文章总结： 这篇文档回顾了近期国际网络安全态势，包括Notepad++修复的流量劫持漏洞、针对AI开发工具的PromptPwnd攻击、五角大楼加快向后量子密码学过渡、OT环境中路由器成为最常受攻击设备等多个重要安全事件。文章特别详细介绍了Notepad++更新程序被劫持的供应链攻击案例，强调了验证更新文件真实性和完整性的重要性，提醒用户及时更新到最新版本以防范此类攻击。 综合评分： 84 文章分类： 漏洞分析,威胁情报,安全大事件,供应链安全,应用安全

国外：一周网络安全态势回顾之第129期，Notepad++修复流量劫持问题

原创

铸盾安全

河南等级保护测评

2025年12月14日 00:00 河南

以下是本周新闻：

PromptPwnd攻击

Aikido Security发现了一种利用GitHub Actions和AI代理的新型提示注入攻击方法。这种名为PromptPwnd的攻击会将恶意提示嵌入到软件开发问题的正文、提交信息和PR描述中，然后由Gemini CLI、Claude Code、OpenAI Codex 和GitHub AI Inference等AI代理将其解读为指令。Aikido表示，至少有五家财富500强公司受到影响。谷歌在接到通知后几天内就修复了Gemini CLI中的漏洞。

五角大楼首席信息官下令加快向后量子密码学过渡

美国战争部已下令五角大楼所有部门加快向后量子密码学的过渡，并警告称，量子计算的进步对军事系统、数据和通信的安全构成越来越大的风险。

研究人员抱怨macOS漏洞赏金减少。

苹果公司宣布对其漏洞赏金计划进行重大更新，最高赏金提高至200万美元数周后，研究人员抱怨macOS漏洞的最高赏金大幅下降。据macOS研究员Csaba Fitzl称，TCC绕过漏洞的最高赏金已从3万美元降至5000美元，macOS沙箱逃逸漏洞的最高赏金也从1万美元降至5000美元。

美国挫败走私GPU的阴谋

美国司法部宣布，三名居住在美国和加拿大的人员因向走私英伟达（Nvidia）用于人工智能应用和高性能计算的GPU而被捕。出口此类GPU是严格禁止的。其中一名嫌疑人已认罪，并在此案中获得了5000万美元的贿赂。另外两名嫌疑人近日已被拘留。美国检察官尼古拉斯·甘杰表示：“这些芯片是人工智能制胜的基石，也是现代军事应用不可或缺的一部分。控制这些芯片的国家将控制人工智能技术；控制人工智能技术的国家将控制未来。”

Holly Ventures推出3300万美元网络安全基金

Holly Ventures宣布推出首支规模为3300万美元的基金，专注于投资美国和以色列的早期网络安全创业公司。Holly Ventures由YL Ventures前高级合伙人John Brennan创立，投资方包括Bessemer Venture Partners、Ballistic Ventures、CRV、Wing Ventures、IVP、TCV、Notable Capital、Team8、BrightMind、Ten Eleven Ventures等。该公司旨在不仅提供资金，还将直接与普通合伙人（GP）合作，提供运营支持，并构建高密度的人脉网络。

在运营技术(OT)环境中，路由器是最常受到攻击的设备。

Forescout开展的蜜罐分析表明，工业路由器是OT环境中遭受攻击最多的设备。路由器和其他OT网络边界设备捕获了三分之二的攻击，而暴露的OT设备则捕获了剩余的攻击。该分析还重点关注了RondoDox和ShadowV2僵尸网络，以及黑客行动主义者持续关注的问题。

ENISA发布网络安全投资报告

欧洲网络安全局(ENISA)发布了《2025年网络安全投资报告》，该报告分析了欧盟各组织的网络安全投资情况。研究发现，过去一年，各组织的网络安全投资水平与上一年基本持平。此外，研究还发现，网络安全总支出略有增长，且大多数组织的安全团队规模基本保持稳定。

美国网络安全和基础设施安全局(CISA)更新了关键基础设施的网络安全性能目标

美国网络安全和基础设施安全局(CISA)发布了跨部门网络安全绩效目标(CPG)的更新版本，旨在帮助关键基础设施运营商达到最低安全基线。CPG 2.0吸取了以往经验教训，与美国国家标准与技术研究院(NIST)最新修订的网络安全框架保持一致，并着重应对关键基础设施面临的最具影响力的威胁。

DroidLock安卓勒索软件

Zimperium详细披露了DroidLock，这是一款针对西班牙用户的安卓恶意软件。该恶意软件通过钓鱼网站传播，并具备勒索软件功能。它可以锁定设备屏幕，使网络犯罪分子能够完全控制受感染的设备。

最新发布的 Notepad++ 版本修复了一个漏洞，该漏洞曾允许攻击者劫持这款免费源代码编辑器的更新程序。

安全研究员凯文·博蒙特在 12 月初报告称，少数使用 Notepad++ 的组织报告称遇到了与该代码编辑器相关的 安全事件。

Beaumont 本周在一份更新报告中表示，这些攻击似乎是由中国的威胁行为者实施的，攻击者利用 Notepad++ 的一个漏洞，初步访问了东亚电信和金融服务公司的系统。

Notepad++ 开发人员似乎至少从 11 月中旬就已知道更新程序存在问题，当时8.8.8 版本发布说明中提到了一项安全增强功能，旨在防止应用程序的更新程序被劫持。

在本周发布的一篇宣布 8.8.9 版本发布的文章中，Notepad++ 证实，更新程序 (WinGUp) 的流量在某些情况下会被重定向到恶意服务器，导致受感染的可执行文件被下载到受害者的系统中。

Notepad++ 开发人员的调查发现，更新程序在验证更新文件的真实性和完整性方面存在缺陷。

“如果攻击者能够拦截更新程序客户端和 Notepad++ 更新基础架构之间的网络流量，攻击者就可以利用此漏洞诱使更新程序下载并执行不需要的二进制文件（而不是合法的 Notepad++ 更新二进制文件）。”

在最新版本中，Notepad++ 和 WinGUp 组件会在更新过程中验证下载的安装程序的签名，如果检查失败，则不会执行更新。

然而，目前尚不清楚实际应用中交通是如何被劫持的。

博蒙特将此次攻击描述为供应链攻击，他认为威胁行为者可能正在 ISP 层面劫持流量以推送恶意更新，但他指出，进行此类攻击需要大量资源。

*—往期回顾 —*

2025收集更新信通院白皮书系列合集（665个）下载

——等级保护

数据安全风险评估培训杂谈

打破“一考定终身”测评师迎来严峻挑战

欲等保定级先数据分类分级

2025公安部网安局等保工作最新要求逐条解析

公网安〔2025〕1846号文：风险隐患及工作方案释疑浅谈

公网安〔2025〕1846号文：数据摸底调查释疑浅谈

公网安〔2025〕1846号文：第五级网络系统释疑浅谈

公网安〔2025〕1846号文：定级备案的最新释疑浅谈

关于25年定级备案公安部网安局释疑的一点浅谈

公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函

新等保测评真的取消打分了吗？一点杂谈！

新定级备案模板明确数据安全纳入等级保护体系

等保定级新模板新要求，2025定级工作新变化

2025新形势下新等保备案如何开展

测评机构老板与销售注意：浅谈测评机构如何更好的满足属地网安监管？

网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系

河南省新规定测评与密评预算再调低

四川省等级测评与商密评估预算计算方法

广西壮族自治区等级测评与商密评估预算为几何？

黑龙江财政关于等级测评与商密评估预算为几何？

和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》

和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》

与Deepseek一起谈开展等级测评的必要性！

——数据安全

《网络数据安全管理条例》解读

跟着DAMA专家看数据管理的未来

市场监管总局印发《网络交易合规数据报送管理暂行办法》

数据安全知识：什么是数据安全？

网警提醒  | 3.31世界备份日：重视你的数据安全

网络和数据安全合规：15部门发布指导意见助力中小企业全面合规

数码复印机数据安全：企业指南

《数据安全法》中有关数据安全保护的法律义务

——错与罚

江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万

网络安全无小事！某企业因疏于防护被依法查处

江苏灌南农商行因违反数据安全管理规定等被罚97.5万

网安企业“内鬼”监守自盗，窃取个人信息2.08亿条

郑州3家公司未履行网络安全保护义务被网信部门约谈

25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚

驻马店市委网信办就网络安全问题依法约谈相关责任单位

两家银行因数据安全相关问题，被罚款

河北保定竞秀区委网信办依法约谈网站负责人

贵港市网信办公布2起网络安全违法违规典型案例

公安机关依法严厉打击侵犯公民个人信息犯罪，10起典型案例公布

重庆网信部门近期就企业违法违规情况开展多起约谈与处罚

新华社：中国电信、中国移动、中国联通，集体回应！

重庆网信部门就一企业系统遭境外组织攻击，开展联合公安约谈

——其他

浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案

精彩回顾：祺印说信安2024之前

祺印说信安2024年一年回顾

网警提醒  | 3.31世界备份日：重视你的数据安全

网络安全知识：什么是技术债务？

网络安全知识：网络威胁情报解析

5月1日起，《国家秘密定密管理规定》正式施行

黑客攻击远程服务器十大弱口令

查看原文：《国外：一周网络安全态势回顾之第129期，Notepad++修复流量劫持问题》