GoBrute僵尸网络借AI弱点攻击加密货币项目
发布时间 2026-01-081. GoBrute僵尸网络借AI弱点攻击加密货币项目
1月7日,近期,GoBruteforcer(又称GoBrut)僵尸网络针对暴露服务器上的加密货币及区块链项目数据库发起新一轮攻击,其核心特征为利用人工智能生成的服务器配置示例导致的弱密码漏洞,以及过时架构如XAMPP的默认凭据风险。该恶意软件基于Golang开发,主要瞄准FTP、MySQL、PostgreSQL及phpMyAdmin服务,通过被入侵的Linux服务器扫描随机公共IP地址,执行暴力破解登录攻击。Check Point研究显示,超50,000台面向互联网的服务器易受攻击,初始入侵多通过XAMPP服务器的FTP实现,因管理员常保留默认弱密码。攻击者获取访问权限后,通常将Web shell上传至Web根目录,或通过配置错误的MySQL/phpMyAdmin上传,形成感染链:下载器获取IRC机器人,最终加载暴力破解模块。攻击启动后,在x86_64架构上可启动多达95个线程,延迟10-400秒后扫描随机IP范围,跳过私有网络、AWS云及美国政府网络。每个工作进程生成随机IPv4地址,探测服务端口并遍历凭证列表,维持设定并发级别。
https://www.bleepingcomputer.com/news/security/new-gobruteforcer-attack-wave-targets-crypto-blockchain-projects/
2. jsPDF库现高危漏洞威胁JavaScript应用安全
1月7日,广泛用于JavaScript应用程序生成PDF的jsPDF库近日曝出严重安全漏洞(编号CVE-2025-68428),严重性评分达9.2。该漏洞源于4.0版本前jsPDF的Node.js构建版本中存在的本地文件包含与路径遍历风险,当用户可控输入未经验证即作为文件路径传递给loadFile函数时,攻击者可借此读取本地文件系统敏感数据并嵌入生成的PDF文件,实现数据窃取。漏洞影响范围明确指向jsPDF的Node.js版本文件,涉及loadFile函数及调用该函数的其他方法。应用安全公司Endor Labs分析指出,若文件路径为硬编码、源自可信配置或采用严格允许列表验证,则利用难度显著降低;但鉴于jsPDF在npm注册表每周超350万次下载的广泛使用量,该漏洞仍被评估为易被积极利用的高风险缺陷。修复方案已在jsPDF 4.0.0版本中实施,通过默认限制文件系统访问并依赖Node.js权限模式阻断漏洞路径。
https://www.bleepingcomputer.com/news/security/critical-jspdf-flaw-lets-hackers-steal-secrets-via-generated-pdfs/
3. n8n平台"Ni8mare"高危漏洞致远程代码执行风险
1月7日,近日,开源工作流自动化平台n8n被曝出编号为CVE-2026-21858的"Ni8mare"高危漏洞,严重程度评分达满分10分。该漏洞影响全球超10万台n8n服务器实例,攻击者可无需身份验证远程控制本地部署的n8n平台,窃取敏感数据或执行任意命令。n8n作为AI领域热门工具,每周npm下载量超5万次,Docker Hub拉取量破亿次,主要用于连接应用、API及服务构建自动化工作流,并支持与LLM服务集成。漏洞根源在于n8n处理webhook请求时的内容类型混淆机制,当请求的Content-Type被伪造为非multipart/form-data(如application/json)时,系统会绕过文件上传解析器的安全防护,直接处理文件字段而未验证是否为有效上传。这使攻击者可通过操控req.body.files对象的filepath参数,读取n8n实例上的任意本地文件,包括存储API密钥、OAuth令牌、数据库凭证、云存储访问权限等敏感信息的配置文件。目前,n8n已发布1.121.0及以上修复版本,建议用户立即升级。
https://www.bleepingcomputer.com/news/security/max-severity-ni8mare-flaw-lets-hackers-hijack-n8n-servers/
4. 安卓恶意软件利用NFC技术实现非接触式支付欺诈
1月8日,Group-IB最新报告揭示,一种新型安卓恶意软件正通过Telegram中文网络犯罪社区传播,使攻击者无需物理接触受害者银行卡即可完成非接触式支付欺诈。目前已发现54个恶意APK样本,多伪装成合法金融或支付应用,通过短信/语音钓鱼诱骗用户安装,并要求将支付卡贴近手机以激活NFC数据捕获功能。该恶意软件采用“双应用协作”模式:受害者手机中的“读取器”应用捕获NFC卡数据后,通过C2服务器传输至犯罪分子控制的设备;攻击者使用“敲击器”应用在非法POS终端完成交易,或通过移动钱包洗钱网络在多国实体店购物,实现资金盗取。部分案例显示,犯罪分子可完全绕过与受害者直接接触,仅通过预加载被盗卡数据的移动钱包即可完成交易。Telegram上的TX-NFC、X-NFC、NFU Pay等供应商公开销售此类恶意软件,采用短期试用至多月订阅的收费模式。
https://www.infosecurity-magazine.com/news/ghost-tap-malware-remote-nfc-fraud/
5. 德州Gulshan公司37.7万客户数据遭泄露
1月7日,总部位于德克萨斯州的Gulshan Management Services, Inc.公司近日证实发生大规模数据泄露事件,影响超过377,000名客户及员工。该公司运营着全美150余家Handi Plus和Handi Stop品牌加油站与便利店,因涉及消费者支付、员工档案及供应链数据,成为攻击目标。据向缅因州总检察长提交的文件披露,2025年9月17日至27日期间,攻击者非法访问了该公司外部系统,漏洞直至27日才被发现。然而,受影响个人直至2026年1月5日才收到书面通知,距离事件结束已超三个月,远超法律规定的通报时限。此次泄露涉及敏感信息包括姓名、地址、社会安全号码、驾驶证号、政府ID(如护照/州身份证)、银行账号及信用卡/借记卡号码等,显著增加身份盗窃风险。德克萨斯州总检察长处的独立报告进一步证实,财务信息与身份标识数据的暴露使受害者面临金融欺诈及身份冒用的双重威胁。
https://hackread.com/data-breach-us-gas-stations-company/
6. 邮件路由配置漏洞成钓鱼攻击新途径
1月7日,微软最新报告揭示,自2025年5月起,网络钓鱼攻击者正利用配置错误的邮件路由和欺骗保护措施,伪造组织机构域名发送看似内部邮件的钓鱼信息,并通过Tycoon2FA等身份认证即服务(PhaaS)平台窃取凭证。此类攻击通过复杂路由场景和薄弱防护措施,使邮件主题伪装成语音邮件、共享文档、人力资源通知、密码重置等常见场景,诱导受害者点击链接进入虚假验证码页面,最终跳转至Tycoon2FA钓鱼界面,不仅窃取账号密码,还可绕过多因素认证(MFA)实施金融诈骗。攻击成功关键在于目标租户的邮件系统存在配置缺陷:MX记录未指向Office 365、DMARC策略设为“无”或宽松模式、SPF验证未启用硬失败、DKIM签名缺失或第三方连接器配置错误。这些漏洞使攻击者能伪造“发件人”与“收件人”相同地址的邮件,制造“内部通信”假象。尽管邮件头可能显示SPF/DMARC验证失败、缺少DKIM签名或来自匿名外部服务器,但在防护缺失的环境中仍能直达用户收件箱。
https://securityaffairs.com/186638/hacking/misconfigured-email-routing-enables-internal-spoofed-phishing.html
京公网安备11010802024551号