网络安全动态 | 第34周

积极进展 | 法院严惩网络犯罪 & Python包索引强化安全

UNC3944组织核心成员Noah Michael Urban因涉嫌电信欺诈和共谋罪被判处10年监禁。该团伙通过短信钓鱼、SIM卡交换和窃取员工凭证从加密货币钱包窃取数百万美元。Urban承认获利"数百万美元"，但大部分资金在赌博中损失，其被判支付1300万美元赔偿金。

另一起案件中，英国罗瑟勒姆的Al-Tahery Al-Mashriky因九项网络犯罪指控被判20个月监禁，其承认窃取数百万Facebook凭证并入侵也门、以色列、加拿大和美国网站。该攻击者与Spider Team、也门网络军队等极端组织有关联。

在防御方面，Python包索引（PyPI）现开始检查过期域名以防范供应链攻击。此更新针对攻击者通过密码重置劫持账户的攻击场景。自6月初以来，PyPI已撤销超过1800个与即将过期域名关联的邮箱验证状态，目前使用Fastly状态API每30天检查一次域名状态。

威胁演进 | Noodlophile信息窃取器通过Telegram升级传播

针对美国、欧洲、波罗的海和亚太地区企业的鱼叉式钓鱼攻击持续活跃，攻击者使用升级的投递机制部署增强版Noodlophile窃取器。该活动使用包含版权侵权诱饵的钓鱼邮件，通过Dropbox链接投递ZIP或MSI安装包，利用合法的Haihaisoft PDF阅读器二进制文件侧加载恶意DLL。

最新变种引入独特的软件漏洞利用、基于Telegram的暂存机制和动态载荷执行技术。攻击者使用Telegram群组描述作为死滴解析器获取实际载荷服务器，增加了检测和清除难度。该窃取器能够收集浏览器数据和系统信息，并暗示未来将增加截图捕获、键盘记录、文件加密等功能。

高级威胁 | 朝鲜黑客通过GitHub部署MoonPeak远控木马

2025年3月至7月，朝鲜威胁组织针对韩国外交机构发起网络间谍活动，至少发现19封冒充外交官员的钓鱼邮件。攻击者使用GitHub作为隐蔽命令控制通道，同时滥用Dropbox、Google Drive和Daum云盘分发定制版Xeno RAT（命名为MoonPeak）。

钓鱼邮件中的恶意ZIP文件包含伪装Windows快捷方式文件，通过PowerShell脚本最终从GitHub获取载荷，并通过计划任务建立持久性。诱饵文档显示给受害者的同时，恶意软件窃取系统数据并外泄至私有GitHub仓库。

法医分析发现攻击活动时间更符合中国时区模式，包括与2025年4月中国国定假日重合的三天暂停期。研究人员以中等置信度评估攻击者可能从中国境内运作，利用朝鲜基础设施混入本地网络流量。