文章总结： 本周Osiris勒索软件利用BYOVD技术禁用安全工具，恶意PyPI包伪装传播挖矿木马，攻击者利用Defendnot绕过WindowsDefender，ShinyHunters团伙泄露多平台数据，且勒索软件头目认罪。建议加强开源供应链安全审核及终端防护机制。 综合评分： 75 文章分类： 威胁情报,恶意软件,数据泄露,漏洞分析,供应链安全

每周安全速递³⁷⁴ | Osiris勒索软件利用BYOVD技术禁用安全工具

第59号

2026年1月30日 15:49 北京

第374期

本周热点事件威胁情报

1

#

#

#

#

#

#

#

Osiris勒索软件利用BYOVD技术禁用安全工具

研究人员发现一种新型Osiris勒索软件，其在2025年11月针对东南亚某大型餐饮连锁运营商的攻击中被启用，攻击者借助自带易受攻击驱动（BYOVD）技术，滥用POORTRY驱动来禁用目标设备上的安全工具，为后续攻击铺路。这款勒索软件具备完整的攻击功能，可终止各类服务与进程、精准筛选文件及文件夹进行加密、投放勒索信，采用混合加密算法保障加密强度，给加密文件添加专属.Osiris后缀，同时删除系统快照并终止数据库、备份等关键进程，切断受害者的数据恢复路径。目前Osiris勒索软件的开发者身份及是否以勒索即服务（RaaS）模式运营尚未明确，但研究人员发现其与INC勒索软件团伙存在潜在关联，攻击中工具复用、数据窃取及伪装手法均与该团伙过往操作高度相似。

参考链接：

Osiris ransomware emerges, leveraging BYOVD technique to kill security tools

2

#

#

#

#

#

#

恶意PyPI包仿冒SymPy传播挖矿木马

#

研究人员发现一款名为sympy-dev的恶意PyPI包，该包仿冒热门Python符号数学库SymPy，后者月下载量达8500万次，攻击者复制了SymPy的项目描述及品牌元素，以此诱导用户误安装。该恶意包于2026年1月17日发布4个版本（1.2.3至1.2.6），均含恶意代码，维护者标注为Nanit，上线首日下载量即突破1000次，虽下载量不等同于感染量，但已快速渗透至开发者及持续集成（CI）环境。包内恶意代码注入下载器及内存执行程序到SymPy多项式代码路径，调用后会获取远程JSON配置、下载攻击者控制的ELF负载，通过Linux内存文件描述符技术执行，减少磁盘痕迹，实测下载的负载为XMRig加密挖矿程序，通过TLS连接矿池端点，配置及负载均来自两个指定控制服务器。

参考链接：

https://socket.dev/blog/pypi-package-impersonates-sympy-to-deliver-cryptomining-malware

3

#

#

#

#

#

#

#

#

攻击者利用Defendnot绕过防御投放勒索软件

#

#

#

#

#

安全研究人员披露，一场针对俄罗斯用户的多阶段恶意攻击活动正在活跃传播，该行动通过社会工程手段结合滥用GitHub和Dropbox等合法云服务，实现对系统的隐蔽入侵和勒索软件投放。FortiGuard Labs分析指出，攻击链始于伪装成正常商务文件的诱饵文档，用户打开后会看到虚假任务或提示信息，而真实的恶意脚本在后台悄然执行并建立持久控制。该攻击最显著的特征在于利用名为Defendnot的工具，该工具原本用于安全研究，旨在演示Windows安全中心信任机制的缺陷。攻击者将其武器化，用于直接关闭Microsoft Defender防护功能，从而在不依赖漏洞利用的情况下“合法”解除系统安全防线，为后续恶意负载铺平道路。

参考链接：

GitHub & Dropbox Weaponized: “Defendnot” Tool Used to Disable Windows Defender

4

#

#

#

#

#

#

#

#

#

#

ShinyHunters团伙泄露数百万条用户及企业数据

#

#

#

#

#

#

#

黑客团伙ShinyHunters再度活跃，于2026年1月22日通过Telegram发布暗网链接，公开泄露SoundCloud、Crunchbase及Betterment三家平台的数百万条用户及企业数据，此次泄露源于对三家公司的勒索未遂。该团伙搭建专属暗网泄露站点，宣称“要么付款要么泄露”，并放话后续将发起更多数据泄露攻击。泄露数据含Betterment超2000万条个人身份信息、Crunchbase超200万条企业数据及SoundCloud超3000万条用户记录。值得注意的是，SoundCloud去年12月曾确认数据泄露，影响约3500至3600万用户，与该团伙宣称的泄露规模高度吻合。

参考链接：

ShinyHunters Leak Alleged Data of Millions From SoundCloud, Crunchbase and Betterment

5

#

#

#

勒索软件团伙头目承认实施勒索软件攻击

#

俄罗斯公民伊亚尼斯·亚历山德罗维奇·安特罗彭科（Ianis Aleksandrovich Antropenko）近日在美国得克萨斯州北区联邦地区法院认罪，承认在2018年至2022年的四年间领导勒索软件阴谋，攻击至少50名受害者。他被控合谋洗钱、合谋计算机欺诈与滥用，面临最高25年监禁、75万美元罚款，同时需向受害者支付赔偿金并没收非法所得财产，此案因嫌犯在美境内实施多数犯罪行为而显得尤为特殊。安特罗彭科移居美国前后均参与勒索软件攻击，在佛罗里达和加州居住期间犯下多起罪行，2024年被捕后罕见获准保释，却在去年四个月内三次违反审前释放条件，含两次因吸毒酗酒引发危险行为被捕。

参考链接：

Leader of ransomware crew pleads guilty to four-year crime spree

美创科技第59号安全实验室，建有余杭区首家“网络与信息安全管理员技能大师工作室”，专注于数据安全技术领域研究，聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究，进行知识产权转化并赋能于产品。自2021年起，累计向 CNVD、CNNVD 等平台提报数千个高质量原创漏洞，并入选国家信息安全漏洞库（CNNVD）技术支撑单位（二级）、信创政务产品安全漏洞库支撑单位，团队申请发明专利二十余项，发表多篇科技论文，著有《Java代码审计实战》《数据安全实践指南》、《内网渗透实战攻略》等。

勒索病毒 #勒索攻击

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：第59号 《每周安全速递³⁷⁴ | Osiris勒索软件利用BYOVD技术禁用安全工具》