2026-01-01 05:08:12 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 近期网络攻击频发，软件供应链成为重灾区。NPM与MavenCentral仓库遭植入恶意包，TrustWallet及EmEditor官网被篡改窃取资产与敏感数据。Coupang因前员工导致数据泄露赔偿82亿元，黑猫团伙利用SEO控制27万台主机，恶意扩展窃取AI记录。建议加强依赖审计、供应链监控及终端防护。 综合评分： 85 文章分类： 威胁情报,供应链安全,漏洞分析,数据泄露,恶意软件

cover_image

欧洲航天局确认外部服务器遭入侵，强调核心运营未受影响

汇能云安全

2025年12月31日 17:11 广东

12月31日，星期五，您好！中科汇能与您分享信息安全快讯：

欧洲航天局确认外部服务器遭入侵，强调核心运营未受影响

欧洲航天局（ESA）于2025年12月30日发布声明，确认其企业网络外围的少数外部服务器遭遇网络安全漏洞。该机构表示，已立即启动取证安全分析并采取措施保护可能受影响的设备，同时通知了所有相关合作伙伴。ESA在声明中强调，事件影响范围有限，仅涉及用于科学界内部非机密协作工程活动（如共享研究数据）的极少数外部服务器，这些服务器可能由第三方托管，且位于其主要防御系统之外。目前，关于攻击者身份、具体攻击途径及可能泄露的数据细节尚未披露。

尽管ESA表示其核心航天任务运营（如阿丽亚娜6号火箭发射）未受影响，但网络安全专家指出，此类事件为航天领域敲响了警钟。即使是非机密数据，如工程原理图或遥测数据，也可能被对手利用，间接威胁太空基础设施安全。此次公开披露凸显了在广泛合作网络中加强安全架构的必要性。随着调查持续，欧盟层面关于太空网络安全立法的讨论预计将进一步推进。

27个恶意NPM软件包被揭露，用作针对制造业等行业的钓鱼攻击基础设施

软件供应链安全公司Socket近日披露，有威胁行为者持续向NPM（Node.js包管理器）官方仓库上传了27个恶意软件包，并将其构建成浏览器端运行的钓鱼攻击基础设施。这些软件包伪装成合法应用，内含仿冒的文档共享门户和微软登录页面，专门针对美国及其盟国关键基础设施领域25个组织的销售、商业人员发起鱼叉式钓鱼攻击。受影响行业包括制造业、工业自动化、塑料及医疗领域。攻击者的最终目的是利用NPM及其内容分发网络（CDN）的合法信誉来托管钓鱼页面，窃取受害者的登录凭证。

技术分析显示，攻击手法复杂。钓鱼页面不仅采用反机器人检测、代码混淆等技术规避分析，还设置了隐藏的“蜜罐”表单字段以欺骗自动化扫描工具。研究人员发现，此次活动中使用的域名与开源钓鱼工具包Evilginx存在关联。值得注意的是，这已是今年第二次发现NPM仓库被大规模滥用于此类攻击，但本次攻击的载荷更独立、自成一体。安全专家建议，企业应严格执行依赖验证、部署防钓鱼的多因素认证（MFA），并监控异常的CDN请求。

黑客入侵主流Java仓库Maven Central，仿冒知名JSON库传播恶意软件

网络安全研究人员披露，黑客近期成功入侵了全球Java开发者广泛使用的软件仓库Maven Central。攻击者通过“错别字抢注”手法，上传了一个伪装成知名Jackson JSON库的恶意包。该恶意包使用了极易与正版混淆的命名空间org.fasterxml.jackson.core（正版为com.fasterxml.jackson.core），并为此专门注册了仿冒域名fasterxml.org以增强欺骗性。这是首次在Maven Central上发现如此复杂的恶意软件实例。该恶意包在报告后被迅速下架，但在此之前可能已对误引入的开发者系统构成威胁。

技术分析显示，该恶意软件是一个精心设计的木马下载器。它专门针对Spring Boot开发环境，能在应用启动时自动执行。其攻击链包含多层混淆和反分析技术，能根据操作系统（Windows、macOS、Linux）下载不同的后续载荷。安全专家确认，其最终投放的恶意载荷包括常用于高级网络攻击的Cobalt Strike信标，可使攻击者远程控制受感染系统。此事件为软件供应链安全敲响警钟，提醒开发者和企业必须严格审查项目依赖的来源。

知名加密钱包Trust Wallet插件曝后门，圣诞节期间被盗超700万美元

区块链安全公司披露，知名加密货币钱包浏览器插件Trust Wallet近期疑似遭遇供应链攻击。攻击者通过在Trust Wallet插件v2.68.0版本中植入恶意后门代码，专门窃取用户的恢复钱包助记词，并利用这些信息在圣诞节期间转移用户资产，已造成损失超过700万美元。慢雾科技分析发现，恶意代码伪装成名为PostHog的组件，将窃取的敏感数据发送至攻击者控制的服务器。该恶意域名注册于12月8日，攻击者经过潜伏，选择在12月25日团队及用户警惕性可能较低的圣诞节当日集中发起资产转移。

此次受影响的版本为v2.68.0，开发团队已紧急发布修复版本v2.69.0。安全专家强烈建议所有用户立即将资产转移至其他可信赖的钱包，并核查浏览器插件版本。这并非Trust Wallet首次出现安全问题，2022年曾因随机数生成缺陷造成约17万美元损失，当时公司对用户进行了赔付。目前，此次大规模盗币事件的最终责任认定与用户赔偿方案尚不明确。

知名文本编辑器EmEditor官网遭篡改，四天内下载链接指向间谍软件

知名文本编辑器EmEditor官方近日确认，其网站在2025年12月19日至22日期间遭攻击者攻陷。在此期间，用户通过官网“立即下载”按钮获取的并非正版软件，而是被篡改的恶意安装包。据安全团队分析，攻击者隐秘修改了网站的下载跳转配置。此次事件最关键的识别特征在于数字签名：正版软件由“Emurasoft公司”签署，而恶意安装包的签名方显示为“沃尔沙姆投资有限公司”。官方在12月23日发现问题后已发布公告并修复。

分析报告指出，该恶意软件是一个功能全面的信息窃取工具。它能收集系统信息，并窃取VPN配置、多种浏览器数据、Zoho邮箱及Discord等大量应用的登录凭证。为实现长期控制，恶意软件会安装一个名为“谷歌云端硬盘缓存”的恶意浏览器扩展，该扩展具备键盘记录、截屏乃至篡改剪贴板中加密货币地址的能力。值得注意的是，恶意软件内置了“禁止感染”名单，会主动规避系统语言设置为俄罗斯、乌克兰、哈萨克斯坦及伊朗的设备。安全专家建议相关机构立即排查终端设备。

韩国电商巨头Coupang因大规模数据泄露，将向用户赔偿超82亿元

韩国电商巨头Coupang日前宣布，将就一起大规模数据泄露事件向受影响用户提供总额约1.685万亿韩元（约合人民币82亿元）的赔偿。该公司于11月18日发现此次事件，调查确认数据泄露始于2025年6月24日，共影响韩国境内3370万个用户账号。泄露的信息包括客户的姓名、电话号码、配送地址、电子邮件及部分订单历史记录。Coupang在美国SEC公告中披露，一名前员工对此事件负有责任。

作为赔偿方案，Coupang计划自2026年1月15日起，向每位受影响的客户一次性发放价值5万韩元（约合243元人民币）的购物代金券，总金额超过82亿元。该优惠券将分为电商、外卖、旅行和奢侈品四类。公司创始人表示，所有被盗数据已被追回，泄露者的存储设备已被扣押，且信息未在外部传播或出售。Coupang希望通过此举恢复用户信任，并强调将强化以客户为中心的责任。

Java核心仓库Maven Central遭“前缀替换”攻击，仿冒Jackson库植入恶意软件

安全公司Aikido Security近日披露，Java生态系统的核心软件仓库Maven Central遭遇一起高度复杂的供应链攻击。攻击者上传了一个伪装成广泛使用的Jackson JSON库的恶意组件，通过精妙的“前缀替换”手法进行欺骗。该恶意包使用 org.fasterxml.jackson.core 命名空间，与正版库的 com.fasterxml.jackson.core 仅一字之差，极具迷惑性。报告指出，这是首次在Maven Central仓库中发现如此复杂的恶意软件。攻击者还注册了仿冒域名以构建命令与控制服务器。该恶意包在报告后1.5小时内被迅速下架。

此次“前缀替换”攻击暴露了软件供应链的深层风险。攻击者利用Java传统的反向域名命名惯例的信任机制，通过替换顶级域名（如.com改为.org）轻易伪造出看似合法的身份。安全专家警告，这种低成本、高回报的攻击手法门槛较低，很可能被其他攻击者模仿，用于针对其他高价值开源库。他们紧急呼吁Maven等公共仓库尽快实施“前缀相似性检测”等主动防御机制，以防此类攻击在未来泛滥成灾。

“黑猫”团伙利用搜索引擎仿冒Notepad++传播后门木马，境内已致超27万台主机被控

近日，国家互联网应急中心（CNCERT）与北京微步在线科技有限公司联合发布报告，披露了“黑猫”黑灰产团伙近期发起的大规模网络攻击活动。该团伙利用搜索引擎SEO技术，将仿冒知名文本编辑器Notepad++的钓鱼网站推至搜索结果前列，诱导用户下载捆绑了远控后门的安装包。根据监测，在2025年12月7日至20日期间，仅两周时间就有约27.78万台境内主机被该木马控制，日上线最高峰值超过6.2万台，影响范围与破坏力较其过往活动显著升级。

谷歌商店惊现恶意扩展，超90万用户AI聊天记录遭窃

网络安全公司OX Security近日披露，谷歌Chrome应用商店中两个伪装成AI工具“AITOPIA”的恶意扩展，累计安装量已超90万次。这些扩展声称可在任意网站添加侧边栏，协助用户与ChatGPT、DeepSeek等大型语言模型对话，实则每30分钟秘密窃取用户的聊天记录及浏览活动。令人警惕的是，其中一款扩展竟带有谷歌官方认证的“精选”徽章。

研究人员警告，AI对话常包含专有代码、个人信息等敏感数据，这些信息可能被用于企业间谍、身份盗窃或网络诈骗。目前相关扩展仍可运行，谷歌团队已获知此情况并于审查中。安全专家强烈建议用户立即卸载可疑扩展，并谨慎对待所有来源的浏览器插件，即使其带有官方认证标识。

金融软件商遭勒索攻击，逾数万银行客户数据泄露

两家美国银行近日披露，因金融服务软件商Marquis Software在8月遭遇勒索软件攻击，导致数万名客户数据外泄。VeraBank与Artisans’ Bank已向监管机构通报，称黑客通过Marquis公司系统窃取了客户信息，涉及姓名、社会安全号码等敏感数据。Marquis Software为全美数百家金融机构提供数据分析与营销工具，此次攻击波及至少74家银行及信用合作社，受影响人数估计可能达78.8万至135万。

调查显示，攻击者利用了Marquis公司SonicWall防火墙设备的漏洞窃取数据。尽管银行强调自身系统未受入侵，但客户信息因供应商被攻陷而遭泄露。部分机构通知信暗示Marquis可能已支付赎金，但该公司未予置评。事件凸显供应链安全风险，金融机构正陆续通知受影响客户并加强数据保护措施。

信息来源：人民网国家计算机网络应急技术处理协调中心国家信息安全漏洞库今日头条 360威胁情报中心中科汇能GT攻防实验室安全牛 E安全安全客 NOSEC安全讯息平台火绒安全亚信安全奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院安全帮卡巴斯基安全内参安全学习那些事安全圈黑客新闻蚁景网安实验室 IT之家IT资讯黑客新闻国外天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全《欧洲航天局确认外部服务器遭入侵，强调核心运营未受影响》