GitHub供应链攻击升级：Coinbase超218代码库暴露，CI/CD密钥泄露

涉及 GitHub Actions 工具 "tj-actions/changed-files" 的供应链攻击最初是针对 Coinbase 一个开源项目的定向攻击，随后演变为范围更广的安全事件。攻击过程

微软可信签名服务遭滥用，恶意软件借机获得合法签名

网络犯罪分子正在滥用微软可信签名平台，通过有效期仅三天的短期证书为恶意软件可执行程序进行代码签名。长期以来，威胁行为者一直觊觎代码签名证书，因为这类证书可用于为恶意软件披上合法企业的外衣。恶意软件签名

【重大工控漏洞】mySCADA myPRO或被攻击者掌控工业控制系统

网络安全研究人员披露了影响mySCADA myPRO系统的两个重大漏洞的细节。myPRO是一种广泛应用于工业技术（OT）环境中的监控与数据采集（SCADA）系统，这些漏洞可能使恶意攻击者控制易受攻击的

一周网安优质PDF资源推荐 | FreeBuf知识大陆

【重大漏洞警示】AMI BMC漏洞可能导致远程认证绕过

安全研究人员近期发现，AMI的MegaRAC软件中存在一个严重的漏洞，该漏洞可能被攻击者利用以远程绕过认证。这一漏洞编号为CVE-2024-54085，已影响众多数据中心设备和服务器型号，可能危及全球

白帽SRC百洞事件复盘；业务漏洞应对处理策略| FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第251期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

FreeBuf周报 | “人肉开盒”再调查；ChatGPT SSRF漏洞迅速成为热门攻击向量

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！热点资讯1. “人肉开盒”再调查：网络灰产隐秘升级，记者买到自己的

Root后安卓设备遭遇攻击的风险激增3000倍，iPhone亦不安全

尽管苹果和谷歌不断强化设备安全性，但黑客和网络犯罪分子仍通过Root（安卓）和越狱（iOS）设备进行攻击。移动安全公司Zimperium的一份新报告在发布前与Hackread.com分享，报告警告称，

Cisco智能许可工具漏洞遭利用，内置后门账户曝光

近期，攻击者开始针对未修复漏洞的Cisco智能许可工具（Cisco Smart Licensing Utility, CSLU）实例发起攻击，该漏洞暴露了一个内置的后门管理员账户。Cisco智能许可工

研究人员利用AI越狱技术大量窃取Chrome信息

Cato Networks作为一家安全访问服务边缘（SASE）解决方案提供商，近日发布了其《2025年Cato CTRL威胁报告》，揭示了一项重要发现。研究人员称，他们成功设计了一种技术，使毫无编程经

Veeam与IBM发布备份和AIX系统高危漏洞补丁

Veeam近日发布了安全更新，修复了其备份与复制软件中的一个关键安全漏洞，该漏洞可能导致远程代码执行。高风险漏洞详情该漏洞被标记为CVE-2025-23120，CVSS评分为9.9（满分10.0），影

公私合作：网络安全行业增长与成熟的催化剂

随着网络犯罪分子不断升级他们的战术，利用人工智能等工具来简化并加速他们的攻击，网络安全行业也必须以非凡的速度进化。从首席信息安全官到政府机构，再到软件供应商，各个组织都在不断反思和重塑他们的策略，许多

Windows文件管理器重大漏洞，无需交互，PoC已发布

Windows文件管理器中发现了一个名为CVE-2025-24071的关键漏洞，攻击者只需解压压缩文件即可窃取用户的NTLM哈希密码，无需用户进行任何交互。安全研究人员已发布了该高危漏洞的概念验证（P

Kali Linux 2025.1a 发布：新增工具、年度主题更新

Kali Linux 发布了2025年的首个版本 2025.1a，本次更新新增了一个工具，并对桌面和主题进行了调整。Kali Linux 是一款专为网络安全专业人士和道德黑客设计的操作系统，主要用于红

VPN漏洞成为攻击组织的关键工具

VPN基础设施已成为网络犯罪分子和国家支持行为者的主要目标，这些系统中的漏洞成为了广泛组织攻击的入口。即使在公开多年后，关键的VPN漏洞仍然使威胁行为者能够以前所未有的规模窃取凭证并获得对企业网络的管

黑客利用PHP严重漏洞部署Quasar RAT和XMRig挖矿软件

黑客正在利用PHP中的一个严重安全漏洞来传播加密货币挖矿软件和远程访问木马（RAT），例如Quasar RAT。该漏洞被分配了CVE标识符CVE-2024-4577，涉及PHP在基于Windows的系

网安人求职防坑手册 | 从简历到Offer的生存法则

（一）招聘信息排雷指南——防坑雷达已启动1识别「挂羊头卖狗肉」岗位警惕JD中高频出现的危险词：「兼任IT运维」「协助行政事务」「负责设备调试」（翻译：修电脑+装系统+帮同事重置密码）✅ 真正值得投递的

谷歌320亿美元收购Wiz，推动云安全与多云战略

近日，谷歌宣布已签署最终协议，将以320亿美元全现金交易收购网络安全公司Wiz，这项交易需通过相关调整后最终完成。交易完成后，Wiz将并入谷歌云（Google Cloud）。此次收购标志着谷歌云正在加

新型“规则文件后门”攻击：通过AI代码编辑器植入恶意代码

网络安全研究人员近日披露了一种名为“规则文件后门”（Rules File Backdoor）的新型供应链攻击方式，该攻击影响人工智能（AI）驱动的代码编辑器，如GitHub Copilot和Curso

Cloudflare推出后量子加密技术，抵御量子计算机攻击

Cloudflare宣布为其Zero Trust平台推出首个端到端量子安全准备阶段，使企业能够保护其公司网络流量，抵御未来的量子计算机威胁。这一举措基于自2017年以来Cloudflare对后量子密码

Apache Tomcat漏洞公开发布仅30小时后即遭利用

近日，Apache Tomcat曝出一项安全漏洞，在公开发布概念验证（PoC）仅30小时后，该漏洞即遭到攻击者利用。这一漏洞编号为CVE-2025-24813，主要影响以下版本：1. Apache T

Telegram CEO因刑事调查暂时离开法国

法国当局已允许Telegram的CEO兼创始人Pavel Durov暂时离开该国，同时对该即时通讯平台上犯罪活动的调查仍在进行中。调查背景与Durov的行程今日早些时候，Durov在其Telegram

CVE-2024-27564漏洞一周内致ChatGPT遭万次攻击

网络安全公司Veriti在其最新研究报告中指出，OpenAI的ChatGPT基础设施正在遭受一个漏洞的积极利用。该研究重点关注了CVE-2024-27564漏洞，它是一个服务器端请求伪造（SSRF）漏

AI代理助力恶意代码编写，网络安全迎新挑战

人工智能驱动的代理正在快速发展，为自动化日常任务提供了更强大的能力。然而，研究人员发现，这些工具也可能被恶意行为者利用来实施攻击。OpenAI 的“Operator”于 2025 年 1 月 23 日

从车间到SRC白帽教官，零基础的逆袭密码

25岁还在制造业苦苦打拼的我，30岁完成了从安全小白到企业SRC核心白帽的蜕变；5年的零基础自学时间，我像无头苍蝇一样啃完30多本技术书，却在攻防靶场连基础权限都拿不到；1年多的系统学习后，斩获多个S

生成式AI红队测试：如何有效评估大语言模型

OWASP最新指南为组建生成式AI红队或调整现有红队以适应新技术提供了详细的指导。红队测试是一种经过时间检验的网络安全系统测试和加固方法，但它需要不断适应技术的演变。近年来，生成式AI和大语言模型（L

2025年应对远程设备威胁的顶级网络安全工具

远程办公的兴起显著扩大了网络犯罪分子的攻击面，这使得强大的网络安全工具变得比以往任何时候都更加关键。随着企业逐渐适应员工在不同地点办公的模式，针对远程设备的网络威胁也在不断演变。2025年，先进的安全

新型MassJacker剪贴板恶意软件藏于盗版软件中

据CyberArk研究人员称，一种名为MassJacker的新型剪贴板恶意软件正在针对搜索盗版软件的用户发起攻击。剪贴板恶意软件的运作原理剪贴板恶意软件是一类专门设计用于拦截和操纵剪贴板数据的恶意软件

成功破解加密机制，研究人员解锁LinuxESXi Akira勒索软件

一位网络安全研究人员成功破解了Akira勒索软件在Linux/ESXi系统中的加密机制，使得受害者无需支付赎金即可恢复数据。这一突破利用了勒索软件加密方法中的关键漏洞。据研究人员介绍，该恶意软件使用纳

一周网安优质PDF资源推荐 | FreeBuf知识大陆