好消息 | 美国悬赏1000万美元通缉三名俄罗斯FSB威胁分子
美国国务院宣布悬赏高达1000万美元,征集三名被指控策划针对美国关键基础设施网络攻击的俄罗斯联邦安全局(FSB)官员信息。这些官员——Marat Valeryevich Tyukov、Mikhail Mikhailovich Gavrilov和Pavel Aleksandrovich Akulov——被认为与FSB的第16中心(又称第71330军事单位)有关联。
同一三人组还曾在2022年3月因长期活动(2012-2017年)受到指控,该活动针对美国政府机构,包括核管理委员会和多家能源公司。其中一家公司Wolf Creek Nuclear Operating Corporation在堪萨斯州伯灵顿运营一座核电站。根据国务院的说法,Tyukov、Gavrilov和Akulov的行动还延伸至其他135个国家超过500家外国能源公司。
就在几周前,FBI警告称,这些攻击者在过去一年中一直在利用过时Cisco网络设备中的CVE-2018-0171漏洞。该漏洞允许攻击者在未打补丁的系统上远程执行代码,使他们能够入侵美国关键基础设施领域的多家公司。该网络公司已发布补丁修复该漏洞,并敦促网络管理员更新设备。
与FSB有关的组织长期以来一直以美国州、地方、部落和航空实体为目标。线索可通过国务院基于Tor的"正义赏金"渠道匿名提交,线人可能获得重新安置。
坏消息 | 以太坊智能合约驱动新型npm恶意软件分发活动
两个新发现恶意npm包正在使用以太坊智能合约隐藏和分发恶意软件,凸显了软件供应链攻击中攻击者策略的演变。这些包colortoolsv2和mimelib2于2025年7月上传,随后被移除。
根据安全研究人员的说法,这些包一旦被导入项目,就会触发从攻击者控制服务器获取第二阶段有效负载的代码。虽然这些包因其恶意功能很容易暴露,但导入它们的GitHub项目使它们对毫无戒心的用户显得可信。此操作的不同之处在于其使用以太坊智能合约托管有效负载分发的URL,这种方法让人联想到EtherHiding技术。通过利用去中心化区块链基础设施,攻击者可以更好地隐藏其命令与控制(C2)机制并避免被取缔。
区块链上看到的智能合约(来源:ReveringLabs)
进一步调查将这些npm包与更广泛的活动联系起来,涉及伪装成加密货币交易工具的虚假GitHub仓库,包括solana-trading-bot-v2、ethereum-mev-bot-v2和hyperliquid-trading-bot。这些仓库都虚假宣传自动交易能力,针对开发者和加密货币爱好者。与此活动相关的账户连接到一个名为"Stargazers Ghost Network"的分发即服务(DaaS)集群,该集群以通过虚假星标、分支和提交操纵仓库知名度而闻名。
这些事件指向一个更广泛的趋势:与加密货币相关的供应链攻击正在加速并变得更加复杂。随着威胁行为者利用区块链技术分发恶意软件,开发者被敦促在评估库时超越表面指标,并严格审查开源和第三方代码是否有篡改迹象。主动审查,包括不仅审查下载和提交历史,还包括维护者的可信度,仍然是防御隐藏在可信仓库中恶意软件的第一道防线。
丑闻 | 朝鲜威胁分子利用网络威胁情报工具管理攻击活动
SentinelLABS和Validin披露,与朝鲜有关的Contagious Interview活动集群背后的威胁分子积极监控网络威胁情报(CTI)平台,以跟踪其基础设施的暴露情况并侦察新资产。这些攻击者以协调团队运作,通过Slack等常见企业工具进行通信,同时利用Validin、VirusTotal和Maltrail等来源为其行动提供信息。
尽管他们认识到其基础设施可被检测,但这些攻击者仅进行有限修改以隐藏它。相反,他们专注于在服务提供商取缔后快速部署新资产,保持高受害者参与度,而不是维护旧基础设施。这种方法反映了资源限制和内部激励,因为去中心化团队竞争保护个体资产,而不是协调大规模安全更新。
在2025年1月至3月期间,SentinelLABS识别了230多名受害者,其中大多数是加密货币专业人士,但实际数字可能更高。目标通过使用ClickFix社会工程技术的虚假工作机会被引诱,该技术操纵候选人在评估或故障排除错误的幌子下运行恶意命令。
Contagious Interview受害者分析(来源:SentinelLABS)
路透社的伴随报道强调了这些骗局如何在加密货币行业变得普遍。对受害者(包括开发者、顾问和高管)的采访证实了欺诈性报价的复杂性以及遭受的财务损失。该报道人性化了活动的影响和广度,显示了平壤支持的行为者如何利用信任和专业网络窃取数字资产。
有效缓解需要求职者(尤其是加密货币行业的求职者)保持警惕,同时服务提供商主动破坏恶意基础设施。密切合作、情报共享和媒体曝光对于减少这些活动的影响和范围也至关重要。