AWS CodeBuild配置漏洞引发供应链安全危机
发布时间 2026-01-201. AWS CodeBuild配置漏洞引发供应链安全危机
1月15日,Wiz Research发现并命名“CodeBreach”漏洞,揭示AWS CodeBuild因正则表达式配置错误导致严重安全风险。该漏洞源于CodeBuild处理拉取请求触发器的安全过滤器存在微小缺陷,仅缺少两个字符,导致未经身份验证的攻击者可通过包含已批准ID子字符串的GitHub用户ID绕过限制,触发特权构建任务。攻击者借此访问构建内存中的GitHub凭证,最终完全控制核心AWS GitHub代码库,包括支撑AWS控制台的JavaScript SDK。漏洞影响范围广泛,最敏感目标为AWS SDK for JavaScript。该库广泛用于客户应用及AWS控制台本身,据估计66%的云环境包含此SDK,显著放大供应链攻击的潜在影响。Wiz研究人员通过自动化创建GitHub应用,利用GitHub用户ID分配规律,成功预测并获取可绕过过滤器的ID,演示了对aws/aws-sdk-js-v3代码库的接管,窃取管理员权限。此外,至少三个其他AWS代码库存在相同弱点,其中一例关联AWS员工个人账户。
https://www.infosecurity-magazine.com/news/codebuild-flaw-aws-console-risk/
2. 英警告亲俄黑客DDoS攻击威胁关键设施安全
1月19日,英国国家网络安全中心(NCSC)近日发布紧急警报,指出与俄罗斯关联的黑客组织正持续对英国关键基础设施及地方政府机构发动破坏性分布式拒绝服务(DDoS)攻击。此类攻击通过向目标服务器发送海量虚假请求导致服务瘫痪,虽技术门槛较低,但成功实施仍可能造成目标机构高昂的时间、资金及运营弹性损失。NCSC特别点名亲俄黑客行动主义组织NoName057(16),该组织自2022年3月起活跃,运营名为DDoSia的众包平台,通过招募志愿者贡献计算资源执行攻击,参与者可获金钱奖励或社区认可。2025年7月,国际执法行动“伊斯特伍德行动”虽逮捕两名成员、签发八份逮捕令并关闭100台服务器,但因主要运营者据信藏匿俄罗斯境内未被逮捕,该组织已重返犯罪活动。NCSC强调,NoName057(16)的动机非经济利益,而是意识形态驱动,其威胁正演变为影响运营技术(OT)环境的新形态。该组织以北约成员国及欧洲其他国家中反对“俄罗斯地缘政治野心”的公共及私营部门组织为目标,构成持续安全挑战。
https://www.bleepingcomputer.com/news/security/uk-govt-warns-about-ongoing-russian-hacktivist-group-attacks/
3. 恶意广告扩展NexShield致浏览器真实崩溃
1月19日,近日,网络安全研究人员发现一起利用虚假Chrome和Edge扩展NexShield实施的恶意广告攻击活动。该扩展伪装成由知名广告拦截器uBlock Origin开发者Raymond Hill创建的"高性能轻量级广告拦截器",实际通过无限循环创建"chrome.runtime"端口连接耗尽内存资源,导致浏览器标签页卡死、CPU和内存使用率飙升,最终引发真实崩溃。攻击者将此称为"CrashFix"攻击,属于ClickFix攻击变种。攻击流程显示,浏览器崩溃重启后,扩展会弹出虚假警告诱导用户执行恶意命令。通过复制命令到剪贴板并引导用户粘贴执行,攻击链最终触发混淆的PowerShell脚本下载执行恶意代码。值得注意的是,有效载荷在安装后60分钟才会执行,以此规避检测。针对企业环境,攻击者部署了基于Python的新型远程访问工具ModeloRAT,可执行系统侦察、注册表修改、有效载荷注入及自我更新等操作。对于非企业主机,控制服务器仅返回"测试有效载荷!!!!"消息,显示不同优先级处理策略。
https://www.bleepingcomputer.com/news/security/fake-ad-blocker-extension-crashes-the-browser-for-clickfix-attacks/
4. 财富百强金融企业遭PDFSider恶意软件攻击
1月19日,近日,网络安全公司Resecurity在针对某财富100强金融企业的勒索软件事件响应中,发现一种名为PDFSider的新型恶意软件正被用于投放恶意载荷。该恶意软件通过社会工程手段实施攻击,攻击者冒充技术支持人员诱骗员工安装微软快速助手工具,并利用鱼叉式网络钓鱼邮件传播。邮件附件包含合法PDF24 Creator工具与恶意DLL文件,通过DLL侧加载技术,在合法可执行文件运行时加载恶意代码,从而绕过EDR系统检测。PDFSider被描述为具有高级持续性威胁(APT)特征的隐蔽后门,设计用于长期秘密访问目标系统。其技术实现包括:利用PDF24软件漏洞加载恶意软件;内存中极少的磁盘痕迹;通过匿名管道以CMD启动命令;使用Botan 3.0.0加密库与AES-256-GCM加密C2通信,并在内存中解密数据以减少影响;采用关联数据认证加密(AEAD)模式保障通信完整性;通过DNS(端口53)泄露系统信息至攻击者VPS服务器。此外,该恶意软件具备反分析机制,如RAM大小检查和调试器检测,可在沙箱环境中自动退出。
https://www.bleepingcomputer.com/news/security/new-pdfsider-windows-malware-deployed-on-fortune-100-firms-network/
5. 英迈国际遭勒索攻击致4.2万人数据泄露
1月19日,全球最大B2B技术分销商英迈国际(Ingram Micro)于2025年7月2日至3日期间遭受严重勒索软件攻击,导致超过4.2万人的敏感数据泄露。该公司披露,攻击者窃取了包含姓名、联系方式、出生日期、社保号码、驾照号码、护照号码及工作评估等个人信息的文件,并部署勒索软件加密系统。此次事件导致其内部系统和网站瘫痪,员工被迫远程办公,业务运营遭受重大冲击。SafePay勒索软件团伙宣称对事件负责,并将英迈国际列入其暗网泄露门户网站,声称窃取了3.5TB文件。英迈国际在数据泄露通知信中强调,公司迅速启动调查以确定事件性质和范围,但尚未将事件与特定威胁组织直接关联。然而,攻击时间线与SafePay的作案模式高度吻合,且该组织在2025年已逐渐成为最活跃的勒索软件组织之一,填补了LockBit和BlackCat(ALPHV)退场后的市场空白。
https://www.bleepingcomputer.com/news/security/ingram-micro-says-ransomware-attack-affected-42-000-people/
6. 田纳西男子入侵联邦系统泄露敏感信息
1月19日,2023年8月至10月期间,田纳西州24岁男子尼古拉斯·摩尔通过窃取的凭证,多次非法访问美国最高法院电子归档系统、AmeriCorps账户及退伍军人事务部在线健康记录系统。据联邦检察官披露,摩尔在最高法院系统中使用被盗凭证至少25次登录,有时单日多次访问,并截取包含受害者姓名、账户详情等信息的界面截图,发布至其Instagram账号@ihackedthegovernment进行炫耀。在AmeriCorps账户入侵事件中,摩尔七次访问第二名受害者的账户,从服务器获取包括姓名、出生日期、电子邮箱、家庭住址、电话号码、公民身份、退伍军人身份、服役历史及社会保障号码后四位等个人信息,并在社交媒体上公开泄露。针对退伍军人事务部,他五次使用从一名海军陆战队退伍军人处窃取的凭证,登录My HealtheVet个人健康记录门户,获取该退伍军人的私人健康信息,如处方药物记录及其他敏感医疗数据,随后同样在Instagram上发布相关截图并宣称“入侵成功”。目前,摩尔已承认犯罪事实,案件进入量刑阶段。
https://www.bleepingcomputer.com/news/security/hacker-admits-to-leaking-stolen-supreme-court-data-on-instagram/
京公网安备11010802024551号