文章总结： 本周FreeBuf周报报道朝鲜利用身份窃取年牟利6亿美元，BreachForums数据泄露。黑客大规模攻击AI基础设施，俄APT与Magecart活跃。技术分析涵盖微软Copilot及DWM0Day、WSUS反序列化、JavaXXE漏洞及Linux应急响应。建议加强身份验证，及时修补高危漏洞，警惕钓鱼攻击。 综合评分： 65 文章分类： 威胁情报,漏洞分析,恶意软件,应急响应,WEB安全

---

朝鲜远程渗透计划年牟利6亿美元；暗网知名论坛遭“黑吃黑” | FreeBuf周报

FreeBuf

2026年1月17日 18:02 上海

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

🏳️‍🌈朝鲜远程工作者通过身份窃取入侵敏感系统牟利6亿美元

🛜BreachForums遭黑客攻击：暗网知名论坛全部用户数据泄露

🎮俄罗斯APT组织利用PLUGGYAPE恶意软件攻击乌克兰国防部队

🤖Magecart再度来袭，长期网络窃密活动瞄准全球支付网络

🗳️特朗普暗示美国在网络攻击中扮演角色：马杜罗被捕期间加拉加斯大停电事件

🎯黑客正大规模攻击AI基础设施，已观测超9.1万次攻击会话

🚨杀猪盘即服务：揭秘”企鹅”组织如何将全球诈骗产业化

🐎微软Copilot曝一键式漏洞：攻击者可悄无声息窃取敏感数据

🧱微软桌面窗口管理器0Day漏洞遭野外利用

💻黑客利用”浏览器套浏览器”技术窃取Facebook用户登录凭证

#

朝鲜远程工作者通过身份窃取入侵敏感系统牟利6亿美元

朝鲜远程渗透计划年创收6亿美元，通过虚假身份和AI深度伪造技术获取西方企业高薪职位，窃取资金和知识产权。企业需升级身份验证，核实员工物理位置，加强网络流量分析以防范威胁。

BreachForums遭黑客攻击：暗网知名论坛全部用户数据泄露

#

神秘黑客James泄露暗网论坛BreachForums的32万用户数据，暴露管理员及高知名度账户信息，凸显网络犯罪自身漏洞。事件源于MyBB软件缺陷，加剧执法风险，揭示”掠食者被更强大掠食者吞噬”的讽刺现实。

#

俄罗斯APT组织利用PLUGGYAPE恶意软件攻击乌克兰国防部队

#

#

#

乌克兰国防部队遭俄罗斯关联组织Void Blizzard网络攻击，使用PLUGGYAPE恶意软件，通过社交工程诱导下载伪装文件。该后门程序采用Python开发，通过MQTT协议通信，具备反分析功能，持续进化变种。攻击者利用乌克兰语及合法账户增强欺骗性，即时通讯软件成主要传播渠道。

#

#

#

Magecart再度来袭，长期网络窃密活动瞄准全球支付网络

安全研究人员发现”Magecart”网络窃密活动长期针对电商结账页面，通过注入恶意代码伪造支付表单窃取信用卡数据，并巧妙掩盖痕迹。攻击自2022年起活跃，利用隐蔽技术和稳固基础设施针对全球主要支付网络，消费者难以察觉。

特朗普暗示美国在网络攻击中扮演角色：马杜罗被捕期间加拉加斯大停电事件

#

#

#

#

#

美军网络行动利用恶意软件精准瘫痪委内瑞拉电网，掩护抓捕马杜罗行动。模块化攻击工具通过钓鱼邮件渗透，有序切断关键供电线路，制造混乱并阻碍应急响应，展示网络战新形态。

黑客正大规模攻击AI基础设施，已观测超9.1万次攻击会话

2025-2026年AI基础设施遭系统性攻击，超9.1万次会话暴露两大威胁：利用SSRF漏洞的灰帽活动和针对LLM模型的侦察探测，涉及主流AI模型。建议阻断恶意IP并限制出站连接。

杀猪盘即服务：揭秘”企鹅”组织如何将全球诈骗产业化

杀猪盘骗局已升级为”杀猪盘即服务”（PBaaS）模式，专业服务商提供从数据到诈骗工具的一站式服务，大幅降低犯罪门槛。”企鹅”组织等提供受害者数据、虚假账户和AI互动工具，UWORK等则提供诈骗基础设施，形成工业化犯罪经济。

微软Copilot曝一键式漏洞：攻击者可悄无声息窃取敏感数据

#

#

#

#

研究人员发现微软Copilot Personal存在一键式攻击漏洞，攻击者通过钓鱼链接注入恶意参数静默窃取用户数据。该漏洞利用会话劫持技术绕过防护，可获取敏感信息。微软已发布补丁修复，建议用户立即更新系统并警惕可疑链接。

微软桌面窗口管理器0Day漏洞遭野外利用

#

#

#

#

微软紧急修复DWM关键0Day漏洞CVE-2026-20805，该漏洞允许本地攻击者泄露内存数据，可能用于权限提升。漏洞被评为重要级别，影响旧版Windows系统，需优先部署补丁。微软确认漏洞已被利用，建议限制低权限账户并监控DWM进程。

黑客利用”浏览器套浏览器”技术窃取Facebook用户登录凭证

#

#

#

#

#

Facebook用户面临新型钓鱼攻击，攻击者利用”浏览器套浏览器”技术创建逼真登录弹窗，结合社会工程学窃取凭证。攻击托管于可信云平台，隐蔽性极强，需用户高度警惕。

本周好文推荐指数

#

JAVA代码审计之深入分析XXE漏洞

#

#

XML是一种通用数据格式，支持跨应用数据交换，但存在XXE漏洞风险，可导致敏感信息泄露或远程代码执行。常见解析方式包括DOM、SAX等，需通过禁用外部实体等安全配置防御漏洞。实战案例展示了漏洞利用与修复方法。

#

CVE-2025-59287：深度剖析WSUS 不安全反序列化远程代码执行漏洞

#

#

高危漏洞CVE-2025-59287影响WSUS服务，允许远程代码执行（CVSS 9.8）。攻击者通过构造恶意请求触发反序列化漏洞，无需认证即可获取SYSTEM权限。影响Windows Server 2012-2025版本，建议立即打补丁或禁用WSUS服务。

应急响应 | Linux系统备份和恢复

#

#

#

Linux系统备份与恢复实验：快照备份文件系统（backintime工具），镜像备份整个分区（dd命令）。快照恢复无需重启，镜像需重启。实验验证了两种方法的有效性，确保数据安全与系统恢复。

---

#

#

#

推荐阅读

#

电台讨论

#

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《朝鲜远程渗透计划年牟利6亿美元；暗网知名论坛遭“黑吃黑” | FreeBuf周报》