新闻速览

•数据保护不力致20万驾照信息泄露，Allstat子公司National  General被起诉

•报告显示：2024年95%数据泄露事件与人为失误相关

•蓄意破坏公司系统，前雇员面临10年监禁

•警惕！黑客组织Lazarus在npm平台投放恶意软件包

•哥伦比亚政府遭遇 Blind Eagle 黑客组织精准打击，恶意.url 文件成新武器

•币安钱包邮件骗局：特朗普主题加密货币背后藏恶意软件

•短信诈骗盯上节能设备，马斯克“躺枪”

•SolarWinds网络帮助台漏洞曝光：攻击者可解密敏感密码

热点观察

数据保护不力致20万驾照信息泄露，Allstat子公司National General被起诉

Allstate 旗下的 National General 部门近日被纽约州总检察长 Letitia James 提起诉讼，指控该公司未能充分保护消费者数据，并忽视报告，导致数20名驾驶员执照号码泄露。这起诉讼旨在寻求经济处罚和改进安全措施。

据悉，这些泄露事件发生于 2020 年和 2021 年，源于 National General 在线汽车保险报价工具的漏洞。黑客利用这些系统漏洞，获取了近 20万名个人的驾驶执照号码。总检察长办公室指出，National General 未能实施足够的保护措施来防止未经授权的访问，也没有及时通知受影响的个人或州政府机构。

第一次泄露发生在 2020 年 8 月至 11 月间，但未被披露。National General 直到 2021 年初才意识到第二次更大规模的泄露，而此时数据已暴露数月之久。诉讼称，这种不作为违反了纽约州的《停止黑客和改善电子数据安全法》（SHIELD Act），该法要求公司保护私人数据并及时报告泄露事件。

Allstate 于 2021 年 1 月收购 National General，对此其辩称公司在发现漏洞后迅速采取了行动，通知了监管机构并为受影响的消费者提供了信用监控服务。然而，诉讼认为公司的回应不够充分，早期应该采取更强有力的安全措施。

原文链接：

https://www.infosecurity-magazine.com/news/new-york-sues-allstate-data-breach/

报告显示：2024年95%数据泄露事件与人为失误相关

Mimecast的一项最新研究表明，2024年95%的数据泄露事件与人为失误相关，这些失误主要源于内部威胁、凭证滥用以及用户操作错误。数据显示，8%的员工引发了80%的安全事件。

过去一年，诸多引人注目的事件都因人为失误而起。例如Change Healthcare遭受的勒索软件攻击，就是由于员工的凭证在网络钓鱼邮件中被窃取，致使攻击者得以侵入网络。在受访者中，近半数（43%）表示在过去12个月里，因员工疏忽、失职或账号被盗导致的内部威胁及数据泄露有所增加，且66%的受访者预计未来一年来自内部人员的数据损失还会加剧。据安全决策层反馈，由内部人员引发的数据泄露和盗窃事件，平均会给企业造成1390万美元的损失。尽管多数（87%）企业每季度至少对员工开展一次网络攻击识别培训，但仍有33%的企业担忧员工在处理邮件威胁时犯错，27%的企业担心员工因疲劳而放松警惕。

另外，调查显示，85%的受访者称其所在企业过去12个月里增加了网络安全预算，但57%的人表示仍需额外资金用于网络安全人员及第三方服务、协作工具安全以及邮件安全。

原文链接：

https://www.infosecurity-magazine.com/news/data-breaches-human-error/

蓄意破坏公司系统，前雇员面临10年监禁

近日，美国德克萨斯州男子Davis Lu因对前雇主实施网络破坏行为，面临最高10年监禁。

据美国司法部（DoJ）发布的消息，55岁的Davis Lu曾于2007年11月至2019年10月期间，在俄亥俄州比奇伍德一家公司担任软件开发者。2018年，因公司组织结构调整，其工作职责减少，系统访问权限受限。此后，他开始采取破坏公司运营技术的行动。Lu编写恶意计算机代码，致使系统故障，阻止授权人员登录网络。该代码使新进程不断产生且旧进程无法结束，最终导致系统崩溃。他还删除同事文件，并设置若自己权限被撤销，所有用户将无法访问系统的机制。此外，他用不同语言词汇为破坏性代码命名，如日语“破壊（Hakai）”和中文“昏睡（HunShui）”。公司因Lu的行为遭受重大经济损失。

在交还公司电脑前，他试图加密删除数据。调查显示，他曾上网搜索获取系统高级权限、隐藏进程及快速删除文件的技术，意图阻碍前同事解决其制造的问题。法院判定他故意破坏受保护的计算机系统罪名成立。法官将根据联邦量刑指南确定最终刑期。

原文链接：

https://hackread.com/ex-employee-sabotages-company-systems-10-years-prison/

网络攻击

警惕！黑客组织Lazarus在npm平台投放恶意软件包

近日，安全研究人员发现了6个与臭名昭著的黑客组织 Lazarus 有关的恶意软件包被上传到广受 JavaScript 开发者使用的 npm（Node 包管理器）平台。据 Socket 研究团队报告，这些恶意包已被下载 330 次，主要用于窃取账户凭证、部署后门和提取敏感的加密货币信息。

这些恶意包采用了 typosquatting（域名欺骗）策略，通过模仿流行的库名称来欺骗开发者误装：

• is-buffer-validator：伪装成流行的 is-buffer 库
• yoojae-validator：假冒的验证库
• event-handle-package：伪装成事件处理工具
• array-empty-validator：用于收集系统和浏览器凭证
• react-event-dependency：伪装成 React 工具
• auth-validator：模仿身份验证工具

这些包含有恶意代码，旨在窃取敏感信息，如加密货币钱包和浏览器数据（包括存储的密码、cookie 和浏览历史）。它们还会加载 BeaverTail 恶意软件和 InvisibleFerret 后门，这些工具此前曾在假冒的工作邀请中被用来安装恶意软件。

Socket 报告指出，这些恶意代码会收集系统环境详细信息，包括主机名、操作系统和系统目录。它还会系统地遍历浏览器配置文件，以定位和提取敏感文件，如 Chrome、Brave 和 Firefox 的登录数据，以及 macOS 上的钥匙串存档。特别值得注意的是，该恶意软件还针对加密货币钱包，特别是提取 Solana 的 id.json 和 Exodus 的 exodus.wallet 文件。

目前，这6个 Lazarus 包仍然可在 npm 和 GitHub 存储库中获得，威胁仍然存在。安全专家建议软件开发人员仔细检查他们项目中使用的包，并持续审查开源软件代码，以发现可疑迹象，如混淆代码和对外部服务器的调用。

原文链接：

https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-infect-hundreds-via-npm-packages/

哥伦比亚政府遭遇 Blind Eagle 黑客组织精准打击，恶意.url 文件成新武器

自 2024 年 11 月以来，一场针对哥伦比亚政府机构和组织的新型网络威胁活动被曝光，该活动与威胁组织 Blind Eagle（又称 APT-C-36）有关。攻击者通过分发恶意.url 文件，模仿最近修复的 CVE-2024-43451 漏洞的效果。

当用户以特定方式（如右键点击、删除或拖动）与该.url 变体交互时，会触发 WebDAV 请求，通知攻击者文件已被下载。如果用户点击该文件，将通过另一个 WebDAV 请求下载第二阶段的恶意负载并执行。攻击链包括使用 HeartCrypt（一种打包即服务工具）来保护被认为是 PureCrypter 变种的.NET RAT，最终阶段的负载是 Remcos RAT 远程访问木马。

据 Check Point Research的最新报告，Blind Eagle 近期扩大了其攻击范围，除了使用 Google Drive 和 Dropbox 等合法文件共享平台外，还开始利用 Bitbucket 和 GitHub 托管其恶意负载。2025 年 1 月，一波名为 “socialismo” 和 “miami” 的新攻击活动通过被入侵的 Google Drive 账户分发恶意.url 文件。2024 年 12 月的另一场名为 “Parasio” 的活动则利用 Bitbucket 分发 Remcos RAT 负载，仅一周内就造成约 9000 次感染。

2025 年 2 月，Blind Eagle意外暴露了一个 HTML 文件，其中包含冒充哥伦比亚银行的钓鱼活动中收集的个人身份信息（PII）。数据集包含 8075 条有效条目，涉及凭证和 ATM PIN 码等敏感信息，多个哥伦比亚政府电子邮件账户也在受害者之列。为应对这一威胁，建议组织实施严格的安全策略，尽可能禁用 NTLM 身份验证，并监控网络活动中异常的 WebDAV 请求。

原文链接：

https://www.infosecurity-magazine.com/news/blind-eagle-targets-colombian-gov/

币安钱包邮件骗局：特朗普主题加密货币背后藏恶意软件

近日，网络上出现了一种新型电子邮件诈骗手段，诈骗者伪装成加密货币交易平台币安（Binance），试图诱使用户下载恶意软件。

网络安全公司 Cofense 监测发现，诈骗邮件以 “币安” 名义发送，声称用户可领取新推出的特朗普主题加密货币 “TRUMP Coin”，并附上链接引导用户访问仿冒币安官网的虚假网站。该网站不仅模仿了官方品牌形象，还设有安全警告以增强可信度。但实际上，网站并不会提供数字货币，而是诱导用户下载名为 “Binance Desktop” 的恶意程序，该程序实则为远程访问工具（RAT）ConnectWise 的安装包。

与常见的 RAT 攻击不同，此次诈骗团伙在用户设备感染恶意软件后，会在两分钟内迅速控制设备，并通过手动提取凭证的方式，在浏览器（如微软 Edge）中搜索存储的密码。Cofense 指出，这些虚假邮件和网站并非直接复制币安官方页面，而是拼接了真实的图片和设计元素来营造逼真假象。下载链接指向一个由俄罗斯托管的恶意域名（binance-web3comru），此外还有 klclick2com 和 shopifycoursesstore 等两个与该诈骗相关的恶意网站。

原文链接：

https://hackread.com/fake-binance-wallet-email-trump-coin-malware/

短信诈骗盯上节能设备，马斯克“躺枪”

近期，美国民众遭遇一波恶意短信诈骗，诈骗者借埃隆·马斯克之名，推销所谓能降低电费的节能设备。网络安全公司Bitdefender披露，这类骗局利用消费者降低月度开支的心理，通过短信诱导用户点击恶意链接。

诈骗短信常以收件人姓名开头，甚至使用全名，以增加信息可信度。这些个人信息源于此前的数据泄露事件。短信中声称能大幅降低电费，例如宣称邻居已节省79%的电费，并引导用户访问伪装成新闻文章的网站。这些文章虚假宣称该节能设备由马斯克发明，能降低90%的电费，还配有伪造的引用、用户见证和专业术语，以及伪造的电费账单图片来迷惑受害者。实际上，这些文章的目的是诱使读者点击嵌入链接，跳转到售卖劣质设备的网站。这些设备售价从单个44美元到三件套105美元不等，而其实际成本远低于此，在普通在线市场能以更低价格购得。

Bitdefender研究显示，此类短信诈骗自今年1月开始，已发送数千条短信，目前仍有多个相关域名处于活跃状态。该公司提醒民众，要警惕这类主动发来的节能短信，若有能源折扣相关疑问，应直接向能源供应商核实，并向手机运营商和当地有关部门举报可疑短信。

原文链接：

https://hackread.com/sms-scam-elon-musks-sell-fake-energy-devices-usa/

安全漏洞

SolarWinds网络帮助台漏洞曝光：攻击者可解密敏感密码

近日，安全研究发现SolarWinds公司的网络帮助台存在严重安全漏洞（CVE – 2024 – 28989），攻击者可借此解密敏感凭证，包括数据库密码以及LDAP/SMTP认证密钥。

该漏洞源于软件在AES – GCM加密算法实现过程中的加密弱点，具体表现为可预测的加密密钥和随机数（nonce）的重复使用。即便攻击者没有直接访问系统的权限，也能利用这些漏洞解密存储的机密信息。攻击者的攻击路径包括：反编译JAR文件提取硬编码密钥；对用户ID（≤65,535种可能）进行暴力破解以计算变换后的密钥；使用派生密钥解密备份或.whd.properties中的AES – GCM密文。在一次渗透测试中，NetSPI团队成功解密了oauth2_client_secret和LDAP查询账户密码，这使得攻击者能够通过Connect – AzAccount获取Azure AD访问权限，并在网络中实现横向移动。

目前，SolarWinds在12.8.5版本中已对该漏洞进行修复，通过修补密钥生成逻辑并强制实现正确的随机数随机化。

原文链接：

https://cybersecuritynews.com/solar-winds-web-help-desk-vulnerability/