文章总结： 本期快讯重点：Xplora儿童手表及Fortinet防火墙曝高危漏洞；Maven供应链遭恶意软件攻击；恶意浏览器扩展窃取会议数据；Coupang与美电力公司发生数据泄露。建议用户尽快修补系统漏洞，警惕恶意扩展与钓鱼邮件，加强数据防护与供应链安全管理。 综合评分： 75 文章分类： 威胁情报,漏洞预警,数据泄露

挪威Xplora儿童手表曝“万能钥匙”漏洞，黑客可监听通话与篡改定位

汇能云安全

2026年1月7日 10:28 广东

01月07日，星期三，您好！中科汇能与您分享信息安全快讯：

01

挪威Xplora儿童手表曝“万能钥匙”漏洞，黑客可监听通话与篡改定位

在近期于德国汉堡举行的第39届混沌通信大会上，德国达姆施塔特工业大学的研究团队披露，挪威市场占有率领先的Xplora儿童智能手表存在极高危安全漏洞。研究人员发现，该品牌手表系统中硬编码了一个“通用密钥”，导致黑客可利用此“万能钥匙”对所有同型号设备发起无差别攻击。一旦得手，攻击者不仅能实时窃取儿童与家长的私密聊天记录和照片，还能篡改定位数据、伪装身份发送虚假信息，彻底击穿家庭通信安全屏障。

该漏洞由一名硕士生在毕业设计中率先发现，研究团队早在2025年5月就向Xplora厂商通报了详情。然而，厂商初期的修复仅停留在表面，未触及核心密钥问题，甚至在后续沟通中一度“失联”。直至研究团队向德国联邦信息安全办公室求助并施加监管压力后，Xplora才承诺将于2026年1月发布包含底层安全修复的系统更新。研究人员强烈建议家长在更新发布后立即为设备安装，以防范风险。

02

OpenVSX惊现恶意扩展，专攻macOS开发者窃取数字资产

网络安全研究人员近期在开源扩展市场OpenVSX上发现三个新的恶意扩展，其中伪装成代码格式化工具“Prettier Pro”的扩展，正作为自我复制型恶意软件GlassWorm的第四波攻击载体，专门针对macOS系统。据分析，这些累计下载达5万次的扩展主要瞄准加密货币、Web3及初创企业领域的开发者，能在安装后延迟执行，并利用Solana区块链技术建立难以追踪的命令与控制网络以确保持久攻击。

此次攻击的危害性极高，一旦中招，GlassWorm会窃取受害者的NPM与GitHub访问令牌、macOS密钥链密码、浏览器Cookie及VPN配置等核心敏感信息。更危险的是，它会用木马化版本替换硬件加密钱包应用，直接威胁数字资产安全。研究人员警告，由于攻击者采用区块链等新技术快速迭代，传统基于特征的检测手段已显滞后，受影响的用户需立即检查并移除相关恶意扩展。

03

18个恶意浏览器扩展窃取220万用户会议数据，威胁企业安全

网络安全公司Koi Security近日披露，威胁行为者DarkSpectre通过18个恶意浏览器扩展，对约220万Google Chrome、Mozilla Firefox和Microsoft Edge用户发起攻击，专门窃取在线会议数据。这些恶意扩展伪装成“Chrome Audio Capture”和“Twitter X视频下载器”等正常工具，通过WebSocket连接窃取用户访问Zoom、Google Meet、Microsoft Teams等28个视频会议平台时的敏感信息，包括会议链接、ID、参与者状态、主持人信息及企业标志等元数据。

研究人员警告，通过系统性地收集这些数据，攻击者已能构建一个庞大的情报数据库，用以支持企业间谍活动和精准的社会工程攻击。这些信息使攻击者能够获取加入机密会议的凭证、识别冒充目标，并掌握足够的上下文使冒充行为更具欺骗性。此轮攻击是DarkSpectre组织继GhostPoster和ShadyPanda活动后的新一轮行动，凸显了通过软件供应链（特别是浏览器扩展市场）实施数据窃取的严重威胁。

04

Maven中央仓库惊现高仿Jackson恶意库，Java供应链安全遭新挑战

长期被视为相对安全的Java生态系统，近日遭遇一起新型软件供应链攻击。安全研究人员在Maven中央仓库中发现一个伪装成常用Jackson JSON库的恶意组件org.fasterxml.jackson.core: jackson-databind。攻击者使用“前缀替换”手法，将合法命名空间com.fasterxml替换为org.fasterxml，这一肉眼难以辨别的微小差异欺骗了开发者。该恶意组件具备复杂的多阶段载荷和加密通信机制，能够根据操作系统下载并执行远程控制木马。

此次“前缀替换”攻击暴露了Java生态系统的深层安全缺陷。与常见的依赖混淆攻击不同，此恶意包高度仿真且技术复杂，被研究人员称为在Maven中央仓库首次检测到的此类复杂恶意软件。由于攻击手法简单且对高价值目标回报率高，安全专家警告此技术极可能出现模仿者，并紧急呼吁仓库运营方尽快实施“前缀相似性检测”等主动防御机制。

05

立陶宛黑客因传播KMSAuto恶意软件被引渡韩国，涉数百万美元加密货币窃取案

一名29岁的立陶宛籍黑客近日被从格鲁吉亚引渡至韩国，其涉嫌在2020年4月至2023年1月期间，通过传播一款伪造的Windows激活工具“KMSAuto”感染全球超过200万用户。该恶意软件能在受害者进行加密货币交易时，悄无声息地将收款人钱包地址实时替换为黑客控制的地址，从而截留资金。韩国警方指控其通过这一被称为“记忆黑客”的技术，从约3100个加密地址中挪用了总额约118万美元的资金。

此次跨国执法行动源于韩国国家警察厅长达五年多的调查。去年12月，韩国与立陶宛警方联合突袭了嫌疑人的住所并查获多件电子设备。在韩国通过国际刑警组织发布红色通缉令后，该黑客于今年4月在格鲁吉亚被捕。案件凸显了利用常见盗版工具进行包装的恶意软件对加密货币用户的巨大威胁，以及全球协作打击无国界网络犯罪的必要性。

06

韩国电商巨头Coupang数据泄露，千亿韩元代金券赔偿方案引争议

韩国最大线上零售商Coupang近日宣布，将为去年11月影响近3400万用户的大规模数据泄露事件提供价值10亿美元（约1.2万亿韩元）的赔偿。然而，该赔偿方案因仅向每位受害者提供价值约35美元、且限定于Coupang自有平台使用的代金券，而引发公众强烈不满与批评。批评者指出，这种将赔偿与推广其外卖、旅游等相对冷门服务捆绑的做法，实质上是将一场严重的信任危机转化为商业营销机会。

此次泄露被确认为内部犯罪，一名前员工利用离职后仍有效的认证密钥窃取了用户姓名、电话、地址等个人信息。事件导致公司CEO引咎辞职，办公场所遭警方突击搜查。尽管公司临时CEO公开道歉并承诺转型，但赔偿方案未能平息舆论。公众质疑，在影响韩国约三分之二人口的严重事件后，企业责任不应止于一张强制消费的优惠券。

07

黑客叫卖美国三大电力公司工程数据，标价6.5比特币

近日，一名网络犯罪分子在暗网声称，正在出售一批据称来源于美国三家主要公用事业公司——坦帕电力公司、佛罗里达杜克能源和美国电力公司——的敏感工程数据，标价6.5比特币（约合58.5万美元）。据称，这批总计约139GB的数据，泄露源头指向为其提供工程服务的佛罗里达州公司Pickett and Associates，内容包括激光雷达点云、高分辨率航拍图、设计图纸等核心工程文件。

泄露数据被描述为来自“活跃项目”，可能被用于基础设施分析或风险评估，对关键能源设施安全构成潜在威胁。涉及的三家电力公司服务范围覆盖美国多个州，客户总数超800万。目前，杜克能源方面已表示正在调查此事。此外，同一黑客还声称在出售一家欧洲太阳能公司的项目数据库。

08

MongoDB曝高危漏洞，攻击者无需认证即可读取服务器敏感内存

知名数据库软件MongoDB近日披露一个编号为CVE-2025-14847的高危漏洞，其CVSS风险评分高达8.7分。该漏洞源于软件对Zlib压缩协议头的长度校验存在缺陷，攻击者无需任何身份认证，即可通过构造恶意数据包，读取到数据库服务器的未初始化堆内存。这些被泄露的内存数据可能包含敏感的内部状态信息、内存指针乃至残留的业务数据（如密码、令牌等），对数据安全构成严重威胁。

此次漏洞影响范围极广，涉及MongoDB从v3.6到v8.2的绝大多数主流版本。官方已紧急发布修复版本，强烈建议用户尽快升级至对应的安全版本。对于无法立即升级的系统，可采取临时规避措施，即在数据库配置中禁用Zlib压缩算法，以消除被攻击的风险。

09

黑客滥用谷歌任务通知发起钓鱼攻击，3000余家组织受影响

网络安全研究人员披露，黑客在2025年12月发起了一场新型钓鱼攻击，滥用谷歌官方的“任务”通知功能，针对全球超过3000家组织，其中制造业是主要目标。与传统伪造发件人的方式不同，此次攻击邮件全部来自谷歌的合法地址，并成功通过了所有主流邮件认证协议，导致依赖域名信誉的传统安全网关完全失效。攻击者利用谷歌应用集成服务的高信誉度，使得恶意邮件能够毫无阻碍地进入用户收件箱。

攻击邮件伪装成谷歌任务通知，以“全员任务”为名要求员工紧急验证。邮件中的按钮将受害者引导至一个托管在谷歌云存储上的高度仿冒页面，该页面精确复制了谷歌官方界面。安全专家指出，这种“在合法基础设施内部”发起的攻击，标志着钓鱼战术的根本性转变，迫使企业必须超越传统的认证检测，转而分析上下文行为异常（如任务通知用于人事验证的不合理性）来识别威胁。

10

超万台Fortinet防火墙暴露五年前高危漏洞，MFA形同虚设

网络安全监测机构Shadowserver于2026年1月初发布报告，指出全球仍有超过1万台Fortinet防火墙暴露于一个编号为CVE-2020-12812的高危漏洞之下。该漏洞早在2020年被披露，存在于FortiOS的SSL VPN门户中，CVSS评分高达7.5分。其原理在于系统对用户名的大小写处理不一致：当设备配置了本地用户与LDAP（如Active Directory）服务器混合认证时，攻击者仅需修改登录用户名的大小写（例如将“user”改为“User”），即可绕过多因素认证（MFA） 的第二个验证因素，直接获得网络访问权限。

尽管Fortinet在2025年底已确认该漏洞正被“近期滥用”并再次敦促用户修补，但数据显示修补工作严重滞后。美国是受影响最严重的国家，有超过1300个未修复实例，其次是泰国、台湾等地。该漏洞已被勒索软件攻击者广泛利用，并列入美国网络安全局的已知被利用漏洞目录。安全专家强烈建议用户立即升级至已修复的FortiOS版本，并检查关闭不必要的SSL VPN暴露，以防范未经授权的内部网络入侵。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《挪威Xplora儿童手表曝“万能钥匙”漏洞，黑客可监听通话与篡改定位》