iCloud日历被滥用从Apple服务器发送钓鱼邮件
发布时间 2025-09-091. iCloud日历被滥用从Apple服务器发送钓鱼邮件
9月7日,近期一种利用iCloud日历邀请功能的新型网络钓鱼攻击曝光。攻击者通过创建包含钓鱼文本的iCloud日历事件,并邀请控制的外部邮箱地址,导致Apple官方服务器自动发送伪装成PayPal付款通知的钓鱼邮件。此类邮件声称用户账户被扣款599美元,附有“支持电话”诱导受害者拨打诈骗号码,进而通过远程访问窃取资金、部署恶意软件或窃取数据。该攻击巧妙利用了Apple邮件服务器的信任背书:邮件通过SPF、DMARC和DKIM三重安全认证,显示为“合法来源”,极大降低了被垃圾邮件过滤器拦截的概率。具体机制显示,攻击者在iCloud日历的Notes字段嵌入钓鱼内容,邀请Microsoft 365邮箱地址,当邮件经由Microsoft 365邮件列表转发时,系统通过发件人重写方案(SRS)将返回路径修改为关联地址,维持SPF检查通过,确保邮件直达收件箱。此类攻击与PayPal“新地址”钓鱼手法类似,均依赖合法平台功能实施欺骗。尽管钓鱼诱饵本身无创新,但结合Apple服务器背书和日历邀请的“官方属性”,攻击更具迷惑性。
https://www.bleepingcomputer.com/news/security/icloud-calendar-abused-to-send-phishing-emails-from-apples-servers/
2. Anuvu遭黑客攻击泄露敏感数据,暴露航空客户Starlink使用信息
9月5日,机上娱乐与连接服务提供商Anuvu(原Global Eagle)遭遇严重数据泄露事件,攻击者在暗网论坛宣称窃取大量管理员级别凭证,可访问其AWS及Postgres数据库。泄露内容包含海事客户公司名称、Salesforce标识符及市场类型;2024年用户凭证(含全名、邮箱、密码哈希、地址);管理人员个人信息及办公地址;更关键的是,Starlink合同明细遭暴露,直接显示哪些客户通过Anuvu使用Starlink服务。Anuvu作为年收入约3.7亿美元、服务全球150余家航空公司及30家邮轮公司的行业巨头,其合作伙伴涵盖法航、达美航空等知名航司。此次攻击暴露的敏感信息存在多重风险:攻击者可能利用未修改的2024年密码实施凭证填充攻击;泄露的客户信息可被用于定向钓鱼攻击,或提前锁定攻击目标;管理人员及用户地址的暴露更可能引发二次社会工程攻击。Anuvu方面尚未对此事作出正式回应。
https://cybernews.com/security/anuvu-airline-data-breach-credentials/
3. NPM供应链遭钓鱼攻击:高下载量包被注入加密劫持恶意软件
9月8日,近日一场针对NPM软件包的供应链攻击引发广泛关注。攻击者通过钓鱼邮件入侵软件包维护者Josh Junon(qix)等账户,利用伪造npmjs.com域名的npmjs[.]help网站,以"2FA凭证过期将锁定账户"为由诱导点击链接,进而注入恶意代码至高下载量NPM包中。据分析,被劫持的18个软件包每周总下载量超26亿次,包括debug(3.576亿次)、chalk(2.9999亿次)、ansi-styles(3.7141亿次)等核心工具。恶意代码通过注入index.js文件,在浏览器端运行基于浏览器的拦截器,监控以太坊、比特币等加密货币交易,当检测到网络响应包含加密交易时,自动将目标钱包地址替换为攻击者控制地址,劫持交易签名前的资金流向,且用户无明显感知。该恶意软件通过挂钩JavaScript函数及钱包API实现流量篡改,不仅修改网页显示内容,还直接操纵API调用及用户签署的交易内容,形成多层次攻击。NPM团队已紧急删除部分恶意版本,但部分包仍存在风险。
https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/
4. Plex身份验证信息失窃,用户需紧急重置密码
9月8日,媒体流媒体平台Plex近日遭遇严重数据泄露事件,黑客从其数据库中窃取了客户身份验证数据,涉及电子邮件地址、用户名、安全散列密码及身份验证数据。Plex在通知中证实,未经授权的第三方访问了"有限的客户数据子集",包括电子邮件、用户名和经过安全散列处理的密码,但强调支付卡信息未存储于服务器故未受波及。尽管Plex宣称密码已按"最佳实践"进行安全散列,但未公开具体哈希算法,这增加了攻击者尝试破解密码的风险。为此,Plex强烈建议用户立即通过官网重置密码,并启用"更改密码后退出连接设备"选项,此操作将强制所有使用旧凭证的设备重新登录。对于使用单点登录(SSO)的用户,需访问安全页面点击"退出所有设备"按钮,终止所有活动会话后重新认证。Plex特别提醒用户启用双因素身份验证(2FA)以增强账户保护,并重申绝不会通过电子邮件索要密码或信用卡信息。公司表示已修复服务器入侵漏洞,但未披露具体技术细节。
https://www.bleepingcomputer.com/news/security/plex-tells-users-to-reset-passwords-after-new-data-breach/
5. 思科ASA设备遭大规模网络扫描,警惕新漏洞风险
9月8日,网络安全研究人员针对思科ASA设备的大规模网络扫描活动发出预警,该现象或预示产品即将出现新漏洞。据GreyNoise监测,8月底出现两次显著扫描峰值,涉及2.5万个唯一IP地址探测ASA登录门户及Cisco IOS Telnet/SSH服务。其中,8月26日第二波攻击中,80%的扫描流量源自巴西僵尸网络,涉及约1.7万个IP地址。两波攻击均使用高度相似的Chrome用户代理,暗示存在共同威胁来源。扫描活动主要集中在美国,同时覆盖英国和德国。扫描行为既可能是针对已修复漏洞的失败利用尝试,也可能是为新漏洞利用进行的枚举和映射工作。系统管理员"NadSec – Rat5ak"的报告显示,相关活动自7月31日起以低频扫描启动,8月中旬逐步升级,8月28日达到单日20万次点击的峰值,流量呈现高度自动化特征,源自Nybula、Cheapy-Host和Global Connectivity Solutions LLP三个ASN。为应对风险,建议管理员立即应用Cisco ASA最新安全补丁,对所有远程登录实施多因素认证(MFA),避免直接暴露/+CSCOE+/logon.html、WebVPN、Telnet或SSH服务。如需外部访问,应通过VPN集中器、反向代理或访问网关建立额外控制层。同时,可利用GreyNoise和Rat5ak报告中的扫描指标进行封锁和限制。
https://www.bleepingcomputer.com/news/security/surge-in-networks-scans-targeting-cisco-asa-devices-raise-concerns/
6. GhostAction供应链攻击致超3300个机密泄露
9月8日,GitGuardian研究人员披露一起名为“GhostAction”的GitHub供应链攻击事件,已导致3325个机密信息泄露,涵盖PyPI、npm、DockerHub、GitHub令牌及Cloudflare、AWS等关键凭证。此次攻击始于2025年9月2日,以FastUUID项目为首个目标,通过劫持维护者账户提交恶意GitHub Actions工作流文件实现。攻击者利用该文件在“推送”或手动调度时自动触发,从GitHub Actions环境读取机密,并通过curl POST请求将数据泄露至攻击者控制的外部域。调查显示,攻击范围远超FastUUID,涉及至少817个存储库,所有恶意提交均指向同一泄露端点。攻击者通过枚举合法工作流中的机密名称并硬编码至恶意脚本,窃取了PyPI令牌、npm令牌、DockerHub令牌、GitHub令牌、Cloudflare API令牌、AWS访问密钥及数据库凭证等多类机密。尽管FastUUID的PyPI令牌被窃,但未发现恶意软件包发布。GitGuardian于9月5日向573个受影响存储库提交GitHub问题,并同步通知GitHub、npm、PyPI安全团队。目前,100个存储库已检测并恢复恶意更改,泄露端点在事件曝光后停止解析。研究人员指出,至少9个npm包和15个PyPI包可能因机密泄露发布恶意版本,威胁多个包生态系统。
https://www.bleepingcomputer.com/news/security/hackers-steal-3-325-secrets-in-ghostaction-github-supply-chain-attack/
京公网安备11010802024551号