三部委联合印发《国家数据基础设施建设指引》；PoC漏洞利用工具LDAPNightmare或导致Windows服务器崩溃

•三部委联合印发《国家数据基础设施建设指引》

•网信办就《个人信息出境个人信息保护认证办法（征求意见稿）》公开征求意见

•双重点击劫持攻击警报：影响几乎所有网站

•新型安卓恶意软件FireScam来袭，实时窃取用户敏感信息

•恶意npm包伪装成  Hardhat 插件，针对以太坊开发者窃取私钥与敏感数据

•PoC漏洞利用工具LDAPNightmare或导致Windows服务器崩溃

•开源漏洞扫描工具  Nuclei 存在高危漏洞，允许绕过签名检查并执行恶意代码

•Amit Yoran病逝，Tenable面临首席执行官重新选拔

•盛邦安全战略投资星展测控  共拓低空经济与卫星互联网新蓝海

为贯彻落实党的二十届三中全会关于建设和运营国家数据基础设施，促进数据共享的部署要求，近日，国家发展改革委、国家数据局、工业和信息化部联合印发《国家数据基础设施建设指引》（以下简称《指引》）。

《指引》阐述了国家数据基础设施概念内涵、发展愿景、总体功能、总体架构，从数据流通利用、算力底座、网络支撑、安全防护等四个方面指明具体建设方向。

在安全防护方面，《指引》明确国家数据基础设施安全保障体系建设重点是构建多层次、全方位、立体化的国家数据基础设施安全保障框架，贯穿数据生命周期全流程，帮助各参与方提升数据安全保障能力，确保数据的可信性、完整性和安全性。

在国家数据基础设施安全保障层面，实现可信接入、安全互联、跨域管控和全栈防护等安全管理，建立网络安全风险和威胁的动态发现、实时告警、全面分析、协同处置、跨域追溯和态势掌控能力，提供应对芯片、软件、硬件、协议等内置后门、漏洞安全威胁的内生防护能力。加强对合作伙伴、运维人员、平台用户等数据安全内部风险的防范应对。加强对入侵渗透、拒绝服务、数据窃取、勒索投毒等外部威胁的应急响应。

在数据流通利用安全层面，综合利用隐私保护计算、区块链、数据使用控制等技术手段，保证数据的可信采集、加密传输、可靠存储、受控交换共享、销毁确认及存证溯源等，规避数据隐私泄露、违规滥用等风险。加强算法、模型、数据的安全审计，增强模型鲁棒性和安全性，保证高价值、高敏感数据“可用不可见”“可控可计量”“可溯可审计”，确保贯穿数据全生命周期各环节安全。

原文链接：

https://www.nda.gov.cn/sjj/zwgk/zcfb/0106/20250106095112713400492_pc.html

为促进个人信息高效便利安全跨境流动，规范个人信息出境个人信息保护认证工作，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息出境个人信息保护认证办法（征求意见稿）》，现向社会公开征求意见。

公众可以通过以下途径查看文稿或提出反馈意见：

1. 登录中国网信网（www.cac.gov.cn），进入首页“网信要闻”查看文稿。

2. 登录中华人民共和国司法部（www.moj.gov.cn）、中国政府法制信息网（www.chinalaw.gov.cn），进入首页主菜单的“立法意见征集”栏目提出意见。
   

3. 通过电子邮件方式发送至：[email protected]。

4. 通过信函方式将意见寄至：北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局，邮编100048，并在信封上注明“个人信息出境个人信息保护认证办法征求意见”。

意见反馈截止时间为2025年2月3日。

原文链接：

https://mp.weixin.qq.com/s/3nW4NWS7Voe2mBEj6HXA4A

近日，数亿网络用户被警告注意一种新型网络攻击——双重点击劫持攻击。黑客通过操控用户的双击行为来窃取凭证，所有网站默认都易受此攻击。

应用安全和客户端攻击研究员 Paulos Yibelo 透露，双重点击劫持攻击通过操控鼠标双击的时机，使用户在点击看似正常的内容时，实际上却在验证登录或其他账户授权。Yibelo 强调，这种攻击的危险在于它能够绕过现有的点击劫持保护，影响的不仅仅是网站，还可能涉及加密钱包和智能手机等设备。

Yibelo 提供了两种攻击示例：第一种是通过 OAuth 和API 权限，黑客可以诱使用户授权恶意应用程序，从而导致账户被接管；第二种是黑客利用双重点击劫持诱使用户进行账户设置更改，例如禁用安全设置、删除账户或确认交易等。

Yibelo 指出，双重点击劫持攻击是对已知攻击类别的巧妙变种，黑客通过操控点击时机，瞬间将无害的用户界面元素替换为敏感元素。这意味着开发者和安全团队需要加强对嵌入式或打开窗口的控制，并对多次点击模式保持警惕。

了解更多Web安全相关信息，请关注安全牛最新报告：

原文链接：

https://www.forbes.com/sites/daveywinder/2025/01/04/dont-click-twice-new-chrome-edge-safari-hack-attack-warning/?utm_source=flipboard&utm_content=topic%2Fgoogle

新型安卓恶意软件FireScam正在通过模仿俄罗斯移动应用市场 RuStore 的钓鱼网站，以Telegram应用的高级版本进行传播。

根据威胁管理公司Cyfirma的研究，伪装成 RuStore 的恶意 GitHub 页面首先提供一个名为 GetAppsRu.apk 的投放模块。该模块使用 DexGuard 进行混淆以避免检测，并获取权限以识别已安装的应用程序、访问设备存储并安装其他包。随后，它提取并安装主要的恶意软件载荷“Telegram Premium.apk”，该应用请求监控通知、剪贴板数据、短信和电话服务等权限。

一旦执行，FireScam 会显示一个伪装的 WebView 界面，呈现 Telegram 登录页面，用于窃取用户的凭证。该恶意软件还可以监控屏幕活动，捕捉开关事件，并记录当时的活跃应用及持续超过 1000 毫秒的事件活动数据。此外，FireScam 还监控任何电子商务交易，试图捕获敏感的财务数据。

FireScam 与Firebase 实时数据库建立通信，实时上传被窃取的数据，并使用唯一标识符注册被攻陷的设备，以便进行跟踪。该恶意软件还与Firebase C2端点保持持久的WebSocket连接，以便实时执行命令。

原文链接：

https://www.bleepingcomputer.com/news/security/new-firescam-android-data-theft-malware-poses-as-telegram-premium-app/

近日，Socket 研究人员报告了一起针对 Nomic Foundation 和Hardhat 平台的供应链攻击。攻击者利用伪装成 Hardhat 插件的恶意 npm 包，针对以太坊开发者窃取关键数据，如密钥和配置细节，导致开发环境被攻陷、生产系统中可能存在后门，以及资金损失。

Hardhat 是由 Nomic Foundation 开发的重要以太坊工具，旨在简化智能合约和去中心化应用（dApp）的开发，并支持可定制插件。此次攻击的幕后黑手模仿合法包和组织的名称，以欺骗开发者使用这些恶意包。攻击者从 Hardhat 中窃取敏感数据，如助记词和私钥，并使用 AES 加密后将其导出到控制下的端点。

攻击始于安装被攻陷的包。这些包利用 Hardhat 运行时环境中的函数，如 hreInit()和 hreConfig()，收集敏感信息。收集到的数据通过硬编码的密钥和以太坊地址传输到攻击者控制的端点，实现高效的外泄。研究人员已识别出 20 个由三位主要作者发布的恶意包，其中下载量最高的包为@nomicsfoundation/sdk-test，累计下载了 1092 次。

原文链接：

https://securityaffairs.com/172671/malware/malicious-npm-packages-target-ethereum-developers.html

近日，针对 Windows 轻量级目录访问协议（LDAP）的已修复安全漏洞 CVE-2024-49113 的概念验证（PoC）漏洞利用工具 LDAPNightmare 被发布。该漏洞可能导致拒绝服务（DoS）状态，影响系统的可用性。微软已在 2024 年12 月的周二补丁日更新中修复了该漏洞。同一组件中还有一个 CVSS 评分高达 9.8 的关键整数溢出漏洞 CVE-2024-49112，可能导致远程代码执行。

由 SafeBreach Labs 设计的 LDAPNightmare PoC 漏洞利用工具可能使任何未打补丁的 Windows服务器崩溃，前提是受害者域控制器的 DNS 服务器具有互联网连接。具体而言，LDAPNightmare 通过向受害者服务器发送 DCE/RPC 请求，最终导致本地安全授权子系统服务（LSASS）崩溃，并在发送带有非零“lm_referral”值的特制 CLDAP 引用响应数据包时强制重启。SafeBreach Labs 还发现，同一漏洞链也可以通过修改 CLDAP 数据包来实现远程代码执行 CVE-2024-49112 。

为了降低这些漏洞带来的风险，网络安全专家提醒组织必须及时应用微软发布的 2024 年12 月补丁；如果无法立即打补丁，建议实施检测以监控可疑的 CLDAP 引用响应（带有特定恶意值）、可疑的 DsrGetDcNameEx2 调用和可疑的 DNS SRV 查询。

原文链接：

https://thehackernews.com/2025/01/ldapnightmare-poc-exploit-crashes-lsass.html

近日，研究人员发现开源漏洞扫描工具 Nuclei 存在一个高危安全漏洞（CVE-2024-43405），该漏洞可能使攻击者绕过签名检查并执行恶意代码。此漏洞由 Wiz 的工程团队发现。

Nuclei 的优势在于其灵活的基于 YAML 的模板，能够有效检测漏洞和配置错误。然而，该工具依赖于签名验证来确保模板的完整性，这一单一机制的依赖使其成为关键的安全弱点。漏洞的根源在于签名验证过程与 YAML 解析器在处理换行符时的差异，以及多签名处理的方式。这使得攻击者能够在保持模板良性部分有效签名的同时，注入恶意内容。

该漏洞影响所有版本在 3.0.0 之后的 Nuclei，已在 v3.3.2 版本中修复。Nuclei 在GitHub 上拥有超过 2.1 万个星标和超过 210 万次下载，Wiz 研究人员强调该软件对安全社区的重要性，并呼吁尽快修复漏洞，以保障用户的安全。

原文链接：

https://securityaffairs.com/172692/security/nuclei-flaw-execute-malicious-code.html

Tenable 首席执行官 Amit Yoran 于近日去世。他在 Tenable 担任首席执行官长达八年，对Tenable的发展举足轻重。Tenable 在一份新闻稿中指出：“他对创新的坚定承诺和对卓越的不断追求，使 Tenable 成为全球曝光管理领域的领导者。他对该领域的贡献不仅对公司产生了深远影响，也对更广泛的网络安全社区留下了不可磨灭的印记。”

Yoran 于2024 年12 月初开始休病假，首席财务官 Steve Vintz 和首席运营官 Mark Thurmond 被任命为共同首席执行官，以确保公司的战略执行和稳定性。

在董事会进行首席执行官的选拔过程中，公司将在他们的领导下继续运营，选拔将包括内部和外部候选人。Art Coviello 将担任董事会主席。

原文链接：

https://insight.scmagazineuk.com/tenable-announces-passing-of-ceo-amit-yoran

2025年1月2日，盛邦安全战略投资星展测控科技股份有限公司，双方将围绕卫星通信、无人飞行装备的安全体系展开深入合作，共同打造面向低空经济的新场景、新应用。

星展测控长期致力于卫星通信设备及工业无人机系统的研发、生产和销售，是同时掌握卫星通信技术和无人机系统技术的专业厂商。盛邦安全专注卫星互联网安全、网络空间地图、漏洞及漏洞工程化、应用安全防御、密码安全等五个领域的产品研发及服务。双方将在卫星互联网安全、低空经济场景拓展、应急救援等领域展开深度合作。

此次投资是盛邦安全继战略入股天御云安之后，在卫星互联网领域的又一重要战略举措。据悉，盛邦安全将持续在卫星互联网安全领域深入探索和布局。

原文链接：
https://mp.weixin.qq.com/s/oe3lFu5cv_S2vI1z_Bmnzg