奇安信近期发现多个政企研发人员从GitHub下载不可信工具，导致终端被植入窃密或挖矿软件。黑客团伙“Water Curse”和“Lucifer”利用GitHub的开放性进行攻击。奇安信的产品已能精准检测此类威胁。

OpenAI强烈反对马斯克的窃密诉讼，称其为“霸凌行为”，并表示将保护员工。xAI指控OpenAI系统性挖角和窃取商业机密，OpenAI则强调其招聘行为合法，要求法院驳回诉讼。

微软发现一种新型XCSSET macOS恶意软件变种，具备窃取Firefox数据和剪贴板劫持能力。该恶意软件通过加密和混淆技术规避检测，并采用四阶段感染链以窃取敏感信息。建议及时更新系统，使用安全浏览器和防护软件以应对威胁。

APT37是一个自2012年活跃的朝鲜黑客组织，主要针对与朝鲜政权相关的韩国人士。该组织使用现代编程语言和多阶段感染链，最近曝光了Rustonotto后门和Chinotto恶意软件，显示其技术不断进步。APT37还利用隐蔽注入技术和集中化C2架构，增强攻击效果，持续窃取敏感信息。

Fortinet研究显示，DarkCloud恶意软件通过钓鱼邮件和PowerShell攻击链传播，窃取敏感信息。该恶意软件采用无文件技术和反分析机制，增加检测难度，并通过TLS的SMTP协议进行数据外传。

Elastic安全实验室发现恶意分子利用SHELLTER工具进行窃密，打包木马如LUMMA、ARECHCLIENT2和RHADAMANTHYS。尽管有防护措施，恶意活动仍具挑战性。实验室发布了解包工具以提取恶意代码，并提醒在隔离环境中使用。

研究人员发现了一款名为Myth Stealer的新型信息窃取恶意软件，使用Rust语言编写，能够从Chromium和Gecko内核浏览器中提取敏感数据。该恶意软件伪装成合法软件，采用复杂的感染和规避机制，并利用社会工程学手段吸引用户，确保在系统重启后仍能存活。

网络安全研究人员发现攻击者利用ClickFix手段诱骗macOS用户下载恶意软件Atomic macOS Stealer。攻击通过仿冒Spectrum网站进行，用户需完成虚假验证，随后执行恶意脚本，窃取系统密码并下载窃密软件。此手法利用社会工程学，导致用户自行破坏安全防护。

网络安全公司WithSecure发现，黑客将开源密码管理器KeePass改造成恶意软件KeeLoader，并通过Bing广告诱导用户安装。该恶意软件窃取凭证并实施勒索，攻击者利用被盗凭证直接访问虚拟机管理程序，绕过防护。专家警告，软件应从官方渠道获取，并采取严格安全措施以防止凭证滥用。

DarkCloud是一种复杂的窃密木马，主要通过钓鱼攻击传播，针对Windows系统。它窃取浏览器信息和金融凭证，攻击者伪装成合法公司，通过恶意链接和文件传播，利用多阶段过程绕过安全防护，最终注入合法进程以隐蔽运行。

惠普沃尔夫安全公司发现网络攻击者通过图片隐藏恶意代码，传播VIP Keylogger和0bj3ctivity Stealer等恶意软件。攻击者伪装成发票的钓鱼邮件，诱骗用户打开恶意附件，利用已知漏洞下载并执行恶意脚本，窃取用户数据。攻击手法愈加复杂，生成式AI的使用提升了攻击的隐蔽性和效率。

国家计算机病毒应急处理中心发现新变种“银狐”木马病毒，攻击者通过钓鱼网页传播下载链接，诱骗用户安装。该病毒具备远程控制和窃密功能，用户需警惕，避免下载不明链接，并及时进行安全检查。

Microsoft Windows SmartScreen存在安全漏洞（CVE-2024-21412），允许远程攻击者绕过安全警告并传播恶意文件。多个恶意软件家族在过去一年中利用了这个漏洞。攻击者利用这个漏洞通过欺骗受害者点击精心设计的URL文件链接来下载恶意可执行文件。下载的LNK文件提取包含HTA脚本的可执行文件，解码和解密PowerShell代码以获取最终URL、诱饵PDF文件和恶意代码。攻击者将窃取的数据注入合法进程并发送回C&C服务器。他们使用不同的恶意代码和PDF文件来逃避不同地区的检测。攻击链以一个恶意链接开始，导向远程服务器，下载调用PowerShell脚本的URL文件，使用forfiles命令执行mshta从远程服务器提取可执行文件。对LNK文件的调查发现它们都下载包含嵌入HTA脚本的相似可执行文件。HTA脚本设置为静默运行，没有任何弹出窗口。解码和解密脚本后，PowerShell代码将两个文件下载到%AppData%文件夹：一个诱饵PDF文件和一个注入恶意代码的可执行文件。攻击者使用不同的方法注入代码，包括使用图像文件和从数据段解密代码。攻击者使用Meduza Stealer 2.9版本进行加密货币盗窃。该窃取者的控制面板位于hxxp://5[.]42[.]107[.]78/auth/login。HijackLoader的控制面板也可能加载ACR Stealer，该窃取者将C&C服务器地址隐藏在Steam社区中。可以通过在Steam上搜索特定字符串“t6t”来找到C&C服务器。攻击者针对各种应用程序进行攻击，包括浏览器、加密货币钱包、即时通讯软件、FTP客户端、电子邮件客户端、VPN客户端、密码管理器和其他软件。攻击者还针对Chrome浏览器扩展进行攻击。IOCs包括IP地址和域名。

RisePro是一种窃密木马，最早在2022年被发现，近期攻击行为增加。它可以通过多种方式植入失陷主机，与C&C服务器通信并窃取数据。RisePro与PrivateLoader有联系，可以伪装成合法软件的破解版。它通过订阅模式进行感染，可以定制化构建。RisePro还可以复制自身作为持久化方式，并进行指纹识别。它通过HTTP和TCP自定义协议进行通信，并可以通过Telegram回传信息。RisePro经常在地下论坛上推广，攻击形式多样。RisePro的演变凸显了网络安全形势的不断演变，对个人和组织构成风险。

悬镜供应链安全情报中心在Pypi官方仓库中发现了一起CStealer窃密后门投毒事件。投毒者发布了6个不同版本的恶意Py包multiplerequests，目标是针对windows平台python开发者。该恶意包会在安装时远程加载CStealer后门，窃取受害者系统的敏感信息、浏览器隐私数据、数字货币钱包应用数据和系统屏幕截屏。该后门还会尝试在Windows系统启动目录实现开机自启动。恶意Py包已被下载435次，仍可从国内主流Pypi镜像源下载安装。开发者应注意排查是否安装或引用了该恶意组件包。

金眼狗（奇安信内部编号APT-Q-27）是一个黑客团伙，针对东南亚博彩和海外华人群体。最近发现了伪装为快连VPN的恶意安装包，其中植入了定制版gh0st远控。详细分析了攻击流程和恶意代码特征。

火绒威胁情报系统发现一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户，内含病毒程序，可以获取用户电脑和程序信息并且盗取资金，对用户构成较大安全威胁。病毒与CryptBot家族有关，能窃取浏览器敏感信息、拍摄屏幕截图，并新增了"clipboard hijacker"模块，通过劫持剪贴板数据来盗取加密货币资金。

谷歌、微软、OpenAI和Anthropic联合宣布设立1000万美元的AI安全基金，以推动AI工具开发研究。恶意Google Play Android应用程序安装次数超过200万次，向用户推送干扰性广告。IDC发布了2024年及以后的全球信息技术（IT）行业预测报告，介绍了IDC对IT行业未来的十大预测。KibOrg和NLB声称成功入侵了俄罗斯最大的民营银行阿尔法银行。Mandiant提醒管理人员注意Volt Typhoon针对美国的关键基础设施的攻击。

研究人员发现了一种名为MacStealer的信息窃密软件，通过Telegram进行控制。MacStealer可以从受害者的浏览器中提取Cookie、登录信息和文档文件，并影响最新版本的macOS系统。该软件通过虚假密码提示诱使用户输入凭据，然后发送数据到C&C服务器和Telegram频道。MacStealer的传播更加频繁，攻击者在暗网中发布功能更新。这种恶意软件对macOS构成威胁，使用Telegram作为C&C信道来窃取敏感数据。

暗网市场出现了一款名为 Stealc 的新恶意软件，它具有大肆宣传窃取信息的能力，引起行业内广泛关注。Plymouth 在黑客论坛上大肆推广 Stealc，可以窃取网络浏览器数据、扩展程序和加密货币钱包等，建议用户不要安装盗版软件，从官方网站下载产品，以防被 Stealc 恶意软件感染。