英国推进关键行业网络安全立法
英国政府提出《网络安全与韧性法案》,要求为 NHS 等公共部门提供 IT 服务的中大型企业遵守强制安全义务。新规要求 24 小时内报告重大网络安全事件,违规者面临每日 10 万英镑或全球营业额 10% 的罚款。
英特尔前员工窃取核心机密文件
前英特尔工程师 Jinfeng Luo 被指控在解雇后盗取 1.8 万份“绝密”文件。英特尔提起诉讼并索赔至少 25 万美元,目前未能通过西雅图住址联系到当事人。
OWASP 发布 2025 版十大 Web 应用风险
新版清单新增“软件供应链失效”与“异常条件处理不当”两类风险,原有八大风险包括访问控制缺陷、安全配置错误、加密失效、注入攻击等。
AI 公司大规模泄露 GitHub 密钥
对 50 家领先 AI 企业的研究表明,65% 在 GitHub 泄露有效密钥,可能暴露组织架构、训练数据乃至私有模型。安全团队建议立即部署密钥扫描工具。
仿冒 Meta 商务套件的钓鱼攻击
攻击者滥用 Facebook Business Suite 发送“Meta 代理合作邀请”等伪造邮件,利用 facebookmail.com 域名绕过安全过滤。迄今发现超 4 万封钓鱼邮件,主要针对欧美广告主。
Firefox 强化反指纹追踪保护
Firefox 145 引入新防护机制,包括画布图像数据随机化、屏蔽本地字体渲染、统一报告触摸点数与处理器核心数,有效阻止网站非授权用户识别。
Quantum Route Redirect 钓鱼工具包简化攻击流程
该工具包提供预配置域名与钓鱼页面,通过伪造 DocuSign 等服务窃取 Microsoft 365 凭证,支持浏览器指纹识别与 VPN 检测规避,已影响 90 个国家。
Lovable AI 平台集成 Guardio 安全检测
AI 编程平台 Lovable 嵌入 Guardio 安全浏览引擎,扫描平台生成站点以识别钓鱼与欺诈内容,应对 AI 编码助手面临的 VibeScamming 攻击技术。
Windows 11 扩展第三方密码密钥管理器支持
2025 年 11 月安全更新后,Windows 11 原生支持第三方密码密钥管理器,同时将 Microsoft 密码管理器以插件形式集成至系统全局。
建筑行业成网络攻击新焦点
勒索软件组织、APT 团伙通过物联网工程机械、BIM 系统与云项目管理平台渗透建筑企业,利用钓鱼邮件、凭证泄露与供应链漏洞实施数据窃取。
谷歌调整 Android 侧载应用验证策略
在开发者反对后,谷歌将为高级用户提供“接受未验证应用风险”的安装流程,保留侧载自由度同时强调通过 Play Protect 缓解安全风险。
CISA 紧急警告思科漏洞修补状态误判
美国网络安全机构发现多家组织在修复 CVE-2025-20333 与 CVE-2025-20362 时误将脆弱版本标记为“已修补”,建议重新验证更新有效性。
俄罗斯测试 SIM 卡反无人机封锁机制
境外入俄的 SIM 卡需通过 CAPTCHA 或电话身份验证方可恢复移动网络服务,旨在防止无人机嵌入 SIM 卡进行远程控制。
Citrix 修复 NetScaler 反射型 XSS 漏洞
CVE-2025-12101 漏洞源于 RelayState 参数处理缺陷,攻击者可通过特制 HTTPS 请求注入恶意脚本。尽管利用条件严苛,但仍存在 CSRF 攻击可能。
云服务成恶意软件主要分发渠道
Netskope 报告显示制造业每月 0.22% 用户遭遇恶意内容,OneDrive 以 18% 的占比成为最常被滥用的平台,其次为 GitHub(14%)与 Google Drive(11%)。
Payroll Pirates 通过恶意广告劫持薪酬系统
该组织自 2023 年 5 月起运营钓鱼网站仿冒薪酬平台,通过 Google Ads 诱导员工登录虚假 HR 门户并劫持工资转账。最新变种可绕过双因素认证并采用广告页面伪装技术。
DanaBot 木马时隔六月卷土重来
新版本 669 集成 Tor 域名与 BackConnect 节点的 C2 基础设施,并配置四个加密货币钱包地址用于窃取 BTC、ETH、LTC 与 TRX。
KomeX Android 远控木马以 500 美元出售
该基于 BTMOB 的 RAT 可绕过 Google Play Protect、记录键盘输入、窃取短信,并提供终身授权与完整代码库购买选项。开发者与叙利亚黑客组织 EVLF 存在关联。
亚马逊推出 NOVA AI 模型漏洞赏金计划
安全研究人员可通过测试模型在网络安全与 CBRN 威胁检测等领域的表现获得 200 至 2.5 万美元奖金,成为最新加入 AI 漏洞奖励的科技巨头。
欧盟 GDPR 改革草案引发隐私组织抗议
noyb 批评草案允许 AI 公司使用公民个人数据训练模型,削弱敏感数据保护并支持无用户同意的终端设备远程访问,称其大幅降低隐私标准。
“比特币女王”因 56 亿美元诈骗案获刑
中国籍嫌疑人 Zhimin Qian 使用假护照流窜欧洲,通过比特币洗钱被判 11 年 8 个月监禁。调查中查获 6.1 万枚比特币(现值超 60 亿美元),创加密货币收缴纪录。
LeakyInjector 与 LeakyStealer 恶意软件窃取加密资产
这对组合利用底层 API 注入技术规避检测,针对加密货币钱包与浏览器历史记录。LeakyStealer 内置多态引擎并通过定期信标下载额外载荷。
专家警告 LLM 自监管安全框架缺陷
HiddenLayer 指出 OpenAI 的 Guardrails 框架依赖同类模型评估风险存在根本缺陷,攻击者可同时攻破生成与检测模块,强调需引入独立验证与红队测试。
中国安全企业 Knownsec 遭重大数据泄露
超过 1.2 万份机密文档曝光,涉及国家级网络武器、内部工具与全球目标清单,包含跨平台 RAT 代码、政府合同细节以及从印度、韩国等地窃取的海量数据。