npm恶意软件瞄准Atomic和Exodus钱包
发布时间 2025-04-111. npm恶意软件瞄准Atomic和Exodus钱包
4月10日,网络安全公司 ReversingLabs(RL)近期发现了一种针对加密货币用户的新策略,网络犯罪分子正利用 npm(节点包管理器)网络,向本地安装的加密货币钱包软件(尤其是 Atomic Wallet 和 Exodus)注入恶意代码。此次攻击通过恶意修补合法软件文件实现,攻击者可借此悄悄交换收件人钱包地址,从而拦截加密货币转移。RL 发现了一个名为“pdf-to-office”的恶意 npm 包,该包伪装成将 PDF 文件转换为 Microsoft Office 文档的实用程序,但执行时会部署恶意负载,修改 Atomic Wallet 和 Exodus 安装目录中的关键文件。恶意软件用木马版本覆盖合法文件,秘密更改加密货币交易的目标地址,且难以被察觉,因为钱包核心功能看似未变。此外,软件包中还发现了一个经过混淆的 JavaScript 文件,暴露了其恶意意图。此次攻击具有持久性,即使恶意“pdf-to-office”软件包被删除,受感染的加密货币钱包软件仍会保持感染状态,木马文件仍在运行,悄无声息地将资金重定向到攻击者的 Web3 钱包。消除威胁的唯一有效方法是彻底删除并重新安装受影响的钱包软件。
https://hackread.com/npm-malware-atomic-exodus-wallets-hijack-crypto/
2. 俄勒冈州环境机构在遭受网络攻击后关闭网络
4月11日,近日,俄勒冈州环境质量局(DEQ)遭受网络攻击,导致其网络被迫关闭。该机构负责监管俄勒冈州的空气、土地和水质量,此次攻击对其运营造成了严重影响。DEQ官员表示,车辆检查站将关闭至周五,以应对此次网络攻击。目前,该机构正在全力隔离服务器和网络,直至攻击被完全控制并可能被根除。DEQ的IT、企业信息系统和微软网络安全团队正在紧密合作,共同应对此次网络安全问题。与此同时,其他州也宣布了近期影响关键政府服务的网络事件。亚利桑那州联邦公共辩护人办公室因勒索软件攻击已关闭,多起案件审理时间已改至五月。爱达荷州古丁县网络也遭受了勒索软件攻击,县领导已联系联邦执法部门,并聘请网络安全公司协助控制事件。此外,内布拉斯加州北普拉特自然资源区也证实遭遇了网络攻击和数据泄露。值得注意的是,截至目前,尚无任何勒索软件团伙或黑客组织声称对这些事件负责。
https://therecord.media/oregon-department-environmental-quality-cyberattack
3. Gamaredon组织升级攻击手段,西方网络面临新威胁
4月10日,俄罗斯政府支持的黑客组织Gamaredon(又名“Shuckworm”)自2025年2月至3月,持续针对西方国家在乌克兰的军事任务发动攻击,可能通过可移动硬盘进行。研究人员指出,此次攻击中,黑客部署了更新版本的GammaSteel信息窃取恶意软件以窃取数据。攻击始于包含恶意.LNK文件的可移动驱动器,这是Gamaredon过去常用的攻击手段。此次,研究人员观察到威胁行为者的策略有所变化,包括从VBS脚本转向基于PowerShell的工具、对有效载荷进行更多混淆以及更多地使用合法服务进行逃避。在感染过程中,一个高度混淆的脚本会创建并运行两个文件,分别处理命令和控制通信及传播机制,同时隐藏某些文件夹和系统文件。Gamaredon还使用侦察PowerShell脚本捕获和泄露设备信息,并最终部署基于PowerShell的GammaSteel版本,窃取桌面、文档和下载等位置的文档。该恶意软件使用“certutil.exe”对文件进行哈希处理,并通过PowerShell Web请求或Tor上的cURL传输被盗数据,同时在目标计算机上建立持久性。
https://www.bleepingcomputer.com/news/security/russian-hackers-attack-western-military-mission-using-malicious-drive/
4. Medusa攻击脉搏紧急护理中心,泄露数据并索要赎金
4月9日,近日,黑客组织美杜莎(Medusa)对脉搏紧急护理中心(Pulse Urgent Care Center)发动攻击,该中心提供紧急护理、临床医学、女性健康、工伤赔偿和雇主服务等一系列医疗服务,总部位于加州雷丁,在雷德巴夫也设有分部。据报道,Medusa发布了部分证据,其中包含一个文件树,内有超过127,000行文本格式的数据。泄露的数据涵盖患者病历(包括诊断、治疗和检查结果等)、管理数据(与医疗保健提供者内部管理有关的业务信息)、保险数据(有关患者健康保险政策的信息)、提供者列表(有关医生和医疗保健专业人员的数据)、提供者记录更新表、雇主联系和账单信息表,以及Rapid Radiology, Inc.网站的登录凭证。Medusa针对此次事件列出了清单,要求支付120,000美元的BTC以下载或删除所有数据。截至目前,Pulse Urgent Care Center的网站上未显示任何异常迹象,且该中心尚未对此次攻击做出确认或否认。
https://databreaches.net/2025/04/09/__trashed-15/
5. OttoKit WordPress插件高危漏洞遭黑客迅速利用
4月10日,近日,WordPress的OttoKit(前称SureTriggers)插件曝出高严重性身份验证绕过漏洞(CVE-2025-3102),该漏洞影响1.0.78及以上版本。由于authenticating_user()函数中缺少空值检查,当插件未配置API密钥时,攻击者可通过发送空的st_authorization标头绕过身份验证,未经授权访问受保护的API端点,进而创建新的管理员帐户,存在完全站点接管的高风险。安全研究员“mikemyers”于3月中旬发现此漏洞并获得赏金,4月3日,插件供应商发布1.0.79版修复程序。然而,漏洞披露后仅数小时,黑客便开始利用此漏洞,尝试创建新的管理员帐户。Patchstack研究人员警告称,这种迅速的利用凸显了立即应用补丁或缓解措施的迫切需要。鉴于OttoKit插件已在10万个网站上活跃,且该漏洞影响广泛,强烈建议用户尽快升级到1.0.79版本,并检查日志中是否存在意外的管理员帐户或其他用户角色、插件/主题的安装、数据库访问事件以及安全设置的修改,以确保网站安全。
https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-auth-bypass-hours-after-disclosure/
6. Gladinet CentreStack零日漏洞CVE-2025-30406遭在野利用
4月9日,自3月份起,黑客利用Gladinet CentreStack安全文件共享软件中的零日漏洞(CVE-2025-30406)入侵存储服务器。该漏洞是一个反序列化漏洞,影响16.1.10296.56315及以上版本。问题源于CentreStack门户配置中使用了硬编码的machineKey,攻击者若知晓此密钥,可编写并执行恶意序列化负载,绕过完整性检查,注入任意序列化对象,最终在服务器上执行代码。Gladinet已于2025年4月3日发布安全修复程序,版本为16.4.10315.56368、16.3.4763.56357(Windows)和15.12.434(macOS)。供应商建议用户尽快升级到最新版本,对于无法立即更新的客户,建议轮换machineKey值作为临时缓解措施,并确保多服务器部署中跨节点的一致性,在更改后重新启动IIS以应用缓解措施。CISA已将该漏洞添加到其已知利用漏洞目录中,并要求受影响的州和联邦组织在2025年4月29日之前应用安全更新和缓解措施,否则停止使用该产品。鉴于该产品的性质,它很可能被利用来进行数据盗窃攻击。
https://www.bleepingcomputer.com/news/security/centrestack-rce-exploited-as-zero-day-to-breach-file-sharing-servers/
京公网安备11010802024551号