公开的GitLab代码库泄露了超过17,000个密钥
发布时间 2025-12-011. 公开的GitLab代码库泄露了超过17,000个密钥
11月28日,安全工程师Luke Marshall通过系统性扫描GitLab Cloud的560万个公共存储库,揭露了大规模敏感信息泄露问题。此次行动采用TruffleHog开源工具结合GitLab公共API端点,配合自定义Python脚本实现存储库分页排序,并通过AWS SQS与Lambda函数架构实现并行扫描,最终仅耗时24小时、成本770美元即完成全量扫描。调查发现,在2800余个不同域名中存在17,430个有效活跃密钥,数量是此前Bitbucket扫描结果(6212个)的近三倍,且密钥密度高出35%。历史数据显示,多数泄露密钥产生于2018年后,但部分2009年起的古老密钥仍具效力。按类型划分,Google Cloud Platform凭证占比最高(超5200个),其次为MongoDB密钥、Telegram机器人令牌及OpenAI密钥,另发现400余个GitLab自身密钥泄露。Marshall遵循负责任披露原则,利用Claude Sonnet 3.7的网络搜索功能与Python脚本自动化生成通知邮件,成功联系受影响方并推动密钥撤销。此举不仅获得9000美元漏洞赏金,更促使大量组织紧急撤回敏感凭证。然而,仍有部分密钥持续处于暴露状态。
https://www.bleepingcomputer.com/news/security/public-gitlab-repositories-exposed-more-than-17-000-secrets/
2. 法国足球联合会披露网络攻击后数据泄露事件
11月28日,法国足球协会(FFF)于周五披露一起严重数据泄露事件。攻击者通过被盗账户非法访问足球俱乐部管理软件,在系统清除前成功窃取大量会员个人数据。经安全团队检测,FFF立即禁用被入侵账户并强制重置所有用户密码,但泄露范围已涵盖姓名、性别、出生日期及地点、国籍、邮政地址、电子邮箱、电话号码和驾照号码等敏感信息。根据欧洲数据保护法规,FFF已启动刑事诉讼程序,并向法国国家网络安全局(ANSSI)和国家信息与自由委员会(CNIL)正式报备。该组织承诺将直接通过电子邮件通知所有受影响个人,并特别提醒会员警惕任何要求提供账户凭证、密码或银行信息的可疑通信,包括声称来自联合会、俱乐部或其他发件人的诈骗邮件。FFF表示将通过技术升级和流程优化提升防御能力,同时呼吁会员保持警惕,避免点击可疑附件或透露敏感信息。
https://www.bleepingcomputer.com/news/security/french-football-federation-fff-discloses-data-breach-after-cyberattack/
3. 黑客劫持美国无线电设备发送虚假警报
11月28日,美国联邦通信委员会(FCC)近日发布紧急通知,披露黑客通过劫持Barix网络音频设备,在美国多地广播系统中非法播放虚假应急警报音及冒犯性内容,引发严重公共安全风险。此次攻击聚焦德克萨斯州与弗吉尼亚州,黑客通过重新配置设备使其接收攻击者控制的流媒体内容,导致正常节目被模拟警报音、EAS"注意信号"及淫秽语言中断。该"注意信号"本应仅用于龙卷风、飓风等紧急威胁预警,其滥用严重扰乱公共应急体系。FCC分析指出,事件根源在于广播设备安全防护薄弱,未授权用户可轻易侵入传输路径。部分电台甚至在听众报告收到夹杂偏执言论的异常警报后,才察觉设备遭入侵。为遏制类似事件,FCC在编号DA 25-996的通知中明确要求广播机构强化基础安全措施:立即安装厂商安全补丁并升级固件;将默认密码替换为高强度密码并定期更新;将EAS及Barix设备部署在防火墙后,通过VPN限制访问权限;持续监控设备日志以发现未授权行为;参考CSRIC最佳实践指南。这些措施与2016年Barix公司声明其设备"正确配置高强度密码即安全"的立场一致。
https://www.infosecurity-magazine.com/news/fcc-hackers-hijacking-radio/
4. 佐治亚州GSCCCA遭勒索软件攻击致系统瘫痪
11月26日,佐治亚州高等法院书记员合作管理局(GSCCCA)因遭遇可信且持续的网络安全威胁,自周五起陷入瘫痪状态,其网站及服务访问被临时限制。该机构负责管理全州159个县的商业备案、房地产及个人财产记录索引、公证员中央数据库及民事案件备案等核心职能,其瘫痪直接影响全州房地产交易、法律文件处理及公证服务。GSCCCA网站自攻击发生后持续显示“系统维护进行中”横幅,周一晚更新确认正在处理网络攻击。机构声明称,团队正夜以继日评估测试系统,确保恢复使用前达到最高安全标准。此次攻击导致该机构存储的海量数据面临风险,包括房地产契约、抵押记录、地图数据、民事刑事案件档案等。勒索软件团伙Devman已将GSCCCA添加至其泄露网站,声称窃取500GB数据并要求11月27日前支付40万美元赎金。Devman为今年4月新出现的组织,其成员此前为Qilin、DragonForce等团伙附属,9月转型为勒索软件即服务(RaaS)组织。
https://therecord.media/georgia-court-filing-org-ransomware-warning
5. 恶意LLM助网犯升级:WormGPT与KawaiiGPT实测威能
11月27日,Palo Alto Networks Unit 42研究团队揭示,未受限制的恶意大型语言模型(LLM)如WormGPT 4和KawaiiGPT正显著提升网络犯罪能力,通过生成高功能性恶意代码降低攻击门槛。WormGPT 4作为2023年“重生”项目,提供月费50美元或终身220美元订阅服务,专为犯罪活动训练,可生成勒索软件加密脚本。该模型还能按指令生成“军用级加密”赎金信,设置72小时付款期限,强化勒索攻击心理威慑。KawaiiGPT则为免费社区驱动型LLM,2.5版本在Linux系统五分钟即可部署。其能力包括生成含逼真域名欺骗的钓鱼邮件、利用Paramiko SSH库实现横向移动的Python脚本,以及通过smtplib库打包数据外泄的恶意程序。虽未直接生成加密例程,但其命令执行能力支持权限提升、数据窃取及有效载荷投放。二者均在Telegram拥有数百成员频道,形成技术交流社区。研究证实,这些模型已从理论威胁转化为实际攻击工具:低技能攻击者可快速发起复杂攻击,如自动化横向移动、定制化钓鱼诱饵,并缩短工具开发周期。
https://www.bleepingcomputer.com/news/security/malicious-llms-empower-inexperienced-hackers-with-advanced-tools/
6. PyPI供应链安全警报:遗留Python包引发域名接管风险
11月28日,网络安全研究人员在分析遗留Python包时发现,多个知名PyPI软件包存在因域名接管导致的供应链安全漏洞。ReversingLabs在构建工具zc.buildout的引导脚本中检测到关键漏洞,该脚本会从已失效的旧域名python-distribute.org下载Distribute软件包安装程序,而该域名目前处于开放注册状态,可被攻击者接管并植入恶意代码。受影响的PyPI包包括tornado、pypiserver、slapos.core等,其引导脚本bootstrap.py在特定条件下会触发域名访问。问题根源在于Distribute工具的历史遗留问题:作为曾短暂存在的Setuptools分支,Distribute在2013年被重新整合后逐渐淘汰,但部分软件包仍保留了旧版引导脚本。这些脚本采用硬编码域名下载机制,与恶意软件下载器行为高度相似,形成“不必要的攻击面”。
https://thehackernews.com/2025/11/legacy-python-bootstrap-scripts-create.html
京公网安备11010802024551号