1、Snyk涉嫌上传恶意包针对Cursor测试人员

https://sourcecodered.com/snyk-malicious-npm-package/

开发者安全公司Snyk被指涉嫌通过NPM上传恶意包，目标可能是AI代码编辑器Cursor。安全研究员Paul McCarty发现，名为“sn4k-s3c”的用户上传了三个包，分别为“cursor-retrieval”“cursor-always-local”和“cursor-shadow-workspace”，这些包会收集系统数据并发送至攻击者控制的服务器。其中“cursor-shadow-workspace”可窃取环境变量信息，如GitHub凭据、AWS密钥和NPM令牌。相关包现已从NPM下架，但元数据显示发布者使用了Snyk的邮箱地址。目前Snyk正调查此事，而Cursor尚未回应。有分析认为，Snyk可能是在测试Cursor的安全性，并无恶意，但Cursor联合创始人表示包名与Cursor内部扩展一致，否认这是NPM的命名冲突。此事引发广泛讨论，部分质疑Snyk意图不明。

2、Fortinet警告零日漏洞攻击可暴露防火墙接口

https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

Fortinet近日披露，未知威胁行为者利用零日漏洞针对暴露管理接口的FortiGate防火墙设备发起攻击。自2024年11月中旬起，攻击者通过未经授权的管理员登录更改配置、创建新账户，并利用DCSync技术提取凭据。受影响设备的固件版本为7.0.14至7.0.16。攻击分为四阶段，涵盖漏洞扫描、配置修改、创建超级管理员账户及SSL VPN隧道，最终通过VPN访问横向移动。攻击者活动与jsconsole接口的异常使用密切相关，涉及多个VPS托管IP地址。

3、黑客利用虚假YouTube链接窃取登录凭证

https://hackread.com/hackers-fake-youtube-links-steal-login-credentials/

网络犯罪分子通过伪造的YouTube链接引导用户访问钓鱼页面，窃取登录凭证。ANY.RUN的分析显示，攻击者使用URI操控和多层重定向技术，使恶意链接看似可信。这些链接通常伪装为以“http://youtube”开头的地址，通过电子邮件诱导用户点击。重定向过程中，黑客还模拟Cloudflare验证页面，降低用户警觉。最终，受害者被引导至逼真的钓鱼页面输入登录信息。该攻击与Storm1747组织相关，利用Tycoon 2FA等钓鱼工具包，快速部署大规模攻击。

4、SimpleHelp关键漏洞可致文件泄露及远程控制

https://www.horizon3.ai/attack-research/disclosures/critical-vulnerabilities-in-simplehelp-remote-support-software/

研究人员披露了SimpleHelp远程访问软件中多个高危漏洞，可能导致信息泄露、权限提升及远程代码执行（RCE）。其中CVE-2024-57727允许未经身份验证的攻击者通过路径遍历下载敏感文件；CVE-2024-57728可让具有管理员权限的攻击者上传恶意文件；CVE-2024-57726则能让低权限技术员通过后端授权漏洞提升为管理员。这些漏洞可被组合利用，攻击者可完全接管SimpleHelp服务器。漏洞现已在最新版本中修复（5.3.9、5.4.10、5.5.8）。官方建议用户尽快升级软件，同时更改管理员密码、轮换技术员账户密码，并限制服务器登录IP范围，以防范潜在攻击。

5、美国保险公司被指控非法收集和出售位置数据

https://www.malwarebytes.com/blog/news/2025/01/insurance-company-accused-of-using-secret-software-to-illegally-collect-and-sell-location-data-on-millions-of-americans

德州总检察长Ken Paxton指控保险公司Allstate及其子公司Arity，秘密嵌入软件至移动应用中，非法收集4500万美国用户的实时位置和驾驶数据，违反德州《数据隐私与安全法案》。这些数据被用于提高保险费率，并出售给第三方，包括其他保险公司。Arity通过支付应用开发者，将监控软件集成至用户安装的应用，未获用户知情同意，构建了全球最大驾驶行为数据库。

6、Rsync工具曝6个严重漏洞，可执行远程代码

https://www.freebuf.com/news/419987.html

超过660000台暴露的Rsync服务器可能受到六个新漏洞的攻击，其中包含一个严重程度极高的堆缓冲区溢出漏洞，该漏洞允许在服务器上执行远程代码。

7、由于隧道协议缺陷，数百万互联网主机容易受到攻击

https://www.securityweek.com/millions-of-internet-hosts-vulnerable-to-attacks-due-to-tunneling-protocol-flaws/

新研究表明，互联网上超过 400 万个系统，包括 VPN 服务器和家庭路由器，由于隧道协议缺陷而容易受到攻击。这项研究由比利时鲁汶大学教授Mathy Vanhoef和博士生 Angelos Beitis 与 VPN 测试公司 Top10VPN 合作进行。

8、新的UEFI安全启动漏洞可能允许加载恶意 Bootkit

https://thehackernews.com/2025/01/new-uefi-secure-boot-vulnerability.html

有关现已修补的安全漏洞的详细信息已经出现，该漏洞可能允许绕过统一可扩展固件接口 (UEFI) 系统中的安全启动机制。根据与 ESET 共享的一份新报告，该漏洞的 CVE 标识符为CVE-2024-7344 （CVSS 评分：6.7），存在于由 Microsoft 的“Microsoft Corporation UEFI CA 2011”第三方 UEFI 证书签名的 UEFI 应用程序中。

9、研究发现尽管有Active Directory限制仍允许利用NTLMv1的漏洞

https://thehackernews.com/2025/01/researchers-find-exploit-allowing.html

网络安全研究人员发现，设计用于禁用 NT LAN Manager (NTLM) v1 的 Microsoft Active Directory 组策略可以通过错误配置轻松绕过。Silverfort 研究员 Dor Segal 在与 The Hacker News 分享的一份报告中表示：“本地应用程序中的简单错误配置可能会覆盖组策略，从而有效地否定旨在阻止 NTLMv1 身份验证的组策略。”

10、泰国总理遭遇电诈：骗子用AI冒充外国领导人声音要求捐款

https://baijiahao.baidu.com/s?id=1821382882597941316

泰国总理佩通坦15日对媒体透露，自己也曾遭遇诈骗，对方用AI技术模拟东盟某国领导人的声音，通过音频称希望合作。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。