构建优雅的 Vue.js 表情包选择器:一个功能丰富且可定制的 Emoji Picker 组件
2026/1/21 20:01:57
威胁情报与研究概述
该威胁情报团队结合数据分析、机器学习(ML)等专有技术,分析全球规模最大、最多样化的威胁数据集合之一。研究团队提供战术威胁情报,以驱动有韧性的威胁检测与响应——即使组织的攻击面在扩展、技术在演进、对手在不断改变其战术、技术和程序。
该威胁情报更新提供最新的威胁新闻,包括对某检测产品的最新更新,以及发布在开放式威胁情报交换平台(OTX)上的新威胁情报,OTX是全球最大的开放威胁情报共享社区之一。
最新威胁情报
Npm供应链攻击:Shai-Hulud 卷土重来
2025年9月23日,相关网络安全机构曾就影响500个npm软件包的广泛供应链攻击发出警报。这种自我复制的蠕虫被命名为“Shai-Hulud”。本月,Shai-Hulud 2.0 蠕虫卷土重来,使JavaScript生态系统面临其最激进的供应链攻击之一,超过700个npm软件包被感染。
在11月21日至24日期间,Shai-Hulud背后的威胁行为者将数百个流行软件包(包括来自Zapier、ENS Domains、PostHog、Postman和AsyncAPI的包)进行木马化,注入了恶意的预安装脚本,这些脚本在安装完成前就会执行。这一策略使得攻击者能够早期访问开发环境和CI/CD管道,从而实现大规模的凭证窃取。被盗的机密信息包括GitHub令牌、npm凭证和多云API密钥,这些信息被泄露到攻击者控制的、标记为“Shai-Hulud: The Second Coming”的GitHub仓库中。
与第一次攻击相比,此次影响呈指数级增长:超过25,000个代码仓库被入侵,数百个npm软件包被感染,数千个机密信息被泄露。该蠕虫的自我传播特性使每个受害者都成为放大器——重新发布恶意版本并注入用于远程命令执行的恶意GitHub工作流。这次攻击对开源生态系统构成了系统性风险,因为即使一个单一的受感染依赖项也可能波及数千个下游项目。建议组织审核依赖项、清除npm缓存、轮换所有凭证、强制执行多因素认证(MFA)并强化CI/CD管道以防止进一步扩散。
执法行动“最终行动”:Rhadamanthys 信息窃取器基础设施被捣毁
11月中旬,执法机构对网络犯罪生态系统给予了重大打击,捣毁了Rhadamanthys背后的基础设施,Rhadamanthys是最猖獗的信息窃取恶意软件家族之一。在“最终行动”的统一协调下,欧洲刑警组织与欧洲司法组织——连同来自11个国家的当局和超过30个私营部门合作伙伴——在11月10日至14日期间查封了1025台服务器和20个域名。被破坏的基础设施曾支持数十万个受感染系统,并包含数百万个被盗凭证以及对超过10万个加密货币钱包的访问权限,潜在价值可能高达数百万欧元。
Rhadamanthys作为一个恶意软件即服务平台运作,为网络犯罪分子提供用于凭证窃取、浏览器数据收集和加密货币钱包泄露的订阅模式。其隐蔽性和可扩展性使其成为勒索软件运营商和访问代理商的基石。
追踪、检测与狩猎能力
该威胁情报团队创建了以下对手追踪器,以自动识别和检测部署的恶意基础设施:ClearFake, ValleyRAT, SystemBC, PureLogs, TinyLoader。此外,以下追踪器得到了更新:StealC, Tycoon2FA, 和 XWorm。
ClearFake是一种部署在受感染网站(最常见的是WordPress)上的恶意JavaScript框架,用于传递欺骗性的浏览器更新提示和虚假验证页面,例如FakeCAPTCHA。该恶意软件依赖一个庞大且快速移动的基础设施。自本月初被添加为追踪目标以来,ClearFake的活动激增,占据了该追踪器统计数据的近四分之三的IOC。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。
该团队已确定以下恶意软件/威胁行为者在11月份最为活跃。
图1: 2025年11月恶意软件趋势。
该系列追踪器已识别出超过11,616个针对其追踪的不同家族的新IOC,其中最大的增量来自ClearFake。11月份最繁忙的追踪器包括:
图2: 2025年11月来自追踪器的新IOC。
安全检测产品改进
在11月,该威胁情报团队在某安全检测产品中添加或更新了18条检测规则和5条NIDS检测规则。以下是该团队开发的一些改进和新元素的示例:
- 新增规则集,包含针对某密码管理工具的新检测,例如不可能旅行、暴力破解后的成功认证或禁用多因素认证。
- 新增检测,用于识别修改注册表键
LocalAccountTokenFilterPolicy以获取特权访问的行为。 - 新增针对Gh0stKCP协议和Danabot活动的NIDS检测。
请访问相关支持中心,查看完整的改进列表、新增元素、发现的问题以及创建的任务。
开放式威胁情报交换平台动态
该开放式威胁情报交换平台(OTX)是全球最大的开放威胁情报共享社区之一,由来自全球140个国家的330,000名威胁研究人员组成,他们每天向平台发布威胁信息。该威胁情报团队对此威胁情报进行验证、分析和丰富。OTX成员受益于集体研究,可以为社区做出贡献、分析威胁、创建公共和私人威胁情报共享群组等等。
新的 OTX 威胁情报摘要
该威胁情报团队根据其研究和发现,持续在OTX上发布新的威胁情报摘要。这些摘要是关于威胁、威胁行为者、攻击活动等的交互式和可研究的信息库,其中包含对成员有用的危害指标。11月,该实验室团队创建了99个新的摘要,提供了对最新威胁和攻击活动的覆盖。以下是一些最新相关摘要的示例:
- Shai-hulud 2.0 攻击活动瞄准云和开发者生态系统
- RONINGLOADER: DragonBreath通过滥用受保护进程达到持久化的新途径
- 俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投递Mythic代理
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)