慎用 macOS 破解版应用：黑客用于分发恶意软件，窃取你的隐私信息

慎用macOS破解版应用：黑客用于分发恶意软件，窃取你的隐私信息网络安全公司MacPaw旗下MoonlockLab表示近期有黑客通过macOS破解版CleanMyMac或Photoshop等主流应用，分发新型Mac恶意软件。该恶意软件就会使用AppleScript诱骗用户泄露密码，从Chrome和Safari等浏览器中窃取cookies，如果恶意软件检测到在虚拟机上运行就会自毁。脚本首先会从系统中获取当前用户名以及其他重要的系统路径，以供日后使用。然后，它会创建一个临时文件夹来存储被盗数据，然后再将其发送出去。该脚本会窃取浏览器中敏感的用户信息，如浏览历史、cookie和保存的密码。该脚本的另一个功能是能够查找和访问流行的加密货币钱包，可以窃取钱包文件，使攻击者有可能访问受害者的加密资产。关注频道@ZaiHuaPd频道爆料@ZaiHuabot

有黑客利用詹姆斯韦伯望远镜热度来传播恶意软件

有黑客利用詹姆斯韦伯望远镜热度来传播恶意软件安全公司Securonix的人员详细介绍了一项名为GO#WEBBFUSCATOR的恶意软件传播活动，该活动正在利用詹姆斯韦伯望远镜热度来传播恶意软件。使用Golang编程语言的最大优势在于它本身是跨平台兼容的，这意味着相同的代码库可以部署在不同的目标平台上，例如Linux、macOS和Windows（通过Cyware）。在Golang被滥用于恶意目标的最新示例中，不良行为者正在提供几乎无法检测到的恶意软件有效负载，并涉及著名的宇宙Webb图像以隐藏恶意脚本。为了启动复杂的链，黑客首先在收件箱中植入了一封包含恶意Office附件的虚假电子邮件。文档的元数据实际上隐藏（或混淆了活动名称的来源）可触发文件下载的元数据。安全研究人员在他们的博客文章中解释说，下载URL的目的地进一步试图伪装成合法的Microsoft网络链接。打开文档后，自动下载脚本会保存恶意代码。然后代码会自动执行自身以执行其预期的工作。随后，注入系统的代码会下载一个jpg图像文件，该文件看起来像韦伯望远镜捕捉到的快照。然而，使用文本编辑器对图像的分析表明，它实际上隐藏了一个Base64代码，该代码本身试图通过将自己伪装成合法证书来避免怀疑。这实际上是有效载荷，它转换为一个64位脚本，准备好执行并造成伤害。PC版：https://www.cnbeta.com/articles/soft/1311053.htm手机版：https://m.cnbeta.com/view/1311053.htm

美企业指中国黑客篡改广泛分发的客户聊天软件

美企业指中国黑客篡改广泛分发的客户聊天软件美国网络安全公司称，一家加拿大小型客户服务公司分发的客户聊天软件疑似遭到来自中国的黑客篡改，并向全球各地客户分发恶意软件。据路透社星期五（9月30日）报道，美国网络安全公司CrowdStrike称，它发现总部位于温哥华的Comm100公司正在分发恶意软件，该公司向全球各地的客户提供客户服务产品，如聊天机器人和社交媒体管理工具。CrowdStrike称，黑客攻击的范围和规模并没有立即明确。Comm100说，公司在周四早些时候修复了软件，并将很快公布更多细节。Comm100没有立即回应后续的信息请求。CrowdStrike的研究人员认为，Comm100分发的恶意软件已流通了好几天，但这些人员不愿透露有多少公司实际受到影响，只透露“不同行业的实体”受到了影响。一名熟悉此事的人士称，有十几名已知的受害者，但实际数字可能要高出许多。CrowdStrike高管梅耶尔（AdamMeyers）接受电话采访时说，发动此次行动的黑客疑似是中国人，理由是他们的行为模式、代码中的语言，加上一名受害者过去曾多次被中国黑客攻击。不过，中国驻美大使馆发言人刘鹏宇抨击了这样的说法。刘鹏宇在电邮声明中回应，中国坚决反对并依法打击一切形式的网络黑客行为，并批评美国一直在大张旗鼓地编造和散布关于所谓中国黑客的谎言。路透社报道称，这是美国网络公司SolarWinds被黑客入侵导致“供应链破坏”（supplychaincompromise）的另一个例子。“供应链破坏”是指黑客透过篡改广泛使用的企业软件，入侵其下游客户的网络入侵手法。自从据称俄罗斯黑客闯入德克萨斯州，并以其为跳板入侵美国政府机构和众多私营企业以来，“供应链破坏”的网络入侵案例越来越受到关注。发布：2022年10月1日8:05PM

代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件

代码托管平台GitHub评论被指滥用：通过知名存储库URL分发恶意软件在发表评论时，用户可以添加附件，该文件将上传到GitHub的CDN并使用以下格式的唯一URL与相关项目关联：https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}在将文件添加到未保存的评论后，GitHub会自动生成下载链接，而不是在发布评论后生成URL，如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论，这些文件也不会从CDN中删除，且URL会持续永久有效。via匿名

俄罗斯"WhisperGate"黑客正使用新的数据窃取恶意软件攻击乌克兰

俄罗斯"WhisperGate"黑客正使用新的数据窃取恶意软件攻击乌克兰赛门铁克的威胁猎手团队将这一活动归因于一个与俄罗斯有关的网络威胁行为者，它之前被称为TA471（或UAC-0056），自2021年初以来一直活跃，该组织支持俄罗斯政府的利益，虽然它主要针对乌克兰，但该组织也一直活跃在北美和欧洲的北约成员国。TA471与WhisperGate有关，这是一种破坏性的数据清除恶意软件，在2022年1月针对乌克兰目标的多个网络攻击中使用。该恶意软件伪装成勒索软件，但使目标设备完全无法操作，即使支付赎金要求也无法恢复文件。据赛门铁克称，该黑客组织的最新活动依靠以前未曾见过的信息窃取恶意软件，这被称之为"Graphiron"，特别用于针对乌克兰组织。据研究人员称，该恶意软件被用来从2022年10月至至少2023年1月中旬的受感染机器中窃取数据，有理由认为它仍然是[黑客]工具包的一部分。"这种窃取信息的恶意软件使用的文件名旨在伪装成合法的微软Office文件，与其他TA471工具类似，如GraphSteel和GrimPlant，它们之前被用作专门针对乌克兰国家机构的鱼叉式钓鱼活动的一部分。但赛门铁克表示，Graphiron旨在渗出更多数据，包括屏幕截图和私人SSH密钥。赛门铁克威胁猎手团队首席情报分析师迪克-奥布莱恩（DickO'Brien）表示："从情报角度来看，这些信息本身可能是有用的，或者可以用来深入目标组织或发起破坏性攻击。虽然对这个黑客组织的来源或战略知之甚少，但TA471已经成为俄罗斯对乌克兰持续进行的网络活动中的关键角色之一。"TA471的最新间谍活动的消息是在乌克兰政府对另一个俄罗斯国家支持的黑客组织（被称为UAC-0010）敲响警钟后的几天，该组织继续对乌克兰组织进行频繁的网络攻击活动。乌克兰国家网络保护中心说："尽管主要使用重复的技术和程序，但对手缓慢但坚持地发展他们的战术，重新开发使用的恶意软件变体，以保持不被发现。因此，它仍然是我们国家的组织所面临的关键网络威胁之一"。...PC版：https://www.cnbeta.com.tw/articles/soft/1343265.htm手机版：https://m.cnbeta.com.tw/view/1343265.htm