The Good | 美国起诉勒索软件运营者，制裁100亿美元诈骗网络并获BlackDB认罪

科索沃公民Liridon Masurica（33岁）对运营网络犯罪市场BlackDB[.]cc认罪。该市场自2018年至2025年活跃在线，Masurica承认主要向美国受害者出售被盗信用卡、受感染账户、服务器凭证和个人身份信息（PII）。网络犯罪分子购买这些数据用于身份盗窃、税务欺诈和金融犯罪。Masurica被指控六项欺诈罪，面临最高55年监禁。

美国财政部同时制裁了缅甸和柬埔寨的大型网络诈骗网络，这些网络在2024年从美国人手中窃取超过100亿美元（较2023年增长66%）。这些常涉及强迫劳动和人口贩卖的运营实施浪漫骗局和虚假加密货币计划。OFAC点名了与克伦民族军（KNA）和柬埔寨犯罪集团有关的19个个人和实体。制裁冻结了美国资产，切断了国际金融渠道并破坏了运营。

美国司法部还起诉乌克兰公民Volodymyr Tymoshchuk（别名deadforz、Boba等）管理LockerGoga、MegaCortex和Nefilim勒索软件操作。2019年至2021年，他及其同伙入侵了全球超过250家公司，窃取数百万资金并破坏关键服务。Tymoshchuk据称管理Nefilim，为附属组织提供访问权限以分得赎金。美国国务院悬赏1000万美元征集其抓捕信息。

The Bad | ‘GhostAction’供应链攻击从GitHub窃取数千个密钥

网络安全研究人员发现GitHub上发生大规模软件供应链攻击"GhostAction"，已暴露超过3300个敏感凭证，包括PyPI、npm、DockerHub令牌、Cloudflare API密钥、AWS访问密钥和数据库凭证。

9月2日，FastUUID项目中的可疑活动使该活动曝光。攻击者入侵维护者账户并注入恶意的GitHub Actions工作流，设计为在代码推送或手动触发时激活。工作流激活后从环境中收集密钥，并通过curl POST请求外泄到攻击者控制的服务器。

进一步调查显示事件影响远超FastUUID。至少817个仓库包含类似恶意提交，均将窃取的密钥发送至同一端点。为最大化窃取效果，攻击者枚举合法工作流中的密钥名称并将其硬编码到自身脚本中。

截至9月5日，研究人员已通知GitHub、npm和PyPI，并在573个受影响仓库中提交问题。100个项目此时已检测并回退恶意提交。外泄端点随后被下线，但已造成重大损害。事件影响至少9个npm和15个PyPI包，若维护者未撤销受损令牌可能发生恶意发布。

The Ugly | 美众议院警告中国网络间谍利用政治通信

美中紧张贸易谈判期间的高度针对性网络间谍活动，促使众议院中国问题特别委员会发布咨询警告。这些与中国有关的活动聚焦美国政府机构、商业团体、律师事务所和智库。

委员会称，疑似中国威胁行为者冒充共和党众议员John Robert Moolenaar（密歇根州）向可信联系人发送钓鱼邮件。邮件以征求对华制裁意见为名，携带部署恶意软件以窃取敏感数据并建立持久性的附件。目前怀疑攻击者为APT41，这是一个以全球间谍活动闻名的国家支持组织。

Moolenaar强调这些攻击旨在窃取美国战略并用以对抗国会、政府和人民。历史上该活动与国家级威胁行为者常用策略一致，包括滥用云服务和合法软件以掩盖活动，利用个人或非官方通信渠道。中国使馆否认指控，表示"坚决反对和打击所有网络攻击和网络犯罪"，反对无确凿证据的指控。

对手日益利用现代政治通信的延伸。并非所有交流都通过官方政府账户或设备进行，攻击者正利用通过个人或低安全性渠道与合作伙伴互动的受信任官员。通过冒充熟悉的公众人物和使用正确诱饵，他们可增强真实性并实现目标同时规避检测。