网络钓鱼攻击瞄准GitHub,近12000存储库面临风险
发布时间 2025-03-171. 网络钓鱼攻击瞄准GitHub,近12000存储库面临风险
3月16日,一场大规模的网络钓鱼活动针对近12,000个GitHub存储库发起了虚假的“安全警报”,企图诱骗开发人员授权一个恶意的OAuth应用程序。该应用程序一旦获得授权,将赋予攻击者对用户帐户和代码的完全控制权。这些网络钓鱼问题都包含相同的文本,声称检测到来自冰岛雷克雅未克和特定IP地址的异常登录尝试。网络安全研究员Luc4m首先发现了这一骗局,其中警告用户应更新密码、检查活动会话并启用双因素身份验证,但所有链接均指向一个名为“gitsecurityapp”的恶意OAuth应用程序,请求大量危险权限。若用户不慎授权,该应用将获取对公共和私有存储库的完全访问、用户资料管理、组织项目读取、讨论读写、GitHub gist访问及存储库删除等权限。此次活动始于今日早上6:52,目前仍在持续,受影响存储库数量有所波动,暗示GitHub正在采取措施应对。若您受影响并已授权该恶意应用,请立即在GitHub设置中撤销其访问权限,并查找任何不熟悉或可疑的应用程序及GitHub Actions工作流。此外,建议轮换您的凭证和授权令牌以增强账户安全。
https://www.bleepingcomputer.com/news/security/fake-security-alert-issues-on-github-use-oauth-app-to-hijack-accounts/
2. 密克罗尼西亚雅浦州政府卫生机构遭勒索软件攻击致服务中断
3月16日,密克罗尼西亚雅浦州,作为太平洋岛国密克罗尼西亚联邦的四个州之一,近期遭遇了勒索软件攻击。2025年3月11日,雅浦岛卫生部检测到这一攻击,并立即关闭了其网络和数字医疗系统以防止威胁扩散。该州政府通过Facebook发布了安全漏洞通知,宣布虽然服务仍在继续,但速度较慢。公告指出,整个网络已被脱机,所有计算机都已关闭,国土安全部正与相关部门及私人IT承包商合作,评估渗透程度,确定数据泄露情况,并努力恢复服务。雅浦卫生局正在其他政府机构和外部IT承包商的协助下调查此次事件,并努力恢复受影响的系统和服务。目前,尚无勒索软件组织声称对此次攻击负责。值得注意的是,太平洋岛屿已多次成为勒索软件攻击的目标,包括汤加、瓦努阿图和菲律宾等国都曾遭受过此类攻击。
https://securityaffairs.com/175445/cyber-crime/a-ransomware-attack-hit-the-micronesian-state-of-yap.html
3. 安全研究员发布Akira勒索软件Linux变种GPU解密器
3月15日,安全研究员Yohanes Nugroho成功发布了Akira勒索软件Linux变种的解密器。该解密器利用GPU能力检索解密密钥,无需用户提供密钥即可免费解锁文件。Nugroho和朋友根据Akira使用时间戳生成加密密钥的方式,原本预计一周内破解,但因复杂性增加,最终耗时三周,花费1,200美元购买GPU资源。Akira勒索软件使用四个不同的时间戳种子以纳秒精度为每个文件生成唯一的加密密钥,并通过1,500轮SHA-256进行哈希处理,使用RSA-4096加密并附加在加密文件末尾。研究人员通过查看日志文件缩小了暴力破解的可能时间戳范围,并使用RunPod和Vast.ai云GPU服务,最终使用16块RTX 4090 GPU在大约10小时内强行破解了解密密钥。但恢复加密文件数量多的话,该过程可能需要几天时间。Nugroho已在GitHub上提供解密器和恢复文件的说明,但使用时需自行承担风险,因为BleepingComputer尚未测试该工具的安全性或有效性。
https://www.bleepingcomputer.com/news/security/gpu-powered-akira-ransomware-decryptor-released-on-github/
4. Coinbase 钓鱼电子邮件利用虚假钱包迁移欺骗用户
3月14日,一起大规模的网络钓鱼攻击针对Coinbase用户,攻击者通过发送伪装的电子邮件,声称Coinbase要求用户过渡到自托管钱包,并诱导用户使用攻击者控制的预生成恢复短语设置新钱包。这些邮件声称来自Coinbase,但邮件的回复地址和发送IP地址却显示异常。尽管邮件通过了多项电子邮件安全检查,但实际上是网络钓鱼诈骗。此次钓鱼活动的特点是邮件中没有钓鱼链接,而是包含一个恢复短语,诱导用户使用该短语设置新钱包。恢复短语是加密货币钱包私钥的人类可读版本,掌握该短语的人可以访问钱包中的加密货币和NFTs。然而,攻击者并未窃取用户的恢复短语,而是提供了他们已知和控制的短语。一旦用户使用该短语设置新钱包并转入资金,所有资产都将被攻击者窃取。Coinbase已发布警告,称他们永远不会向客户发送恢复短语,并提醒用户警惕此类诈骗。对于已陷入骗局的用户,建议迅速将新钱包中的资金转回自己的钱包。同时,用户应提高警惕,永远不要使用通过电子邮件和网站共享的恢复短语,以保障自己的加密货币安全。
https://www.bleepingcomputer.com/news/security/coinbase-phishing-email-tricks-users-with-fake-wallet-migration/
5. 为期一周的Exchange Online中断导致电子邮件失败或延迟
3月14日,微软近期遭遇了长达一周的Exchange Online中断问题,导致全球用户发送或接收电子邮件时出现延迟或失败。虽然微软未公开透露详细信息,但确认此事件为Microsoft 365管理中心跟踪的关键服务问题EX1027675。中断影响了使用受影响基础设施服务的所有用户,许多客户收到未送达报告,显示“554 5.6.0 邮件内容损坏”错误。微软在3月10日首次承认问题,但报告称中断始于3月7日。微软表示,问题源于旨在改善信息传输服务的更新中的代码错误,影响了部分服务基础设施。用户发现无法发送带附件的电子邮件,但使用ZIP文件形式发送可绕过此问题。尽管微软已推出修复程序缓解了EX1027675问题,但另一几乎相同的事件EX1030895仍在发生,触发未送达报告的错误仅限于一小部分消息及带有winmail.dat附件的间歇性纯文本日历邀请电子邮件。微软正在测试潜在修复程序,并对包含修复程序的机器进行有针对性的重启,同时密切监控诊断遥测数据以找出问题根源。
https://www.bleepingcomputer.com/news/microsoft/week-long-exchange-online-outage-causes-email-failures-delays/
6. 思科修补高严重性DoS漏洞,警告BGP联盟配置风险
3月14日,思科近期修补了一个拒绝服务(DoS)漏洞,该漏洞影响IOS XR路由器上的边界网关协议(BGP)进程,允许攻击者通过单个BGP更新消息破坏BGP。此高严重性漏洞(CVE-2025-20115)仅在配置了BGP联盟的情况下影响Cisco IOS XR设备,可能导致BGP进程重启并远程关闭设备。漏洞源于BGP更新时内存损坏,攻击者可通过发送精心设计的消息或设计网络使AS_CONFED_SEQUENCE属性增长到255个自治系统编号或更多来利用此漏洞。Cisco IOS XR软件用户需迁移至固定版本以修复此问题,同时建议将BGP AS_CONFED_SEQUENCE属性限制为254个或更少的AS编号以减轻潜在攻击影响。思科未发现该漏洞已被野外利用,但APNIC博客上的一篇文章提供了更多技术细节。此外,思科还警告了Webex BroadWorks中的漏洞和CISA标记的积极利用的VPN路由器远程命令执行漏洞,并建议客户升级硬件以修复这些漏洞。
https://www.bleepingcomputer.com/news/security/cisco-vulnerability-lets-attackers-crash-bgp-on-ios-xr-routers/
京公网安备11010802024551号