据Infosecurity-magazine消息，安全研究人员发现，针对热门开源包的一系列高调入侵事件，凸显恶意代码渗入常用软件工具的风险在增加。威胁行为者在 rspack（JavaScript 打包工具）和 vant（移动端网页应用的 Vue UI 库）相关包中植入加密挖矿恶意软件，二者每周在 npm 上有数十万下载量。受影响版本已被替换或修复，此类事件是开源软件遭入侵大趋势一部分，此前也发生过多起类似攻击。

据Hackread消息，CloudSEK 的 TRIAD 团队于前日发现热门云开发测试平台Postman 工作区存在关键安全漏洞及风险，在为期一年的调查中，发现超 3 万个可公开访问的工作区泄露第三方 API 相关敏感信息，如访问令牌、刷新令牌和 API 密钥等，涉及众多行业组织，影响 GitHub、Slack、Salesforce 等主要平台。数据泄露原因包括访问配置不当、明文存储、公开共享集合等，可能导致财务和声誉受损等严重后果。CloudSEK 已向受影响组织通报，Postman 也实施了保密政策。

据Infosecurity-magazine消息，美联邦法官裁定以色列 NSO 集团违法。该集团利用 WhatsApp 零日漏洞，在至少 1400 台设备部署 “飞马” 间谍软件，违反州与联邦法律及 WhatsApp 服务条款。WhatsApp 五年前起诉，指出其攻击对象非合法执法目标，而是诸多特定群体。法官称 NSO 未遵法庭命令。WhatsApp 负责人称此裁定是隐私保护的胜利。

据Cybersecuritynews消息，研究人员发现基于网页的系统管理工具 Webmin 存在关键安全漏洞（CVE-2024-12828），CVSS 评分为 9.9，性质严重。该漏洞源于其 CGI 请求处理中的命令注入缺陷，软件在执行系统调用前未妥善验证用户输入，使得认证攻击者能注入恶意命令并以 root 权限执行。全球约有百万 Webmin 安装量，影响不容小觑，可能导致服务器完全被攻陷、敏感数据遭未授权访问等后果。此漏洞由趋势科技零日计划发现，Webmin 已在 2.111 版本修复。

据Cybersecuritynews消息，研究人员发现两款恶意 Python Package Index（PyPI）包 ——Zebo-0.1.0 和 Cometlogger-0.1 ，这两款恶意PyPI包于2024年11月上传，威胁用户安全。Zebo-0.1.0 采用高级混淆手段，利用 pynput 库记录用户按键、ImageGrab 库截屏，将敏感数据传至远程服务器，还通过创建文件保存在启动文件夹实现持续运行。Cometlogger-0.1 瞄准浏览器及加密钱包中的各类信息，用抗虚拟机战术及压缩组件躲避检测。

据Cybersecuritynews消息，网络犯罪团体正融合新老手段，通过部署 AsyncRAT 和 SectopRAT 等远程访问工具窃取用户敏感信息。微软发现，黑客利用技术支持诈骗，借助合法的远程监控管理软件 ScreenConnect 首次将其作为部署 AsyncRAT 的工具，骗得用户远程访问权限后安装该恶意软件以执行数据窃取等恶意行为。此外，近月还出现利用搜索引擎优化投毒和错别字抢注域名等手段部署 SectopRAT 的情况，其能窃取敏感浏览器数据和加密钱包信息，且有很强隐身能力。

据Cybersecuritynews消息，伊朗黑客组织 OilRig 针对阿联酋及海湾地区关键基础设施和政府实体，发动了新一轮网络攻击。他们利用 Windows 内核的 0-day 漏洞 CVE-2024-30088 提升权限并部署恶意软件。攻击从入侵服务器上传网页 shell 开始，利用漏洞提权后安装名为 STEALHOOK 的后门，以窃取敏感信息和进行横向移动。微软已修复此漏洞，但 OilRig 仍在野外利用。安全专家呼吁各组织加强补丁管理和安全防御，警惕此类攻击。

据Cybersecuritynews消息，在开源图数据库系统 Apache HugeGraph-Server 中发现了新安全漏洞 CVE-2024-43441。该漏洞被归类为 “通过假定不可变数据进行认证绕过” 漏洞，影响软件 1.5.0 版本发布前的 1.0 至 1.3 版本，需用户立即采取行动。因其服务器内认证机制处理不当产生，攻击者可借此绕过认证流程，获取对服务器敏感资源和功能的未授权访问。Apache 软件基金会现已发布 1.5.0 版本修复该漏洞，建议用户立即升级系统。

据Bleepingcomputer消息，欧洲航天局官方网络商店遭黑客入侵，在结账时会加载一段 JavaScript 代码，生成虚假的 Stripe 支付页面来窃取信息。该恶意脚本出现并收集顾客信息，包括购买最后阶段提供的支付卡数据。电商安全公司 Sansec 发现后发出警告，指出该商店似乎与欧航局系统整合，可能给员工带来风险。其还发现用于窃取信息的域名与正版商店域名相似但顶级域名不同。另有其他安全公司证实相关发现，虽该商店目前不再出现假支付页面，但恶意脚本仍在源代码中。

据Bleepingcomputer消息，一种基于 Mirai 的新僵尸网络正在利用 DigiEver DS-2105 Pro NVR 中未被追踪且似乎未修复的远程代码执行漏洞，该活动自 10 月开始，针对多款网络视频录像机和固件过时的 TP-Link 路由器。其中利用的漏洞之一由 TXOne 研究员记录并于去年在 DefCamp 安全会议上提出，影响多种 DVR 设备。Akamai 研究人员观察到该僵尸网络 11 月中旬开始利用此漏洞，还针对 TP-Link 设备的 CVE-2023-1389 和 Teltonika RUT9XX 路由器的 CVE-2018-17532 漏洞，Akamai 报告末尾提供了相关入侵指标和检测规则。

据Cybersecuritynews消息，西印度群岛大学的研究人员利用中间人攻击和社会工程学技术的组合，成功绕过 Wi-Fi Protected Access 3（WPA3）协议获取网络密码。WPA3 于 2018 年推出，旨在弥补 WPA2 不足、增强无线网络安全性，其含防离线字典攻击的特性。但研究人员借对其过渡模式弱点的利用，通过三步攻击方法，用树莓派等模拟相关网络进行操作。

据Hackread消息，Lazarus将目标转向核工业，较此前聚焦的国防、航空航天和加密货币领域有所升级。2024 年 1 月观察到其攻击采用假招聘（“梦想工作” 行动）手段，用伪装成求职评估的恶意文件入侵受害者系统。该集团使用如 Ranid Downloader 等复杂工具，还有基于插件的新型恶意软件 “CookiePlus”，其在内存中运行，难被安全系统检测。此外，其不断改进战术，利用谷歌 Chrome 零日漏洞等。

据Cybersecuritynews消息，新发现的 “G-Door” 漏洞可使恶意人员利用未管理的谷歌文档账户绕过微软 365 安全措施。该漏洞源于能用公司域名创建个人或工作区谷歌账户，其能绕过微软 365 的多重要素，如条件访问策略、设备合规检查等，还存在数据暴露、持续访问等风险。这一漏洞削弱了微软 365 诸多关键安全功能。

据Cybersecuritynews消息，网络间谍组织 “云图” 利用微软 Office 公式编辑器漏洞（CVE-2018-0802）发起针对性攻击，主要针对东欧、中亚地区组织。其通过含恶意文档的钓鱼邮件感染，触发下载远程模板文件，利用漏洞下载执行 HTA 文件等，最终部署后门。“云图” 还推出新后门 VBCloud，各模块分工协作，以收集信息、渗透网络等。

据Cyberdaily独家消息，有威胁行为者上传了三个数据库后，近 25000 名联合国代表的数据疑似被发布到网上。黑客 natohub 在一热门黑客论坛宣称掌握了这些数据，三个数据库所含数据不同且涉及不同数量的代表。虽无法核实全部数据的真实性，但样本中包含一些真实的代表姓名和头衔。本月早些时候，natohub 还声称掌握了 13000 名美国海军陆战队（USMC）人员的数据，同样提供了部分数据样本，分析表明部分记录涉及合法现役及退役人员，目前 Cyber Daily 无法核实全部数据真实性。

据Cyberdaily消息，LockBit 在 2024 年 2 月因 “克洛诺斯行动” 遭重创，网站被查封、基础设施被拆除，多名成员及关联人员被捕。如今，LockBit 宣布将推出 4.0 加密器，计划明年初发布，还在其暗网泄露站点发文吸引新的附属成员。目前 4.0 加密器设置了倒计时，截止到 2025 年 2 月 5 日。据悉，4.0 加密器用.NET 编写、用 CoreRT 编译并用 MPRESS 打包，与 3.0 不同，当时处于最终开发阶段，已具备多数功能，支持三种加密类型，且配置为 JSON 格式，在运行时解密，包含诸多关键信息。

据CISA消息，美国网络安全与基础设施安全局（CISA）基于存在被主动利用的证据，向其“已知被利用漏洞目录”中新增了一项漏洞，即CVE-2021-44207“Acclaim Systems USAHERDS使用硬编码凭证漏洞”。这类漏洞常被恶意网络行为者当作攻击途径，给联邦企业带来重大风险。CISA强烈敦促所有组织优先及时修复目录中的漏洞，以降低遭受网络攻击的风险。

据Bleepingcomputer消息，Apache 发布安全更新，修复了 Tomcat web 服务器中可能导致攻击者实现远程代码执行的重要漏洞。Tomcat 是广泛用于部署和运行 Java web 应用的开源 web 服务器及 servlet 容器。此次修复的漏洞被追踪为 CVE-2024-56337，是对之前 CVE-2024-50379 不完全修复的补充。用户需升级到最新版本，如 11.0.2、10.1.34、9.0.98 等，且依据使用的 Java 版本采取额外步骤，Apache 团队还分享了后续版本的安全增强计划，旨在降低相关漏洞被利用的风险。

据Bleepingcomputer消息，销量超 28000 的高级 WordPress WPLMS 主题所需的两个插件存在十多个严重漏洞。这些漏洞可使远程未授权攻击者上传任意文件、执行代码、提升权限至管理员级别并进行 SQL 注入。WPLMS 主题是用于 WordPress 的学习管理系统，主要被教育机构、企业培训及电子学习提供商使用，且能与 WooCommerce 集成售课。Patchstack 漏洞研究人员发现 WPLMS 和 VibeBP 插件共 18 个安全问题并报告 10 个重要漏洞，包括 CVE-2024 系列多个漏洞。

据Bleepingcomputer消息，Adobe 发布带外安全更新，以解决 ColdFusion 关键漏洞（CVE-2024-53961），该漏洞因路径遍历弱点产生，影响 ColdFusion 2023 和 2021 版本，攻击者可借此读取易受攻击服务器上任意文件。Adobe 将其严重性评为 “Priority 1”，建议管理员 72 小时内安装对应更新补丁，并应用相关安全配置。此前 CISA 也曾多次就 ColdFusion 漏洞问题发出相关警示。