数十款假钱包插件涌入Firefox市肆，偷取加密钱币

首页 > 清静研究 > 清静转达 > 清静简讯

数十款假钱包插件涌入Firefox市肆，偷取加密钱币

宣布时间 2025-07-04

1. 数十款假钱包插件涌入Firefox市肆，偷取加密钱币

7月2日，网络清静公司Koi Security最新披露，Firefox官方附加组件市肆正遭受大规模恶意扩展程序攻击，凌驾40款伪装成主流加密钱币钱包的插件一连窃取用户敏感数据。这些仿冒应用笼罩Coinbase、MetaMask、Trust Wallet等八大着名品牌，通过植入恶意代码实时捕获钱包凭证及助记词，攻击者借此可完全控制受害者数字资产。研究展现，该黑客组织接纳双重诱骗战略：一方面，直接克隆开源钱包代码并注入恶意逻辑，通过"输入/点击"事务监听器筛选长度凌驾30字符的密钥信息；另一方面，伪造数百条虚伪五星好评混淆视听，甚至混入大宗一星差评制造"可信度"。手艺剖析显示，恶意代码通过隐藏过失对话框实现完全静默运行，受害者资产被盗后往往误以为正常生意，导致损失难以追溯。Koi Security追踪发明，该攻击行动至少一连至4月，每周均有新型恶意插件上线。最新案例显示，上周仍有仿冒钱包通过Mozilla审核流程。只管Mozilla声称已安排自动化危害评估系统，但阻止报道宣布，大都涉事插件仍可正常下载。

https://www.bleepingcomputer.com/news/security/dozens-of-fake-wallet-add-ons-flood-firefox-store-to-drain-crypto/

2. 思科忠言攻击者可凭静态密码远程接受IP电话系统

7月2日，网络清静领域再响警报，思科系统公司宣布在其焦点通讯产品中紧迫移除一个高危后门账户。该误差（CVE-2025-20309）影响Cisco Unified Communications Manager（原CallManager）及SME Engineering Special版本15.0.1.13010-1至15.0.1.13017-1，允许攻击者通过无法修改的静态root凭证远程获取装备最高权限。作为全球企业IP电话系统的中枢平台，Unified CM治理着数百万台装备的呼叫路由、设置战略及语音服务。此次披露的误差源于开发测试阶段遗留的硬编码账户，该账户未在生产版本中禁用，且默认凭证直接袒露于公网。思科清静通告证实，攻击者无需任何身份验证即可通过该后门以root权限执行恣意下令，完整控制受影响装备。只管尚未发明野外攻击样本，但日志剖析显示，/var/log/active/syslog/secure路径已纪录相关入侵痕迹，治理员可通过file get activelog syslog/secure下令检测异常登录。与以往误差差别，此次事务无暂时缓解步伐，思科仅提供两种修复路径：升级至2025年7月宣布的15SU3版本，或紧迫装置CSCwp27755补丁。该误差被评定为最高严重品级（CVSS 10.0），攻击者可借此横向渗透内网，窃取通话纪录、改动语音邮件，甚至将企业电话系统转化为僵尸网络节点。

https://www.bleepingcomputer.com/news/security/cisco-removes-unified-cm-callManager-backdoor-root-account/

3. Forminator插件高危误差威胁60万WordPress网站

7月2日，全球超60万WordPress网站正面临严肃清静威胁，其使用的Forminator表单插件被曝保存高危恣意文件删除误差（CVE-2025-6463，CVSS 8.8）。该误差允许攻击者无需认证即可删除服务器要害文件，包括焦点设置文件wp-config.php，最终导致网站完全失控。清静团队强烈建议连忙升级至1.44.3版本以修复此危害。误差焦点源于插件的entry_delete_upload_files()函数保存路径验证缺陷。当治理员整理恶意表单提交时，攻击者可结构包括路径遍历字符串（如../../../wp-config.php）的表单字段，触发服务器删除恣意文件。一旦wp-config.php被删，WordPress将自动重置为装置模式，攻击者借此可改动数据库凭证并植入后门，实现远程代码执行。手艺剖析显示，该误差使用条件极为宽松：仅需目的网站启用Forminator插件且保存可被删除的表单纪录。攻击者既可手动提交恶意表单，亦可使用自动化工具批量扫描懦弱站点。

https://cybersecuritynews.com/forminator-wordpress-plugin-vulnerability/

4. 弗吉尼亚格洛斯特县遭勒索软件攻击，政府雇员数据泄露

7月4日，今年4月，美国弗吉尼亚州格洛斯特县爆发一起针对地方政府的勒索软件攻击事务，导致3527名现任及前任政府雇员的敏感信息被盗，引发社会对网络清静威胁的普遍关注。此次事务中，黑客乐成入侵该县信息系统，窃取了包括社会清静号码、驾照信息、银行账户详情、康健包管号码及医疗纪录等高度敏感数据，对小我私家隐私和工业清静组成严重威胁。格洛斯特县位于弗吉尼亚州东部，距首府里士满约一小时车程，生齿约4万。事务爆发后，该县行政主座卡罗尔·斯蒂尔于本周正式向受影响雇员发出通知，确认数据泄露事实，并体现已约请网络清静专家协助系统恢复，同时向联邦视察局（FBI）网络犯法部分及弗吉尼亚州警员局网络融合中心报案。值得注重的是，只管该县曾于4月22日至23日时代宣布网络中止忠言，但以后未一连更新事务希望，仅强调“正在一连监控影响”。视察显示，此次攻击与名为BlackSuit的勒索软件团伙有关。该组织于5月15日在暗网宣布帖子，宣称对格洛斯特县事务认真，并指控县方拒绝就赎金睁开谈判。

https://therecord.media/virginia-county-says-ransomware-attack-exposed-ssns

5. 巴西CIEE One平台数据泄露事务：敏感信息遭窃并在暗网出售

7月3日，网络清静公司Resecurity披露巴西主要实习与学徒项目服务平台CIEE One爆发重大数据泄露事务，导致大宗敏感小我私家信息（PII）及文件被窃并在暗网出售。此次事务中，威胁行为者通过袒露的谷歌云存储桶入侵系统，偷取了包括身份纪录、联系方法、医疗报告及文档扫描件等高价值数据，随后由地下数据经纪商"888"在暗网平台举行生意。CIEE One由巴西CIEE商学院整合中心运营，为包括Bradesco银行、Caixa经济银行、Claro电信等在内的顶级金融机构及能源、科技领域企业提供招聘服务，毗连数万名专业人士与巴西本土及跨国公司。由于其平台汇聚了用于配景视察和招聘流程的海量敏感数据，成为网络犯法分子的重点目的。被盗信息极易被用于身份偷窃、金融诓骗等不法运动，对企业和求职者组成双重危害。据Resecurity剖析，此次入侵源于云存储服务设置不当，袒露的谷歌云存储桶因缺乏基本清静防护成为攻击入口。

https://securityaffairs.com/179609/data-breach/cybercriminals-target-brazil-248725-exposed-in-ciee-one-data-breach.html

6. Hunters International勒索软件宣布停运并提供免含混密工具

7月3日，全球着名勒索软件即服务（RaaS）组织Hunters International于克日宣布正式阻止运营，并有数地向所有受害企业提供免含混密工具，成为首个自动放弃赎金要求的网络犯法整体。该组织在暗网宣布的声明中称，此举旨在"表达善意并资助受影响公司恢复数据"，同时强调关闭决议经由"稳重思量"，但未明确提及详细缘故原由。Hunters International自2023年尾崛起，因代码特征与已驱逐的Hive勒索软件高度相似，被清静机构视为其潜在改版。该组织接纳多平台攻击战略，其恶意软件支持Windows、Linux、FreeBSD等系统及x64、ARM等架构，具备跨平台熏染能力。已往两年间，该团伙对全球近300家企业提倡攻击，赎金要求从数十万至数百万美元不等。此次停运并非突然。2024年11月，该组织曾预告将因"执法审查增强和盈利能力下降"关闭。同期，威胁情报公司Group-IB披露其正妄想转型，妄想通过更名为"World Leaks"的新品牌专注数据偷窃，使用升级版泄露工具开展纯勒索行动，不再加密文件而是直接威胁曝光数据。这一动向批注，只管Hunters International主体阻止运营，但其手艺资产可能以新形态继续活跃。

https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-shuts-down-after-world-leaks-rebrand/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究