2025年12月LevelBlue SpiderLabs威胁情报动态:供应链攻击与恶意软件追踪

本文详细介绍了LevelBlue SpiderLabs在2025年12月发布的威胁情报,涵盖npm供应链攻击“Shai-Hulud 2.0”、针对Rhadamanthys窃密木马执法行动、最新威胁追踪能力及检测规则更新等内容。

Threat Intelligence News from LevelBlue SpiderLabs December 2025

LevelBlue SpiderLabs是LevelBlue的威胁情报部门,汇集了全球威胁研究人员和数据科学家团队,结合数据分析和机器学习(ML)领域的专有技术,分析着全球规模最大、最多样化的威胁数据集合之一。

我们的研究团队提供战术性威胁情报,为强大的威胁检测和响应提供动力——即使在组织的攻击面扩大、技术演进、对手改变其战术、技术和程序(TTPs)时也是如此。

LevelBlue SpiderLabs动态为您带来最新的威胁新闻,包括USM Anywhere检测功能的最新更新,以及发布在LevelBlue SpiderLabs开放威胁交换平台(OTX)上的新威胁情报。OTX是全球最大的开放式威胁情报共享社区之一。

LevelBlue SpiderLabs 威胁情报动态

Npm供应链攻击:Shai-Hulud 再次来袭

早在2025年9月23日,CISA就曾警告一次影响500个npm包的广泛供应链攻击。这种自我复制的蠕虫以用于上传凭据的一个存储库名称命名为"Shai-Hulud"。本月,“Shai-Hulud 2.0"蠕虫卷土重来,JavaScript生态系统正面临其最具攻击性的供应链攻击之一,超过700个npm包被感染。

在11月21日至24日期间,Shai-Hulud背后的威胁行为者将数百个流行包(包括来自Zapier、ENS Domains、PostHog、Postman和AsyncAPI的包)进行了木马化,注入了在安装完成前执行的恶意预安装脚本。该事件最初由Wiz报告。这种策略使得攻击者能够早期访问开发环境和CI/CD管道,从而实现大规模凭据窃取。被盗取的密钥包括GitHub令牌、npm凭据和多云API密钥,这些密钥被泄露到标记为"Shai-Hulud: The Second Coming"的攻击者控制的GitHub存储库。

与第一次攻击相比,其影响呈指数级增长:超过25,000个存储库被入侵,数百个npm包被感染,数千个密钥被泄露。蠕虫的自我传播特性使每个受害者都成为一个放大器——重新发布恶意版本并注入非法的GitHub工作流程以实现远程命令执行。这次攻击代表了开源生态系统的系统性风险,因为即使是一个被入侵的依赖项也可能在数千个下游项目中蔓延。我们敦促组织审核依赖项、清除npm缓存、轮换所有凭据、强制执行多因素身份验证(MFA)并加固CI/CD管道以防止进一步传播。

Operation Endgame:Rhadamanthys窃密木马基础设施被捣毁

11月中旬,执法机构通过捣毁Rhadamanthys背后的基础设施,对网络犯罪生态系统造成了重大打击。Rhadamanthys是最猖獗的信息窃取恶意软件家族之一。在代号为"Operation Endgame"的行动协调下,欧洲刑警组织和欧洲司法组织——与来自11个国家的当局和30多个私营部门合作伙伴一起——在11月10日至14日期间查封了1,025台服务器和20个域名。被捣毁的基础设施支撑着数十万个受感染系统,并包含数百万个被盗凭据以及超过10万个加密货币钱包的访问权限,其潜在价值可能达数百万欧元。

Rhadamanthys作为恶意软件即服务平台运作,向网络犯罪分子提供订阅模式以进行凭据窃取、浏览器数据收集和加密货币钱包数据泄露。其隐蔽性和可扩展性使其成为勒索软件运营商和访问代理的基石。

追踪、检测与狩猎能力

LevelBlue SpiderLabs团队创建了以下"对手追踪器"来自动识别和检测部署的恶意基础设施:ClearFake、ValleyRAT、SystemBC、PureLogs、TinyLoader。此外,以下追踪器也已更新:StealC、Tycoon2FA和XWorm。

ClearFake是一个部署在受感染网站(最常见的是WordPress)上的恶意JavaScript框架,用于投放欺骗性的浏览器更新提示和虚假验证页面,例如FakeCAPTCHA。这种恶意软件依赖于一个庞大且快速移动的基础设施。自本月开始被添加为追踪目标以来,ClearFake的活动激增,占据了该追踪器统计数据的近四分之三。其规模和适应性使其成为目前观察到的最突出的基于网络的恶意软件活动之一。

团队已将以下恶意软件/威胁行为者确定为11月份最活跃的。

图1:2025年11月恶意软件趋势。

LevelBlue追踪器已为其跟踪的不同家族识别了超过11,616个新的IoC(入侵指标),其中最大的增长来自ClearFake。11月份最繁忙的追踪器是:

图2:2025年11月LevelBlue追踪器的新IoC。

USM Anywhere 检测功能改进

11月,LevelBlue SpiderLabs新增或更新了18个USM Anywhere检测规则和5个NIDS检测规则。以下是LevelBlue SpiderLabs开发的一些改进和新元素示例:

  • 新增规则集,包含针对1password的新检测,例如不可能旅行、暴力破解后成功认证或禁用MFA。
  • 新增检测,用于识别修改注册表键值LocalAccountTokenFilterPolicy以获取特权访问的行为。
  • 针对Gh0stKCP协议和Danabot活动的NIDS检测。

请访问LevelBlue Success Center以获取改进、新元素、发现的问题和创建的任务的完整列表。

LevelBlue SpiderLabs 开放威胁交换平台

LevelBlue SpiderLabs开放威胁交换平台(OTX)是全球最大的开放式威胁情报共享社区之一,由来自全球140个国家的330,000名威胁研究人员组成,他们每天向平台发布威胁信息。LevelBlue SpiderLabs对这些威胁情报进行验证、分析和丰富。OTX成员受益于集体研究,可以为社区做出贡献,分析威胁,创建公共和私有的威胁情报共享小组等等。

新的 OTX Pulses

LevelBlue SpiderLabs团队根据其研究和发现,持续在OTX上发布新的Pulses。Pulses是关于威胁、威胁行为者、攻击活动等的交互式、可研究的信息库。这包括对成员有用的入侵指标(IoC)。11月,实验室团队创建了99个新的Pulses,为最新的威胁和攻击活动提供了覆盖。以下是一些最相关的新Pulses示例:

  • Shai-hulud 2.0攻击活动瞄准云和开发者生态系统
  • RONINGLOADER:DragonBreath滥用受保护进程(PPL)的新途径
  • 俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投递Mythic Agent。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次