3 欧洲多国封禁俄罗斯媒体Telegram频道

Telegram在多个欧洲国家限制访问俄罗斯国有新闻频道，包括波兰、法国、意大利等国。被封禁的俄罗斯媒体包括RIA Novosti、NTV、Rossiya 1和《俄罗斯报》等。用户访问这些频道时，会收到“此频道无法显示，因为违反了当地法律”的提示。Telegram的封禁措施针对多个由俄罗斯政府运营或控制的媒体，旨在应对俄罗斯在国际媒体领域的宣传和虚假信息传播。根据欧盟当局的报告，俄罗斯媒体在当前冲突中扮演了重要角色，用以支持克里姆林宫的立场并干扰乌克兰及欧洲邻国的政治稳定。

https://kyivindependent.com/telegram-blocks-russian-state-owned-media-channels-in-eu/

---

4 微软Dynamics 365与Power Apps漏洞修复

微软修复了Dynamics 365和Power Apps Web API中的三大严重漏洞，这些漏洞可能导致敏感数据泄露。漏洞由澳大利亚网络安全公司Stratus Security发现，并已于2024年5月完成修复。两个漏洞位于Power Platform的OData Web API中：第一个因访问控制缺失，允许攻击者通过布尔搜索方法逐字符猜测并提取密码哈希值；第二个利用orderby子句获取数据库中关键列的数据，如联系人主电子邮件地址。第三个漏洞涉及FetchXML API，攻击者可通过orderby查询访问受限列，完全绕过现有的访问控制。这种攻击无需特定的排序方式，灵活性更强。利用这些漏洞，攻击者可以收集密码哈希和电子邮件信息，随后破解密码或出售数据。

https://www.stratussecurity.com/post/critical-microsoft-365-vulnerability

---

5 Terraform前CEO因加密欺诈被引渡至美国

美国司法部宣布Terraform Labs联合创始人兼前CEO权道亨从黑山被引渡至美，并在曼哈顿联邦法院出庭。权道亨被控通过复杂骗局操纵Terraform加密货币价值，导致投资者损失超400亿美元。根据起诉书，权道亨在2022年UST稳定币崩溃前后，通过虚假宣传和市场操控误导投资者，声称Terraform产品去中心化且高效。然而，其“Terra协议”无法如承诺般稳定币值，相关区块链技术也被虚假包装。权还伪称Terraform区块链支持韩国支付平台Chai的交易，而实际交易通过传统金融网络处理。2023年，权因使用伪造护照试图前往无引渡条约国家被捕。SEC此前指控其出售未注册证券并虚假陈述，已达成44.7亿美元和解协议。但权面临包括证券欺诈、洗钱在内的九项指控，将于1月8日在纽约联邦法庭再次出庭。

https://www.justice.gov/opa/pr/do-kwon-extradited-united-states-montenegro-face-charges-relating-fraud-resulting-40b-losses

---

6 .NET旧域名更新最后期限将至需更换新域名

微软宣布，由于部分.NET二进制文件和安装程序托管于即将停止服务的Edgio CDN平台，开发者必须在2025年1月7日前更新其生产与DevOps基础设施，以避免服务中断。受影响的域名包括dotnetcli.azureedge.net和dotnetbuilds.azureedge.net。微软正迁移至Azure Front Door CDN，并将自动迁移用户工作负载，但不包括以*.vo.msecnd.net结尾的端点。此外，计划自行迁移至其他CDN的用户需在1月7日前设置特性标志DoNotForceMigrateEdgioCDNProfiles，否则将被自动迁移。

https://thehackernews.com/2025/01/critical-deadline-update-old-net.html

---