超26.9万个网站一个月内感染JavaScript恶意代码
发布时间 2025-06-161. 超26.9万个网站一个月内感染JavaScript恶意代码
6月13日,网络安全研究人员近期披露了一项大规模攻击活动,攻击者在合法网站上注入使用 JSFuck 技术混淆的恶意 JavaScript 代码。由于涉及不雅用语,该技术被网络安全公司命名为“JSFireTruck”。注入代码会检查网站引荐来源,若引荐来源为Google、Bing等搜索引擎,受害者将被重定向到传播恶意软件、漏洞利用程序、进行流量变现和传播恶意广告的恶意网址。在2025年3月26日至4月25日期间,有269,552个网页被发现感染了使用该技术的JavaScript代码,4月12日首次出现峰值,单日发现超5万个受感染网页。与此同时,Gen Digital揭开了名为HelloTDS的复杂流量分发服务的面纱,该服务通过注入网站的远程托管JavaScript代码,有条件地将访问者重定向到虚假验证码页面、技术支持诈骗页面等。其主要目标是对受害者设备采集指纹特征后,确定投放内容性质,若用户非合适目标,会被重定向到良性网页。攻击活动入口点是受感染或被控制的流媒体网站、文件共享服务及恶意广告活动。受害者筛选基于地理位置、IP地址和浏览器指纹特征,通过VPN或无头浏览器的连接会被检测并拒绝。部分攻击链会提供利用ClickFix策略欺骗用户运行恶意代码的虚假验证码页面,使机器感染“峰值之光”恶意软件,该软件会加载信息窃取程序如Lumma。
https://thehackernews.com/2025/06/over-269000-websites-infected-with.html
2. 超4.6万Grafana实例未修补漏洞CVE-2025-4123
6月15日,超过46,000个面向互联网的Grafana实例因未修补客户端开放重定向漏洞(CVE-2025-4123)而暴露于风险之中,该漏洞可致恶意插件执行与帐户接管。该漏洞在Grafana Labs 5月21日发布的安全更新中得到解决。研究人员通过关联数据与平台在生态系统中的分布,评估出共有128,864个实例暴露在网上,其中46,506个仍在运行存在漏洞的版本,占比约36%。OX Security深入分析发现,攻击者可通过结合客户端路径遍历和开放重定向机制,诱使受害者点击恶意URL,从而从威胁行为者控制的网站加载恶意Grafana插件,这些恶意链接可在用户浏览器中执行任意JavaScript。该漏洞无需提升权限,即使启用匿名访问也可发挥作用,允许攻击者劫持用户会话、更改帐户凭据,并在安装Grafana Image Renderer插件的情况下执行服务器端请求伪造(SSRF)来读取内部资源。尽管Grafana中的默认内容安全策略(CSP)提供了一定保护,但无法阻止此类攻击。OX Security的漏洞表明,CVE-2025-4123可在客户端被利用,并通过Grafana原生的JavaScript路由逻辑绕过现代浏览器规范化机制。
https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/
3. 加拿大第二大航空公司西捷航空遭遇网络攻击
6月15日,西捷航空作为加拿大第二大航空公司,正在调查一起影响其部分内部系统和移动应用程序的网络安全事件。该事件导致多名用户无法访问相关系统,但公司强调运营安全未受影响。西捷航空在事件发生后迅速启动了专门的内部团队,并与执法部门和加拿大交通部紧密合作,以调查事件原因并尽量减少其影响。公司正致力于保护乘客和员工的敏感数据和个人信息,并对服务中断表示歉意。目前,关于此次攻击的具体细节尚不清楚,但西捷航空承诺在获得更多信息后及时分享。公司建议乘客和员工在共享个人信息时保持谨慎。截至2025年6月14日,西捷航空航班运营安全未受影响,公司正在评估事件影响并迅速解决问题。
https://securityaffairs.com/179027/uncategorized/canadas-airline-westjet-is-containing-a-cyberattack.html
4. SimpleHelp漏洞遭利用,攻击公用事业计费软件客户
6月13日,美国网络安全机构CISA发出警告,勒索软件运营商正利用SimpleHelp漏洞对公用事业计费软件提供商的客户发起攻击。被利用的漏洞编号为CVE-2024-57727,该漏洞允许攻击者检索敏感信息,如凭证和API密钥。此漏洞与另外两个允许攻击者上传任意文件并提升权限为管理员的漏洞CVE-2024-57728和CVE-2024-57726于1月份一同得到修补。CISA在发现威胁行为者利用CVE-2024-57727攻击运行SimpleHelp远程监控和管理软件的设备后,于2月份将该漏洞添加到其已知被利用漏洞列表中。5月下旬,Sophos警告称DragonForce勒索软件攻击可能利用SimpleHelp实例漏洞危及托管服务提供商及其客户的安全。CISA建议软件供应商、下游客户和最终用户立即采取措施修补其SimpleHelp部署并寻找妥协指标。
https://www.securityweek.com/simplehelp-vulnerability-exploited-against-utility-billing-software-users/
5. 韩国票务平台Yes24遭勒索攻击,娱乐产业陷入混乱
6月12日,韩国主要票务平台及在线图书零售商Yes24于6月9日凌晨遭遇勒索软件攻击,导致该国娱乐产业陷入混乱。此次攻击致使Yes24网站及服务连续四天瘫痪,在线演唱会预订、电子书访问和社区论坛功能均无法正常使用,公司虽声明目标在6月15日前全面恢复运营,但影响已十分显著。韩国隐私监管机构“个人信息保护委员会”已启动调查,怀疑此次事件可能导致客户数据泄露,当局将审查Yes24是否履行了韩国数据隐私法规定的法律义务。当地媒体报道,此次服务中断引发了连锁反应,包括朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I在内的多位韩流明星预售及粉丝活动被迫推迟或取消,部分音乐剧制作方也要求观众出示纸质门票或邮件确认函入场,导致部分观众因无法提供可验证票务信息而遭拒入场。Yes24周三声明已重新掌控管理员账户,正努力恢复其他服务,但攻击者身份目前尚未明确。公司表示尚未确认个人信息外泄,但已向韩国数据隐私机构报告涉及客户数据未授权访问的可疑活动,并承诺若后续调查证实个人信息泄露,将立即通知用户。
https://therecord.media/yes24-south-korea-ransomware-attack
6. 黑客称债务催收公司CCC遭入侵,900多万美国人信息泄露
6月13日,威胁行为者声称已入侵弗吉尼亚州债务催收公司信用控制公司(CCC),并导致数百万美国人个人信息泄露。这些黑客在一个数据泄露论坛上发布了相关信息,声称窃取了910万美国人的敏感数据。CCC是一家专注于医疗保健和电信行业的债务催收公司,目前尚未对此事作出回应。研究团队调查了攻击者附加在帖子中的数据样本,发现泄露的信息可能包括全名、电话号码、性别、年龄、房产信息、抵押贷款数据和贷款类型等。攻击者通常对拥有大量详细信息的数据库感兴趣,因为这些数据可用于自动化钓鱼邮件诈骗、金融诈骗和身份盗窃。个人身份信息和财务信息的泄露为定制攻击提供了充足机会,攻击者可能利用这些信息针对存在财务问题的用户进行欺诈性财务援助或其他服务的诈骗。值得注意的是,这并非CCC首次遭遇数据泄露事件。2023年,该公司就曾披露一起数据泄露事件,导致超过30万美国居民的数据泄露,当时泄露的信息包括姓名和社会安全号码等。
https://cybernews.com/news/credit-control-corporation-data-breach/
京公网安备11010802024551号