LevelBlue SpiderLabs 十二月威胁情报:供应链攻击、信息窃取器与检测能力更新

本文介绍了2025年12月LevelBlue SpiderLabs发布的最新威胁情报,涵盖npm供应链攻击Shai-Hulud 2.0、执法行动取缔Rhadamanthys信息窃取器网络,以及该团队在检测、追踪和狩猎能力方面的具体技术更新。

威胁情报新闻来自 LevelBlue SpiderLabs 2025年12月

LevelBlue SpiderLabs 是 LevelBlue 的威胁情报部门,拥有一支由威胁研究人员和数据科学家组成的全球团队。他们结合数据分析和机器学习(ML)领域的专有技术,分析着世界上规模最大、最多样化的威胁数据集合之一。

我们的研究团队提供战术威胁情报,为稳健的威胁检测和响应提供动力——即使组织的攻击面扩大、技术演变、攻击者改变其战术、技术和程序。

LevelBlue SpiderLabs 更新为您带来最新的威胁新闻,包括 USM Anywhere 检测的最新更新,以及发布在 LevelBlue SpiderLabs 开放威胁交换平台(OTX)上的新威胁情报。OTX 是全球最大的开放威胁情报共享社区之一。

LevelBlue SpiderLabs 威胁情报新闻

Npm 供应链攻击:Shai-Hulud 再次来袭

早在 2025年9月23日,CISA就曾警告一次影响500个 npm 软件包的广泛供应链入侵。这种自我复制的蠕虫以用于上传凭据的仓库名称命名为“Shai-Hulud”。本月,Shai-Hulud 2.0 蠕虫卷土重来,让 JavaScript 生态系统面临其最激进的供应链入侵之一,超过700个 npm 软件包被感染。

在11月21日至24日期间,Shai-Hulud背后的威胁行为者将数百个流行软件包(包括来自 Zapier、ENS Domains、PostHog、Postman 和 AsyncAPI 的软件包)木马化,注入了恶意的预安装脚本,这些脚本在安装完成前执行。根据 Wiz 的初步报告,这种策略允许早期访问开发环境和 CI/CD 管道,从而实现大规模凭据窃取。被盗的密钥包括 GitHub 令牌、npm 凭据和多云 API 密钥,这些密钥被窃取并上传到攻击者控制的、标记为“Shai-Hulud:第二次降临”的 GitHub 仓库。

与第一次攻击相比,其影响呈指数级增长:超过25,000个仓库被入侵,数百个 npm 软件包被感染,数千个密钥暴露。蠕虫的自我传播特性使每个受害者都成为放大器——重新发布恶意版本并注入恶意的 GitHub 工作流以执行远程命令。这次攻击代表了开源生态系统的系统性风险,因为即使是一个被入侵的依赖项也可能波及数千个下游项目。敦促组织审计依赖项、清除 npm 缓存、轮换所有凭据、强制实施 MFA 并强化 CI/CD 管道以防止进一步传播。

Operation Endgame:Rhadamanthys 信息窃取器网络被摧毁

11月中旬,执法机构对网络犯罪生态系统造成了重大打击,摧毁了 Rhadamanthys 背后的基础设施。Rhadamanthys 是最猖獗的信息窃取恶意软件家族之一。在“Operation Endgame”协调下,欧洲刑警组织和欧洲司法组织——连同来自11个国家的当局和超过30个私营部门合作伙伴——在11月10日至14日期间查获了1,025台服务器和20个域名。被破坏的基础设施支持了数十万个受感染系统,并包含了数百万被盗凭据以及对超过10万个加密货币钱包的访问权限,潜在价值可能达数百万欧元。

Rhadamanthys 作为恶意软件即服务平台运营,向网络犯罪分子提供凭据窃取、浏览器数据收集和加密钱包窃取等订阅模式。其隐蔽性和可扩展性使其成为勒索软件运营商和访问经纪商的基石。

追踪、检测与狩猎能力

LevelBlue SpiderLabs 团队创建了以下对手追踪器,用于自动识别和检测部署的恶意基础设施:ClearFake、ValleyRAT、SystemBC、PureLogs、TinyLoader。此外,以下追踪器已更新:StealC、Tycoon2FA 和 XWorm。

ClearFake 是一个部署在受入侵网站(最常见的是 WordPress)上的恶意 JavaScript 框架,用于提供欺骗性的浏览器更新提示和虚假验证页面,例如 FakeCAPTCHA。这种恶意软件依赖一个庞大且快速移动的基础设施。自本月开始被添加为追踪目标以来,ClearFake 的活动激增,以近四分之三的 IOC 数量主导了追踪器的统计数据。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。

团队已确定以下恶意软件/威胁行为者在11月份最为活跃。 图1:2025年11月恶意软件趋势。

LevelBlue 追踪器已为所追踪的不同家族识别了超过 11,616 个新 IOC,其中最大的增量来自 ClearFake。11月份最活跃的追踪器包括: 图2:2025年11月来自 LevelBlue 追踪器的新 IOC。

USM Anywhere 检测改进

11月,LevelBlue SpiderLabs 添加或更新了 18 个 USM Anywhere 检测规则和 5 个 NIDS 检测规则。以下是 LevelBlue SpiderLabs 开发和改进的部分示例:

  • 新增规则集,包含针对 1password 的新检测,例如异常地理位置登录、暴力破解后成功认证或禁用 MFA。
  • 新增检测,用于识别修改注册表键 LocalAccountTokenFilterPolicy 以获取特权访问的行为。
  • 针对 Gh0stKCP 协议和 Danabot 活动的 NIDS 检测。

请访问 LevelBlue Success Center 获取改进、新功能、发现的问题和创建的任务的完整列表。

LevelBlue SpiderLabs 开放威胁交换平台

LevelBlue SpiderLabs 开放威胁交换平台(OTX)是全球最大的开放威胁情报共享社区之一,由来自全球140个国家的 330,000 名威胁研究人员组成,他们每天向该平台发布威胁信息。LevelBlue SpiderLabs 对这些威胁情报进行验证、分析和丰富。OTX 成员受益于集体研究,可以为社区做出贡献,分析威胁,创建公共和私人威胁情报共享群组等。在此处了解更多关于 OTX、其优势以及如何加入的信息。

新的 OTX 脉搏

LevelBlue SpiderLabs 团队根据其研究和发现,持续在 OTX 上发布新的“脉搏”。“脉搏”是关于威胁、威胁行为者、活动等的交互式可研究信息库,包括对成员有用的入侵指标(IoC)。11月,实验室团队创建了 99 个新的“脉搏”,提供了对最新威胁和活动的覆盖。以下是一些最新相关“脉搏”的示例:

  • Shai-hulud 2.0 活动瞄准云和开发人员生态系统
  • RONINGLOADER:DragonBreath 滥用 PPL 的新途径
  • 俄罗斯 RomCom 利用 SocGholish 向支持乌克兰的美国公司投递 Mythic Agent。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次