周刊 | 网安大事回顾（2025.3.3-2025.3.9） - 新鲜讯息

政策法规：国家数据局、全国数标委联合发布国家数据基础设施建设有关技术文件；工信部、市场监管总局联合发布《关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知》；网安标委就《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求（征求意见稿）》公开征求意见…

热点新闻：美国追回2021年铀金融黑客攻击中被盗的3100万美元；多地苹果手机用户称使用“免密支付”遭盗刷，客服：账户或被盗，及时申请拦截有望找回；虚拟机逃逸！VMware高危漏洞正被积极利用，国内公网暴露面最大；美国防部长命令网络司令部停止针对俄罗斯的网络计划和行动…

融资动态：Safe Superintelligence宣布完成20亿美元股权融资；SpecterOps宣布完成7500万美元B轮融资…

网络攻击：黑客滥用Google和PayPal的基础设施窃取用户个人数据；金融服务平台Angel One披露一起数据泄露事件；320万用户因恶意浏览器扩展程序遭信息泄露…

近日，多名苹果手机用户在网上反映，因其开通了“免密支付”功能，微信或支付宝账户无故出现多笔扣费，金额从几千元到上万元不等。据受害者提供的账单显示，被盗刷的钱款大多通过苹果账户充值进了手机游戏或购买了虚拟道具。苹果公司客服表示，这可能是用户的苹果账户被盗后，不法分子利用免密支付机制进行的恶意操作。

一周网安风云回顾，GoUpSec带你安全看世界。

政策法规

关键词：国家数据局工信部

为贯彻落实党的二十届三中全会关于建设和运营国家数据基础设施的部署要求，国家发展改革委、国家数据局、工业和信息化部联合印发了《国家数据基础设施建设指引》，并明确了建设目标。为推进国家数据基础设施体系化、集约化、一体化建设，国家数据局指导全国数据标准化技术委员会研究形成了《数据基础设施参考架构（试行）》《数据基础设施互联互通基本要求（试行）》《数据基础设施用户身份管理和接入规范（试行）》《数据基础设施标识管理规范（试行）》《数据基础设施接入连接器技术要求（试行）》《数据基础设施数据目录描述规范（试行）》等6项技术文件，引导地方、行业、领域、企业按照“统一目录标识、统一身份登记、统一接口要求”推进国家数据基础设施建设。

工业和信息化部、市场监管总局联合发布《关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知》（以下简称《通知》），旨在进一步规范智能网联汽车准入、召回及软件在线升级（OTA）管理，切实保障车辆安全，提升智能网联汽车产品安全水平，推动汽车产业高质量发展。

为规范个人信息保护合规审计专业机构提供个人信息保护合规审计的服务能力，秘书处组织编制了《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求（征求意见稿）》。

热点新闻

关键词：黑客苹果美国俄罗斯

美国当局追回了2021年针对基于币安智能链的DeFi协议Uranium Finance的网络攻击中被盗的价值 3100 万美元的加密货币。区块链情报公司TRM Labs报告称，它已协助纽约南区（SDNY）和国土安全调查局（HSI）圣地亚哥分局追踪和追回被盗资产，这是近年来最重大的追回行动之一。

3月7日消息，超过3.7万台暴露在互联网上的VMware ESXi实例易受CVE-2025-22224漏洞的影响。该漏洞是一个高危级别的越界写入漏洞，目前正在被积极利用。威胁监测平台The Shadowserver Foundation披露了这一大规模暴露情况。3月5日，该平台统计的受影响实例数量约为41500台。次日，Shadowserver报告称，仍有3.7万台服务器存在漏洞，这表明5日有4500台设备完成修补。

据知情人士透露，美国防部长皮特·赫格塞斯近日已下令美国网络司令部停止所有针对俄罗斯的网络计划，包括攻击性数字行动。

融资动态

关键词：Safe Superintelligence SpecterOps

投资方为Greenoaks Capital Management，Safe Superintelligence是一家人工智能研究实验室，专注于解决构建超人智能的技术挑战。该公司设立了专门的实验室，在推动AI能力发展的同时，通过革命性的工程方法优先确保安全。

SpecterOps宣布完成7500万美元B轮融资

由Insight Partners 领投，Ansa Capital、M12、Ballistic Ventures、Decibel和Cisco Investments跟投；SpecterOps是一家网络安全公司，提供产品、服务和培训解决方案，帮助企业抵御高级攻击。该公司协助企业消除攻击路径、评估和构建安全运营计划，并为学员提供先进的对手战术、技术和程序（TTPs）培训。此外，SpecterOps还支持多个有利于整个行业的倡议。

网络攻击

关键词：黑客信息泄露

安全研究人员发现了一场协同攻击活动，该攻击利用Google广告生态系统和PayPal商家工具中的漏洞窃取敏感用户数据。该操作利用冒充PayPal 官方支持渠道的Google搜索广告，并滥用PayPal的无代码结账系统 (paypal.com/ncp/payment/[unique ID]) 创建欺诈性支付页面。

金融服务平台Angel One披露了一起涉及未经授权访问特定客户数据的泄露事件，原因是其部分亚马逊云服务（AWS）资源遭到入侵。此次事件于2025年2月27日被发现，当时该公司从其暗网监控合作伙伴那里收到了有关潜在数据泄露的警报。在官方声明中，Angel One透露，在分析警报后，确认其部分AWS资源遭到入侵。为了减轻影响，该公司更改了其AWS云基础设施和相关应用程序的所有相关凭证。Angel One向其客户保证，此次泄露事件并未影响他们的证券、资金或凭证。

一项新发现的网络安全威胁显示，至少有320万用户受到伪装成合法实用工具的恶意浏览器扩展程序的影响。一组由16个扩展程序组成的集群——涵盖从屏幕截图工具到广告拦截器以及表情符号键盘等——被确认会向用户浏览器中注入恶意代码。

END