FreeBuf周报 | 特朗普特赦暗网丝绸之路创始人；B站员工代码投毒报复用户

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

1. 2025网络暴露危机报告：45%第三方应用越权访问用户数据

最新研究显示，45%的第三方应用在未经适当授权情况下访问用户信息，零售行业53%的风险暴露源于追踪工具的过度使用。

2. 美国前中央情报局分析师承认泄露国防信息

一名34 岁的前中央情报局分析师阿西夫·威廉·拉赫曼 （Asif William Rahman） 近日承认曾非法保留和传输绝密国防信息，并于 2024 年 10 月在社交媒体上泄露了这些信息。

3. 特朗普签署文件，特赦暗网“丝绸之路”创始人

重返白宫的“特朗普2.0”版本才上线两天，就在社交平台上标表示已经签署了对暗网“丝绸之路”创始人罗斯·乌尔布里希特（Ross Ulbricht）的完全无条件赦免，兑现了他向加密货币社区和自由主义选民做出的竞选承诺。

4. 新的AI安全在2025年正对CISO及其团队构成挑战

安全团队总是必须适应变化，但2025年将出现的新发展可能会使变化特别具有挑战性。AI 创新步伐的加快、日益复杂的网络威胁和新的监管政策将要求首席信息安全官 （CISO） 驾驭更复杂的环境。

5. 2024年近2亿人受影响，美国医疗成重点攻击目标

2024年期间，各组织向美国政府报告了720起医疗保健数据泄露事件，这些事件共影响1.86亿条用户记录。

1. ChatGPT被曝存在爬虫漏洞，OpenAI未公开承认

OpenAI的ChatGPT爬虫似乎能够对任意网站发起分布式拒绝服务（DDoS）攻击，而OpenAI尚未承认这一漏洞。

2. B站2025年第一个大瓜，“代码投毒”报复用户

涉事员工倪袁成是B站网页端DanmakuX弹幕引擎的开发和优化负责人。根据B站网友“老变态了了了”发布的消息，2025年1月，倪袁成因为与两名用户在站内发生了口角，心生怨恨，随后利用职务之便获取用户的真实信息，并威胁要封禁用户的账号。

3. 新型僵尸网络正对路由器、摄像头等设备发起大规模DDoS攻击

趋势科技的一项新研究发现，自 2024 年底以来，一个新发现的物联网 （IoT） 僵尸网络一直利用路由器、IP 摄像头和其他连接设备等物联网设备中的漏洞，在全球策划大规模分布式拒绝服务 （DDoS） 攻击。

4. 7-Zip高危漏洞，攻击者可绕过安全机制远程执行代码

近日，流行文件压缩软件7-Zip被曝出一个新漏洞，编号为CVE-2025-0411，CVSS评分为7.0，严重程度较高，引发了广泛的安全担忧。

5. 思科曝9.9分关键权限提升漏洞

近日，思科发布软件更新，解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE - 2025 - 20156，CVSS评分为9.9（满分10.0），是思科会议管理REST API中的权限提升漏洞。

1. 勒索软件编年史：从特洛伊到AI多重勒索

自20世纪90年代，作为一种相对粗糙的数字勒索形式起步以来，勒索软件如今已经演变成一种极为复杂、动辄造成数十亿美元损失的新型网络威胁。 

2. Tomcat内存马分析

本文带你手把手学会内存马怎么分析和利用，不再盲目打内存马，可以自己改写适配内存马。

3. 恶意软件分析：灵活多变的勒索软件Qilin

本文针对 Qilin 勒索软件开展逆向分析，先概述 Qilin 勒索软件的技术栈，分析其软件功能和执行流程，再重点从ESXI LOTL、抗检机制和加密过程三个角度作静态分析，并给出部分动态测试结果，最后简单提及一些有(wu)效应对措施。 

1. ChopChopGo：一款针对Linux的取证数据快速收集工具

ChopChopGo是一款针对Linux的取证数据快速收集工具，该工具基于Go语言开发，可以快速全面地分析日志和其他工件，以识别 Linux 上的潜在安全事件和威胁。 

2. 如何使用HASH创建低交互式蜜罐系统

HASH是一个用于创建和启动低交互蜜罐的框架，可以帮助广大研究人员轻松创建HTTP无关的低交互式软件蜜罐。

3. Vanir：一款基于基于源代码的静态分析工具

Vanir是是一款基于源代码的静态分析工具，可自动识别目标系统中缺失的安全补丁列表。默认情况下，Vanir 会从开源漏洞 (OSV) 中提取最新的 CVE 及其相应的签名，以便用户可以透明地扫描缺失的补丁以获取最新的 CVE 列表。