Open VSX令牌泄露引发供应链攻击
发布时间 2025-11-041. Open VSX令牌泄露引发供应链攻击
11月2日,近日,Open VSX注册表因开发者意外泄露访问令牌,导致威胁行为者发起供应链攻击,在公共存储库中发布恶意扩展程序。两周前,Wiz研究人员发现Microsoft VSCode和Open VSX市场中超550个机密信息遭泄露,部分秘密可访问下载量达15万次的项目,使攻击者能上传恶意扩展,构成严重供应链风险。Open VSX由Eclipse基金会开发,是微软Visual Studio Marketplace的开源替代方案,为VS Code IDE及兼容分支提供扩展支持。此次事件中,泄露的令牌被用于名为"GlassWorm"的恶意软件攻击,该软件利用不可见Unicode字符隐藏自传播恶意代码,试图窃取开发者凭据并在可访问项目中引发级联漏洞,目标直指49个扩展程序的加密货币钱包数据,动机疑似经济利益。截至10月21日,所有恶意扩展已被删除,相关令牌完成轮换或撤销,事件已完全控制。然而,威胁并未终止。研究人员发现,GlassWorm背后的同一威胁行为者已转移至GitHub,使用相同Unicode隐写术技巧隐藏恶意载荷,攻击范围扩展至多个JavaScript项目代码库。
https://www.bleepingcomputer.com/news/security/open-vsx-rotates-tokens-used-in-supply-chain-malware-attack/
2. 新型HttpTroy后门程序针对韩国发动定向网络攻击
11月3日,近期,与朝鲜关联的威胁行为者Kimsuky及Lazarus Group持续更新其攻击武器库,展现技术演进趋势。据Gen Digital公司披露,Kimsuky针对韩国单一目标发起钓鱼攻击,通过伪装成VPN账单的ZIP压缩文件分发新型后门程序“HttpTroy”。该恶意软件通过三阶段攻击链实施:初始为Go语言二进制文件(内嵌伪装PDF文档以降低受害者警惕),随后启动MemLoad加载程序建立持久化机制,最终部署HttpTroy后门。该后门支持文件传输、截屏、高权限命令执行、反向Shell建立等功能,通过HTTP POST与C2服务器通信,并采用多层混淆技术规避检测。同时,Lazarus Group针对加拿大两名受害者发起攻击,部署“Comebacker”恶意程序及其升级版“BLINDINGCAN”远程访问木马。攻击链中段被检测到,初始访问途径推测为钓鱼邮件。Comebacker存在DLL与EXE两种变体,前者通过Windows服务启动,后者经cmd.exe执行,最终解密并部署BLINDINGCAN,后者与C2服务器通信,支持文件操作、进程管理、截屏、痕迹清除等操作。
https://thehackernews.com/2025/11/new-httptroy-backdoor-poses-as-vpn.html
3. 黑客从Balancer DeFi加密协议窃取超过1.2亿美元
11月3日,基于以太坊的DeFi协议Balancer的V2可堆肥稳定池遭遇重大黑客攻击,损失超1.28亿美元,成为本年度最大加密货币盗窃案之一。Balancer作为自动做市商和流动性基础设施,支持自定义代币组合,其V2池此前已接受11次安全审计,但仍因潜在漏洞被利用。事件发生后,Balancer团队迅速与顶尖安全研究机构合作调查,并警告用户警惕钓鱼风险。漏洞成因存在两种主流推测:其一,GoPlus Security指出V2金库的交换计算存在精度舍入误差,每次兑换操作向下取整代币数量,攻击者通过batchSwap函数反复兑换,累积微小差异导致价格扭曲;其二,安全研究员Aditya Bajaj认为,恶意合约在资金池初始化阶段操纵金库调用,绕过安全措施,实现跨池未经授权的余额操纵。尽管技术细节尚未完全明确,Balancer承诺将发布完整事后分析。值得注意的是,事件发生后,诈骗者冒充Balancer向黑客发起“白帽赏金”谈判,声称若归还资金可获20%赦免,否则将联合区块链取证机构、执法部门及监管合作伙伴,通过IP地址、ASN连接日志和链上交易时间戳识别攻击者身份。
https://www.bleepingcomputer.com/news/cryptocurrency/hacker-steals-over-120-million-from-balancer-defi-crypto-protocol/
4. SesameOp恶意软件滥用OpenAI Assistants API发起攻击
11月3日,微软安全团队在2025年7月调查网络攻击时,发现名为SesameOp的新型后门恶意软件,该软件通过滥用OpenAI Assistants API作为隐蔽的命令与控制(C2)通道,实现攻击者对受感染环境的长期持续访问。区别于传统依赖恶意基础设施的攻击方式,SesameOp利用合法云服务进行远程管理,有效规避了受害者警报及事件响应期间的检测风险。据微软DART团队报告,SesameOp后门组件将OpenAI Assistants API作为存储和中继机制,获取压缩加密的指令后解密执行;同时,攻击中收集的信息通过对称与非对称加密结合的方式,经同一API通道回传攻击者。该恶意软件攻击链包含高度混淆的加载器和基于.NET的后门程序,后者通过.NET AppDomainManager注入到Microsoft Visual Studio工具中,结合内部Web Shell及“战略性部署”的恶意进程建立持久性,支持长期间谍活动。微软强调,此次攻击并非利用OpenAI平台漏洞或配置错误,而是滥用Assistants API的内置功能。微软与OpenAI已合作识别并禁用攻击中使用的账户及API密钥。
https://www.bleepingcomputer.com/news/security/microsoft-sesameop-malware-abuses-openai-assistants-api-in-attacks/
5. 全球货运行业遭RMM工具攻击引发供应链盗窃危机
11月3日,近期,针对货运经纪人和卡车运输公司的网络攻击呈现规模化趋势。据Proofpoint研究,自2025年1月起,威胁行为者通过恶意链接和钓鱼邮件持续部署远程监控管理(RMM)工具(如ScreenConnect、SimpleHelp等),在北美、巴西、墨西哥、印度、德国、智利及南非等多地实施攻击。仅8月以来已记录近24起活动,单次攻击最多发送1000条信息。攻击者采用双重渗透策略:一方面利用被盗货运平台账户发布虚假货运信息,另一方面入侵货运经纪人及调度员邮箱,劫持邮件线程诱导受害者访问伪造页面。这些页面通过精准复制运营商品牌标识增强可信度,诱骗用户下载.exe或.msi文件安装RMM工具。一旦成功部署,攻击者即可完全控制系统,实现修改运输路线、屏蔽调度通知、冒充合法承运人等操作,最终劫持高价值货物(如食品、电子产品)并转售或走私。
https://www.bleepingcomputer.com/news/security/hackers-use-rmm-tools-to-breach-freighters-and-steal-cargo-shipments/
6. 日本Askul遭勒索软件攻击致数据泄露,供应链受波及
11月3日,日本办公及家居用品零售商Askul近日证实,10月初遭受勒索软件攻击后,客户与供应商数据遭泄露,其电子商务平台运营中断。此次事件波及旗下网店(Askul、Lohaco、Soloel Arena),泄露内容包含用户联系方式、询盘详情及存储于内部服务器的供应商数据。Askul在声明中致歉,称正调查RansomHouse组织声称的1.1TB数据窃取事件。攻击影响延伸至供应链合作伙伴:依赖Askul物流网络的日本大型零售商良品计划(经营无印良品Muji)和The Loft虽未明确自身数据是否泄露,但供应链已受扰乱。RansomHouse组织以“不加密仅威胁公开数据”的勒索手段闻名,自诩“正义力量”以揭露企业漏洞。该组织成立于2022年3月,网络安全研究已将其与俄罗斯关联的威胁行为者(如Alphv/BlackCat、LockBit 3.0、RagnarLocker)挂钩。
https://therecord.media/askul-confirms-data-breach-ransomware-incident
京公网安备11010802024551号