2025-12-22 04:43:32 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这篇FreeBuf周报涵盖了近期网络安全领域的重大威胁事件，包括大学生开发的白码Webshell入侵5200余政府教育网站、Notepad++漏洞可被劫持更新、Gemini零点击漏洞导致数据泄露、朝鲜黑客组织部署新型恶意软件、WindowsPowerShell0Day漏洞等。文章还介绍了React2Shell漏洞被大规模利用投放挖矿程序、LockBit基础设施曝光、智能汽车远程锁死事件以及针对以色列的协同攻击。周报推荐了Gemini3.0安全性测试、Fastjson漏洞分析和DrupalCMS漏洞利用等技术文章。建议用户及时更新软件补丁，加强安全防护措施。 综合评分： 86 文章分类： 漏洞分析,威胁情报,安全大事件,恶意软件,WEB安全

cover_image

FreeBuf周报 | 大学生出售Webshell入侵5200余政府教育网站；Notepad++漏洞可被利用劫持更新植入恶意软件

FreeBuf

2025年12月13日 18:03 上海

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

🧑‍🏫大学生为赚学费出售”白码”无检测Webshell，已入侵5200余个政府/教育网站

📒紧急补丁：Notepad++ WinGUp漏洞可被利用劫持更新植入恶意软件

📆Gemini零点击漏洞可致攻击者窃取Gmail、日历及文档数据

🏳️‍🌈朝鲜黑客组织利用React2Shell漏洞部署新型EtherRAT恶意软件

🤖利用AI自动化工具发现零检测的GhostPenguin后门攻击Linux服务器

📶Windows PowerShell 0Day漏洞可导致攻击者执行恶意代码

⛏️React2Shell漏洞遭大规模利用：攻击者投放加密货币挖矿程序与新型恶意软件

🌐勒索巨头LockBit 5.0基础设施遭曝光：服务器IP与域名泄露

🚗智能汽车遭远程锁死，俄罗斯数百辆保时捷因安全系统故障出现大规模瘫痪

🐱”小猫”项目：黑客组织针对以色列发起协同攻击

#

大学生为赚学费出售”白码”无检测Webshell，已入侵5200余个政府/教育网站

孟加拉国大学生为赚学费开发”白码”PHP后门，入侵5200+政府教育网站并出售访问权限，该后门完全规避主流杀毒检测，凸显网络犯罪门槛降低与经济困境催生的灰色产业链。

紧急补丁：Notepad++ WinGUp漏洞可被利用劫持更新植入恶意软件

#

Notepad++旧版本存在漏洞，攻击者可劫持更新流量安装恶意软件。v8.8.9已修复，建议立即升级并扫描系统。此前版本易被篡改下载链接，新版强化了证书验证和下载源限制，确保安全更新。

#

Gemini零点击漏洞可致攻击者窃取Gmail、日历及文档数据

#

Google Gemini Enterprise存在高危零点击漏洞”GeminiJack”，攻击者通过共享含隐藏提示的文档等，利用RAG架构窃取企业敏感数据，绕过传统防护措施。该漏洞可致多年数据泄露，Google已紧急修复。事件警示AI原生风险加剧，企业需重审AI信任边界。

#

朝鲜黑客组织利用React2Shell漏洞部署新型EtherRAT恶意软件

朝鲜黑客利用React2Shell漏洞部署新型EtherRAT木马，通过以太坊智能合约动态更新C2服务器，采用五种持久化机制和自更新功能，防御难度大。同时Contagious Interview行动转向VS Code攻击，凸显攻击技术持续升级。

利用AI自动化工具发现零检测的GhostPenguin后门攻击Linux服务器

#

研究人员发现新型Linux后门程序GhostPenguin，采用C++编写，通过加密UDP协议隐蔽通信，规避安全检测长达四个月。该恶意软件使用RC5加密和多阶段架构，能执行40多种命令，展示出高度隐蔽性和检测难度。

Windows PowerShell 0Day漏洞可导致攻击者执行恶意代码

微软修复Windows PowerShell高危漏洞（CVE-2025-54100），攻击者可本地执行恶意代码，影响Win10/11及多版本服务器系统。补丁已发布，建议企业优先更新关键系统并重启。

React2Shell漏洞遭大规模利用：攻击者投放加密货币挖矿程序与新型恶意软件

React2Shell漏洞正被大规模利用，攻击者通过React Server Components高危缺陷投放加密货币挖矿程序和新型恶意软件（PeerBlight、CowTunnel、ZinFoq），主要针对建筑和娱乐行业，已影响全球超16.5万IP。建议立即更新相关组件。

勒索巨头LockBit 5.0基础设施遭曝光：服务器IP与域名泄露

#

LockBit 5.0勒索软件团伙关键基础设施遭曝光，IP为205.185.116.233，域名karma0.xyz托管于常被用于非法活动的PONYNET网络。服务器开放多个高危端口，存在严重安全漏洞。该团伙持续活跃，防御者应封锁相关IP和域名。

智能汽车遭远程锁死，俄罗斯数百辆保时捷因安全系统故障出现大规模瘫痪

#

保时捷卫星安全系统故障致俄罗斯数百车辆瘫痪，车载追踪系统模块故障引发发动机熄火和燃油阻断，需手动重置解决。事件暴露联网汽车安全风险，远程锁止功能可能被滥用，警示行业需强化失效保护机制和事件响应能力。

“小猫”项目：黑客组织针对以色列发起协同攻击

#

“小猫”项目是亲伊朗黑客组织的集中化作战平台，通过thekitten.group协调攻击，技术从数据泄露升级至关键基础设施攻击。其伊朗服务器和复杂API架构支持多组织协同，伪装独立实则技术关联伊朗。

本周好文推荐指数

#

启用Canvas后，Gemini 3.0安全性降级了？

#

Gemini 3.0 Pro安全测试显示其整体防护优于前代，但仍存在风险：编码越狱部分成功，多轮对话可能泄露敏感信息，Canvas功能导致安全降级。RAG抗投毒能力提升，沙箱防护稳固。需持续迭代以应对新型攻击。

#

JAVA安全-Fastjson

#

Fastjson是阿里开发的Java高性能JSON库，支持JSON与Java对象互转。其反序列化漏洞源于自动调用目标类的setter/getter方法，攻击者可构造恶意JSON利用@type指定类触发危险操作。1.2.25版本引入黑白名单机制防御，但后续版本仍存在绕过风险，如1.2.47通过缓存机制绕过检测。典型利用链包括TemplatesImpl和JdbcRowSetImpl。