广泛使用的JavaScript加密库sha.js存在严重安全漏洞CVE-2025-9288，CVSS评分9.1。该漏洞源于缺乏输入类型检查，攻击者可通过操控输入导致哈希碰撞和私钥泄露。开发者应立即升级至修复版本2.4.12以防止利用。

根据Chainalysis报告，2024年曹县黑客通过47次攻击窃取了价值13.4亿美元的加密货币，占年度被盗总额的61%。尽管事件数量创纪录，但总损失未创新高。主要攻击集中在DeFi平台，私钥泄露导致44%的损失，黑客通过社会工程攻击获取访问权限，实施了多起重大盗窃。

知名SSH客户端PuTTY发现高危安全漏洞，影响多个版本，漏洞将用户私钥泄露给攻击者。建议删除旧公钥文件并生成新密钥。只有使用521位ECDSA密钥的用户受影响。PuTTY计划在0.81版本中修复漏洞。

梅赛德斯-奔驰的私钥意外泄露，导致内部数据包括源代码被泄露。GitHub令牌被发现，访问了公司的GitHub企业服务器。泄露的信息包括数据库连接字符串、云访问密钥和设计文档。源代码泄露可能导致竞争对手逆向工程和黑客发现漏洞。RedHunt Labs已通报并撤销了令牌。梅赛德斯-奔驰表示令牌已撤销，客户数据未受影响。

本文介绍了利用信息收集、SSH和HTTP服务渗透的方法，发现SSH私钥泄露的突破口，通过挨着试加密后的密码成功获取flag，以及如何通过sudo权限提升获取root.txt文件。