文章总结： 本周暗网数据贩卖激增99%达9.6亿条，涉及欧航天局源代码、新西兰平台及多国金融税务数据。重点威胁包括TrustWallet后门、GlassWorm病毒及恶意Chrome扩展窃密。技术层面发现LangChain严重漏洞与供应链投毒。建议修补libheif等高危漏洞，加强供应链审查并封堵恶意IP，警惕钓鱼攻击。 综合评分： 87 文章分类： 威胁情报,数据泄露,漏洞预警,供应链安全,恶意软件

---

烽火狼烟丨暗网数据及攻击威胁情报分析周报（2025/12/29-2026/01/04）

盛邦安全应急响应中心

2026年1月4日 18:21 北京

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件700起，同比上周增加99.43%。本周内贩卖数据总量共计96549.76万条；累计涉及8个主要地区及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、服务、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期主要威胁仍来自软件高危漏洞、恶意软件及网站攻击，需加强关注；本周内出现的安全漏洞以libheif堆缓冲区溢出漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 7679条，主要涉及命令注入、跨站脚本攻击等类型。

01.

重点数据泄露事件

欧洲航天局数据泄露

泄露时间：2025-12-30

泄露内容：攻击者入侵欧洲航天局的系统和私有Bitbucket存储库。泄露数据包括源代码、CI/CD管道、API令牌、访问令牌、机密文档、配置文件、Terraform文件、SQL文件、硬编码凭据等等。

泄露数据量：未涉及

关联行业：航天

地区：欧洲

墨西哥税务局(SAT)数据泄露

泄露时间：2025-12-29

泄露内容：攻击者窃取了约12万份2025年至今的XML发票。泄露的数据集包含个人和公司的敏感财务信息，包括银行账号、姓名、地址、电子邮件地址和纳税义务等。

泄露数据量：12万

关联行业：政府

地区：墨西哥

维门卡银行的大规模数据泄露

泄露时间：2025-12-29

泄露内容：攻击者声称该银行的全部机密数据已在洋葱网络（Tor）博客上发布。此次泄露事件涉及超过19万张活跃客户的身份证扫描件，泄露的数据集不仅限于个人身份信息，还包括公司文件，例如年度报告、财务报表以及与合作伙伴的机密合同。

泄露数据量：19万

关联行业：金融

地区：多米尼加共和国

新西兰社交平台Neighbourly数据泄露

泄露时间：2025-12-29

泄露内容：攻击者声称出售了一个容量高达150GB的数据库，其中包含超过2.13亿条数据。根据攻击者的描述和提供的样本，此次泄露事件暴露了大量个人身份信息（PII）和敏感通信内容，包括姓名、电子邮件地址、电话号码、实际地址、GPS坐标和已验证的NeighborhoodID。据报道，该数据集还包含私人消息、论坛帖子、个人简介以及账户元数据，例如注册时间戳和验证状态。

泄露数据量：2.13亿

关联行业：社交网络

地区：新西兰

美国WIRED杂志数据泄露

泄露时间：2025-12-30

泄露内容：攻击者已获取WIRED杂志的订阅用户数据，并泄露了约230万用户的详细信息，泄露的信息包括姓名、电子邮件地址、用户ID和时间戳。

泄露数据量：230万

关联行业：媒体

地区：美国

02.

热点资讯

TrustWalletChrome扩展程序遭恶意代码攻击导致700万美元加密货币损失

据报道TrustWalletChrome扩展程序2.68版本引入了恶意代码，该代码旨在遍历扩展程序中存储的所有钱包，并为每个钱包触发助记词请求。加密后的助记词随后会使用钱包解锁时输入的密码或通行密钥进行解密，解密后，助记词会被发送到攻击者的服务器api.metrics-trustwallet[.]com。目前被盗的数字资产包括价值约300万美元的比特币、价值431美元的Solana以及超过300万美元的以太坊。这些被盗资金已通过中心化交易所和跨链桥进行洗钱和兑换。据区块链调查员发布的最新消息，此次事件已造成数百人受害。此次后门事件源于TrustWallet内部扩展代码库中的源代码修改，而不是注入被篡改的第三方依赖项。攻击者直接篡改了应用程序自身的代码，然后利用合法的PostHog分析库作为数据泄露渠道，将分析流量重定向到攻击者控制的服务器。

消息来源：

https://thehackernews.com/2025/12/trust-wallet-chrome-extension-bug.html

网络犯罪分子滥用谷歌云邮件功能发起多阶段钓鱼活动

网络安全研究人员披露了一起网络钓鱼活动的细节，攻击者利用谷歌云的应用程序集成服务滥用权限，冒充谷歌生成的合法邮件进行电子邮件分发。此次攻击活动的核心在于滥用应用程序集成中的“发送电子邮件”任务，该任务允许用户通过集成发送自定义电子邮件通知。这些电子邮件可以配置为发送到任何任意电子邮件地址，这一事实表明攻击者能够滥用合法的自动化功能来为自己谋利，并从Google拥有的域发送电子邮件，从而有效地绕过DMARC和SPF检查。验证阶段完成后，用户将被带到一个托管在非微软域上的虚假微软登录页面，最终窃取受害者输入的任何凭据。针对调查结果，谷歌已阻止了滥用谷歌云应用集成中电子邮件通知功能的钓鱼活动，并表示正在采取更多措施防止进一步滥用。

消息来源：

https://thehackernews.com/2026/01/cybercriminals-abuse-google-cloud-email.html

GlassWorm病毒再次出现目标是Mac电脑

名为GlassWorm的供应链攻击活动第四次卷土重来，在OpenVSX市场上出现了三个可疑的扩展程序，专门针对macOS用户。这些扩展程序吸引了5万次下载。它们的主要目标是攻击50多个浏览器扩展钱包并窃取资金。值得注意的是，这些扩展程序没有使用隐蔽的Unicode技术和Rust二进制文件。有效载荷被封装在AES-256-CBC加密中，并嵌入到编译后的JavaScript代码中——但核心机制仍然相同：从Solana获取当前的C2端点，并执行其返回的内容。攻击者有意针对Mac设备，因为Mac在加密货币、Web3和初创企业环境中非常普遍。此外，攻击者还使用AppleScript进行隐蔽执行，而非PowerShell，并使用LaunchAgents实现持久化。该恶意软件除了会在激活恶意行为前等待15分钟外，还旨在窃取iCloud钥匙串数据库和开发者凭证，例如GitHub令牌、npm令牌以及~/.ssh目录的内容。

消息来源：

https://www.koi.ai/blog/glassworm-goes-native-same-infrastructure-hardened-delivery

因未经授权的提款而损失了390万美元

安全人员注意到一系列未经授权的提款事件，这些事件系利用智能trac漏洞造成的。该协议估计初步损失为390万美元，此次漏洞与Unleash多重签名治理机制相关。黑客成功强制执行了未经授权的trac更新，从而在未经协议团队批准的情况下提取了资金。此次漏洞仅影响了Unleash智能合约。初步调查显示，攻击者成功转移了超过1300个ETH，并将其发送到TornadoCash。攻击者的已知地址最初充值了ETH，随后多次要求直接向TornadoCash。StoryProtocol的发展速度可能会放缓，因为Unleash是其最热门的应用之一。StoryProtocol的目标是构建知识产权的基础设施。StoryProtocol创建了另一条L1链，旨在构建自己的生态系统。StoryProtocol生态系统包含的应用规模相对较小。然而，Unleash黑客事件表明，即使是小型协议也应受到监控，以防智能trac中存在潜在漏洞和错误。

消息来源：

https://www.cryptopolitan.com/zh-cn/unleash-protocol-unauthorized-withdrawals/

两款Chrome扩展程序被发现秘密窃取超过170个网站的凭据

网络安全研究人员发现，有两个由同一开发者发布、名称相同的恶意Chrome浏览器扩展程序。它们以“VPN服务”为伪装，诱导用户支付9.9元至95.9元不等的订阅费用，但实际上并不提供真正的隐私保护功能。这两个扩展的真实作用是拦截用户的全部网络流量，并窃取账号和密码等敏感信息。在运行过程中，这些扩展充当网络通信中的“中间人”，通过自动注入事先写好的身份验证凭据，悄无声息地控制用户的网络请求，并将收集到的数据持续发送至攻击者控制的服务器。为掩盖恶意行为，扩展还会显示连接状态和延迟测试结果，使用户误以为VPN正常工作。整个过程对用户完全透明，且无法被察觉，存在严重安全风险。

消息来源：

https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html

03.

热点技术

APT36利用恶意Windows快捷方式攻击印度政府

此次攻击始于鱼叉式网络钓鱼电子邮件，其中包含一个名为“OnlineJLPTExamDec2025.zip”的ZIP压缩文件，这是一个以考试为主题的诱饵，旨在诱骗官员打开附件。解压后，该压缩文件会显示一个名为OnlineJLPTExamDec2025.pdf的文件，该文件看起来像是一个标准文档，但实际上是一个使用双重扩展名的恶意快捷方式。由于Windows默认隐藏.lnk扩展名，即使启用文件扩展名的用户也可能会看到看似无害的PDF文件。打开时，Windows会执行快捷方式的目标命令，而不是打开文档。该快捷方式不会启动PDF阅读器，而是调用受信任的Windows实用程序mshta.exe，并将托管在攻击者控制的基础架构上的远程HTML应用程序文件传递给它。该命令会在隐藏窗口中静默检索并执行脚本，使受害者无法察觉感染。HTA脚本使用自定义的Base64解码和XOR解密例程在内存中重建两个有效载荷组件。其中一个组件削弱了.NET安全检查并准备运行时环境，而第二个组件则将加密的基于.NET的远程访问木马(RAT)直接加载到内存中。为了进一步逃避怀疑，该恶意软件会在执行完成后下载并打开一个合法的JLPT考试PDF文件。

消息来源：

https://www.esecurityplanet.com/threats/apt36-uses-malicious-windows-shortcuts-to-target-indian-government/

LangChain严重漏洞通过序列化注入泄露密钥

LangChainCore中披露了一个严重的安全漏洞，攻击者可以利用该漏洞窃取敏感信息，甚至通过提示注入影响大型语言模型的响应。LangChain的dumps()和dumpd()函数存在序列化注入漏洞。这些函数在序列化自由格式字典时，不会对键为‘lc’的字典进行转义。LangChain内部使用‘lc’键来标记序列化对象。当用户控制的数据包含此键结构时，在反序列化过程中，它将被视为合法的LangChain对象，而不是普通的用户数据。关键在于这两个函数无法转义包含“lc”键的用户控制字典。攻击者能够让LangChain编排循环序列化并随后反序列化包含‘lc’键的内容，就会实例化一个不安全的任意对象，从而可能触发许多对攻击者友好的路径。该漏洞还允许通过提示注入，利用用户控制的字段注入LangChain对象结构。LangChain发布的补丁通过一个名为“allowed_objects”的允许列表参数，在load()和loads()函数中引入了新的限制性默认值，允许用户指定哪些类可以序列化/反序列化。此外，默认情况下会阻止Jinja2模板，并且现在将“secrets_from_env”选项设置为“False”，以禁用从环境变量自动加载密钥。

消息来源：

https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html

研究人员在npm注册表中发现修改后的Shai-Hulud蠕虫测试有效载荷

网络安全研究人员披露了npm注册表中出现的一种新的ShaiHulud变种的详细信息。Shai-Hulud攻击最早于2025年9月曝光，当时发现被植入木马的npm包窃取了API密钥、云凭证、npm和GitHub令牌等敏感数据，并利用窃取的令牌将其泄露到GitHub代码库中。此前，这家供应链安全公司表示，他们在MavenCentral上发现了一个恶意软件包“org.fasterxml.jackson.core/jackson-databind”，该软件包伪装成合法的JacksonJSON库扩展“com.fasterxml.jackson.core”，但实际上包含一个多阶段攻击链，可以释放特定平台的可执行文件。SpringBoot应用启动时，Spring会扫描@Configuration类，并找到JacksonSpringAutoConfiguration，@ConditionalOnClass({ApplicationRunner.class})检查通过，因此Spring将该类注册为bean。恶意软件的ApplicationRunner会在应用上下文加载后自动调用，无需显式调用。恶意软件随后会在工作目录中查找名为“.idea.pid”的文件。如果存在这样的文件，则表明恶意软件自身实例已在运行，从而导致恶意软件静默退出。下一步，恶意软件会检查操作系统，并联系外部服务器“m.fasterxml[.]org:51211”以获取加密响应，该响应包含指向有效载荷的URL，这些有效载荷会根据操作系统进行下载。

消息来源：

https://thehackernews.com/2025/12/researchers-spot-modified-shai-hulud.html

EmEditor网站遭入侵可信安装程序变身信息窃取恶意软件

针对EmEditor官方网站的供应链攻击悄悄地将用户暴露于信息窃取恶意软件之下，攻击者篡改了该软件的下载机制。攻击者通过更改URL配置，将下载重定向到EmEditor自己的WordPress内容目录中托管的恶意安装程序。由于恶意软件是从官方基础设施传播的，因此许多标准信任信号仍然完好无损。安装程序也经过了数字签名，是由一家名为“WALSHAMINVESTMENTSLIMITED”的实体签名。研究分析表明，恶意安装程序与合法的EmEditor行为非常相似，使其能够在安装过程中和安装后静默运行。软件包中嵌入了一个VBScript脚本，用于启动PowerShell命令。该命令直接在内存中下载并执行额外的恶意代码，绕过了传统的基于文件的检测控制。该有效载荷可作为全面的信息窃取工具，目标包括消费者和企业数据源。一旦激活，该恶意软件就会从Chrome、Edge、Brave和Opera等热门浏览器中窃取凭据，收集cookie、登录凭据和浏览历史记录。为了保持持久性，该恶意软件安装了一个名为“GoogleDriveCaching”的恶意浏览器扩展程序。该扩展程序还可以窃取Facebook广告凭证、监控剪贴板活动以进行加密货币地址替换攻击，并执行远程命令以进一步操纵受害者的浏览器。

消息来源：

https://www.esecurityplanet.com/threats/emeditor-website-breach-turns-trusted-installer-into-infostealer-malware/

VVSDiscord窃取器使用Pyarmor进行混淆和规避检测

这款窃取工具使用Python编写，专门针对Discord用户，旨在窃取其账户中存储的敏感信息。VVS窃取器主要功能包括获取受害者的Discord账户数据以及浏览器信息。在打包和混淆方面，该工具使用PyInstaller将Python程序及其依赖项打包成独立可执行文件，无需额外安装模块。同时，它采用了Pyarmor的BCC混淆模式，将脚本中的大部分函数和方法转换为对应的C函数，这些C函数被编译为机器指令，并由混淆后的脚本调用。转换后的C代码存储于独立的ELF文件中，与经过序列化的Pyarmor字节码一同生成。在成功剥离Pyarmor的多层混淆（包括BCC模式及AES-128-CTR字符串加密）后，从而可以揭示其底层的Python逻辑。该恶意软件首先利用正则表达式生成匹配模式，用于搜索潜在的加密Discord令牌。接着，它在LevelDB目录中扫描扩展名为.ldb或.log的文件，并依据上述模式提取文件内容。随后，样本通过数据保护应用程序编程接口（DPAPI）解密本地状态文件中的encrypted_key值，并将解密后的结果作为AES密钥，以伽罗瓦/计数器模式对加密的Discord令牌进行解密。收集完所有信息后，恶意软件将数据整理为JSON格式，并通过向预设的Webhook地址发送HTTP POST请求的方式完成数据外泄。

消息来源：

https://unit42.paloaltonetworks.com/vvs-stealer/

04.

热点漏洞

MobileBuilder认证绕过漏洞（CVE-2025-68860）

MobileBuilder是一个用于创建移动应用程序的工具或平台。MobileBuilder1.4.2及之前版本中存在认证绕过漏洞，该漏洞产生的原因是程序允许通过替代路径或通道进行认证滥用。攻击者可利用该漏洞无需认证即可访问系统，导致系统被完全控制。

影响版本：

MobileBuilder<=1.4.2

RomanCodeMapSVG任意文件上传漏洞（CVE-2025-68562）

RomanCodeMapSVG是WordPress的一个交互式地图插件，用于创建和显示SVG格式的自定义地图。RomanCodeMapSVG8.7.3及之前版本中存在任意文件上传漏洞，该漏洞产生的原因是程序对上传文件的类型限制不足。攻击者可利用该漏洞上传WebShell等危险类型的文件到Web服务器导致远程代码执行，从而造成系统被破坏。

影响版本：

RomanCodeMapSVG<=8.7.3

CrocoblockJetSearch跨站脚本漏洞（CVE-2025-68504）

CrocoblockJetSearch是WordPress的一个高级搜索插件，用于增强网站的搜索功能和用户体验。CrocoblockJetSearch3.5.16及之前版本中存在跨站脚本漏洞，该漏洞产生的原因是程序在生成网页时对用户输入的过滤和转义不足。攻击者可利用该漏洞在搜索功能中注入恶意脚本执行DOM型跨站脚本攻击，从而获取用户敏感信息。

影响版本：

JetSearch<=3.5.16

AxiosCacheInterceptor授权绕过漏洞（CVE-2025-69202）

AxiosCacheInterceptor是一个用于axios的缓存拦截器库，用于在客户端或服务器端自动缓存HTTP请求响应。AxiosCacheInterceptor1.11.1之前版本中存在授权绕过漏洞，该漏洞产生的原因是缓存密钥仅根据URL生成，忽略了Authorization等请求头，并且当服务器响应包含Vary:Authorization头时，库忽略了此指示。攻击者可利用该漏洞导致授权被绕过，泄露用户数据。

影响版本：

AxiosCacheInterceptor<1.11.1

libheif堆缓冲区溢出漏洞（CVE-2025-68431）

libheif是一个HEIF和AVIF文件格式的解码器和编码器库，用于处理高效的图像文件。libheif1.21.0之前版本中存在堆缓冲区溢出漏洞，该漏洞产生的原因是HeifPixelImage::overlay()函数对叠加图像项路径处理不当，导致计算出的行长度为负值。攻击者可利用该漏洞通过诱使用户打开恶意构造的HEIF图像文件触发超大读取操作,从而导致程序崩溃。

影响版本：

libheif<1.21.0

05.

攻击情报

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。

请注意：以上均为监测到的情报数据，盛邦安全不做真实性判断与检测

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：盛邦安全应急响应中心 《烽火狼烟丨暗网数据及攻击威胁情报分析周报（2025/12/29-2026/01/04）》