每日安全简讯（20251225)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 MacSync变种通过公证应用部署可绕过macOS安全检查

安全研究人员发现，macOS信息窃取程序MacSync的最新变种。此次攻击的核心是通过一个经过苹果官方代码签名和公证的Swift应用程序进行分发，这一合法化载体使其能直接绕过macOS的Gatekeeper安全检查。该恶意投放器通过将DMG文件膨胀至25.5MB（内含诱饵PDF）、执行后擦除脚本以及进行联网检查等多种机制规避检测与分析。投放器在系统上解码并执行的最终载荷为MacSync窃取程序，可窃取iCloud钥匙串凭证、浏览器密码、加密货币钱包及系统文件等敏感信息。

https://www.bleepingcomputer.com/news/security/new-macsync-malware-dropper-evades-macos-gatekeeper-checks/

---

2 安全研究人员发现新型Android远程控制木马

安全研究人员发现，一款名为Cellik的新型Android远程控制木马正在网络犯罪论坛中作为“恶意软件即服务”销售。该木马最大的威胁在于其传播方式：攻击者可直接从控制面板选择Google Play商店中的热门合法应用，通过内置的“APK构建器”将Cellik的恶意负载注入其中，以绕过安全检测并提高用户安装几率。一旦安装，攻击者便能以每月150美元的低廉订阅费获得堪比国家级间谍软件的功能，包括实时屏幕流和远程控制、键盘记录、远程启用摄像头、麦克风、隐藏浏览器会话以及窃取其他应用数据的注入系统。其隐藏浏览器模块可后台登录受害者银行账户或钓鱼页面，风险极高。

https://securityonline.info/the-silent-hijacker-new-cellik-android-rat-turns-legitimate-google-play-apps-into-surveillance-tools/

---

3 新型二维码钓鱼利用假工资单与验证码窃密

安全研究人员近日披露一种定制化的新型“二维码钓鱼”攻击。攻击者向目标员工发送伪装成工资更新通知的钓鱼邮件，内嵌二维码以规避传统邮件安全网关的链接检测。当员工使用个人手机扫描二维码后，将被引导至一个精心伪造的恶意网站。该网站首先会呈现一个虚假的验证码环节，其目的并非拦截机器人，而是在建立用户信任感的同时，为后台恶意脚本运行争取时间。该脚本会自动捕获并填充受害者的邮箱地址，进而诱导其输入密码，最终窃取登录凭证。

https://securityonline.info/the-payroll-trap-new-quishing-campaign-uses-fake-captchas-to-hijack-employee-paychecks/

---

4 罗马尼亚水务机构遭勒索攻击

罗马尼亚国家网络安全局确认，该国水务管理机构自12月20日起遭遇大规模勒索软件攻击，约1000台系统受影响，包括地理信息系统、数据库、邮件及域名服务器等。攻击波及全国11个流域管理机构中的10个，但关键的水利设施运营未中断，仍由现场人员手动维持。攻击者利用Windows自带的BitLocker功能加密文件并留下勒索信，要求七天内谈判，手法有别于常见勒索团伙。当局明确建议不接触、不谈判，并正将该机构纳入国家关键基础设施保护体系。

https://www.theregister.com/2025/12/22/around_1000_systems_compromised_in/?&web_view=true

---

5 n8n工作流平台曝高危漏洞

安全研究人员发现，开源工作流自动化平台n8n中存在一个严重安全漏洞，CVSS评分高达9.9分。该漏洞允许经过身份验证的攻击者，通过在工作流配置中插入恶意表达式，在隔离不足的执行上下文中以n8n进程权限执行任意代码，从而导致实例被完全攻陷，包括窃取敏感数据或执行系统命令。此漏洞影响1.120.4之前的所有版本，根据扫描数据，全球有超过10万个n8n实例可能面临风险，主要分布在美国、德国、法国等地。维护者已在最新版本中发布修复补丁，并建议所有用户立即升级。

https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html

---

6 国际刑警组织在非洲逮捕574人

国际刑警组织协调19个非洲国家，于2025年10月27日至11月27日开展代号“哨兵”的联合执法行动，成功逮捕574名嫌疑人，缴获300万美元，并摧毁超6000个恶意链接。此次行动重点打击商业邮件诈骗、数字勒索及勒索软件，所涉案件造成经济损失超2100万美元。行动中捣毁了一个利用仿冒快餐品牌网站诈骗的超40万美元犯罪网络。与此同时，美国司法部宣布，一名35岁的乌克兰公民阿尔乔姆·斯特里扎克对其作为Nefilim勒索软件附属成员攻击美、加、澳等国企业的指控表示认罪。该被告人于2024年6月在西班牙被捕，其根据勒索软件服务模式，针对年收入超2亿美元的公司实施双重勒索。

https://thehackernews.com/2025/12/interpol-arrests-574-in-africa.html

---