2025-12-22 04:46:12 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周暗网数据贩卖事件激增45.65%至335起，泄露数据超1亿条，涉及通信、个人信息等多种类型。重点泄露事件包括StickerJapan用户数据、Toppersexam教育平台数据库等。热点技术方面，React2Shell漏洞被快速武器化，WinRAR零日漏洞被广泛利用。微软发布56项安全漏洞补丁，DockerHub镜像被发现泄露大量凭证与私钥。建议关注WebBooster任意文件夹删除漏洞，并对提供的攻击来源IP进行监控。 综合评分： 87 文章分类： 威胁情报,漏洞分析,数据泄露,WEB安全,应急响应

cover_image

烽火狼烟丨暗网数据及攻击威胁情报分析周报（12/08-12/12）

盛邦安全应急响应中心

2025年12月12日 18:38 北京

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件335起，同比上周增加45.65%。本周内贩卖数据总量共计105110.2万条；累计涉及7个主要地区及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及通信、个人信息、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期主要威胁来自已公开的漏洞影响面很广需加强关注；本周内出现的安全漏洞以Web Booster存在任意文件夹删除漏洞影响范围大；内部安全运营中心共发现恶意攻击来源IP 8672条，主要涉及扫描探测、组件漏洞攻击等类型。

01.

重点数据泄露事件

Sticker Japan 用户数据被公开售卖

泄露时间：2025-12-10

泄露内容：攻击者声称窃取了 Sticker Japan（一家名片和贴纸制作公司）的用户数据库，并在暗网论坛出售。泄露信息包括：全名、电子邮件地址、电话号码、详细地址、公司名称、哈希密码、IP 地址以及订单时间戳。

泄露数据量：约30万

关联行业：电商

地区：日本

Toppersexam 教育平台数据库泄露

泄露时间：2025-12-10

泄露内容：攻击者声称窃取了印度在线学习平台 Toppersexam 的用户数据库，包含大量用户记录，据称这些记录已被公开。泄露信息涉及用户账户数据。

泄露数据量：约190万

关联行业：教育

地区：印度

Hyper Me 客户数据库泄露

泄露时间：2025-12-02

泄露内容：据称Hyper Me（一家伊朗超市连锁）遭网络入侵，黑客获取其顾客数据库。泄露的数据包括客户全名、手机号、银行卡号、积分余额、商店编号以及交易或账户日期等敏感信息。

泄露数据量：约14万

关联行业：零售

地区：伊朗

IFLUSAC S.A.C数据泄露

泄露时间：2025-12-10

泄露内容：据称 IFLUSAC S.A.C（秘鲁一家从事机械、天然气与消防保护承包工程的公司）遭网络入侵，攻击者窃取了其部分项目文件与工资单数据库。泄露的数据包括工程项目文件和员工薪酬记录等内部敏感资料。

泄露数据量：未涉及

关联行业：建筑

地区：秘鲁

BadR Airlines 机密航班安全手册泄露

泄露时间：2025-12-09

泄露内容：攻击者声称窃取了 BadR Airlines 的机密飞行安全手册数据库，包含航班安全程序、操作指南、飞行和地面安全流程等敏感资料。

泄露数据量：未涉及

关联行业：航空

地区：苏丹

02.

热点资讯

黑客利用社工与恶意脚本开展跨行业网络攻击

多个黑客组织近期利用社会工程与恶意脚本相结合的方式，对不同国家和行业的目标实施网络攻击。攻击者通常伪装成招聘人员或业务联系人，通过社交平台或电子邮件发送包含恶意 PowerShell 脚本或压缩附件的文件。一旦目标打开附件，恶意代码便会被执行，使攻击者能够远程控制设备、窃取账号凭证、部署后门程序或获取敏感数据。此次攻击的目标范围从传统机构扩展到加密货币和 Web3 等高价值领域，体现出攻击者技术不断演进、目的更加多样化。这类行动具有高度隐蔽性和潜在破坏性，对网络安全提出了更高的防范要求。

消息来源：

https://thehackernews.com/2025/12/north-korea-linked-actors-exploit.html/

微软发布补丁修复 56 项安全漏洞

微软在最新一轮安全更新中修复了 56 项漏洞，其中包含两项已被攻击者主动利用的零日漏洞。这两项关键缺陷影响 Windows 的网络驱动和存储组件，可能被用于远程执行恶意代码或提升系统权限，从而进一步控制受害设备。本次更新还涵盖远程代码执行、权限提升、信息泄露、拒绝服务等多类型漏洞，涉及内核、网络和存储等多个关键模块。及时安装这些补丁有助于减少系统被利用入侵的风险，提高整体安全性。

消息来源：

https://thehackernews.com/2025/12/microsoft-issues-security-fixes-for-56.html/

Docker Hub 镜像被发现泄露凭证与私钥

一项大规模分析显示，在超过三十万份公开的 Docker Hub 镜像中，有约一万多份存在敏感信息泄露问题，包括数万把有效私钥以及大量 API 密钥和认证凭证。研究人员发现，这些私钥中有相当一部分真实可用，并与大量服务器和证书相关联，涉及 Web 服务、数据库、SSH、物联网设备等多类系统，潜在影响范围广泛。多数泄露发生在个人或小规模开发者维护的镜像中，表明问题多由无意疏忽导致，而非恶意行为。研究还指出，公共镜像中的密钥泄露比例显著高于私有容器仓库，反映出部分开发者在容器构建和密钥管理方面存在安全意识薄弱的情况。这类泄露为攻击者利用公开镜像入侵系统提供了可乘之机，可能危及服务安全与基础设施完整性，因此加强镜像审查、密钥管理和构建流程的安全实践显得尤为必要。

消息来源：

https://www.bleepingcomputer.com/news/security/over-10-000-docker-hub-images-found-leaking-credentials-auth-keys/

Microsoft Teams 将提示外部域可疑通信以提升安全性

Microsoft Teams 正在引入一项新功能，用于在用户与外部域进行通信时识别可疑活动并给出安全警告。系统会自动分析来自外部组织的消息，包括域名是否可能被仿冒、是否包含潜在钓鱼链接、恶意 URL 或高风险文件类型。当检测到可疑内容时，Teams 会在聊天界面中向用户显示明显提示，提醒其谨慎处理相关信息。这项机制主要面向启用了外部通信的组织环境，无需额外配置即可生效，并会对首次来自外部的交流尝试进行风险评估。该功能旨在减少社交工程攻击、域名伪造和恶意文件传播的可能性，从而增强 Teams 在跨组织沟通场景中的防护能力。造成的损失。

消息来源：

https://www.bleepingcomputer.com/news/security/microsoft-teams-to-warn-of-suspicious-traffic-with-external-domains/

谷歌为 Chrome 引入多层 AI 防护提升安全性

Chrome 浏览器近期加入基于本地大型语言模型 Gemini Nano 的“增强保护”机制，用于提升对诈骗网站、恶意下载和可疑扩展程序的识别能力。新系统会在用户浏览网页或下载内容时实时分析页面结构、行为模式和文本内容，以判断是否存在钓鱼、诈骗或潜在恶意活动，并在必要时发出警告或阻止操作。相较于依赖已知威胁特征的传统方法，AI 驱动的防护在应对未知攻击时更主动、更灵活，同时不会显著影响浏览器性能，从而在安全性与使用体验之间取得平衡。

消息来源：

https://thehackernews.com/2025/12/google-adds-layered-defenses-to-chrome.html/

03.

热点技术

React2Shell 漏洞被快速武器化，引发远程代码执行风险

React2Shell（CVE-2025-55182）是一项影响 React Server Components 及相关 Next.js 框架的高危远程代码执行漏洞，攻击者可通过构造特定 HTTP 请求在服务器端执行任意代码，且无需身份验证。漏洞公开后被多个攻击组织迅速利用，针对公开暴露的 React 与 Next.js 服务进行扫描和入侵。该漏洞的严重度为高危，受影响范围覆盖大量使用受影响版本 React 或 Next.js 的应用，即便在默认配置下也可能遭到攻击。已有攻击行为从早期扫描迅速升级为实际入侵活动，包括数据窃取、后门植入和持久化控制等。使用相关框架的组织需立即升级到安全版本并检查系统是否存在异常访问或可疑文件。

消息来源：

https://thehackernews.com/2025/12/react2shell-exploitation-delivers.html/

WinRAR 零日漏洞被利用并引发安全威胁

最近，WinRAR 被曝出一个严重的零日漏洞（CVE-2025-8088），该漏洞允许攻击者借助恶意压缩文件绕过路径验证，在用户解压时将恶意文件静默写入系统敏感目录如启动文件夹、系统目录等。多数情况下，用户仅需打开或解压来自不可信来源的 .rar 文件即可触发漏洞，随后可能发生自动执行恶意代码、后门植入、权限提升、持久化控制等严重后果。该漏洞影响所有 Windows WinRAR7.13 之前以及相关 RAR/UnRAR 组件，而攻击者已被观察到主动利用这一漏洞，通过鱼饵式邮件与伪装压缩包向目标用户传播恶意软件。官方已经发布补丁，将 WinRAR 更新至 7.13 或更高版本即可修复该问题。鉴于 WinRAR 用户量庞大，建议所有用户立即更新软件，并避免解压来源不明的压缩文件。

消息来源：

https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html/

CastleLoader 恶意加载器被用于四类攻击活动，目标范围持续扩大

安全研究显示，CastleLoader 恶意加载器正被多个威胁组织利用，并形成四个不同的攻击活动集群，各自采用不同的策略与目标行业。攻击者常通过伪造下载页面、仿冒 GitHub 仓库或钓鱼式诱导链接让用户获取恶意文件，CastleLoader 在执行后会与远程服务器通信，下载窃密工具、远程访问木马等后续载荷。其多阶段结构、代码混淆和反沙箱规避技术使得检测难度较高。由于四大集群的目标广泛，从个人用户到开发者再到企业与机构均可能受到影响，任何从不可信来源下载工具、脚本或软件的行为都可能成为入侵入口，需提高警惕并加强验证与防护措施。

消息来源：

https://thehackernews.com/2025/12/four-threat-clusters-using-castleloader.html

恶意 VS Code 扩展及开源包被发现窃取开发者敏感数据

安全研究人员发现多个恶意的 Visual Studio Code 扩展和开源软件包设计用来窃取开发者的敏感信息。在 VS Code 市场上，两个伪装成“暗色主题”和“AI 编码助手”的扩展内嵌恶意代码，可下载附加载荷、截取屏幕、读取剪贴板、窃取 Wi-Fi 凭证及浏览器会话，然后将这些数据发送至远程服务器。另外，研究还在 Go、npm 和 Rust 软件生态中发现若干恶意包，这些包通过名称近似合法库、嵌入隐蔽功能等手法让开发者在调用时泄露数据，例如发送内容到公共粘贴站点或执行反向 shell，可能导致凭证泄露和系统被远控。这些恶意组件伪装成正常工具或库，在开发者不知情的情况下被安装并执行，从而给个人开发环境和整体供应链安全带来风险。

消息来源：

https://thehackernews.com/2025/12/researchers-find-malicious-vs-code-go.html

JS#SMUGGLER 恶意活动利用受感染网站传播 NetSupport RAT

安全研究人员发现，一个名为 JS#SMUGGLER 的多阶段网络攻击活动正在利用被攻陷的网站作为载体，向访问者传播 NetSupport RAT 远程访问木马。攻击链首先在受感染页面中植入高度混淆的 JavaScript 加载器，该加载器会根据用户设备类型决定后续行为，并通过隐藏的 iframes 或脚本重定向引导用户进入恶意载荷逻辑。随后，攻击者通过 HTML Application（HTA）文件和 mshta.exe 执行加密的 PowerShell 暂存器，并在内存中解密运行后续代码，最终下载并安装 NetSupport RAT。NetSupport RAT 使攻击者能够远程控制被感染主机，包括远程桌面访问、文件操作、命令执行、数据窃取等功能。这种隐蔽且分层的攻击方式针对企业用户开展，其复杂程度和规避检测手段表明这是一个专业级别的恶意活动。研究建议加强内容安全策略、脚本监控和 PowerShell 日志等防护措施，以提高对这类威胁的检测与防御能力。

消息来源：

https://thehackernews.com/2025/12/experts-confirm-jssmuggler-uses.html

04.

热点漏洞

WBCE CMS存在远程执行代码漏洞（CVE-2024-58283）

WBCE CMS版本1.6.2存在一个远程代码执行漏洞，允许经过身份验证的攻击者通过Elfinder文件管理器上传恶意PHP文件。攻击者可以利用elfinder连接器中的文件上传功能上传webshell，并通过用户控制的参数执行任意系统命令。

影响版本：

WBCE CMS < 1.6.2

Neuron存在任意文件写入漏洞(CVE-2025-67509)

Neuron 是一个用于创建和编排 AI 代理的 PHP 框架。2.8.11 及以下版本使用 MySQLSelectTool，该工具易受只读绕过攻击。MySQLSelectTool 旨在成为只读 SQL 工具（例如，用于 LLM 代理查询，但基于第一个关键词（例如 SELECT）和禁止关键字列表的验证不会阻止诸如 INTO OUTFILE / INTO DUMPFILE 等文件写入结构。因此，能够影响工具输入（例如通过公共代理端点的提示注入）的攻击者，如果 MySQL/MariaDB 账户拥有 FILE 权限且服务器配置允许写入有用的位置（例如，可访问的目录），就可以向数据库服务器写入任意文件。这个问题在 2.8.12 版本中得到了修复。

影响版本：

Neuron < 2.8.12

Serendipity存在远程执行代码漏洞 (CVE-2024-58282）

Serendipity 是一款开源的 PHP 博客/CMS 系统，Serendipity 2.5.0存在一个远程代码执行漏洞，允许经过身份验证的管理员通过媒体上传功能上传恶意PHP文件。攻击者可以利用文件上传机制，创建一个带有命令执行表单的PHP外壳，从而在Web服务器上执行任意系统命令。

影响版本：

Serendipity =2.50

PopojiCMS存在远程命令执行漏洞 (CVE-2024-58284）

PopojiCMS 2.0.1存在一个经过身份验证的远程命令执行漏洞，允许管理员用户在元数据设置端点注入恶意PHP代码。攻击者可以登录并修改元内容，创建一个通过GET参数执行任意系统命令的webshell。

影响版本：

PopojiCMS = 2.0.1

Web Booster存在任意文件夹删除漏洞(CVE-2025-13377）

WordPress插件“The 10Web Booster”（用于网站速度优化、缓存和页面速度优化）在版本2.32.7及以下存在任意文件夹删除漏洞。该漏洞是由于get_cache_dir_for_page_from_url()函数中文件路径验证不足导致的，具有订阅者级别及以上访问权限的认证攻击者可以删除服务器上的任意文件夹。

影响版本：

Web Booster<=2.32.7

05.

攻击情报

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。