# 恶意软件
黑客通过窃取开源项目Axios主要开发者的账户权限,篡改其在npm平台上的代码库,向全球数千万开发者推送含有远程控制木马(RAT)的恶意版本。该事件于2026年3月31日被安全公司StepSecurity和Aikido发现并及时阻止,持续时间约三小时。恶意代码针对Windows、macOS和Linux系统,安装后可自动删除自身以规避检测。受影响用户被建议立即假设系统已被入侵并采取安全措施。此事件凸显供应链攻击威胁日益加剧,此前SolarWinds、Log4j等案例已警示类似风险。
美国开源AI工具LiteLLM遭遇恶意软件攻击,该软件日下载量高达340万次,拥有4万GitHub星标。恶意代码通过依赖项植入,窃取登录凭证并横向扩散。安全研究员Callum McMahon在下载后因系统崩溃发现漏洞,认为其为粗制滥造的“vibe coding”产物。LiteLLM团队正与Mandiant合作调查。同时,LiteLLM官网宣称通过SOC2和ISO 27001认证,但认证服务由初创公司Delve提供,后者正面临伪造数据、雇佣“橡皮图章”审计机构的指控。LiteLLM CEO未回应Delve相关质疑,称当前重点为事件调查与技术复盘。
开源AI项目LiteLLM近日被发现遭恶意软件入侵,该软件通过依赖项传播,窃取登录凭证并横向扩散。事件由FutureSearch研究人员Callum McMahon发现,其设备在下载后因恶意代码崩溃。LiteLLM日下载量高达340万次,GitHub获4万星。尽管项目官网标称已通过SOC2和ISO 27001安全认证,但认证由初创公司Delve提供,后者被指存在伪造数据、使用“橡皮图章”审计等问题。LiteLLM CEO Krrish Dholakia表示正与Mandiant合作调查,暂无评论Delve认证事宜。事件引发对开源安全及第三方认证可信度的广泛讨论。
美国网络安全公司Aikido研究人员查理·埃里克森(Charlie Eriksen)披露,一种名为CanisterWorm的自传播恶意软件已从网络下架,该软件曾可感染开发者的CI/CD管道,通过npm包传播。恶意软件更新后新增了针对伊朗的擦除功能,名为Kamikaze,若设备位于伊朗时区或配置为伊朗使用,则触发系统擦除指令。该行为与TeamPCP此前以经济利益为目的的攻击模式不符,或意在提升组织曝光度。此次攻击源于2月底对Aqua Security的供应链入侵,导致Trivy漏洞扫描工具被篡改。目前尚未有证据显示实际造成伊朗系统损坏,但潜在影响巨大。
黑客通过窃取凭证对Aqua Security公司开发的Trivy漏洞扫描工具发起供应链攻击,几乎影响所有版本。攻击者利用强制推送(forced push)技术篡改了多个版本标签,植入恶意依赖。Trivy是开发者广泛使用的安全工具,GitHub上拥有33,200星。安全公司Socket和Wiz指出,恶意软件在75个被篡改的trivy-action标签中激活,可扫描开发管道中的GitHub令牌、云凭据、SSH密钥等敏感信息,并加密发送至攻击者服务器。受影响版本包括@0.34.2、@0.33和@0.18.0,仅@0.35.0未受影响。维护者Itay Shakury建议用户立即轮换所有管道密钥。
谷歌威胁情报部门发现一种名为"Ghostblade"的新型加密货币窃取恶意软件,该软件针对苹果iOS设备,属于"DarkSword"浏览器恶意软件套件的一部分。Ghostblade以JavaScript编写,可在设备被攻破后迅速窃取私钥、身份信息、地理位置、多媒体数据及iMessage、Telegram、WhatsApp等应用消息,并自动删除崩溃报告以逃避检测。该恶意软件不持续运行,无需额外插件,数据窃取完成后即停止,提升隐蔽性。同时,2月全球加密货币黑客攻击损失降至4900万美元,较1月的3.85亿美元大幅下降,反映出攻击手段正从代码漏洞转向利用人为失误的钓鱼攻击和钱包中毒等新型威胁。
谷歌已停用拥有超过100万用户的Chrome扩展程序“Save image as Type”,并将其从Chrome网络商店移除。官方称该扩展包含恶意软件。该工具允许用户右键点击网页图片并选择以PNG、JPG或WebP格式保存。根据Reddit用户分析,该扩展可能通过替换亚马逊、百思买等网站的联盟营销代码窃取佣金,利用隐藏iframe加载带附属链接的页面。此前该扩展在Edge浏览器中也曾被指出类似问题。尽管谷歌曾将其推荐至商店,但目前尚未明确是否允许其修复后重新上架。
美国联邦调查局(FBI)西雅图分局正在调查2024年5月至2026年1月期间在Steam平台销售的多款游戏内嵌恶意软件事件。受影响游戏包括BlockBlasters、Chemia、Dashverse/DashFPS、Lampy、Lunara、PirateFi和Tokenova。FBI已设立在线表单,收集潜在受害者的Steam用户名、下载游戏名称及时间等信息,并询问是否遭遇银行账户、加密货币、Steam库存或其他数字账户损失。其中,BlockBlasters游戏导致一名用户损失15万美元加密货币。恶意软件通过游戏更新或早期发布版本植入,可窃取用户数据或破坏电脑功能。相关游戏已被Steam平...
美国和欧洲多国执法机构于2026年3月13日宣布,联合捣毁名为SocksEscort的恶意代理服务网络,该网络被用于隐藏网络犯罪分子身份,实施包括加密货币账户劫持在内的诈骗活动。该平台自2020年起运营,控制至少36.9万台路由器及其他联网设备,遍及163个国家。执法部门查封34个域名,捣毁七国约20台服务器,冻结约350万美元加密货币资产,并确认该网络从用户处收取至少570万美元(约合500万欧元)费用。此次行动由美国司法部、FBI、IRS、欧洲刑警组织(Europol)及多个欧洲国家执法机构联合开展,同时得到Lumen Technologies旗下Black Lotus Labs和S...
美国联邦调查局(FBI)于2026年3月13日宣布,正在调查一名涉嫌在Steam游戏平台发布多款含恶意软件游戏的黑客。涉事游戏包括BlockBlasters、Chemia、Dashverse/DashFPS、Lampy、Lunara、PirateFi和Tokenova,均在近两年内上架。这些游戏表面功能正常,实则为木马程序,旨在诱导玩家安装恶意软件。此为Steam平台再度遭遇类似安全事件,此前一年已有类似案例,部分用户已被感染。Valve与FBI暂未回应置评请求。
安全研究人员发现一个由约1.4万台路由器及其他网络设备组成的僵尸网络,主要感染Asus品牌设备,被用于构建匿名代理网络以支持网络犯罪活动。该恶意软件名为KadNap,利用未修复的漏洞传播,其采用基于Kademlia的去中心化对等网络结构,通过分布式哈希表隐藏命令与控制服务器IP地址,显着增强抗打击能力。感染设备主要分布于美国,其次为台湾、香港及俄罗斯。该僵尸网络自去年8月被发现以来,感染规模持续增长,其设计旨在规避检测和防御措施。
一名资深信息安全专家伪装成AI机器人潜入社交平台Moltbook,发现该平台存在严重安全漏洞。研究者在平台上尝试与AI机器人互动时遭遇大量垃圾信息,部分机器人试图索要加密货币钱包、推广机器人市场或诱导执行危险命令。部分机器人泄露了用户个人隐私信息,包括姓名、兴趣爱好及设备配置,存在隐私泄露风险。此外,平台数据库遭泄露,包含机器人API密钥及私密对话内容。研究者还发现平台广告的技能库中存在恶意软件。该事件凸显AI社交网络在安全与隐私保护方面的薄弱环节。
2025年5月起,朝鲜籍威胁行为者通过虚假区块链招聘活动,在npm和PyPi代码库中部署192个恶意软件包,诱导JavaScript和Python开发者运行远程访问木马,窃取加密货币相关信息。ReversingLabs公司发现名为'bigmathutils'的恶意软件包曾达1万次下载,最终被标记废弃。
全球执法机构去年5月成功摧毁Lumma恶意软件基础设施,但最新研究显示该工具已重建网络并再次大规模传播。微软称其已成为多个犯罪集团的首选工具,其中以Scattered Spider团伙活跃度最高。
微软宣布已修复Windows和Office中被黑客利用的多处零日漏洞,相关漏洞可被用于远程植入恶意软件。据悉受影响的包括当前所有Windows版本及Office文件处理程序,安全专家警告该漏洞可能带来系统沦陷和数据窃取风险。
谷歌云旗下网络安全公司Mandiant披露,与朝鲜有关联的威胁团伙UNC1069通过社交工程手段针对加密货币企业展开攻击,使用7种新型恶意软件窃取数字资产。该团伙自2018年起被追踪,近期首次运用AI工具实施深度伪造视频网络诈骗。