新闻速览

•CISA启动关键基础设施安全保护月活动，重点关注4方面能力构建

•美候任总统特朗普：将撤销现有AI行政令，从严监管转向放松管制

•Meta社交成瘾案遭法官驳回，扎克伯格暂时”脱身”

•#支付宝崩了#登上微博热搜，系系统消息库故障

•潜伏三年未被发现，PyPI恶意软件包窃取大量AWS账户凭证

•勒索攻击重创美芯片巨头，直接经济损失已超1.5亿元

•GodFather恶意软件新变种出现，放弃覆盖攻击转投假URL钓鱼

•定向钓鱼暗藏玄机，欧洲工业企业遭遇一种新型高级定向攻击

•亚信安全完成并购亚信科技，百亿级“安全+数智化”软件企业诞生

•安全还是监控？Google静默部署search.app引发用户担忧

特别关注

CISA启动关键基础设施安全保护月活动，重点关注4方面能力构建

美国网络安全与基础设施安全局（CISA）日前正式启动了年度”关键基础设施安全保护月”（CISR Month）活动，以”坚持韧性建设”为主题，致力于提高公众对保护国家关键基础设施重要性的认识。该活动聚焦电网、供水、交通、医疗和金融系统等关系国家安全、经济和民生的核心基础设施。

CISA基础设施安全执行助理主任David Mussington表示，保护关键基础设施需要采取”全社会”参与的方式，这不仅是政府的责任，还需要基础设施运营商、所有者以及公众的共同参与。这种共同责任机制旨在提升社区在面对突发事件时的应对和恢复能力，最大限度地减少中断带来的影响。

从技术角度来看，CISA此次重点关注基础设施组织可实施的实用策略。首先，组织需要识别其最重要的系统和资产，并了解可能影响其运营的基础设施依赖关系；其次，需要进行全面的风险评估，考虑从自然灾害到网络和物理攻击等各类威胁；第三，制定风险管理计划以及事件响应和恢复计划，确保在发生中断后能够快速恢复运营；最后，定期测试和完善事件响应计划，通过演习和过往事件总结经验，培养持续改进的文化。

原文链接：

https://thecyberexpress.com/cisa-cisr-month-for-critical-infrastructure/

美候任总统特朗普：将撤销现有AI行政令，从严监管转向放松管制

美国候任总统特朗普日前表示，将撤销拜登政府于2023年10月颁布的人工智能行政令，并削减政府对AI技术的监管力度。这一举措将可能重塑美国人工智能发展的监管格局。

特朗普在其竞选经济政策纲领中明确指出，拜登的行政令”阻碍了AI创新”。该行政令此前要求大型AI系统开发商进行安全测试，并强制联邦机构制定AI安全标准。artner分析师Avivah Litan表示，虽然特朗普的具体AI政策走向尚不明确，但其经济政策主张”共和党支持以言论自由和人类福祉为根基的AI发展”。

值得关注的是，特朗普在上一任期间曾发布”保持美国在人工智能领域的领导地位”行政令，旨在降低联邦政府获取AI技术的障碍。此外，社交媒体内容审查也是特朗普的核心关注点，这可能涉及AI技术的应用。

原文链接：

https://www.techtarget.com/searchcio/news/366615228/Trump-plans-to-repeal-Biden-order-limit-AI-regulation

热点观察

#支付宝崩了#登上微博热搜，系系统消息库故障

今天上午，#支付宝崩了#登上微博热搜。有多名网友表示支付宝出现余额宝提现未到账、扣款成功但账单没清等问题。

随后，支付宝为出现故障致歉：因系统消息库出现局部故障，导致部分用户的支付功能受到影响。该故障不会影响用户的资金安全，截至上午10点50分故障已经修复。对于给您带来的不便，我们深表歉意。

原文链接：
https://mp.weixin.qq.com/s/Gp5g-aMv7XXYEUtzoWNIOw

Meta社交成瘾案遭法官驳回，扎克伯格暂时”脱身”

据报道，美国加州一名联邦法官近日驳回了25起针对 Meta CEO 扎克伯格的个人指控，这些诉讼指控Meta公司让儿童沉迷于社交媒体，尤其是Instagram和Facebook，而忽视了这些平台对儿童心理健康的严重风险。原告方指控 Meta 公司故意将平台设计的高度成瘾，导致青少年沉迷其中，并引发一系列心理问题，如焦虑、抑郁等。他们认为，扎克伯格作为公司创始人，对这些问题负有直接责任。

然而，法官认为，原告方未能提供足够的证据证明扎克伯格个人参与了这些行为。这一裁决意味着扎克伯格暂时逃脱了个人责任，但并不影响针对 Meta 公司的相关索赔。

原文链接”

https://i.ifeng.com/c/8eMWyv6CRMq

网络攻击

潜伏三年未被发现，PyPI恶意软件包窃取大量AWS账户凭证

近日，Socket Security安全研究团队在Python包索引（PyPI）平台上发现了一个名为”Fabrice”的恶意Python软件包，该软件包通过模仿广受欢迎的SSH命令执行库”fabric”，在过去三年中一直在窃取开发者的Amazon Web Services（AWS）凭证。

调查显示，这个恶意软件包自2021年以来已被下载超过3.7万次。攻击者利用了一种称为”typosquatting”（域名假冒）的技术，利用用户在输入流行的”fabric”包名时可能发生的拼写错误。值得注意的是，原版”fabric”库的下载量已超过2.02亿次。

从技术角度分析，该恶意软件针对Windows和Linux设备部署了不同的攻击策略。在Linux系统上，恶意软件会在用户主目录中创建隐藏目录，用于存储和运行从远程服务器下载的脚本，这些脚本经过特殊设计，能够有效隐藏其活动痕迹。而在Windows系统上，它则利用VBScript运行隐藏的Python脚本，这些脚本会下载恶意可执行文件并设置定期运行，确保系统持续感染。同时，恶意软件会试图删除其初始入口点以掩盖踪迹。

以上两种攻击方式最终都会导致AWS凭证被窃取，并发送到位于巴黎的一个由VPN服务提供商M247运营的服务器。这使得攻击者可能获取对云资源的未授权访问。尽管研究人员已向PyPI发出警告，但该攻击活动目前仍在持续。

原文链接：

https://hackread.com/fabrice-malware-pypi-steal-aws-credentials-3-years/

勒索攻击重创美芯片巨头，直接经济损失已超1.5亿元

日前，美国知名半导体制造商Microchip Technology在其2025财年第二季度财报中正式披露，今年8月遭受的Play勒索软件攻击已造成近2140万美元（约合人民币1.5亿元）的损失，该事件不仅影响了公司部分制造设施的运营，还导致敏感数据遭到泄露。

从技术层面看，此次攻击导致员工联系方式、密码哈希值等信息被窃取。根据Play勒索软件组织的声明，他们成功窃取了一个4GB的压缩文件，其中包含个人信息、客户文件、税务、财务、会计、工资单和预算相关文件。由于Microchip未能在规定期限内支付勒索赎金，这些被盗数据已被Play组织公开泄露。

作为一家关键技术供应商，Microchip的数据泄露不仅影响公司自身，还会对其客户和供应链安全产生连锁反应。

原文链接：

https://www.scworld.com/brief/ransomware-attack-costs-microchip-technology-over-21m

GodFather恶意软件新变种出现，放弃覆盖攻击转投假URL钓鱼

Cyble研究团队近日发现了一个更具隐蔽性的GodFather恶意软件新变种。该变种采用本地代码执行和自动化操作，可针对多达500个银行和加密货币应用展开攻击，其危害范围和技术特征都发生了显著变化。

从技术角度分析，这个新变种已将原有的Java代码实现迁移至本地代码执行，并显著减少了所需权限，主要依赖辅助功能服务来捕获目标应用的凭证信息。值得注意的是，新版本已放弃了USSD和SMS操作相关命令，也不再收集或发送感染设备的短信，转而专注于自动化设备操作。

在攻击方式上，新版本最显著的变化是放弃了传统的覆盖攻击（overlay attack）方式，转而采用虚假登录URL进行钓鱼。当用户尝试与目标应用交互时，恶意软件会关闭正版应用，转而在WebView中加载虚假的银行或加密货币登录页面，或显示空白屏幕。攻击者通过命令控制服务器”akozamora[.]top”构造注入URL，并附加包含设备名称、包名和默认语言的端点。

研究人员发现，新变种已将攻击目标从英国、美国、土耳其、西班牙和意大利扩展到日本、新加坡、希腊和阿塞拜疆等国家，显示出其影响范围正在不断扩大。

原文链接：

https://thecyberexpress.com/new-godfather-malware-targets-bank-crypto-apps/

定向钓鱼暗藏玄机，欧洲工业企业遭遇一种新型高级定向攻击

Cado Security威胁研究主管Tara Gould最新披露，一波针对欧洲工业和工程企业的定向钓鱼攻击正在进行，攻击者利用广受欢迎的GuLoader下载器投放远程访问木马（RAT），以实现对受害者计算机的持续访问和信息窃取。

从技术角度分析，攻击者通过劫持现有邮件对话或订单查询等方式，诱使受害者下载并解压缩ISO、7z、gzip或rar格式的附件文件。这些压缩包中包含一个混淆的PowerShell脚本的批处理文件。当受害者运行该文件时，会触发下载第二个PowerShell脚本，该脚本具备通过Windows API函数VirtualAlloc分配内存和执行shellcode的功能。

值得注意的是，第二阶段的shellcode会被注入到正常的”msiexec.exe”进程中，并尝试从特定域名获取额外的恶意负载。根据此前的研究，GuLoader的最终负载通常是Remcos、NetWire和AgentTesla等远程访问木马。同时，该脚本会创建注册表项以实现持久性。

这种攻击的一个显著特点是其复杂的规避和混淆技术。Gould指出，GuLoader通过进程注入来规避检测，使恶意代码能够通过合法进程运行，这使得安全产品可能无法检测到恶意软件，或受害者可能因进程看似正常而忽视警告。自定义的混淆方法不仅能绕过安全产品的检测，还增加了分析难度。

原文链接：

产业动态

亚信安全完成并购亚信科技，百亿级“安全+数智化”软件企业诞生

亚信安全与亚信科技联合宣布，亚信安全正式完成对亚信科技的控股权收购，由此，一家总体营收规模近百亿元的安全+数智化全栈能力软件企业诞生！双方表示，将全面实现公司发展战略，以及优势能力与资源的深度融合，形成业界独有的“懂网、懂云、懂安全”的强大融合，共同迎接数智时代的新机遇与新发展。

据了解，重组完成后，亚信安全与亚信科技将进一步完成安全与数智化的深度融合，实现产品线的延伸及增强，着力提升网络安全产品与用户IT基础设施、网络基础设施、核心业务系统、行业应用等数字化系统深度融合的能力。

此外，双方将完成资源和能力互补，进而合力拓展行业布局的深度与广度。整合运营商、金融、政务、交通、能源等重点行业的优势资源与服务经验，以安全能力为根基，以云网技术为发展动力，完成技术的跨越式融合与资源的跨界整合，双方携手提供云网安的全栈能力方案；一方面全面提升亚信安全整体解决方案的实力，同时增强亚信科技的业务原生安全能力。双方将为产业的升级进阶带来全面、专业可靠的能力。

原文链接：

https://mp.weixin.qq.com/s/QIMYW-BrKgf03ec8cSePMA

安全还是监控？Google静默部署search.app引发用户担忧

近日，Google移动应用的最新更新引发用户广泛关注。用户发现在分享来自Google应用内置浏览器的链接时，链接地址前会自动添加”search.app”域名前缀，这一异常现象引发了用户对设备安全性的担忧。

安全研究人员调查发现，该现象始于11月6日Google发布的Android应用更新，同期Google还向部分用户推送了Chrome（Android版）更新。分析显示，search.app实际上是一个URL重定向域名，类似于X平台使用的t.co、Google的g.co或Meta的m.me。

从安全角度来看，这种重定向机制使Google能够在网站被黑客入侵或用户大量分享可疑内容时，通过search.app域名阻止恶意流量。然而，该域名的SSL证书配置引发了安全专家的质疑。调查发现，search.app域名使用的SSL证书通用名（Common Name）被设置为fallacni.com，这是一个声称帮助用户”找到国民身份证”的法语网站。更令人担忧的是，同一SSL证书被超过百个托管在Firebase服务器上的域名共同使用。

这一变化可能是Google效仿Apple News（使用apple.news前缀）的尝试，但缺乏公开文档的做法让即便是经验丰富的安全研究人员也感到困惑，这让人想起此前Google Chrome使用GVT1.com域名时引发的类似质疑。

原文链接：

https://www.bleepingcomputer.com/news/security/googles-mysterious-searchapp-links-leave-android-users-concerned/