行业新闻与博客
CodeBuild 缺陷使 AWS 控制台供应链面临风险
AWS CodeBuild 中的一个严重配置错误使得攻击者能够控制核心 AWS GitHub 存储库,包括支撑 AWS 控制台的 JavaScript SDK 。Wiz Research 将此次漏洞命名为 CodeBreach,它暴露了 AWS 管理的开源项目所使用的持续集成管道中的一个缺陷。通过利 ...
2025年最危险的 25 个软件漏洞揭晓
MITRE 公司发布了一份新的清单,列出了 25 个最危险的软件“漏洞”,这将有助于开发人员、网络防御人员和采购团队了解相关信息。今年的年度 CWE Top 25 榜单是根据 39,080 个 CVE 背后的弱点 (CWE) 编制而成的。MITRE 声称:“揭示这 ...
ISACA 被指定为美国国防部 CMMC 项目的全球认证机构
ISACA 已被美国国防部 (DoD) 指定为网络安全成熟度模型认证 (CMMC) 计划的全球认证机构,以确保国防承包商符合严格的网络安全标准。美国国防部于 2020 年推出了 CMMC,以确保公司在执行政府合同时保护敏感信息。该计划要求处理联邦合同信息 (FCI) 和受控非密信息 (CUI) 的承 ...
新型 “谎言循环” 攻击破坏人工智能安全对话
安全研究人员详细介绍了一种破坏智能体人工智能系统中常见安全机制的新型攻击技术,展示了如何操纵人类的批准提示来执行恶意代码。Checkmarx 的研究人员观察到,该问题集中在人机交互 (HITL) 对话上,这种对话旨在人工智能代理执行潜在风险操作(例如运行操作系统命令)之前征求用户的确认。周二发布的这 ...
汽车行业 WordPress 漏洞使网站易受攻击
Motors WordPress 主题中存在一个安全漏洞,该漏洞可能允许权限最低的已登录用户完全控制受影响的网站。该问题涉及任意文件上传漏洞,允许订阅用户和更高级别的用户安装和激活插件,从而可能导致恶意代码执行。Motors 主题是一款广泛用于汽车网站的 WordPress 解决方案,包括汽车经销商 ...
OAuth 设备代码网络钓鱼活动激增,微软 365 成为攻击目标
已发现滥用微软 OAuth 设备代码授权流程的网络钓鱼活动激增,多个威胁集群利用该技术未经授权访问 Microsoft 365 帐户。根据 Proofpoint 今天发布的一份新报告,国家支持的和以经济利益为目的的行动者都在利用社会工程手段诱骗用户批准恶意应用程序,从而实现账户接管、数据窃取和进一步 ...
英国电信网络服务部门拦截了 10 亿次恶意网站访问尝试
由于英国国家网络安全局 (NCSC) 最近部署的一项服务,过去一年英国已阻止了近 10 亿次早期网络攻击。英国安全部长丹·贾维斯在 12 月 3 日于伦敦举行的《金融时报》欧洲网络安全韧性峰会上宣布了这一结果。活动当天上午,贾维斯刚刚拜访了电信公司 BT,该公司是 NCSC 的共享与防 ...
人工智能增强型 Tuoni 框架瞄准美国大型房地产公司
2025 年 10 月,美国一家大型房地产公司遭到使用新兴的 Tuoni C2 框架的高级入侵攻击。Morphisec 观察到的此次攻击,并在今天发布的一份安全公告中进行了描述,该攻击结合了社会工程、隐写术和内存内执行。该活动表明,威胁行为者如何将模块化指挥控制 (C2) 工具与人工智能辅助的投放方 ...
DoorDash 证实发生数据泄露,导致客户个人信息泄露
外卖服务 DoorDash 已证实,该公司在 2025 年 10 月遭遇数据泄露,部分客户个人信息遭到访问。该公司在一封发给客户的电子邮件中(该邮件已在社交媒体上分享)确认了这起事件,并指出姓名、电话号码、实际地址和电子邮件详细信息均受到影响。针对该公司网站上发布的网络安全事件,该公司表示,目前没有 ...
新型 NPM 恶意软件活动将受害者重定向到加密货币网站
网络安全专家发现了一种围绕七个 NPM 包构建的新型恶意软件攻击活动。Socket 威胁研究团队观察到的此次攻击活动由名为 dino_reborn 的威胁行为者发起。该活动结合使用了伪装工具、反分析控制措施和伪造的加密货币交易所验证码,以识别访问者是潜在受害者还是安全研究人员。其中六个软件包包含几乎 ...
需要帮助吗?联系我们的支持团队 在线客服