每日安全简讯(20260107)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者通过伪造Windows蓝屏传播远控木马

研究人员近期发现一起恶意软件活动，该活动采用ClickFix攻击，利用蓝屏死机动画诱导用户执行恶意代码，利用可信工具MSBuild.exe规避防御，部署DCRat远控木马，实现完全远程控制及二次payload投放，专门瞄准假日旺季的酒店行业。活动初始通过仿冒Booking.com预订取消邮件诱导用户点击链接，跳转至仿冒页面，以虚假验证码错误触发仿冒蓝屏动画，催促用户在Windows运行对话框执行恶意脚本。脚本执行PowerShell命令下载MSBuild项目文件v.proj，由MSBuild.exe编译执行内嵌payload，最终释放高度混淆的DCRat远控木马，具备进程注入、键盘记录、持久化远程控制等功能。

https://www.securonix.com/blog/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection/

---

2 Crimson Collective黑客团伙宣称入侵美国宽带公司Brightspeed

美国光纤宽带提供商Brightspeed正调查一起网络攻击事件，知名黑客团伙Crimson Collective宣称入侵其系统，窃取了超100万用户的个人信息。Brightspeed业务覆盖20个州，服务超100万企业及家庭用户，其发言人回应称正调查该网络安全事件，将及时告知用户、员工及相关部门，并强调重视网络安全与信息保护。Crimson Collective声称窃取的信息包括姓名、账单地址、邮箱、电话等个人信息，以及账户状态、支付详情、服务记录等客户数据，还向多位暗网监控领域的网络安全专家发送了持有证据以佐证其说法。

https://www.securityweek.com/brightspeed-investigating-cyberattack/

---

3 研究人员披露macOS系统存在漏洞可绕过用户隐私保护机制

研究人员披露macOS系统TCC（透明、同意与控制）隐私框架存在漏洞CVE-2025-43530，该漏洞利用辅助功能工具缺陷可完全绕过用户隐私保护。漏洞位于支持VoiceOver功能的ScreenReader.framework模块中，攻击者通过操纵com.apple.scrod服务的私有API，无需用户授权提示即可执行恶意命令。其核心问题在于验证逻辑存在两处缺陷：过度依赖代码签名（信任所有苹果签名进程，且此类进程易注入恶意载荷）、存在TOCTOU漏洞（通过文件路径而非安全审计令牌验证客户端，允许攻击者在验证窗口期替换文件）。利用该漏洞，攻击者可通过AppleScript实现设备全自动化控制，访问照片、联系人等敏感数据，相关利用代码已公开。

https://securityonline.info/new-tcc-bypass-cve-2025-43530-exposes-macos-to-unchecked-automation/

---

4 NordVPN否认数据泄露称攻击者仅窃取虚拟数据

NordVPN否认近期数据泄露传言，称所谓被窃取数据实为第三方隔离测试环境中的虚拟测试数据，无任何客户数据、生产系统或有效凭证受损。此次传言源于黑客1011在黑客论坛宣称从NordVPN开发服务器窃取超10个数据库，含Salesforce API密钥等敏感开发资产，声称通过暴力破解配置不当系统获取。经NordVPN内部调查确认，涉事数据并非来自其生产或开发基础设施，而是数月前试用第三方自动化测试平台时创建的临时环境，该环境仅用于初步评估，未接入内部及生产网络，且因未签订合同未上传任何真实敏感信息，数据库仅含验证功能的虚拟数据和测试工件。

https://www.esecurityplanet.com/threats/nordvpn-says-breach-claims-involve-dummy-test-data/

---

5 加密货币钱包公司Ledger由于第三方数据泄露暴露客户个人信息

加密货币钱包公司Ledger正遭遇一起数据泄露事件，泄露源于其第三方支付处理商Global-e的云系统被未授权访问。据Global-e发送给客户的邮件显示，Ledger用户的姓名、联系方式等个人信息遭泄露，但未披露受影响用户数量及攻击发生时间。Ledger回应称，此次泄露并非自身平台、硬件或软件系统被攻破，相关系统仍安全，且用户支付信息、24助记词、区块链余额等数字资产相关机密未受影响，因Global-e作为数据控制方负责发送通知。据悉，Global-e已发现异常活动并实施管控，聘请法医专家展开调查。此外，此次事件并非仅影响Ledger，其他多个品牌用户的购物订单数据也遭访问。

https://www.coindesk.com/markets/2026/01/05/crypto-wallet-firm-ledger-faces-data-breach-through-global-e-partner

---

6 研究人员发现多款基于VSCode衍生的AI驱动IDE存在安全隐患

研究人员发现Cursor、Windsurf等多款基于VSCode衍生的AI驱动IDE存在安全隐患，其推荐的部分扩展在OpenVSX注册表中不存在，可能被攻击者抢占命名空间并上传恶意扩展。这些衍生IDE因授权限制无法使用VSCode官方扩展商店，转而依赖开源的OpenVSX市场，但继承了配置文件中硬编码的官方推荐扩展列表（指向微软应用商店）。推荐扩展分文件触发式和软件检测式两类，部分扩展在OpenVSX无对应版本，相关发布者命名空间处于未被认领状态。为防范攻击，研究人员已抢占6个扩展的命名空间并上传占位扩展，还与OpenVSX运营方协调强化安全措施。目前无证据显示该漏洞已被恶意利用，研究员建议衍生IDE用户手动验证扩展及发布者可信度。

https://www.bleepingcomputer.com/news/security/vscode-ide-forks-expose-users-to-recommended-extension-attacks/

---