Open VSX令牌泄露引发供给链攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

Open VSX令牌泄露引发供给链攻击

颁布功夫 2025-11-04

1. Open VSX令牌泄露引发供给链攻击

11月2日，近日，Open VSX注册表因开发者意表泄露接见令牌，导致威胁行为者提议供给链攻击，在公共存储库中颁布恶意扩大法式。两周前，Wiz钻研人员发现Microsoft VSCode和Open VSX市场中超550个机密信息遭泄露，部门奥秘可接见下载量达15万次的项目，使攻击者能上传恶意扩大，组成严沉供给链风险。Open VSX由Eclipse基金会开发，是微软Visual Studio Marketplace的开源代替规划，为VS Code IDE及兼容分支提供扩大支持。这次事务中，泄露的令牌被用于名为"GlassWorm"的恶意软件攻击，该软件利用不私见Unicode字符暗藏自传布恶意代码，试图窃取开发者痛处并在可接见项目中引发级联缝隙，指标直指49个扩大法式的加密钱币钱包数据，动机疑似经济利益。截至10月21日，所有恶意扩大已被删除，有关令牌实现轮换或撤销，事务已齐全节造。然而，威胁并未终止。钻研人员发现，GlassWorm背后的统一威胁行为者已转移至GitHub，使用一样Unicode隐写术技巧暗藏恶意载荷，攻击领域扩大至多个JavaScript项目代码库。

https://www.bleepingcomputer.com/news/security/open-vsx-rotates-tokens-used-in-supply-chain-malware-attack/

2. 新型HttpTroy后门法式针对韩国发起定向网络攻击

11月3日，近期，与朝鲜关联的威胁行为者Kimsuky及Lazarus Group持续更新其攻击兵器库，展示技术演进趋向。据Gen Digital公司披露，Kimsuky针对韩国单一指标提议垂钓攻击，通过假装成VPN账单的ZIP压缩文件分发新型后门法式“HttpTroy”。该恶意软件通过三阶段攻击链执行：初始为Go说话二进造文件（内嵌假装PDF文档以降低受害者警惕），随后启动MemLoad加载法式成立悠久化机造，最终部署HttpTroy后门。该后门支持文件传输、截屏、高权限号令执杏注反向Shell成立等职能，通过HTTP POST与C2服务器通讯，并选取多层混合技术躲避检测。同时，Lazarus Group针对加拿大两名受害者提议攻击，部署“Comebacker”恶意法式及其升级版“BLINDINGCAN”远程接见木马。攻击链中段被检测到，初始接见蹊径揣摩为垂钓邮件。Comebacker存在DLL与EXE两种变体，前者通过Windows服务启动，后者经cmd.exe执行，最终解密并部署BLINDINGCAN，后者与C2服务器通讯，支持文件操作、过程治理、截屏、痕迹断根等操作。

https://thehackernews.com/2025/11/new-httptroy-backdoor-poses-as-vpn.html

3. 黑客从Balancer DeFi加密和谈窃取超过1.2亿美元

11月3日，基于以太坊的DeFi和谈Balancer的V2可堆肥不变池遭逢沉大黑客攻击，损失超1.28亿美元，成为今年度最大加密钱币偷窃案之一。Balancer作为自动做市商和流动性基础设施，支持自界说代币组合，其V2池此前已接受11次安全审计，但仍因潜在缝隙被利用。事务产生后，Balancer团队迅速与顶尖安全钻研机构合作调查，并忠告用户警惕垂钓风险。缝隙成因存在两种主流揣摩：其一，GoPlus Security指出V2金库的互换推算存在精度舍入误差，每次兑换操作向下取整代币数量，攻击者通过batchSwap函数反复兑换，累积微幼差距导致价值扭曲；其二，安全钻研员Aditya Bajaj以为，恶意合约在资金池初始化阶段把持金库挪用，绕过安全措施，实现跨池未经授权的余额把持。只管技术细节尚未齐全明确，Balancer承诺将颁布齐全过后分析。值妥贴心的是，事务产生后，诳骗者假意Balancer向黑客提议“白帽赏金”交涉，宣称若送还资金可获20%赦免，不然将结合区块链取证机构、法律部门及监管合作同伴，通过IP地址、ASN衔接日志和链上买卖功夫戳鉴别攻击者身份。

https://www.bleepingcomputer.com/news/cryptocurrency/hacker-steals-over-120-million-from-balancer-defi-crypto-protocol/

4. SesameOp恶意软件滥用OpenAI Assistants API提议攻击

11月3日，微软安全团队在2025年7月调查网络攻击时，发现名为SesameOp的新型后门恶意软件，该软件通过滥用OpenAI Assistants API作为荫蔽的号令与节造（C2）通路，实现攻击者对受习染环境的持久持续接见。区别于传统依赖恶意基础设施的攻击方式，SesameOp利用合法云服务进行远程治理，有效躲避了受害者警报及事务响应期间的检测风险。据微软DART团队汇报，SesameOp后门组件将OpenAI Assistants API作为存储和中继机造，获取压缩加密的指令后解密执行；同时，攻击中网络的信息通过对称与非对称加密结合的方式，经统一API通路回传攻击者。该恶意软件攻击链蕴含高度混合的加载器和基于.NET的后门法式，后者通过.NET AppDomainManager注入到Microsoft Visual Studio工具中，结合内部Web Shell及“战术性部署”的恶意过程成立悠久性，支持持久间谍活动。微软强调，这次攻击并非利用OpenAI平台缝隙或配置谬误，而是滥用Assistants API的内置职能。微软与OpenAI已合作鉴别并禁用攻击中使用的账户及API密钥。

https://www.bleepingcomputer.com/news/security/microsoft-sesameop-malware-abuses-openai-assistants-api-in-attacks/

5. 全球货运行业遭RMM工具攻击引发供给链偷窃�；�

11月3日，近期，针对货运经纪人和卡车运输公司的网络攻击出现规�；飨�。据Proofpoint钻研，自2025年1月起，威胁行为者通过恶意链接和垂钓邮件持续部署远程监控治理（RMM）工具（如ScreenConnect、SimpleHelp等），在北美、巴西、墨西哥、印度、德国、智利及南非等多地执行攻击。仅8月以来已纪录近24起活动，单次攻击最多发送1000条信息。攻击者选取双沉渗入战术：一方面利用被盗货运平台账户颁布虚赝品运信息，另一方面入侵货运经纪人及调度员邮箱，劫持邮件线程诱导受害者接见伪造页面。这些页面通过精准复造运营商品牌标识加强可信度，诱骗用户下载.exe或.msi文件装置RMM工具。一旦成功部署，攻击者即可齐全节造系统，实现批改运输路线、屏蔽调度通知、假意合法承运人等操作，最终劫持高价值货物（如食品、电子产品）并转售或走私。

https://www.bleepingcomputer.com/news/security/hackers-use-rmm-tools-to-breach-freighters-and-steal-cargo-shipments/

6. 日本Askul遭勒索软件攻击致数据泄露，供给链受波及

11月3日，日本办公及家居用品零售商Askul近日证实，10月初遭逢勒索软件攻击后，客户与供给商数据遭泄露，其电子商务平台运营中断。这次事务波及旗下网店（Askul、Lohaco、Soloel Arena），泄露内容蕴含用户联系方式、询盘详情及存储于内部服务器的供给商数据。Askul在申明中致歉，称正调查RansomHouse组织宣称的1.1TB数据窃取事务。攻击影响延长至供给链合作同伴：依赖Askul物流网络的日本大型零售商良品打算（经营无印良品Muji）和The Loft虽未明确自身数据是否泄露，但供给链已受侵扰。RansomHouse组织以“不加密仅威胁公开数据”的勒索伎俩闻名，自夸“正义力量”以告发企业缝隙。该组织成立于2022年3月，网络安全钻研已将其与俄罗斯关联的威胁行为者（如Alphv/BlackCat、LockBit 3.0、RagnarLocker）挂钩。

https://therecord.media/askul-confirms-data-breach-ransomware-incident

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研