安全简讯（2025.06.20）

1. 研究人员披露史上最大规模数据泄露，160亿登录凭证遭窃取

6月19日，研究人员宣布发现史上最大规模数据泄露事件，泄露登录凭证数量高达160亿份。该调查于今年早些时候启动，显示这些凭证是通过多种信息窃取恶意软件收集而来。Cybernews研究人员报告称，此次泄露由来自各平台的30个海量泄露数据集组成，总计暴露160亿条登录记录。除一起此前已报告的案例外，其余29个泄露数据集均为新发现，且新泄露事件不断涌现，凸显信息窃取恶意软件传播范围之广。然而，暴露的数据集只能短暂访问，大部分暴露在不安全的Elasticsearch或存储实例上。研究人员指出，这不仅是泄密，更是大规模利用的蓝图，网络犯罪分子如今拥有前所未有的个人凭证访问权限，可用于账户接管、身份盗窃和精准网络钓鱼。尤其令人担忧的是这些数据集的结构和新近性，它们并非只是旧漏洞被重新利用，而是全新的、可大规模武器化的情报。CyberNews推测，泄露的160亿条记录大部分来自窃取恶意软件、凭证填充和之前的违规行为，这些数据针对Apple、Google、Facebook等服务。

https://securityaffairs.com/179149/data-breach/researchers-discovered-the-largest-data-breach-ever-exposing-16-billion-login-credentials.html

2. 新版本Android恶意软件Godfather借虚拟化窃取数据

6月19日，新版本Android恶意软件Godfather通过创建隔离虚拟环境，对全球500多个银行、加密货币和电子商务应用程序发起攻击。该恶意软件以APK形式出现，内置虚拟化框架，利用VirtualApp引擎和Xposed等工具进行挂钩，在设备上激活后，会检查并放置已安装的目标应用程序到虚拟环境中，通过StubActivity在主机容器内启动它，从而拦截并控制合法应用程序的运行。受害者启动真正的银行应用程序时，恶意软件会拦截并重定向“Intent”，启动虚拟版本，用户看到的虽是真实界面，但所有敏感数据都可能被劫持。通过API挂钩，恶意软件能记录账户凭据、密码、PIN、触摸事件等，并在关键时刻显示虚假锁屏覆盖，诱骗受害者输入PIN/密码。一旦数据收集完毕，它会等待操作员命令执行付款/转账等操作，期间显示虚假“更新”屏幕或黑屏以避免怀疑。自2021年3月首次出现以来，Godfather不断进化，最新版本与之前相比有了重大改进。

https://www.bleepingcomputer.com/news/security/godfather-android-malware-now-uses-virtualization-to-hijack-banking-apps/

3. 朝鲜组织利用PylangGhost恶意软件攻击加密行业人士

6月19日，思科Talos最新研究显示，一系列新网络攻击正利用虚假招聘骗局，针对加密货币和区块链行业专业人士。这些攻击与和朝鲜结盟的“Famous Chollima”组织有关，该组织冒充合法公司，诱骗受害者安装伪装成视频驱动程序的恶意软件。该组织自2024年中期以来一直活跃，此前就以虚假招聘信息和欺诈性面试流程等手段闻名，如今行动愈发复杂，出现新型基于Python的恶意软件PylangGhost，它是之前GolangGhost木马的变种。攻击者通过联系目标求职者，提供看似加密货币行业的职位，诱导其进入虚假技能评估页面，该页面高度模拟真实企业界面，如Coinbase、Robinhood等知名公司。受害者完成测试后，会被要求录制视频介绍，并通过复制粘贴命令到终端安装“视频驱动程序”，进而下载包含PylangGhost木马的恶意ZIP文件。该恶意软件会自行解压并在后台运行，允许攻击者远程访问设备，收集系统信息、连接命令和控制服务器，接收并执行远程命令、获取凭证、窃取浏览器数据，包括密码和加密钱包密钥，针对80多种不同浏览器扩展程序，且使用RC4加密与服务器通信，加密密钥随数据发送，虽限制了安全性，但有助于融入常规流量，增加检测难度。

https://hackread.com/n-korean-hackers-pylangghost-malware-crypo-job-scam/

4. Krispy Kreme遭Play勒索软件攻击，超16万人信息遭窃

6月19日，美国甜甜圈连锁店Krispy Kreme证实，2024年11月发生的一起网络攻击导致超过16万人的个人信息被窃取。该公司在全球40个国家/地区拥有大量员工、门店和接入点，并与麦当劳合作在全球数千家门店销售产品。在向缅因州总检察长办公室提交的文件中，Krispy Kreme透露此次数据泄露事件影响了161,676人，但表示没有证据表明信息被滥用，也未接到身份盗窃或欺诈的报告。尽管公司未透露具体泄露的数据类型，但提交给马萨诸塞州总检察长的文件显示，被盗文件包含社会安全号码、金融账户信息和驾驶执照信息等敏感数据。Krispy Kreme于11月29日检测到IT系统上的未经授权活动，并于12月11日向美国证券交易委员会披露了这一事件及在线订购中断的情况。公司采取措施遏制违规行为，并聘请外部网络安全专家评估攻击影响。Play勒索软件团伙声称对此次攻击负责，并称从公司网络中窃取了数据，包括“私人和个人机密数据”等，在与Krispy Kreme谈判失败后，于暗网泄密网站上发布了包含数百GB文档的档案。

https://www.bleepingcomputer.com/news/security/krispy-kreme-says-november-data-breach-impacts-over-160-000-people/

5. Banana Squad将恶意软件隐藏在虚假的GitHub存储库中

6月19日，ReversingLabs研究人员发现了一种由“香蕉小队”（Banana Squad）组织领导的新型攻击方法。该组织于2023年10月首次被Checkmarx研究人员发现，以狡猾攻击手段著称。ReversingLabs团队在GitHub上发现60多个虚假项目文件夹，这些看似Python编写的黑客工具实则被木马病毒感染，包含隐藏恶意代码。早在2023年4月，香蕉小队就以各种用户名发布了数百个恶意软件包，专为Windows电脑设计，旨在窃取大量敏感数据，包括电脑、应用程序、网络浏览器信息，甚至通过转移资金窃取加密货币钱包信息，这些恶意软件包在被发现并移除前被下载近75,000次。2024年11月，该组织又利用GitHub长代码行不换行及添加空格的特性，将恶意代码推到屏幕外，增加发现难度，且通常使用虚假用户账户托管有害存储库。

https://hackread.com/banana-squad-data-stealing-malware-github-repositories/

6. 瑞银因第三方供应商遭网络攻击致13万员工信息泄露

6月19日，全球银行业巨头瑞银集团（UBS）因第三方供应商Chain IQ遭网络攻击而发生数据泄露。瑞银发言人确认事件发生，但强调客户数据及业务运营未受影响，并称已迅速采取行动避免影响。然而，瑞士媒体《时代报》报道，勒索组织World Leaks在暗网公开了约13万名瑞银员工的详细信息，包括电话号码、职位角色、办公地点等，甚至涉及首席执行官的直接电话号码。瑞银证实涉事供应商为Chain IQ，另一家客户百达银行也确认遭遇数据泄露，但称被盗信息仅涉及银行供应商的发票数据，不含客户资料。Chain IQ在声明中表示，该公司与另外19家企业于6月12日遭受“全球范围内前所未见”的网络攻击，部分客户数据被发布至暗网。网络安全专家针对事件影响提出多重警示，包括数据泄露的潜在风险可能数周后才显现、公开员工信息可能损害银行声誉与客户信任，以及泄露数据可能被用于社会工程攻击和金融欺诈。

https://www.infosecurity-magazine.com/news/ubs-employee-data-exposed-third/