2026-01-01 05:10:37 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周简讯涵盖APT42攻击以色列、韩航及WIRED数据泄露、罗马尼亚遭勒索等事件；披露LangChain、Airoha蓝牙及Net-SNMP等多个严重漏洞；同时预警Lotusbail、AI钓鱼工具包及恶意软件威胁。 综合评分： 85 文章分类： 威胁情报,漏洞预警,数据泄露,恶意软件,AI安全

cover_image

每周网络安全简讯 ( 2025年第53周 )

国信中心

极客安全

2025年12月31日 16:45 北京

2025年12月27日至2025年12月31日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计20条。

APT攻击

APT组织APT42对以色列目标用户实施网络钓鱼攻击

近日，以色列国家网络安全局发布警告称，APT组织APT42针对以色列安全与国防领域从业人员实施高度定向鱼叉式网络钓鱼攻击，冒充官方机构通过WhatsApp向目标用户发送“专业会议邀请”，同时嵌入短链接，引导用户访问伪装成“会议注册”页面的钓鱼网站，以此窃取用户个人信息，并试图向其投放恶意程序，实现对用户设备的持久性远控。此次攻击活动中，该APT组织采用的短链接服务为运行在荷兰、德国、摩尔多瓦、意大利等多国服务器上的定制化URL缩短系统msnl.ink，这种跨国托管与自建短链接生态显著提高了安全人员溯源与执法难度，对关键行业人员构成较大的潜在安全威胁。

链接：https://cybersecuritynews.com/new-spear-phishing-attack-targeting-security-individuals/

网络动态

韩国大韩航空发生数据泄露事件

近日，大韩航空发布内部通知称，其餐饮子公司KC&D Service公司服务器遭受黑客入侵，约3万条员工个人记录遭到泄露。大韩航空已向有关部门报告了该攻击事件，且在发现KC&D服务器安全漏洞后立即完成了紧急安全措施。

链接：https://koreajoongangdaily.joins.com/news/2025-12-29/business/industry/Data-breach-at-Korean-Air-leaks-30000-employee-records/2488168

美国康泰纳仕集团旗下WIRED公司数据被泄露

近日，名为“Lovely”的攻击者在多个黑客论坛上泄露了一份来自康泰纳仕（Condé Nast）旗下WIRED科技杂志公司的用户数据库，规模约230万条账号记录，包含大量可识别个人身份信息（PII），如邮箱、姓名，以及部分用户的住址、电话等。经研究机构交叉核对，此次泄露的数据具有较高可信度，且此次数据泄露事件与康泰纳仕集团“多品牌身份共享账号系统”安全缺陷有关。目前，攻击者声称后续可能会进一步泄露4000万条来自Vogue、The New Yorker等品牌敏感数据。

链接：https://cybersecuritynews.com/wired-database-breach/

印度网络安全智库CyberPeace与印度理工学院德里分校宣布联合举办2026年度eRaksha黑客马拉松竞赛

近日，印度国内网络安全智库CyberPeace与印度理工学院德里分校（IIT Delhi）创业发展中心（eDC）宣布启动eRaksha Hackathon 2026全国性网络安全黑客马拉松大赛。该赛事将于2026年1月16日至18日在IIT Delhi举行，作为BECon’26创业大会官方组成部分及India AI Impact Summit 2026预热活动之一，聚焦网络安全、国防AI、数字安全与负责任人工智能治理等新兴技术方向。同时，赛事重点围绕Agentic AI、深度伪造检测、物联网安全、边缘安全架构、威胁检测、区块链与安全软件开发等前沿领域，强调构建可部署、可扩展、具备真实应用场景的解决方案。赛事最终成果将于2026年2月10日在新德里Bharat Mandapam的India AI Impact Summit 2026上进行集中展示。

链接：https://timesofindia.indiatimes.com/technology/tech-news/iit-delhi-edc-partners-cyberpeace-for-eraksha-hackathon-2026/articleshow/126236951.cms

罗马尼亚能源供应商遭受Gentlemen勒索软件攻击

罗马尼亚最大燃煤发电企业奥尔特尼亚能源综合体（Complexul Energetic Oltenia，CEO）于2025年12月26日遭受Gentlemen勒索软件攻击，导致部分IT基础设施瘫痪。CEO披露称，攻击造成部分文档与文件被加密，并使多项关键业务系统短时不可用，包括ERP系统、文档管理应用、企业邮箱服务等，但公司强调发电及国家能源系统运行未受影响。在发现攻击事件后，CEO已启动应急处置流程，利用现有备份在新基础设施上重建系统，同时评估影响范围，以及核查攻击者是否在加密前实施了数据窃取（潜在双重勒索）。此外，该事件已上报国家网络安全主管机构、能源部等部门，并向罗马尼亚执法机关DIICOT提交刑事报案。

链接：https://www.bleepingcomputer.com/news/security/romanian-energy-provider-hit-by-gentlemen-ransomware-attack/

美国陆军设立人工智能职业领域

美国陆军已正式设立面向人工智能与机器学习的新职业发展方向，创建49B“重点领域”（Area of Concentration），并计划通过“自愿调动激励计划”（VTIP）为现役军官开辟转岗通道，符合条件、具备一定服役年限的军官可在2026年1月5日至2月6日期间提交申请，被选中者将于2026年10月1日前完成重新分类，并在随后一年内完成向AI岗位的全面过渡。该举措旨在形成一批“内部AI/ML专家群体”，支撑陆军向“数据驱动、AI赋能”部队转型，并将承担AI系统的建立、管理与任务支撑。

链接：https://defensescoop.com/2025/12/30/army-artificial-intelligence-officer-career-field-aoc-transfer/

欧洲航天局证实外部服务器遭到入侵

近日，欧洲航天局（ESA）发布官方声明称，其企业网络外部服务器遭受黑客攻击，受影响服务器属少数，皆与地球观测、行星探测等支持科学界内部非机密合作工程项目相关，可能由第三方合作方托管。安全人员声称，虽然此类平台承载非机密信息，但由于相关服务器处理工程原理图、仿真数据、遥测数据等，可能会间接帮助攻击者对太空基础设施实施攻击。目前，有关此次入侵事件的攻击途径、攻击者、窃取数据详情等细节尚未公开。

链接：https://cybersecuritynews.com/european-space-agency-breach/

漏洞资讯

M-Files Server存在信息泄露漏洞

近日，安全研究人员发现M-Files Server版本文档管理系统存在信息泄露漏洞（CVE-2025-13008），允许拥有初步身份验证的攻击者在其他活跃连接的用户执行特定客户端操作时拦截会话令牌，进而利用其冒充合法用户，窃取用户敏感数据。漏洞影响M-Files Server Before SR3等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://cybersecuritynews.com/m-files-vulnerability/

LangChain框架存在安全漏洞

近日，安全研究人员发现被广泛应用的AI框架LangChain存在安全漏洞（CVE-2025-68664），位于LangChain-Core核心库中，是由dumps()和dumpd()函数无法转义携带“lc”字符的输入数据所导致，允许攻击者通过向目标平台发送精心构造提示词的方式，远程执行任意代码。目前，用户可通过将LangChain-Core核心库进行补丁更新的方式修复上述安全漏洞。

链接：https://cybersecuritynews.com/langchain-vulnerability/

Airoha公司蓝牙系统芯片产品存在3个安全漏洞

近日，安全研究人员发现被索尼、JBL、Marshall和Jabra等音频设备行业巨头生产的TWS无线耳机所广泛使用的Airoha公司蓝牙系统芯片产品存在3个安全漏洞（CVE-2025-20700、CVE-2025-20701和CVE-2025-20702），均位于RACE专有诊断协议中，是由该协议缺乏有效身份验证机制所导致，任何在蓝牙范围内的攻击者都可以在用户无感知的情况下连接到目标耳机设备，进而允许攻击者对设备的内存进行读写，监听用户收听内容，甚至劫持麦克风。漏洞影响WH-1000XM5、Live Buds 3、Major V等耳机产品，目前用户可通过Airoha SDK补丁更新的方式修复上述安全漏洞。

链接：https://securityonline.info/headphone-jacking-critical-flaws-in-popular-earbuds-let-hackers-hijack-your-phone/

苹果WebKit引擎存在安全漏洞

近日，安全研究人员发现苹果WebKit引擎（JavaScriptCore）存在安全漏洞，是由系统内部计算ArrayBuffer、TypedArray和WebAssembly等数组函数的内存边界时存在缺陷所导致，攻击者可以此向目标设备请求一个理论上通过初始检查但实际上指向安全区域外的内存地址，虽然该利用方式会受到WebKit安全分区机制Gigacage的限制，对相关危险进程进行终止，但攻击者依然可利用上述方式实施DoS攻击，使用户浏览器或嵌入式视图页面立即崩溃。该安全漏洞已在运行iOS 26.2（版本23C55）的iPhone 14 Pro Max上得到确认，目前相关用户可通过用编译器内置溢出检查算法替换标准乘法运算的方式降低遭受攻击的风险。

链接：https://securityonline.info/the-ios-26-2-trap-new-webkit-integer-overflow-discovered-with-poc-is-your-iphone-at-risk/

Net-SNMP软件套件存在缓冲区溢出漏洞

近日，安全研究人员发现Net-SNMP软件套件存在缓冲区溢出漏洞（CVE-2025-68615），位于Net-SNMP核心组件的snmptrapd守护进程中，是由其对传入数据包处理不当所导致，允许攻击者向snmptrapd实例发送特制数据包的方式，致使守护进程崩溃，从而造成拒绝服务，甚至允许攻击者远程执行任意代码，在无需用户交互的情况下完全控制目标设备。目前，用户可通过将版本升级至Net-SNMP 5.9.5和5.10.pre2的方式修复上述安全漏洞。

链接：https://thecyberexpress.com/cve-2025-68615-critical-net-snmp-snmptrapd/

企业级邮件客户端SmarterMail存在身份验证绕过漏洞

近日，安全研究人员发现被广泛应用的企业级邮件客户端SmarterMail存在身份验证绕过漏洞（CVE-2025-52691），是由其文件上传处理组件存在缺陷所导致，允许未经身份验证的攻击者将任意文件上传至邮件服务器中，进而实现远程任意代码执行。漏洞影响SmarterMail 9406及更早版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://securityonline.info/cve-2025-52691-cvss-10-critical-smartermail-flaw-opens-servers-to-unauthenticated-attacks/

Livewire框架存在远程代码执行漏洞

近日，安全研究人员发现为Laravel构建动态前端的Livewire框架存在远程代码执行漏洞（CVE-2025-54068），默认情况下，如果开发者不强制组件参数使用强类型，其PHP反序列化函数(unserialize())组件链会默认使用存在安全缺陷的数组处理机制，允许攻击者向目标设备发送特制请求的方式，绕过APP_KEY签名校验机制，进而实现远程任意代码执行。目前，用户可通过将版本升级至3.6.4及更高版本的方式修复上述安全漏洞。

链接：https://securityonline.info/critical-flaw-in-livewire-exposes-laravel-apps-to-stealthy-rce-poc-releases/

IBM API Connect存在身份验证绕过漏洞

近日，安全研究人员发现IBM API Connect平台存在身份验证绕过漏洞（CVE-2025-13915），允许未经身份验证的远程攻击者绕过身份验证机制，获取目标应用程序的访问权限。该安全漏洞可通过互联网远程利用，且无需诱骗用户点击链接即可实施漏洞利用，存在较大潜在安全威胁。漏洞影响API Connect V10.0.8.0至V10.0.8.5等版本，目前用户可通过版本升级等方式修复上述安全漏洞。

链接：https://securityonline.info/cve-2025-13915-critical-9-8-flaw-in-ibm-api-connect-lets-attackers-bypass-login/

微软Copilot Studio Connected Agents功能存在安全缺陷

近日，安全研究人员发现微软在Build 2025大会上发布并推进的Copilot Studio新功能“代理互联”（Connected Agents）可能引入新的安全风险，该功能在默认情况下为开启状态，允许同一环境内的AI代理彼此“连接并复用能力”，攻击者可创建恶意后门代理并挂接到企业内部的可信代理，进而无需用户交互即可调用受信任代理的各项功能，实施敏感信息窃取等恶意操作。同时，Copilot Studio暂未提供内置方法查看哪些代理已连接到给定代理，在一定程度上增加了安全人员针对攻击事件的追踪溯源难度，且Zenity Labs安全团队已成功演示整体攻击链路，证实上述安全缺陷的利用无需基本代理创建、配置以外的任何高级技术，建议相关用户对所有Copilot Studio代理进行审核，禁用高危代理，限制不同层级用户权限，以降低遭受攻击的风险。

链接：https://www.esecurityplanet.com/artificial-intelligence/copilot-studio-feature-enables-silent-ai-backdoors/

木马病毒

以恶意NPM包方式传播的Lotusbail恶意程序被披露

近日，安全研究人员披露了一款名为Lotusbail的恶意程序，借鉴baileys可信库，通过伪装成合法NPM包的方式对外进行投递。经分析，该恶意程序具有以下特点：一是在植入受控设备后并非直接运行标准连接代码，而是通过WebSocket插入隐藏包装器，静默拦截用户通信流量，窃取用户身份验证令牌；二是可利用定制的RSA算法对窃取的数据进行加密，以防在数据外泄过程中被安全设备识别；三是自身内置了27个陷阱代码，一旦检测到有人试图逆向分析，就会立即进行冻结；四是在恶意程序植入阶段，会劫持用户WhatsApp配对流程，秘密使用硬编码的配对码将受控用户账户与攻击者设备进行关联，最终实现对用户设备的持久性访问。

链接：https://hackread.com/npm-package-lotusbail-trojan-steal-whatsapp-chats/

利用人工智能辅助开发的新型网络钓鱼工具包被披露

近日，安全研究人员披露了一款专门针对Microsoft Outlook西班牙语用户实施攻击的新型网络钓鱼工具包。经分析发现，该工具包的钓鱼页面高度仿真Outlook登录页面，诱导用户输入登录邮箱和密码后，实时调用api.ipify.org获取公网IP、地理位置等信息，打包后通过Telegram Bot API与Discord Webhook进行信息外泄。同时，该钓鱼工具包存在多个变种版本，既有嵌入反分析模块的重度混淆版本，也有完全不混淆，函数命名清晰且具有西语注释的版本，其风格与AI辅助生成代码较为相似。安全人员建议，针对此类网络钓鱼工具包，用户应重点监测与Telegram Bot API、Discord Webhook相关的出站流量，识别异常行为特征，以降低遭受此类攻击的风险。

链接：https://cybersecuritynews.com/new-phishing-kit-with-ai-assisted-development/

Shai-Hulud蠕虫新变种被披露

近日，安全研究人员捕获到Shai-Hulud蠕虫最新变种样本The Golden Path。经分析发现，该样本目前仍处于测试期，扩散范围有限，但代码层面显示出其具有更强韧性和更易传播的特征。同时，该样本与Shai-Hulud蠕虫传统版本相比，具有以下特征：一是引入跨平台感染能力，使得蠕虫的感染不再受到用户操作系统限制；二是改进了TruffleHog错误处理与超时逻辑，降低高延迟扫描时崩溃概率，进一步提升“快速窃取”的可靠性；三是所窃数据统一上传至带有Goldox标识的GitHub仓库，其运营形态正在逐步演进优化。此外，安全人员建议称，用户应采取：加强NPM安全管理策略、采用“可信发布”机制等方式降低遭受攻击的风险。

链接：https://thecyberexpress.com/shai-hulud-golden-path-malwar-npm-supply-chain/

ErrTraffic v2恶意工具包被披露

近日，安全研究人员披露了一款名为ErrTraffic v2的恶意工具包，允许攻击者在其面板中进行各类参数设置，构建虚假的“网页故障”钓鱼页面，进而便可通过向任意被入侵网站中注入javaScript代码的方式完成整体部署流程。一旦诱骗用户点击“修复”按钮成功，即可通过一系列感染链实现远控。经分析，ErrTraffic v2采用“流量分发系统”（TDS）形式运行，可根据受控目标用户设备操作系统类型进行功能性载荷的选择性投放，如适配Windows操作系统的Lumma、Vidar，适配安卓操作系统的Cerberus银行木马，以及适配MacOS操作系统的Atomic Stealer。

链接：https://cyberinsider.com/new-800-service-errtraffic-powers-industrial-scale-clickfix-attacks/

编辑：林青

往期推荐

每周网络安全简讯 ( 2025年第52周 )

每周网络安全简讯 ( 2025年第51周 )

每周网络安全简讯 ( 2025年第50周 )

每周网络安全简讯 ( 2025年第49周 )

每周网络安全简讯 ( 2025年第48周 )

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客安全国信中心《每周网络安全简讯 ( 2025年第53周 )》