网络安全周报：关键事件与技术动态

1. 英国强化关键行业网络安全法规

英国政府提出《网络安全与韧性法案》，要求为中大型IT服务商设定安全责任，包括24小时内报告重大网络安全事件，违规者面临每日10万英镑或全球日营业额10%的罚款。

2. 英特尔前员工窃取机密文件

前英特尔工程师在离职后下载1.8万份"绝密"文件，公司提起诉讼并索赔至少25万美元。

3. OWASP发布2025版Web应用安全风险Top 10

新增"软件供应链故障"和"异常条件处理不当"两大风险类别，其余八大风险包括访问控制失效、安全配置错误等。

4. AI公司GitHub密钥泄露研究

调查显示65%的领先AI公司在GitHub泄露API密钥等敏感凭证，可能暴露训练数据与私有模型结构。

5. 新型钓鱼攻击滥用Facebook Business Suite

攻击者创建虚假商务页面，利用facebookmail.com域名发送伪装成Meta官方的钓鱼邮件，已记录超4万封钓鱼邮件。

6. Firefox 145增强反指纹追踪保护

新增画布图像数据随机化、屏蔽本地字体检测、虚报处理器核心数等防护机制，防止用户非授权识别。

7. Quantum Route Redirect钓鱼工具包简化凭证窃取

该工具包提供预配置设置和钓鱼域名，支持浏览器指纹识别与VPN检测，已影响90个国家用户。

8. Lovable AI平台集成Guardio安全检测

在生成式AI工作流中嵌入安全浏览引擎，自动扫描平台创建的站点防止网络钓鱼和冒充攻击。

9. Windows 11扩展第三方密码密钥管理器支持

通过2025年11月安全更新实现原生支持，允许用户选择偏好密码管理器并跨浏览器应用。

10. 建筑行业面临协同网络攻击

勒索软件组织、APT团伙利用物联网工程机械、BIM系统和云项目管理平台漏洞，通过钓鱼邮件和供应链攻击渗透。

11. 谷歌调整Android侧载验证政策

在开发者反对后，谷歌将为高级用户创建特殊流程，允许安装未经验证的应用但需自行承担风险。

12. CISA紧急警告Cisco补丁状态误报

发现多个组织设备标记为"已修补"但实际仍存在CVE-2025-20333和CVE-2025-20362漏洞，疑似中国黑客组织UAT4356积极利用。

13. 俄罗斯测试SIM卡反无人机机制

从境外带入的SIM卡需通过CAPTCHA验证或电话身份确认才恢复移动网络服务，防止无人机嵌入式使用。

14. Citrix修复NetScaler XSS漏洞（CVE-2025-12101）

该反射型跨站脚本漏洞源于RelayState参数处理不当，CVSS评分6.1，可通过CSRF攻击利用。

15. 云服务成恶意软件主要传播渠道

Netskope报告显示制造业每月2.2‰用户遭遇恶意内容，Microsoft OneDrive是最常被利用平台（18%），其次为GitHub（14%）。

16. Payroll Pirates薪资劫持活动持续进化

通过谷歌广告推广虚假HR门户，实时窃取双因素认证码，使用adspect.ai隐身服务基于浏览器指纹进行重定向。

17. DanaBot银行木马携新版复活

版本669新增Tor域名C2基础设施和四个加密货币钱包地址，执法部门"Endgame行动"后沉寂六个月再次活跃。

18. KomeX Android RAT黑市售价500美元

基于BTMOB开发的远程访问木马，可绕过Google Play Protect、记录键盘输入和窃取短信，无地理限制。

19. 亚马逊推出NOVA AI模型漏洞赏金计划

针对基础AI模型的安全问题设立奖励，范围200-2.5万美元，重点测试网络安全和CBRN威胁检测能力。

20. 中国安全公司Knownsec数据泄露曝光网络武器库

1.2万份机密文件包含针对Linux/Windows/macOS/iOS/Android的RAT工具、政府合同以及全球攻击目标清单。

技术防护建议

• 所有公开版本控制系统应立即部署密钥扫描
• 全面检查HTTP/HTTPS下载流量包括云服务传输
• 采用独立验证层对抗LLM自我监管缺陷
• 通过红队测试和对抗训练强化AI安全防护

网络安全领域持续演进，防御者通过知识共享和协同响应不断强化防护体系。保持警惕意识、及时更新防护措施是应对日益复杂威胁环境的关键防御策略。