数十款假钱包插件涌入Firefox商店,盗取加密货币
发布时间 2025-07-041. 数十款假钱包插件涌入Firefox商店,盗取加密货币
7月2日,网络安全公司Koi Security最新披露,Firefox官方附加组件商店正遭受大规模恶意扩展程序攻击,超过40款伪装成主流加密货币钱包的插件持续窃取用户敏感数据。这些仿冒应用覆盖Coinbase、MetaMask、Trust Wallet等八大知名品牌,通过植入恶意代码实时捕获钱包凭证及助记词,攻击者借此可完全控制受害者数字资产。研究揭示,该黑客组织采用双重欺骗策略:一方面,直接克隆开源钱包代码并注入恶意逻辑,通过"输入/点击"事件监听器筛选长度超过30字符的密钥信息;另一方面,伪造数百条虚假五星好评混淆视听,甚至混入大量一星差评制造"可信度"。技术分析显示,恶意代码通过隐藏错误对话框实现完全静默运行,受害者资产被盗后往往误以为正常交易,导致损失难以追溯。Koi Security追踪发现,该攻击行动至少持续至4月,每周均有新型恶意插件上线。最新案例显示,上周仍有仿冒钱包通过Mozilla审核流程。尽管Mozilla声称已部署自动化风险评估系统,但截至报道发布,多数涉事插件仍可正常下载。
https://www.bleepingcomputer.com/news/security/dozens-of-fake-wallet-add-ons-flood-firefox-store-to-drain-crypto/
2. 思科警告攻击者可凭静态密码远程接管IP电话系统
7月2日,网络安全领域再响警报,思科系统公司宣布在其核心通信产品中紧急移除一个高危后门账户。该漏洞(CVE-2025-20309)影响Cisco Unified Communications Manager(原CallManager)及SME Engineering Special版本15.0.1.13010-1至15.0.1.13017-1,允许攻击者通过无法修改的静态root凭证远程获取设备最高权限。作为全球企业IP电话系统的中枢平台,Unified CM管理着数百万台设备的呼叫路由、配置策略及语音服务。此次披露的漏洞源于开发测试阶段遗留的硬编码账户,该账户未在生产版本中禁用,且默认凭据直接暴露于公网。思科安全公告证实,攻击者无需任何身份验证即可通过该后门以root权限执行任意命令,完整控制受影响设备。尽管尚未发现野外攻击样本,但日志分析显示,/var/log/active/syslog/secure路径已记录相关入侵痕迹,管理员可通过file get activelog syslog/secure命令检测异常登录。与以往漏洞不同,此次事件无临时缓解措施,思科仅提供两种修复路径:升级至2025年7月发布的15SU3版本,或紧急安装CSCwp27755补丁。该漏洞被评定为最高严重等级(CVSS 10.0),攻击者可借此横向渗透内网,窃取通话记录、篡改语音邮件,甚至将企业电话系统转化为僵尸网络节点。
https://www.bleepingcomputer.com/news/security/cisco-removes-unified-cm-callManager-backdoor-root-account/
3. Forminator插件高危漏洞威胁60万WordPress网站
7月2日,全球超60万WordPress网站正面临严峻安全威胁,其使用的Forminator表单插件被曝存在高危任意文件删除漏洞(CVE-2025-6463,CVSS 8.8)。该漏洞允许攻击者无需认证即可删除服务器关键文件,包括核心配置文件wp-config.php,最终导致网站完全失控。安全团队强烈建议立即升级至1.44.3版本以修复此风险。漏洞核心源于插件的entry_delete_upload_files()函数存在路径验证缺陷。当管理员清理恶意表单提交时,攻击者可构造包含路径遍历字符串(如../../../wp-config.php)的表单字段,触发服务器删除任意文件。一旦wp-config.php被删,WordPress将自动重置为安装模式,攻击者借此可篡改数据库凭证并植入后门,实现远程代码执行。技术分析显示,该漏洞利用条件极为宽松:仅需目标网站启用Forminator插件且存在可被删除的表单记录。攻击者既可手动提交恶意表单,亦可利用自动化工具批量扫描脆弱站点。
https://cybersecuritynews.com/forminator-wordpress-plugin-vulnerability/
4. 弗吉尼亚格洛斯特县遭勒索软件攻击,政府雇员数据泄露
7月4日,今年4月,美国弗吉尼亚州格洛斯特县发生一起针对地方政府的勒索软件攻击事件,导致3527名现任及前任政府雇员的敏感信息被盗,引发社会对网络安全威胁的广泛关注。此次事件中,黑客成功入侵该县信息系统,窃取了包括社会安全号码、驾照信息、银行账户详情、健康保险号码及医疗记录等高度敏感数据,对个人隐私和财产安全构成严重威胁。格洛斯特县位于弗吉尼亚州东部,距首府里士满约一小时车程,人口约4万。事件发生后,该县行政长官卡罗尔·斯蒂尔于本周正式向受影响雇员发出通知,确认数据泄露事实,并表示已聘请网络安全专家协助系统恢复,同时向联邦调查局(FBI)网络犯罪部门及弗吉尼亚州警察局网络融合中心报案。值得注意的是,尽管该县曾于4月22日至23日期间发布网络中断警告,但此后未持续更新事件进展,仅强调“正在持续监控影响”。调查显示,此次攻击与名为BlackSuit的勒索软件团伙有关。该组织于5月15日在暗网发布帖子,宣称对格洛斯特县事件负责,并指控县方拒绝就赎金展开谈判。
https://therecord.media/virginia-county-says-ransomware-attack-exposed-ssns
5. 巴西CIEE One平台数据泄露事件:敏感信息遭窃并在暗网出售
7月3日,网络安全公司Resecurity披露巴西主要实习与学徒项目服务平台CIEE One发生重大数据泄露事件,导致大量敏感个人信息(PII)及文件被窃并在暗网出售。此次事件中,威胁行为者通过暴露的谷歌云存储桶入侵系统,盗取了包括身份记录、联系方式、医疗报告及文档扫描件等高价值数据,随后由地下数据经纪商"888"在暗网平台进行交易。CIEE One由巴西CIEE商学院整合中心运营,为包括Bradesco银行、Caixa经济银行、Claro电信等在内的顶级金融机构及能源、科技领域企业提供招聘服务,连接数万名专业人士与巴西本土及跨国公司。由于其平台汇聚了用于背景调查和招聘流程的海量敏感数据,成为网络犯罪分子的重点目标。被盗信息极易被用于身份盗窃、金融欺诈等非法活动,对企业和求职者构成双重风险。据Resecurity分析,此次入侵源于云存储服务配置不当,暴露的谷歌云存储桶因缺乏基本安全防护成为攻击入口。
https://securityaffairs.com/179609/data-breach/cybercriminals-target-brazil-248725-exposed-in-ciee-one-data-breach.html
6. Hunters International勒索软件宣布停运并提供免费解密工具
7月3日,全球知名勒索软件即服务(RaaS)组织Hunters International于近日宣布正式停止运营,并罕见地向所有受害企业提供免费解密工具,成为首个主动放弃赎金要求的网络犯罪团体。该组织在暗网发布的声明中称,此举旨在"表达善意并帮助受影响公司恢复数据",同时强调关闭决定经过"慎重考虑",但未明确提及具体原因。Hunters International自2023年末崛起,因代码特征与已解散的Hive勒索软件高度相似,被安全机构视为其潜在改版。该组织采用多平台攻击策略,其恶意软件支持Windows、Linux、FreeBSD等系统及x64、ARM等架构,具备跨平台感染能力。过去两年间,该团伙对全球近300家企业发起攻击,赎金要求从数十万至数百万美元不等。此次停运并非突然。2024年11月,该组织曾预告将因"执法审查加强和盈利能力下降"关闭。同期,威胁情报公司Group-IB披露其正筹划转型,计划通过更名为"World Leaks"的新品牌专注数据盗窃,使用升级版泄露工具开展纯勒索行动,不再加密文件而是直接威胁曝光数据。这一动向表明,尽管Hunters International主体停止运营,但其技术资产可能以新形态继续活跃。
https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-shuts-down-after-world-leaks-rebrand/
京公网安备11010802024551号